Ich weiß nicht ob es noch relevant ist, aber hast du das NO_WAN_EGRESS bei der Floating Rule nicht ein Feld zu hoch eingetragen? Ansonsten mal das hier angucken https://www.infotechwerx.com/blog/Policy-Routing-Certain-Traffic-Through-OpenVPN-Client-Connection Ist eine Anleitung direkt von Derelict.

Danke für die Rückmeldung.

Ein solches Problem liegt meistens an einer BIOS-Einstellung oder eben an einem alten BIOS, aber dass sämtliche Peripherie deaktiviert werden muss? Hätte eher auf eine die Festplatte direkt betreffende Einstellung getippt.
Nun aber, Hauptsache, dass es läuft.

Über Lan ist das Webinterface erreichbar, keine Ahnung, was ich da verbockt habe :(

Ich werde nochmal einen neuen thread erstellen mit einer neuen aktualisierten Grafik.

Danke für die Hilfe!

Hallo JeGr,

dass ein Deaktivieren der Firewall das NAT aufhebt, erklärt das ein oder andere  ;D.

So sieht mein Netz momentan aus:

192.168.1.81 und virtuell 10.49.0.81 (vom Kunden) ping ok
                                                                          |
                                                                      LAN2
                                                                192.168.1.0/24–------(192.168.1.2 default GW für dieses Netz/von mir nicht einsehbar) ---------- VPN ------------Server Kunde A 10.49.0.181(ping nicht ok)
                                                                          |
                                                                          |
                                                (192.168.1.3 und virtual: 10.49.0.84/28)
                                                                          |
                                                                          |
                                                                          |
LAN1 192.168.11.0 /24 --------(192.168.11.110 pfSense 192.168.33.116 WAN)-----
                                                                                                                        |
                                                                                                                        |
                                                                                                                        default GW 192.168.33.1 (router/Fritzbox 1) ----- ISP
                                                                                                                        |
                                                                                                                        |
                                                                                                            192.168.33.0/24
                                                                                                                        |
                                                                                                                        192.168.33.2 (router/Fritzbox 2) ----|        |---- 192.168.179.1 Gastzugang der Fritzbox--------- VPN------ 10.112.116.0/24
                                                                                                                                      |                                                                  |                                                                                      |
                                                                                                                                      |                                                                  |                                                                                      |
                                                                                                                                      |                                                                  |                                                                                      |
                                                                                                                                        ---------------GW 192.168.33.3 router ----------                                                                        Server Kunde B 10.112.116.220

Ich habe eine pfSense mit 3 Schnittstellen:

LAN 1 192.168.11.110  für mein Netz 192.168.11.0/24 LAN 2 192.168.1.3 für ein Kundennetz 192.168.1.0/24
    mit einer virtuellen IP 10.49.0.84 LAN 3 = WAN 192.168.33.116  als Übergang zu einem Kundennetz 192.168.33.0/24

Ich vermute, dass ein großes Problem die Rückrouten sind, da meine pfSense nur für mein LAN 1 das default GW ist.

Nun habe ich zwei Baustellen:
Server Kunde A mit 10.49.0.181 und
Server Kunde B mit 10.112.116.220

Lösungsansatz Kunde A:
Hierfür habe ich den Router des Kunden (192.168.33.3) als GW bei pfSense eingetragen.
Der Router reagiert auf ping von LAN1 aus und der pfSense aus.

Nun möchte ich Zugriff auf den Kundenserver A 10.112.116.220 erhalten.

Dafür habe ich eine Route unter System -> Routes eingetragen.
Network: 10.112.116.0/24
Gateway: 192.168.33.3
Interface: WAN (192.168.33.116)

Da wahrscheinlich derKundenserver A noch die passende Rückroute braucht, wundert es mich nicht, dass ping erfolglos verläuft.

Was mich wundert, ist dass Traceroute als ersten hop die 192.168.33.1 bringt und nicht wie von mir erwartet die 192.168.33.3, wie bei Routes eingetragen.
Auch beim Kunden B, dort erwarte ich als ersten hop die 192.168.2.1 und es erscheint auch hier die 192.168.33.1, also immer mein default GW.
Setze ich die Routen falsch?

Diagnostic -> Routes liefert folgendes Ergebnis:

IPv4 Destination   Gateway         Flags       Use         Mtu     Netif   default           fritz.box         UGS             6292684 1500     em1 10.49.0.0   192.168.1.2         UGS             0                 1500     em2 10.49.0.80/28   link#3         U             6                 1500     em2 10.49.0.84     link#3         UHS              0                 16384  lo0 10.101.0.0     192.168.33.3     UGS             0                 1500     em1 10.112.116.0   192.168.33.3   UGS     63         1500 em1 192.168.1.0     link#3         U             423082 1500 em2 192.168.1.3     link#3         UHS 0 16384 lo0 192.168.11.0     link#1         U 3844608 1500 em0 192.168.33.0     link#2         U 1273765 1500 em1 192.168.33.116     link#2         UHS 0 16384 lo0

Der genannte Regler verändert meines Wissens nur technische Details beim DSL Modem, nicht mit dem Router selbst. Da lassen die sich aber auch nicht in die Karten schauen, deshalb kann man da gar nichts zu sagen. Insofern wäre die Frage eher beim eingesetzten DSL Modem zu suchen als bei der pfSense, da die - außer PPPoE - gar nichts mit der Verbindung zu tun hat (ja von MTU mal abgesehen).

Das hört sich nach einer guten Lösung an, ich werde mich mal dran wagen  :)

Danke für den Tipp!

Hi PiBa,

I really want to thank you again for all your help! It's really awesome how the community helps!

The error was, that I had no rule to allow any wan connection to connect to port 80. I only had that rule for 443 :o OMG so NOOB.
After that everything worked, but I couldn't access the mailserver(domain1) from lan so I had to switch on pure NAT. But suddently pfsense locked out every wan connection :-[.
I reinstalled the whole pfsense set everything like before and BOOOOOOOOOM GAME  8)

Thanks again!
Herb

Vielleicht hilft es, Deinen Provider zu erwähnen oder den Typ des Routers, den er Dir hingestellt hat.

Ähnliches/Gleiches Problem:

Obwohl ich keine Einstellungen verändert habe - funktioniert nach einem "Reboot" nach ca. 48 Stunden nach der IP-Vergabe die Weiterleitung auf die Anmeldemaske des Captiveportals nicht mehr. Hat sich etwas an den Einstellungen seit Version 2.2.4 verändert? ich nutze zurzeit 2.2.6.

Die Anmeldemaske arbeitet auf HTTPS Login mit SSL Certifcate. Wie beschrieben, Nichts geändert seit 2.2.4!

Hast du schon eine Lösung?

Grus hsrtreml

Hi,

das müsste sich mit einem OVPN oder IPSEC Tunnel (bei denen man die Encryption auch ausschalten kann) problemlos machen lassen. Man mappt hierzu einfach via 1:1 NAT die zweite IP vom VPS auf die gewünschte interne Adresse (welche das auch immer sein soll). Dazu noch Regeln erstellen und sollte laufen.

Grüße

Von VoIP mit der FrittenBüchse habe ich keine Ahnung, ich bin raus.  ;-)

Die Lösung ist: dest. addr. auf this firewall umstellen, anstatt auf WAN addr.

Hallo

bin von WRAP.1E-2, ALIX2D3, APU1D4 nun bei APU2B4 mit 30GB SDD gelandet und immer zufrieden gewesen mit den Board von PCengines.

Gruss Macro

Wenn du auf einem Trunk mit 2 VLANs genau zwischen diesen beiden routest hast du trotzdem fast volle Leitungsgeschwindigkeit, da es sich auf RX und TX aufteilt ;)

Aber klar, wenn freie Interfaces vorhanden sind diese natürlich exklusiv für die VLANs verwenden.

Bei 20+ VLANs funktioniert das dann leider nicht mehr so gut 8)

Super!!!

vielen Dank. Funktioniert perfekt.

Schönes Wochenende

Oh man, hatte vergessen unter der optione "allow query" auch die locals auszuwählen und darüber hinaus unten die Pointer-Einträge genau falschrum.

Richtig ist:
Beim Record das ensprechende Oktett der IP (bei 192.168.0.1 währe das für Reverse Lookup Zone 0.168.192 die "1") und beim Alias/IP dann den FQDN.

Nur falls mal wieder jemand an der selben Stelle hängt, ich habs erst gemerkt als ich unten das "Resulting Zone Config File" studiert hatte.  ;D

Aufbrechen musst du die Verbindung immer sonst kannst du nicht rein schauen.
Dafür ist HTTPS ja da das keiner reinschauen kann.

Ein öffentliches Zertifikat kannst du das nicht  nehmen da dies ja immer auf einem Domain geschlüsselst ist. Im Bestenfall vielleicht noch ein Wildcard was dann für *.domain.de gilt mehr aber auch nicht.

Wenn dann müsstest du schon selbst eine öffentliche CA betreiben und das ist eher nicht realistisch ;)

Hier bleibt die fast nur die Verbindungsdaten mit zu loggen. Also nur von welcher IP zu welcher IP mit Datum und Uhrzeit.
Reinschauen geht dann eben nicht. Muss aber auch nicht immer oft reichen die IP Daten.

Kommt noch drauf an wieviele User bzw. wieviele Verbindungen du planst.
Würde aber fast zu einem APU raten. Die Dinger können schon was.
Leider steht bei deinem Angebot nicht dabei auf was PfSense installiert wird.
Wenn du Squid mit cache laufen lassen willst würde ich dafür noch keine kleine mSata empfelen da eine SD Karte sonst schneller kaputt gehen kann.