Hallo, ich sag es mal so, dein Projekt als Anfänger?! Finger davon!!! Auch wenn die pfSense ein wirklich gutes Projekt / Produkt ist, in den falschen Fingern bringt dir das auch nicht viel. Dann hier eine kurze Einweisung. Es gibt Tagged VLAN Ports an einem Switch und Untagged Ports. Du kannst z.B. das default VLAN in dem sich alle Geräte etc. befinden als Untagged betreiben und dennoch ein weiteres VLAN auf dem selben Port taggen. Das erspart dir, jedes VLAN einzeln mit einem Port am Switch verbinden zu müssen. In deinem Fall bedeutet das konkret, nimm die FRITZ!Box und bleibe Glücklich in der derzeitigen Konstellation. Die pfSense hängst du also einfach an einen freien Port deiner FRITZ!Box, von dort aus (pfSense) geht es dann in deinen Switch. pfSense WAN ist verbunden mit der FRITZ!Box und pfSense LAN Port ist mit deinem Switch verbunden. Der Port am Switch bekommt dann ein zusätzliches VLAN, z.B. die VLAN ID 20. Diese Taggest du am Switch, wo die pfSense LAN angeschlossen wurde. Dann erstellst du ein VLAN auf der pfSense mit der ID 20 und weist es dem LAN Interface zu. Du siehst sofort ein neues Interface und kannst einen eigenen DHCP Dienst usw. darauf anbieten. Dein WLAN Accesspoint erstellt eine zusätzliche SSID (WLAN Profil) mit dem VLAN 20. z.B. mit dem Namen Gast-WLAN. Thats it. In dieser einfachen Version bekommt ein Client im Gast WLAN automatisch eine IP Adresse von der pfSense und der Traffic wird komplett über die Verbindung pfSense zu FRITZ!Box geleitet. Die eigentliche Absicherung mit RADIUS im WLAN, CaptivePortal im Gastnetz, SNORT usw. kann später erfolgen, wenn du etwas mehr eingearbeitet bist in die Materie. Das wichtigste ist dabei, dass deine Auerswald weiterhin funktioniert und du dir um mit der pfSense starten zu wollen, nicht erst weiteres Wissen aneignen musst. Natürlich sollte dein Ziel sein, die FRITZ!Box nur noch als Gateway zu missbrauchen. Deine pfSense übernimmt dann die Funktion der Firewall & Router. Siegen ist jetzt ein Eck weit weg von mir, aber per PM oder hier über das Forum können wir uns gerne austauschen. Grüße Markus

Ich hab keine Probleme mit Samba 4. Kannst du mal deine Konfiguration posten?

Gibt es wenn du die PPP Verbindung einrichtest vielleicht mehrere Link Interfaces? Vielleicht mal mit einem anderen testen wenn es mehrere gibt.

Abend DHCP ist Aktiviert bekomme jetzt auch eine Verbindung über WLAN , nur wenn ich Captive Portal Aktiviere bekomme ich die Login seite nicht aufgerufen er schreibt egal bei welcher Website keine Verbindung. wenn ich Captive Portal wieder ausschalte geht das Internet.?!?! hat dort jemand eine Idee?

Hallo wo kann ich im Squidguard einstellen das er die https Seiten sperrt wie die http Seiten? Vielen dank im vorraus schonmal MfG Timm

Ahoi, wer baut denn mit was die VPN Verbindung auf? Grüße

Super! Freut mich, dass es hingehauen hat!

Bei einem Server würde ich das an der Stelle ähnlich lösen (wollen). Lokale WSUS Server bzw. lokales Repository. Na mal sehen ob sich da eine Lösung finden lässt.

Wenn du DHCP Clients statisch konfigurierst (sprich die MAC hinterlegst) wird das auch in der Liste angezeigt. Das entspricht etwa dem, was die FB da macht. Du musst dabei ja nicht zwangsläufig eine IP fest vergeben. 2 Stunden entspricht dem Unterschied zwischen GMT und MEST. Die Lease Zeiten werden m.W. vom DHCP Daemon einfach in UTC/GMT angegeben (zur einfacheren Umrechnung), die GUI zeigt diese eben "raw" an. Gruß

Hast du in deinen Firewallregeln auch diese Gateway Group angegeben Ja das habe ich. Ich habe unter "Advanced features" und unter dem Punkt "Gateway" den Gruppen Namen von Gateway Groups eingetragen, so wie es in der Anleitung von uploaded.net beschrieben wurde. Ich habe mich bereits nach vergleichbaren Lösungen im Internet umgesehen und habe nur die Anleitung von dem VPN Anbieter Mullvad gefunden: https://notizblog.tripax.de/2015/08/pfsense-mit-vpn-anbieter-verbinden-mullvad-net/ Was die Mullvad Anleitung von der Perfect-Privacy Anleitung unterscheidet ist, dass im OpenVPN Client "route-nopull;route 10.8.0.1" steht. Dazu wurde im Interface vom OpenVPN Client eine statische IPv4 IP "10.8.0.11" und eine Gateway IPv4 IP "10.8.0.1" vergeben. Jetzt frage ich mich, ob  der Punkt  1) für die Failover Konfiguration überhaupt wichtig ist.

Moin, habe meinen Beitrag korrigiert, es sind ~55MByte/s zwischen den Netzen, getestet mit Netio. -teddy

Ok, die von mir genannten Einstellungen hatten bei mir funktioniert. Wenn du AES256 bei Phase 2 möchtest, dann wähle dies aus und markiere SHA1+SHA256. Ansonsten ist AES128 auch völlig ausreichend.

Hallo michaeljk, @michaeljk: Angenommen wir haben folgenden Aufbau: WAN1, WAN2, LAN. Die WAN-Ports haben unterschiedliche MAC-Adressen. Im Speedport wird die MAC-Adresse zu WAN1 als Ausnahme ("Gerät im LAN umleiten") deklariert, so dass dort nur die DSL-Leitung genutzt wird. Beide WAN-Ports werden am Speedport angeschlossen. In der pfsense definiert man ein neues Alias (z.B. DSLONLY) und legt per NAT-Rule fest, dass der Traffic dieser Gruppe über WAN1 geleitet werden soll. Als Default-Gateway ist der WAN2-Port eingerichtet. Würde dies so funktionieren? Ja, das müsste eigentlich funktionieren. Ich habe das zwar mit pfSense nicht getestet, aber einen ähnlichen Aufbau mit einem anderen Router am laufen. Dieser hat zwei WAN-Interfaces mit zwei unterschiedlichen IP-Adressen (die beide am Speedport Hybrid hängen) und ein LAN-Interface. Für eine der beiden WAN-Adressen wurde eine LTE-Ausnahme erstellt und somit kann ich für beliebige IP-Adressen aus dem LAN direkt auf dem Router eine Ausnahme erstellen. Gruß, bjarne

Es ist jetzt zwar schon etwas her, aber ich möchte trotzdem kurz eine Rückmeldung zu dem Thema geben. Der Speedport blockt, wohl als eine Art "Sicherheits-Feature", ICMP/PING per Default. Man kann PING auch nicht freischalten oder eine Ausnahme hinzufügen. Da die IPv4, über die der IPv6-Tunnel aufgebaut wird, aber von HE per PING erreichbar sein muss, kann ich gar keinen Tunnel erstellen. Finde ich doch etwas unschön, da ich somit erstmal kein DualStack nutzen kann, obwohl theoretisch sogar natives IPv6 zur Verfügung steht.

So ich hab den Traffic Shaper jetzt mal auf dem Echsystem eingerichtet und in der Tat funktioniert das VoIP Telefonieren ohne Aussetzer, wirklich sehr sehr cool.  8) Noch eine Frage, ich hab jetzt für beide WAN Anschlüsse und mein VVOIP Interface per Wizard die Regeln angelegt. Es gibt aber noch neun andere Netze, diese würden bei einer Internetverbindung in die qDefault fallen (soweit ist mir das klar). Aber warum brauche ich dann in meinem VVOIP Interface auch die Queues? Oder bräuchte ich die gar nicht solange es nur in Richtung WAN geht/kommt? [image: traffic_shaper.png] [image: traffic_shaper.png_thumb]

Und kurz noch als Anhang bzgl. überkomplex und Kanonen auf Spatzen: Gerade in einer pfsense 2.3 Testumgebung OHNE irgendwelche Doku das Paket "haproxy" installiert und dann in der GUI aufgerufen. Hier gibt es nun neu "Templates", mit denen schon einige Anwendungsfälle vorgestellt und vorkonfiguriert werden. Und was finden wir? -> Serving multiple domains from 1 frontend Create configuration? Damit habe ich zumindest gerade ohne großes konfigurieren 3 Frontends und 3 Backends konfiguriert bekommen, die einem zumindest die grobe Vorstellung vermitteln, warum und was wo konfiguriert wurde. Als Startpunkt um das für sich ans Laufen zu bekommen sollte doch das nicht verkehrt sein? Und ansonsten darf man gerne fragen.