So… nach dem Drehen ist die Verbindung jetzt seit 2 Tagen ok... Es erklärt zwar nicht, was da schiefgelaufen ist - aber ist ein möglicher Ansatz zum lösen eines solchen Problems...

Nachteile gibt es, aber wenn sie dir nicht auffallen, wirst du in deinem Setup auch keine finden ;) In großen Umgebungen mit Loadbalancern und Co. kann NAT Reflection richtig mies sein, weil es zu asynchronem Routing führen kann, was dann die entsprechenden Maschinen verwirrt. Aber sollte bei dir nicht der Fall sein.

Nö :) Erstens, weil ich persönlich keine Sophos UTM einsetze und kenne (im Prinzip waren das doch eh nur die alten Astaro Büchsen). Zweitens, weil e-Penis Vergleiche niemandem was bringen und die andere Seite oft aus Fans besteht, die sich eh nicht überzeugen lassen wollen. Sollen sie doch mit der Sophos UTM glücklich werden, ich finde ein Produkt, das "frei für den Hausgebrauch" sein soll, dann aber IP Limitationen mitbringt doch eher suboptimal. Die UTM ist ja nur dann frei für zu Hause, wenn man intern nicht mehr als 50 IP Adressen nutzt. Das wäre bei mir schonmal ein kompletter Reinfall, zumal sich bei Sophos zum Thema v6 noch niemand geäußert hatte, das letzte Mal als ich nachgesehen habe ;) Und 50 IP Adressen bekomme ich durch herumspielen mit Virtualisierung und neuen Geräteklassen wie TV etc. schnell weg. Alleine solche eine Beschränkung einzubauen ist schon amüsant. Mit all den Geräten, die nun alle IP Adressen bekommen (können) und dem Fakt, dass bspw. IPV6 ja grundsätzlich mehrere Adressen nutzt für die Privacy Extension habe ich sehr schmunzeln müssen. Ich habe lieber eine Software, von der ich weiß was sie tut, und die nicht für jeden Schnick und Schnack extra Lizenzkosten etc. verlangt :)

„Reject Leases From“ …gibt es nur bei Typ DHCP. Bei Static gibt es diese Einstellung logischerweise nicht. Warum auch, was sollte denn verworfen werden? Es läuft kein DHCP Prozess. Alias IPv4 addresses Die ganzen Einstellungen gibt es nicht bei statischer Konfiguration. Diese beziehen sich lediglich auf den DHCP Client. Quote:  Sometimes you need an IP alias in addition to a DHCP lease, that's its purpose, it should virtually always be left blank.

Und um das zu ergänzen: 0/0 ist dann natürlich alles bzw. die Default Route :)

Hmm, da würde mir gerade nur einfallen die Logs auf nen Remote Syslog-Server zu schicken (ausgewählte oder alle) und dort dann zu filtern.  :-[

Ja genau das stand ja in dem geposteten Link  ;)

SASL authentication failed; no mechanism available Hi, mit Telnet checken welche AUTH typen unterstützt werden: http://www.postfix.org/SASL_README.html#server_test dann angezeigten mechanism probieren http://www.postfix.org/postconf.5.html#smtp_sasl_mechanism_filter smtp_sasl_mechanism_filter = plain oder smtp_sasl_mechanism_filter = plain, login usw. Gruß

hallo jegr, danke für tipp mit logfiles durchschauen, da hätte ich auch selbst drauf kommen können. musste seltsamerweise trotz aktiver dmz-funktion am router vor dem pfsense auch den openvpn-port extra nochmals port-forwarden, jetzt gehts. liebe grüße ferdinand

Hi, habe bei Microsoft ein Dokument gefunden, welches grob schildert, mit welchen Metriken das OS die Internetkonnektivität zu bestimmen versucht: http://blogs.technet.com/b/networking/archive/2012/12/20/the-network-connection-status-icon.aspx Die Kurzform: DNS-Query für www.msftncsi.com HTTP-GET auf http://www.msftncsi.com/ncsi.txt DNS-Query (A) für dns.msftncsi.com DNS-Query (AAAA) für dns.msftncsi.com Wäre also gut möglich, dass einer der o.g. Punkte bei deinen Windows 7-Clients nicht erfolgreich durchgeführt werden kann. Schau doch mal per nslookup, ob du die DNS-Anfragen manuell durchführen kannst. Gruß

DANKE, werde ich dann teste :-)

Hallo Hab den APU2B4 erfolgreich installiert und ist von 12.30-15.30 Uhr gelaufen. Doch um 15.30 Uhr wieder das gleiche Problem wie beim APU1D4 die LAN-Verbindung ist einfach abgebrochen. Hier mal ein Bild. Wie gesagt der Switch ist neu, das Ethernet-Kabel ebenfalls und die letzten 2 Tage ist alles mit dem Linksys EA6700 wunderbar gelaufen. Ich vermute, dass das Update auf 2.2.6 irgendwie nicht ganz gelaufen ist wie es sollte. Kann man auf 2.2.5 downgraden, oder hat jemand vielleicht einen Tipp an was es liegen könnte? Auf jeden Fall habe ich jetzt den APU2B4 vergebens gekauft. [image: O2m6ASi.png]

Danke für Deine Anteilnahme  ;) Ja, ich. Alle drei genannten erreichen quasi die Maximalgeschwindigkeit an einem 100/40 Anschluss. Der 723V war beim Download ungefähr 5 Mbit langsamer, was aber auch an der Auslastung des Servers gelegen haben kann. Das macht den 723V für mich so interessant. Wo sonst gibts 100/40 für 30 Euro?

Okay, du möchtest, dass RADIUS über die Router arbeitet. Da hast du wohl absolut nichts davon, dass du das Webinterface freigibst. Ich denke nicht, dass du allen deinen Radius Clients erst beibringen möchtest, dass über Port 443 mit dem Server kommunizieren sollen. Klar ist es möglich, dass sich externe Clients am Server anmelden, wenn sie ihn erreichen. Radius arbeitet, soweit ich informiert bin auf den UDP Ports 1812 u. 1813. Diese Port und dieses Protokoll musst du auf der pfSense am WAN per Firewallregel öffnen und ebenso auf der FB zur pfSense durchschleifen. Die WebGUI der pfSense braucht dann gar nicht von außen geöffnet werden. Wäre besser so.

Hallo Michael, du weißt schon, dass du reale routingfähige IP Adressen im internen Netz benutzt, die dir nicht gehören? Und noch dazu Netze, die ggf. wichtig sind oder sein können (192.0.0.0/29)? Ich würde erst einmal meine LAN Netze aufräumen und mit ordentlichen IP Adressbereichen versorgen, die nicht zu irgendwelchen Konflikten führen können. Zitat: "Addresses starting with "192.0.0." are reserved for a variety of different protocols by the IETF, the organization that develops Internet protocols.  The common factor is that these addresses are not used by a single organization but by any network where the specific protocol is implemented." Insbesondere 192.0.0.0/29 wird für DS Lite benutzt, aus solchen Adressblöcken würde ich also tunlichst herausbleiben. Zur eigentlichen Frage: dazu müsstest du eine zusätzliche Phase 2 bei IPSec auf beiden Seiten spezifizieren mit dem entsprechenden Adressbereich, der funktionieren soll. Das könnte auf der FB durchaus schwerer zu realisieren sein, da ich nicht weiß ob deren seltsamer VPN Wizzard mehrere Phasen überhaupt unterstützt oder ob das händisch in die Konfiguration eingebaut werden muss. Grüße

@l4k3k3m4n: Versuch mal das hier: https://doc.pfsense.org/index.php/Why_can%27t_I_query_SNMP%2C_use_syslog%2C_NTP%2C_or_other_services_initiated_by_the_firewall_itself_over_IPsec_VPN%3F Genau das war es gewesen! Nun läuft es :) Danke dir!