…oder WAN und DMZ haben tatsächlich den gleichen Netzbereich bekommen, was auch nicht gut wäre.

Dein Problem wird sein, dass das Gateway der entfernten pfSense auf deren WAN Schnittstelle eingetragen ist. Sie hat also kein Gateway, über das sie Dich remote erreichen kann. Lokal in der Broadcast-Domain funktioniert das selbstverständlich, dafür wird kein Gateway benötigt.

Hallo Zusammen Ahh Carp IP sind nicht gleich WAN addresse, wieder was gelernt. Habe jetzt die Regel auf WANnet gestellt und alles funktioniert  :) Danke JeGr Jetzt habe ich einen Failover für die physischen pfsense Firwalls. Wenn mir aber der ISP temporär den Dienst kündigt würde mir das nicht helfen. Daher habe ich jetzt auf der Firewall 1 einen weiteren Port aktiviert. WAN2: 172.16.0.100 / 16 mit dem passenden Gateway. Die DNS wurden auch angepasst 8.8.8.8 = GW1 8.8.4.4 = GW2 Gateway Group erstellt WAN1: Tier 1 WAN2: Tier 2 Trigger Level auf Member Down Die Überlegung auf Member Down ist das es der 2. ISP mir eine sehr kleine Leitung gegeben hat und ich wegen einem fehlenden Paket nicht alles gleich auf den 2. ISP switchen will…daher "Member down" (Notbetrieb) Das sollte mir einen Failover für den ISP geben oder? Habe Test-halber einen ping auf 8.8.8.8 gesetzt und das Kabel von WAN1 gezogen und der Client hat nach einem fehlenden ping wieder fröhlich an weiter gepingt  ;D Gruss DarkMasta edit: Kann es sein das noch zusätzliche Firewall Rules auf diese neue Gateway Group zielen müssen?

@benjsing: Mein normales Netz ist 192.154.13.1 Nein, DAS ist nur eine IP und kein Netz (es fehlt dazu die Netzmaske). Zudem noch eine public IP, das ist so korrekt?

Hi, ich weiß leider auswendig nicht, wo diese CDF Files hingeschrieben werden, würde aber vermuten, dass diese irgendwo unter /var geschrieben werden, was bei einer Nano/CF Installation ja die Ramdisk ist, und somit den Neustart nicht überlebt. Das wäre zumindest mein Gedanke. Müsste man mal suchen, wo die im Betrieb abgelegt werden, und ob man den Ort via Advanced Settings überschreiben kann. Viele Grüße

@bon-go: Was die VPNs angeht, stimme ich teils zu. Schneller aufbauen o.ä. sehe ich da zwar nicht (das hängt immer an der Konfiguration), aber der Durchsatz, wenn du volle Leistung von synchron 100MBit/s oder 1Gbit/s brauchen würdest, wäre sehr wahrscheinlich schneller, dank AES-GCM. Da sich hier aber auch auf OpenSSL/-VPN Seite einiges tut, sehe ich das zukünftig eher auf Augenhöhe. Was "Einfachheit" der Konfiguration angeht, sehe ich allerdings OpenVPN eher vorne. Gerade wenn man nicht nur Clients anbindet (was meistens einfacher ist), sondern ganze Netze und nicht beide Endpunkte kontrolliert (Gerät der Gegenseite != pfSense) kann das echt fies werden mit IPSec. Hatte deshalb viel auf Konferenzen oder Versammlungen bei Netzwerk oder auch IPv6 Vorträgen gehört, die lieber OpenVPN nutzen als IPSec, auch weil dann Dinge wie Policy Based Routing einfacher zu realisieren sind. :)

dies…. [image: Aufnahme10.jpg] [image: Aufnahme10.jpg_thumb] [image: Aufnahme11.jpg] [image: Aufnahme11.jpg_thumb]

Ja, genau das fehlte offensichtlich - vielen herzlichen Dank! Zuordnung nun: *** Welcome to pfSense 2.2.5-RELEASE-pfSense (amd64) on pfsense *** WAN (wan)      -> pppoe0    -> v4/PPPoE: <xxx>/32 VPN (lan)      -> ovpns2    -> v4: 172.16.17.1/32 VLAN13 (opt1)  -> lagg0_vlan13 -> v4: 172.16.13.1/24 VLAN11 (opt2)  -> lagg0_vlan11 -> v4: 172.16.11.1/24 VLAN12 (opt3)  -> lagg0_vlan12 -> v4: 172.16.12.1/24 VLAN14 (opt4)  -> lagg0_vlan14 -> v4: 172.16.14.1/24 VLAN10 (opt5)  -> lagg0_vlan10 -> v4: 172.16.10.1/24 VLAN16 (opt6)  -> lagg0_vlan16 -> v4: 172.16.16.1/24 VLAN15 (opt7)  -> lagg0_vlan15 -> v4: 172.16.15.1/24 VLAN18 (opt8)  -> lagg0_vlan18 -> v4: 172.16.18.1/24 VLAN19 (opt9)  -> lagg0_vlan19 -> v4: 172.16.19.1/24 VLAN20 (opt10)  -> lagg0_vlan20 -> v4: 172.16.20.1/24 VLAN21 (opt11)  -> lagg0_vlan21 -> v4: 172.16.21.1/24 PIAVPN (opt12)  -> ovpnc4    -> v4: 10.101.0.34/32</xxx>

@BlueKobold: Wenn hier explizit nach einem Dienstleister gefragt wird, weil es eben jemand NICHT selbst machen will, dann ist das für mein Empfinden völlig in Ordnung. Und er hat ja durchaus einige Angebote bzw. Nachfragen bekommen, sich allerdings bis dato nirgends gemeldet (zumindest hier im Forum o.ä.). Ruhig Blut.

Und Strom.. meine Güte, wer zahlt den nicht selbst? Soll ich jetzt wirklich rechnen was mein 25W Homeserver der 24/7 läuft gegen deine APU mit 7W + bei Bedarf xW Homeserver kostet? Warum gleich so aufgeregt? Ich habe mehrfach gesagt, das ich meine Meinung die ich niemand aufzwinge und nur zur Diskussion bzw. Erinnerung darlege. Und meine beiden kleinen XeonE3 Mini-ITX Kisten für VM Spielchen ziehen laut meinem Messgerät mehr als 25W. Da ist mir meine Box (keine APU) mit ihren 6W im Stromverbrauch aber um einiges lieber als einen (oder beide) Kisten ständig laufen zu haben. Ist doch schön wenns bei dir anders ist. Das zeigt aber doch nur, dass man eben nicht generalisieren sollte. Und deshalb warf ich Downtime, Verfügbarkeit, Stromverbrauch und Lautstärke mit ein. Mag ja sein dass das benjsing nicht schlimm findet. Jemand anders vielleicht schon, der den Thread liest. :)

Hallo, super genau das habe ich gesucht, also die Info, kaum habe ich die Portweiterleitung auf pfSense eingerichtet, schon kam ich auf den Server. Vielen Dank für die Unterstützung! Viele Grüße

Doch die Fritz!Box hat auch Wlan (Ich nutze es für meine eigenen Geräte). Aber für unsere Feriengäste ist die Pfsense mit dem CaptivePortal einfach Spitze.

Als weit besser und effektiver als Squid / Squidguard funktioniert bei mir das Packet pfBlockerNG um Werbung zu blocken. Habe alles nach dieser Anleitung gemacht: https://forum.pfsense.org/index.php?topic=102470.msg572943#msg572943 Seither habe ich sogar im Firefox das AdBlockerPlus Plugin deaktivieren können  :)

@jahonix: …und wie willst Du das unveränderbar loggen, so dass sich daraus eine Beweislast ergeben kann? Mist, ich habe den alten Nadeldrucker für Endlospapier gerade entsorgt. Der hatte, bis vor einigen Jahren, die Aufgabe Logs unserer BMA auszudrucken  ;) -teddy

Danke! Mit dem Cronjob klappt das wunderbar. Ich lasse die FB jetzt erst einmal als Modem im Einsatz. Mittelfristig wird sie dann gegen ein Vigor ausgetauscht werden :)

Das ist ein BIOS/Treiber Problem - leider seit ewiger Zeit nicht gefixt… Mir fehl dazu leider der nötige "Background".... Siehe auch: http://www.pcengines.info/forums/?page=t&fid=DF5ACB70-99C4-4C61-AFA6-4C0E0DB05B2A&cachecommand=bypass&pageindex=2 Gruß Thomas

@JeGr: WAN Port ein Forwarding auf localhost+port Hatte ich so auch versucht war bei mir das Selbe. UDP ging nicht TCP schon. Das mit Any ist einfach reine Faulheit ;) gebe ich gerne zu. Aber nach ewig rumprobieren hatte ich dann einfach keine Lust mehr.

Wenn's günstig und klein bleiben soll: Gigabyte J1900n-D3V (immerhin 2 GBit LAN Ports), bis zu 8 GB RAM (leider kein ECC), Chieftec IX-03B mit Netzteil, eine kleine 250er Samsung SSD und noch eine 2,5" Platte runden das ganze ab. Proxmox auf der Hardware installieren und die 2. NIC explizit und ausschließlich der pfSense als WAN Port zuweisen. Die 1. NIC ist proxmox und int. LAN (pfSense und weitere VM mit der NAS Software). Wenn's mehr und besser sein soll dann ein etwas größeres Gehäuse, ein Supermicro Mainboard mit Celeron/Atom, mehr NICs und ECC RAM.

Ist es möglich die PFSense als VM laufen zu lassen, und diese mit ein O2 Router zu Konfigurieren? Oder brauche ich ein Normales v-dsl Modem? Oder benötige ich ein Festen PC mit 2 LAN Netzwerkkarten?! Du kannst die PfSense als VM laufen lassen. Die PfSense kann hinter einem anderen Router arbeiten. Schöner ist natürlich immer wenn die PfSense direkt die Einwahl macht ist aber kein muss. Und kann ich die WLAN Karte benutzen sowie die LAN Karte des Notebooks für WAN UND LAN der PFSense? Oder benötige ich ein Festen PC mit 2 LAN Netzwerkkarten?! Für was willst du die WLAN Karte nutzen? Wenn die Access Point spielen soll dann muss die Hardware das unterstützen das kann nicht jede. Wenn deine Hardware VLAN's kann und du einen Switch mit VLAN's hast dann brauchst du nicht unbedingt zwei Netzwerkkarten. Ansonsten brauchst du zwei damit du die Netze trennen kannst.

Guten Morgen, danke für den Hinweis. Ich dachte immer die Provider Nameserver sind i.O. Mit den Google Nameservern (8.8.8.8 und 8.8.4.4) klappt es scheinbar nun. Allerdings scheint der Cronjob nicht zu laufen. Die Anzeige im Dashboard bleibt nach wie vor rot. Zudem habe ich noch ein Problem. Meine Fritte wählt sich in der Regel gegen 2-3 Uhr neu ein. Die pfSense macht das DynDNS Update aber gegen 1. Kann man das irgendwie verspäten? Und, wie kann ich sehen, ob der Cronjob richtig arbeitet? Gibts da Logfiles?