Hi jama,

das war's, super, vielen Dank!!!

klar, und ich werde den Teufel tun um dich davon abzuhalten  ;D, es macht ja auch Sinn erstmal zu verwurschten was man hat, habe ich auch oft genug gemacht.

hmmm… ich hoffe das war jetzt nicht ironisch gemeint :)

Check doch mal ob Dein NAS LACP tagged mit 2 VLan unterstützt, dann hättest Du kein Problem, aber ich glaube eher nicht.

Hm also ich hab jetzt sowohl das internet als auch die Bedienungsanleitungen durchforstet, aber ich denke, dass nach dem was du fragst, mein NAS nicht kann…Die einzige Einstellungsmöglchkeit die ich diesbezüglich habe siehst du oben... (gut anscheinend kann das NAS noch einen DHCP für entsprechenden Port aufsetzen, aber das ist ja mal gerade ganz schnurz)
Wie gesagt, ich poche jetzt mal nicht darauf das LACP am Leben zu erhalten. im schlimmsten fall kommt halt ein NIC in VLAN 1, der andere in VLAN 2 und das LACP wird aufgelöst...

Ich habe in dem Netzwerk das ich aufbauen will 20 User mit Smartphones. Ich denke die Zertifikatsgeschichte sollte lösbar sein..

Versuch doch einfach eine Benutzerauthentifizierung am Squid und dann trage das per Benutzer (User)
ein was da gefiltert werden soll.

Gibt es von dem VPN Provider keine Anleitung, wie das einzurichten ist?

Hier gibt es eine allgemeine Anleitung: https://forum.pfsense.org/index.php?topic=76015.0
Das sind eine Menge Schritte und du lässt uns nicht wissen, was du schon davon gemacht hast.

Wenn nur das tatsächliche Routing nun das Problem ist, das bewerkstelligst du mit den Firewall Regeln.
Standardmäßig hat pfSense eine Regel am LAN, die vom LAN net nach überall alles erlaubt. Wenn du diese Regel noch so hast, musst du sie nun anpassen, dass sie nur auf eines der Netze wirkt, also Source=192.168.2.0/24, dann musst du runter gehen zu den "Advanced features", bei Gateway ein Klick auf Advanced und hier das entsprechende Gateway auswählen und speichern. Mit einem Klick auf das "+" in der Liste rechts dieser Regel kannst du dann die Regel kopieren und für die andern Clients anpassen.

Aber das ganze setzt voraus, dass du bereits ein Interface für den OVPN Client angelegt hast und das Outbound NAT eingerichtet hast.

Gerade nochmal alles getestet :-)
Sieht gut aus.:-)

VIELEN VIELEN DANK:-)

Ein RaspberryPi als Loghost mit einem USB-Stick denn Du im Notfall einfach abziehen kannst? Neuen Stick stecken, Kiste neu starten Log läuft wieder? Die Daten sind ja im Log vom DHCP Server oder wie kommen die Leute an eine IP?

-teddy

Moin,

@peterhart:

oder im Bereich "Domain Overrides" die Domäne auf eine ungültige IP verweisen lassen (0.0.0.0 geht hier nicht).

Ich trage dort keine IP sondern einfach "!" in das Feld IP address ein, Zitat:" … Or enter ! for lookups for this host/subdomain to NOT be forwarded anywhere….

-teddy

schau mal hier
http://www.time-for-kids.de/produkte/schulfilter/integrationsszenarien.html

Szenario 7: Schulfilter Plus auf einem zentralen Proxyserver
Um einen zentralen Squid Proxy Server einzusetzen, muss die Installation und Grundkonfiguration 4 durchgeführt werden.

Ich habe mich mit dem Thema noch wenig auseinander gesetzt aber wenn ihr Squid einsetzt müssen die Filter ja nicht für PfSense sein sondern für Squid oder?
Vielleicht hilft die der Link da oben ja schon

Moin,

so PC am Modem anschließen ,Netzwerk konfigurieren, pc = 192.168.1.5
per http://http://192.168.1.1 auf das Modem zugreifen, Login User: admin Passwort: 1234
Unten mittig ist ein Button Network Setting, der klappt bei Mauskontakt auf, Menupunkt "Home Networking" auswählen.

Dann kannst Du unter LAN IP Setup / IPv4 Address eine IP Adresse die zum Lan Deiner pfSense passt und auch gleich DHCP abschalten weil das macht pfSense. Beispiel LAN IP pfSense 192.168.13.1 dann das Zyxel auf 192.168.13.2 setzen, vorab prüfen und ggf. einstellen: Die IP Adresse darf natürlich nicht anderweitig in Deinem Netz vergeben sein und darf nicht mit dem Bereich des DHCP-Servers von pfSense überlappen!
Beim Klick auf Apply wirst Du die Verbindung zum Zyxel verlieren, jetzt kannst Du den PC wieder für Dein Heimnetz konfigurieren.
Dann kannst Du ein Kabel vom Zyxel zum Lan Switch stecken und kannst aus dem LAN darauf zugreifen. Wenn Zugriff auf das Interface des DSL Modem nicht mehr gewünscht einfach dieses Kabel entfernen.

-teddy

-teddy

Hast du dazu auch mal ins PPP Log geschaut?

Wofür brauchst du denn bitte extra Hardware für eine VM? Wenn du auf deinem Laptop eine Virtualbox oder VMWare Workstation nutzt ist das überhaupt kein Problem. Und als Gold Member bekommst du Zugriff auf das VMware Image kostenlos, das schon entsprechend vorkonfiguriert ist.

@magicteddy:

sorry, nein. Ich habe auf allen 3 Installationen nur Squid im Einsatz.

Squid und bei den ACL Blacklist einfügen oder mit dem Guard zusammen? Der Guard scheint ein wenig komfortabler zu sein, nur leider stürzt dieser immer beim Starten ab.

Hallo,

habe den Fehler mittlerweile entdeckt, es lag an SARG das mein Filesystem füllte.

Danke für die Hilfe! ;)

Eine Einschränkung ist bspw., dass die Backup-Box so nicht mehr von außen erreichbar ist, hat ja auch keine IP. Es gibt aber noch weitere, aber, so weit ich mich erinnere, verkraftbare Einschränkungen.

Wie gesagt, ich kann dich bezüglich CARP IP außerhalb des Interfaces Subnetzes leider nicht mit Erfahrung unterstützen.

Aber dass die Subnetzte der CARP IP und der Interface IP dieselbe Größe haben müssen, kann ich mir auch nicht vorstellen. Ergibt ja keinen Sinn.
Ich denke, die beiden Interfaces, die du zusammenschaltest, müssen natürlich in einem gemeinsamen Subnetz sein, in dem eben beide Platz haben (min. /31) und ein Datenaustausch zwischen den beiden muss möglich sein, bspw. über Switch.
Die CARP IP darf dann irgendwas ganz anderes sein, anderes Subnetz und auch andere Größe.
Die WAN Interfaces der beiden Boxen bekommen die neue IP im privaten Bereich und die bisherige WAN-IP wird dann die CARP-VIP.

Im Outbound NAT musst du auf manuell umstellen und die Regeln einfach anpassen. Per Default erstellt pfSense die Outbound NAT Regel automatisch auf die Interface-IP, und die ist ja nun eine andere. Daher musst du sie anpassen und bei Translation deine öffentliche IP eintragen.
Das WAN Gateway bleibt unverändert.

Natürlich musst du die Umstellungen auf CARP auch für deine internen IPs machen. Hier sollte aber die Interface IP im selben Subnetz sein, ansonsten in gleicher Weise. Also die bisherige Interface IP wird die CARP-VIP, denn die verwenden ja vermutlich die Hosts als Gateway, die Interfaces bekommen eine andere IP.

Grüße

Auch wenn es jetzt ein wenig Nestbeschmutzung ist, ist eine kleiner Mikrotik Router nicht die günstigere & sinnvollere Wahl?
Sowas wie der hier: http://varia-store.com/Wireless-Systeme/Fuer-den-Innenbereich/MikroTik-RouterBoard-RB941-2nD-hAP-Lite-mit-650MHz-CPU-32MB::3594.html
Geringerer Anschaffungswiderstand und Unterhaltskosten.

-teddy

Moin

Greife meinen eigenen Thread nochmal auf.

Hab zwei APUs mit aktueller pfsense als site to site VPN in Verwendung. Die Objekte sind Schulen und haben eine eigene Intrastuktur, auf die ich wenig Einfluss habe, ausser Portweiterleitungen anlegen zu lassen.
Die Daten wie WAN IP und Gateway sowie DNS habe ich statisch eingetragen. Ping ins Internet zu 8.8.8.8 läuft auch alles. Aber DNS macht Probleme. Auf der PFsense klappt die DNS Abfrage. Auf den Clients nicht. Obwohl per DHCP den Clients das Gateway bzw. DNS mitgeteilt wird (die LAN IP). Hab dann mal testweise statt den default Resolver den Forwarder aktiviert. Damit läuft es sofort.

An anderen Anschlüssen mit Fritzboxen als Gateway geht der Resolver einwandfrei. Wo könnte der Grund liegen.?

–
Rüdiger

Ich habs nun hinbekommen, indem ich im LAN eine neue Firewallregel erstellt habe, die alles erlaubt nach 192.168.0.0/24 jedoch das GW 192.168.1.10 nutzt, statt das Default (welches die pfSense ist). Ich meine früher ging das auch ohne diese Regel…