Bin immer noch an der IPv6 Thematik dran. Was mir aufgefallen ist, sollte die WAN Schnittstelle nicht auch wenigstens eine Link-lokal IPv6 Adresse haben ? *** Welcome to pfSense 2.3-RELEASE-pfSense (amd64) on pfsense *** WAN_PORT (wan)  -> re2        -> v4: 192.168.217.2/24 LAN_BRIDGE0 (lan) -> bridge0    -> v4: 172.16.17.254/24 LAN_PORT (opt1) -> re1        -> WLAN_BRIDGE0 (opt2) -> ath0_wlan0 -> WLAN_GUEST (opt3) -> ath0_wlan1 -> v4: 172.16.19.254/24 PIA_VPN (opt4)  -> ovpnc1    -> v4: 10.104.1.6/32 WLAN_VPN (opt5) -> ath0_wlan2 -> v4: 172.16.20.254/24 VLAN10_DMZ (opt6) -> re1_vlan10 -> v4: 172.16.50.254/24 VLAN20_VPN (opt7) -> re1_vlan20 -> v4: 172.16.21.254/24 0) Logout (SSH only)                  9) pfTop 1) Assign Interfaces                10) Filter Logs 2) Set interface(s) IP address      11) Restart webConfigurator 3) Reset webConfigurator password    12) pfSense Developer Shell 4) Reset to factory defaults        13) Update from console 5) Reboot system                    14) Disable Secure Shell (sshd) 6) Halt system                      15) Restore recent configuration 7) Ping host                        16) Restart PHP-FPM 8) Shell Enter an option: 8 [2.3-RELEASE][root@pfsense.lan-net.local]/root: ifconfig re2 re2: flags=8943 <up,broadcast,running,promisc,simplex,multicast>metric 0 mtu 1500         options=8209b <rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,wol_magic,linkstate>ether 00:0d:b9:33:9c:42         inet 192.168.217.2 netmask 0xffffff00 broadcast 192.168.217.255         nd6 options=23 <performnud,accept_rtadv,auto_linklocal>media: Ethernet 100baseTX <full-duplex>status: active [2.3-RELEASE][root@pfsense.lan-net.local]/root:</full-duplex></performnud,accept_rtadv,auto_linklocal></rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,wol_magic,linkstate></up,broadcast,running,promisc,simplex,multicast> Das  Neighbor Discovery ist aktiv. In der Firewall sehe ich immer wieder IPv6 Adressen welche am WAN geblockt werden auf Port 1900, 5355 usw. Nicht das noch Regeln auf dem WAN-Interface nötig sind um die v6 IP-Adressen anzunehmen ?

Das mit dem Dashboard habe ich jetzt auch nicht so ganz verstanden  :- Zu deinem eigentlichen Problem, wie machen sich die "Verbindungsabbrüche" den bemerkbar ? Bist Du über LAN oder WLAN angebunden ? In dem Fall würde ich im Hintergrund zwei mal einen dauer ping laufen lassen. Einmal intern auf die pfSense und einmal auf einen Server im Internet. Dann sollte sichtbar sein was es ist. Ein internes Netz Problem oder der Provider.

So habs hinbekommen, weiß aber nicht warum !? Hab bei System / Advanced / Firewall & NAT unter Network Address Translation. Den NAT Reflection mode for port forwards umgestellt auf Pure NAT und den Hacken bei Enable automaic outbound NAT for Reflection. Jetzt gehts aber hab keine Ahnung was das jetzt wirklich macht - hat da jemand eine Erklärung dazu?? Besten Dank!

Also hier mal die Erfolgsmeldung: Die Migration hat glänzend funktioniert. Ich bin jetzt online mit dem neuen APU2. Nach der Installation auf die mSATA holt sich pfSense die Konfig vom USB-Stick und ist dann sofort passend konfiguriert. Beim ersten Start der Web-UI wird zwar dennoch der Wizard aufgerufen, aber den habe ich einfach abgebrochen. Ein paar Einstellungen mußte ich in der Web-UI noch vornehmen, da ja die HW anders ist. Das waren aber nur Kleinigkeiten. -flo-

Im squidguard

Firefox und Internet Explorer haben rein gar nichts angezeigt. Es lag am Zertifikat. Zertifikatsfehler bekomme ich jetzt natürlich immer noch, da es nur ein selbst signiertes ist. Das ausgelieferte zertifikat hatte diese form im CN "Bla Bla Blub". Ohne punkte oder anderem Bezug zum hostnamen.

Du meinst wahrscheinlich net.link.bridge.phil_member und net.link.bridge.phil_bridge. Das hatte ich eingestellt und es funktionierte ja auch alles. bis auf das die Kiste plötzlich nicht mehr erreichbar ist. vielleicht muss ich doch nochmal alles von Grund auf neu machen… Wollte das aber eigentlich vermeiden, weil sooo viel Spaß macht das ja nun doch nicht. ;-) Gruß Kai

Ich habe jetzt das pfSense-memstick-serial-2.2.6-RELEASE-amd64.img für mein neues APU2 heruntergeladen. Installiert habe ich es auch schon, serielle Konsole geht auch.(*) Jetzt muß ich nur noch die alte durch die neue Box ersetzen, dafür brauche ich aber einen Zeitraum, in dem meine Frau das Internet nicht braucht.  ;) (*) In der Konsole gibt es nach den Anzeigen des BIOS ab dem Bootvorgang von der HD eine ziemlich kaputte Anzeige. Man kann es lesen, aber ein Teil sieht aus, als ob Zeichen gedoppelt werden, ein erstes pfSense-Boot-Menü in einem Logo zeigt nach jedem Zeichen offenbar ein Leerzeichen an. Ab dem Bootvorgang von FreeBSD sieht es wieder vernünftig aus. Ist das Problem bekannt / lösbar?

wenn die Packages gar kein Bestandteil der eigentlichen Firewall sind, wundert mich das nicht mehr. ;) Naja ich will es damit auch nicht "wegdiskutieren", aber es stecken hinter den Packages eben andere Maintainer als hinter dem Core. Teils leider nicht mehr aktive Leute, weshalb mit 2.3 auch viele Pakete erstmal im Nirvana hängen, von denen ich hoffe, dass sich jemand als Maintainer findet. Teils sind aber auch die Upstream Projekte inzwischen tot. Naja, das Meckern ist ja kein eigentliches Mecker, nur ein Hinweis auf die Umstände, die mir nicht gefallen ^^ Deshalb auch mit ;) Augenzwinkern. Der Openvpn Server müsste noch etwas erweitert werden (user log, anzeige, config export), dass habe ich aber vorgeschlagen bzw. mich an die existierenden Feature Requests drangehängt. Was fehlt dir denn? User logins siehst du doch in den Logs? Config-Export in welcher Hinsicht (Client Config hat ein extra Package das das erledigt, ansonsten via System Backup?) (Habe mir einen pfsense Boot Stick erstellt, der an der Firewall hängt und auf den regelmäßig die Config.xml kopiert wird. Im Fehlerfall dann stick ziehen und auf neuer Hardware installieren, Netzwerkkarten richtig Zuweisen, automatisches packages installieren, reboot und fertig ;) Auch eine interessante Idee. Wir haben da was Skript-artiges gebastelt, was per SSH/SCP die config.xml und alle subversionen zyklisch runterlädt und gegen ein lokales GIT auto-committed, dann aber mit den Infos aus der pfSense, also wer was wann wie verändert hat. Damit haben wir quasi noch ein halbes Audit-Log dazubekommen. Die Komplexität ein eigenes Package zu erstellen oder die Unmöglichkeit schnell eine eigene Seite reinzuhängen stört mich aber wirklich. Mich manchmal schon, wenn ich mir denke, dass ich das gern machen würde aber es mich viel zu viel Zeit kosten wird ;) Den Punkt mit der eigenen Seite verstehe ich allerdings noch nicht ganz :) Grüße Jens

@Markus: Wie in anderem Thread bereits geschrieben könnte man auch mit einem Server glücklich werden indem man besondere Clients einzeln eine fixe IP zuweist und den Rest dann einfach blockiert, aber das sei jedem selbst überlassen :)

@cartel: Hey. Leider finde ich keine Anhaltspunkte warum ich für den VPN-Tunnel ein anderes Netz verwenden sollte. Warum nicht gleich in VLAN oder LAN? Was spricht dagegen? Hallo … wie meinen ??? Welches Netz meinst du genau? Oder fragst du wirklich warum das Netz das zwichen den Verbindungen genutzt und über das Internet geroutet wird ein anderes sein soll als dein lokales? Welche VPN-Verbindungsart wählst du .... ?? und so vieles mehr was eine Antwort schwer macht. LG

Hi Pippin, Mit Zertifikats ID meinen Sie Common Name? Korrekt. Die Zertifikats ID muss mit dem Common Name übereinstimmen. Grüße Philipp

Kann ebenfalls bestätigen das es NICHT zusammen funktioniert. Wollte es zum Werbung blocken hernehmen was mit DNSBL für den Traffic welcher nicht über Squid läuft auch geht. Alles was über Squid läuft geht an pfBlocker vorbei. Habe jetzt als Workaround eine ADs Blacklist in Squid aktiviert und kann damit erstmal leben.

Hi zusammen, hat denn keiner das Problem, nur bestimmte User bzw. Quell IP Adressen durch den clamav zu schicken? Ich habe auch versucht, über den c-icap bestimmte IP Adressen zuzulassen, das funktioniert aber leider auch nicht. Bei den ACLs kann ich auch keine ACL finden, die sich auf den Virenschutz bezieht. Hat jemand vielleicht noch einen Tip für mich? Vielen Dank! Viele Grüße Tino

@Artefakt: Hi, puh, die apu1d4 ist aber auf der Weboberfläche sehr träge nach dem Update auf 2.3. Hätte ich nicht gedacht, dass es so langsam wird. Erinnert mich wieder an die Reaktionszeiten der Alix. Ich hoffe, da kommt noch was nach… https://forum.pfsense.org/index.php?topic=109763.msg611506#msg611506

Ich zitiere es ja ungern, aber "Geht nicht!" ist keine valide Fehlerbeschreibung! Damit ist niemand - nicht zuletzt dir selbst - geholfen. Da du nur LAN und OPT1 erwähnst, gehts wohl theoretisch nur um Freigaben lokaler Art und da sind - wie meine beiden Vorredner schon gesagt haben - die Firewall-Regeln der erste (und norm. einzige) Ansprechpartner. Wenn du nicht auf LAN und OPT das gleiche Netz hast, dazwischen irgendwelches komisches geNATte oder anderweitige abstruse Routings hast, ist das genau der Punkt den man konfiguriert. Gruß

a) Default Block Logging abschalten b) Eigene Regel anlegen und dort das Logging nicht einschalten Geht beides, hängt aber von deiner Aufgabenstellung ab.

Wenn du mit Tunnelblick (über MAC wohl ;)) die Leistung schaffst, dann kann das auch ein ordentlicher Router mit genug Power. Das ist das einzige Kriterium, dass eben CPU/Acc/Codecs sowie NICs passen sollten. Dann wirst du auch ähnliche/gleiche Werte sehen. Wieso auch nicht? ;) Wegen mir könnte man das auch über OpenVPN machen… wenn das geht?! (und das konnte ich bisher noch nicht ersehen) Was konntest du noch nicht ersehen? Es gibt ja nun genug dutzend+1 Anleitung, wie man via OpenVPN Provider (oder eben deine eigene Maschine) allen Traffic vom Router an den Provider/via deinen Host ins Netz schickt. Dass das wesentlich einfacher via OpenVPN zu handhaben ist, liegt daran, dass das Setup via OpenVPN am Ende dir ein vollständiges Interface + Gateway + Regeltab in pfSense gibt, auf dem du alles nötige konfigurieren kannst bzw. dessen Gateway du eben in Regeln zum policy based routing verwenden kannst. Mit IPSec ist das zumindest meines Wissens nicht so ohne weiteres einfach möglich (weil da das Pseudo Interface fehlt). Ich gestehe aber gern ein, dass ich die Aufgabenstellung via IPSec noch nicht hatte, für sowas (vollverschlüsselten Traffic von A via B versenden) wurde in fast jeder Doku OpenVPN verwendet. Grüße

Merci! Läuft wieder. Bisher hatte ich da noch nie Probleme, die Maschinen laufen schon einige Versionen lange…