Bei den WAN Interfaces muss natürlich ein Gateway rein. Bei PPPoE wird das automisch eingetragen, bei der Verbindung, weil es ja dynamisch ist. Bei WAN1 weiß ich nicht, wie dir das zur Verfügung gestellt wird, aber bei normalem IP Gedöns, entweder per DHCP (dann bekommst du das Gateway wieder automatisch) oder du hast ne statische IP dann müsste dir auch ein GW mitgeteilt werden :) Ansonsten sieht es auf den ersten Blick richtig aus.

@windoofer: …aber es gibt aber mal wieder ein Problem ich sehe sie nicht aber eigentlich müsste ich das... Timm, die Benutzerverwaltung ist NUR dafür da um zu bestimmen, wer auf welche Konfig-Seite in der GUI von pfSense darf. Das hat NIX mit Surfrechten zu tun! Die kannst Du auf diese Weise NICHT kontrollieren. Das einzige was Du machen könntest ist, eine Benutzerauthentifizierung für das Captive Portal über LDAP/Radius zu machen. Damit kannst Du aber lediglich bestimmen wer durch Deine pfSense nach draußen darf und sonst nichts weiter.

Nope, Problem solved.  Vielen Dank für den Denkanstoß. Hab ich anscheinend gebraucht :D

Hallo sysfrank, ich denke da hast du vielleicht auch schon falsch angefangen. Ich würde bspw. beim Grundsetup immer das Interface initial zum "LAN" machen, über welches ich auch die pfSense managen möchte. Grund ist, dass das LAN die default allow Regel fürs Management der pfSense erhält. Alles andere ist dann recht leicht dazu zu konfigurieren. Ergo würde ich dein WAN als rl1 und dein LAN als rl0 konfigurieren und dann rl2 (vermute ich?) also OPT1 hinzufügen, zu GAST umbenennen und entsprechend konfigurieren (Captive Portal) etc. Damit solltest du einfacher starten können als so :) Grüße

Danke für eure Mühe! 8) Ich habe fertig. Meine Konfiguration sieht jetzt so aus, dass Squid läuft, aber nicht im "Transparent Mode". Er ist "normal" konfiguriert so, dass er auf Port 3128 horcht. Nun habe ich noch den Webserver von der PFsense genutzt (nginx) um WPAD zu machen. Was soll ich sagen, es läuft! ;D Beste Grüße Kalle

Hallo an alle ich hab das Problem gelöst zum einen ich hab dem LAN eine feste IP zugewiesen zum anderen ich hab das Modem ausgeschaltet und die pfsense dann hab ich das Modem eingeschaltet und dann die pfsense jetzt funktioniert es danke Sebastian MfG Timm

@renegade: …das nicht funktionierende ip zuweisen durch den vigor dhcp... Ich würde nicht davon ausgehen, dass das Gerät im Bridge-Modus überhaupt DHCP macht. In dem Fall braucht das da kein Mensch mehr.

Am besten deine pfSense Box in deinem O² Router eine feste IP vergeben und in die DMZ setzen (Falls möglich). Dann kannst du über deine O² Router noch telefonieren und die Firewall, Portforwarding etc ausschließlich mit pfSense betreiben. Habe ich hier schon so seit einiger Zeit mit meinem Modemrouter von Unitymedia laufen (Auch deshalb weil ich nur darüber telefonieren kann). Funktioniert soweit tadellos…

So, tut jetzt! Aufnahmen werden vom Programm Manager übertragen. :) Es lag wohl an meiner igmpproxy Konfiguration. Für die Konfig gibt es scheinbar zwei Dinge, die man grundsätzlich beachten muss: Die Netze, die auf VLAN8 per DHCP propagiert werden Das Netz 193.158.34.0/23[br/](/23 weil mittlerweile Adressen sowohl in 193.158.34.0/24 als auch in 193.158.35.0/24) kontaktiert werden Siehe auch https://forum.pfsense.org/index.php?topic=72200.msg400646#msg400646 Der DHCP Client auf VLAN8 liefert bei mir so etwas (möglicherweise regional unterschiedlich): Mar 20 20:05:07 pfSense dhclient: New Classless Static Routes (bge0_vlan8):  193.158.132.189/32 10.37.255.254 87.141.128.0/17 10.37.255.254 217.237.157.0/24 10.37.255.254 217.237.158.0/24 10.37.255.254 217.239.36.0/24 10.37.255.254 Damit ergibt sich für mein Netz folgende igmpproxy.conf: ##------------------------------------------------------ ## Enable Quickleave mode (Sends Leave instantly) ##------------------------------------------------------ quickleave # upstream / Telekom Netze phyint bge0_vlan8 upstream ratelimit 0 threshold 1 altnet 193.158.132.189/32 altnet 87.141.128.0/17 altnet 217.237.157.0/24 altnet 217.237.158.0/24 altnet 217.239.36.0/24 altnet 193.158.34.0/23 # downstream / eigene Netze phyint igb2 downstream ratelimit 0 threshold 1 altnet 192.168.11.0/24 # Receiver net phyint igb0 downstream ratelimit 0 threshold 1 altnet 10.0.15.0/24 # net for VLC player phyint pppoe0 disabled phyint igb1 disabled phyint igb3 disabled phyint bge0 disabled phyint bridge0 disabled

Da liegt der Hase im Pfeffer… Ich kann die Firewall nicht deaktivieren. Das Menü unter der Beta sieht doch deutlich anders aus. Da muss ich wohl ein Downgrade vornehmen. Vielen Dank für die Info und Screenshot. Edit: Hab doch bemerkt, dass es den von Euch beschriebenen Modus in der Combobox gibt. Ich hatte immer den neueren ShortCut gewählt gehabt (Internet über vorhandenes LAN), der nicht so flexibel ist. Nun lüppt es :) Danke nochmal an Euch! [image: fritz1.JPG] [image: fritz1.JPG_thumb] [image: fritz2.JPG] [image: fritz2.JPG_thumb]

Ich würde es eher nicht empfehlen, da selbst der aktuelle Draft noch auf 2.1(?) basiert und das Buch selbst noch auf Stand 2.0/Anfang 2.1 steht. Gerade was die Themen VPN, HA, CARP und Co angeht ist das etwas überholte Information.

Ein Ping auf "hostxyz.domain" funktioniert nun. Sehr fein :) Also nur ping "hostxyz" ohne die Angabe der Domain. Das ist eigentlich nichts IPSEC-spezifisches, sondern DNS/DHCP. Wenn du als DNS Domain bspw. domain.local auf den Clients konfiguriert hast bzw. per DHCP pushst, dann wird ein call auf hostxyz erst mit hostxyz und dann mit hostxyz.domain.local versucht werden. Zusätzlich kann man das im DNS Forwarder / Resolver normalerweise noch konfigurieren, was mit "nur Hostname empfangen" gemacht wird bzw. ob er es selbst versucht aus der DHCP Liste o.ä. aufzulösen.

@Teddie So sieht das im Prinzip hier auch aus, Erziehung, aber mit klarer Grenzziehung. Und der WLAN Zugang hängt an einer Funksteckdose, die schalte ich ggf. einfach ab, wenn kein Internet für die Hausaufgaben gebraucht wird. @Tee Eigentlich einfach: Hast du die default allow any/any  Regel im LAN? Dann kannst du die einfach mit einem Schedule versehen, fertig. Komplizierter ist es, wenn du eine BLOCK rule mit einem Schedule versehen willst, dann solltes du zusätzlich mit Cron eine Minute nach dem Block alle States killen, um wirklich für Ruhe im Netz zu sorgen. Sonst kann die Party die ganze Nacht weitergehen… :-D Ich habe diese BLOCK rules für verschiedene Nutzergruppen mit verschiedenen Nutzungszeiten und auch schon deshalb, weil ich keine allow any/any Regel habe, sondern generell nur sehr eingeschränkt Dienste (Ports) von LAN her freischalte, ggf auch nur für einzelne IPs. Kompliziert ist es nicht wirklich, wenn du dich mal mit der pfsense angefreundet hast.

@2chemlud: Mach mal den "prefer to use IPv4 even if  IPv6 is available" Haken raus Tatsächlich habe ich den heute in der früh nach dem erneuten Disconnect erst hinzugefügt.. Ich würde da gerne erst mal die Resultate beobachten.

Vielen Dank :) Werde ich heute mal probieren :)