Während des Betriebs kann ich es dir nicht sagen, aber z.B. beim Reboot springts.

Gruss
FloSense

Sorry, ich habe die Bilder mal nur verlinkt, ich konnte kaum mehr das Forum erkennen vor lauter Bild ;)
Bilder bitte entweder kleiner anhängen an den Beitrag (dann werden die automatisch klein) oder einfach nur verlinken wenns nicht kleiner geht.

Danke!

Zudem steht das 2.3 Beta(!) Forum jedem offen, wo auch über die neue UI berichtet wird. Screenshots wurde zudem schon im August im Blog gepostet ;)
https://blog.pfsense.org/?p=1837

Es freut mich allerdings, dass dir die UI ebenso wie mir gefällt :) Erwähnenswert ist vielleicht, dass wir nun seit ein paar Tagen die Alpha bereits verlassen haben und in die Beta eingetreten sind. Dabei ist u.a. nun auch lighty (lighttpd) durch nginx ersetzt worden, was den Prozess etwas verzögert hatte.

Grüße

Und mit wie RAM komm ich klar?
Also:
-OpenVPN Client
-Snort
-HAVP
-Squid + Squidguard (+ caching)
-LCDProc
-pfBlockerng
und noch 1-2 weitere

@flo Trotzdem Danke für den Versuch…..

Mir ist da noch ein anderer Ansatz untergekommen: Was wäre denn, die pfsense zu einem wirklichen mcast ROUTER aufzubohren? Hat jemand Erfahrungen mit mrouted?

Schliesslich

basiert der code vom igmpproxy in Teilen darauf

gehört das zum Standard Umfang von freebsd (ist aber bei pfsense nicht dabei)

Hat jemand Erfahrung damit?

Br br

@steve_darcy:

Was meinst du mit ich solle alles über ovpn laufen lassen?

Das wäre nur für den Test gemeint. Wenn alles über die VPN läuft, weiß der Zielserver nichts von deiner tatsächlichen IP.

@steve_darcy:

Weil das Problem hatte ich auch schon bei anderen Seiten also nicht nur bei Ip-check info.

Ist es denn ein Problem?

@steve_darcy:

Wenn du sagst das bestimmte Teile der Seite über den Tunnel laufen wäre die einzige Möglichkeit immer den Tunnel zu schließen wenn ich meine Originale IP brauche?

Nein, du brauchst nur alles, was die Zielseite aufruft und in deinen Browser lädt, über den gleichen Weg zu schicken, also über die VPN oder eben nicht.
Verwende Analysewerkzeuge um herauszufinden, was aufgerufen wird.
Im Firefox kannst du dir bspw. über rechte Maustaste > Seiteninformationen > Medien die URLs von Grafiken und sonstigen Medien anzeigen lassen. Oder du suchst den Seiten- oder Framequelltext nach weiteren http(s)-Aufrufen durch.
Auf ip-check.info sehe ich da bspw. noch shop.anonymous-proxy-servers.net. Diese URLs über den gleichen Kanal aufzurufen reicht vermutlich um das "Problem" zu beheben.

Mit DNS hat das übrigen gar nichts zu tun. Der Zielhost hat keine Ahnung, welches DNS du verwendest und steht mit diesem nicht in Verbindung.
Und der Browser schickt da auch nichts mit. Er führt lediglich die Befehle der Zielseite aus, die Aufrufe der diversen Objekte eben auch von verschiedenen Hosts.

Wenn die Verbindung aufgebaut wird ist das ja schon mal soweit i.O.
Aber du musst eben noch einstellen dass sie auch genutzt wird.

Dazu erstellt du zunächst ein VPN Interface (Interfaces - assign - ovpnc(x)), bennenst es entsprechend und aktivierst es.

Jetzt solltest du auch ein neues Gateway für die Verbindung haben (unter System - Routing).

Als nächstes stellst du in den gewünschten Firewallregeln dieses Gateway ein.
Also z.B. deine LAN allow any Regel bearbeiten und dort unter Gateway das VPN-Gateway angeben.
(Achtung: wenn du auch intern über mehrere Interfaces routest brauchst du jetzt davor eine Regel für die entsprechenden Netze)

Als letztes noch NAT kontrollieren: unter Outbound für dein VPN interface NAT für Source: "dein LAN" aktivieren.

Nun sollte dein Traffic über den VPN laufen.

@Bluekobold: Mag schon stimmen, ich bin allerdings im Heimumfeld pragmatisch. Man kann da viel spielen wollen, schlußendlich wirds meist doch weniger ;)
Aber jedem wie er möchte, da habe ich keine Anteile dran. Aber diese immer wieder empfholenen Jetway Celeron Kisten haben eben trotz allem (mehr GHz, mehr Kerne) kein AES oder Quickassist. Und mit einem Atom C2358 oder 2558 ist man in einem recht ähnlichen Preissegment und hat dabei nicht nur annähernd gleiche Taktung und Kernzahl (wenns da unbedingt drauf ankommt), sondern auch noch ordentliche CPU Entlastung sobalds um Verschlüsselung geht. Und wenn ein full scale IDS wirklich von Interesse ist, dann sollte derjenige auch VPN/IPSEC nicht außer Acht lassen und dafür sind IMHO diese Celerons nur bedingt geeignet.

Just my 2c

Hatte das so verstanden, dass be1001 mehrere (pfSense) APs darüber managen will.
Microtik in pfSense einzubinden ist schon aufgrund der unterschiedlichen Plattformen (Linux und FreeBSD) weniger als unwahrscheinlich.

@musk Prinzipiell ist das keine blöde Idee, entsprechend komplexe Begriffe vllt. nochmal kurz auf deutsch zu erklären. Aber bitte nicht erwarten, dass das hier Übersetzungs-Ausmaße bekommt, denn dann bekommst du ein ganz anderes Problem: die meisten Netzwerker Begriffe sind nunmal englisch und werden somit immer gleich heißen. Was dann aber passiert, wenn jemand anfängt zu übersetzen oder sonst welchen Kram zu machen, sieht man dann in den WebGUIs diverser Hersteller, wenn Begriffe wie DMZ von demilitarisierter Zone über stillgelegter Bereich bis hin zu exponiertes Netz alles heißen können. :/

Hi Sven :)

Ich meinte Hetzner fragen, ob Sie ein Subnetz aus dem /64 Netz auf die pfSense routen können, also z.b. /72.

Das wäre kontraproduktiv (leider), da die meisten v6 Features ja auf einem /64er aufbauen, weshalb wir von der RIPE ja auch explizit gesagt bekamen (beim Hosting bspw.) dass dem Kunden mind. ein /60 angedacht werden sollte, damit er ggf. intern wieder sauber ein /64 nutzen kann, selbst wenn wir es ihm am Anfang nicht direkt zuweisen. Warum sich Hetzner nicht an diese Vergaberichtlinien oder "best practices" hält, ist mir leider immer noch schleierhaft, auch wenn ich erst vor 3 Wochen noch persönlich bei den Jungs vor Ort in Nürnberg war. Aber leider können die Kollegen aus dem Netzwerk Team dort auch nur das machen, was sie vorgegeben bekommen :/

Klar wäre es einen Versuch wert, allerdings wird das dann vom Setup her ziemlich bastelig, da sämtliche autodiscovery dann wegfällt. Und viel Erfolgswahrscheinlichkeit sehe ich leider auch nicht :/

Viele Grüße
Jens

SOLVED:
To solve the issue it is necessary to understand the SIP/RTP principles and how to config fritzbox by config files.

For everyone having SIP problems:
All ports being used are defined by the client - in my case the fitzbox which sits behind pfsense. It is no problem at all to use multiple SIP accounts / providers on the fritzbox, even behind pfsense. The main difference to most NATed apps like http or mail is that the connection details are included in the data layer which are not touched by pfsense. Since the IP numbers send to the SIP servers are internal ones not accessable from outside, the SIP server takes IP and port from the initial request (coming from pfsense). It is important to understand that pfsense is changing the ports on outgoing NAT by default. BUT: this port has no route back / SIP NAT is configured on port 5060!
So it is very important to deactivate port translation on outgoing NAT by defining a new outgoing NAT roule:
–> Firewall: NAT: Outbound
check: "Hybrid Outbound NAT rule generation (Automatic Outbound NAT + rules below)"
create roule:

Interface: WAN
Source: any
Source Port: tcp/udp/5060
Destination: *
Destination Port: tcp/udp/5060
NAT Address: WAN address
NAT Port: *
Static Port: YES

second issue was: The O2 fritzbox had non default RTP ports defined (50000 instead of 7078) but when switching vom internal DSL modem to PPPoE the fritzbox used firewall rules based on default port 7078. So I switched RTP port back to default by backup / restore of the fritzbox config:

now everything works as expected

Meine Idee wäre mal die Dev-Version von LCDProc zu installieren.
Sry aber ich hab auch eine Frage an dich:
Wie funktionieren diese crystalfonz-displays? Wie verbindet man die mit pfSense?
Noch nie davon gehört.

MfG Musk ;)

Ich kann dir nicht sagen, welche Optionen dein Kabelrouter genau hat.

Wichtig ist, dass alle eingehenden Verbindungen an die pfsense geleitet werden.
Ob das jetzt DMZ host, exposed host oder wie auch immer heißt.
Oder du leitest die nötigen Ports einzeln um. Zusätzlich ist das nicht nötig.

Gruß

Zu früh gefreud.

Leider ist das Problem doch nicht mit dem Wechsel der Netzwerkkarte behoben.

Es dauert zwar in der Regel länger aber es passiert weiterhin.
Das Problem konnte ich aber weiter eingrenzen. In dem Moment, wo ich nicht mehr die volle Performance der Leitung nutzen kann, sind auch die Gateway Antwortzeiten (Apinger) utopisch gering (ca 2-4 ms). Sobald ich den Apinger durchstarte, kann ich die Leitung wieder voll nutzen.

Ich weiß zwar nicht, warum das anderen Leuten nicht so auffällt, aber mir ist Apinger ein Dorn im Auge.
Der Dienst funktioniert vorne und hinten nicht zuverlässig. Sobald man keine 100% stabile Leitung hat, zickt dieser Dienst nur rum und gerade im Multiwan Umfeld bereitet mir dieser Sch**ß volle Postfächer und graue Haare.

Ich hoffe, dass DPinger unter 2.3 besser wird.

Gruß
Rubinho

@givayt:

Irgendeine Idee, was das Problem sein könnte?

Nicht ohne weitere Informationen. Du schreibst ja null komma nichts über Dein Setup …

Danke für die Info. Diese Regel war nur für ICMP gedacht und wurde testweise umgestellt, habs grade wieder umgestellt.

Da du leider nicht schreibst was du eigentlich vor hast und der Rest dazu noch etwas schwer zu verstehen ist, wäre es sinnvoll, wenn du erst einmal klarstellen könntest, was genau du erreichen möchtest und was du zur Verfügung hast. Irgendwelche Namen in den Raum zu kugeln, hilft da leider beim Hellsehen nicht viel weiter ;)