Also von Hand habe ich die fehlende Route nun eintragen können, aber warum sendet das VPN diese Route nicht mehr zuverlässig mit???

route add 10.10.10.0 mask 255.255.255.0 10.10.90.9 metric 1

=========================================================================== Schnittstellenliste 40...00 ff 9f e2 87 d6 ......TAP-Windows Adapter V9 14...00 21 6a 6b 52 59 ......Microsoft Virtual WiFi Miniport Adapter 13...00 24 7e ec d2 fa ......Bluetooth-Gerät (PAN) 11...00 21 6a 6b 52 58 ......Intel(R) WiFi Link 5300 AGN 10...00 26 55 be 7a dc ......Intel(R) 82567LM Gigabit Network Connection   1...........................Software Loopback Interface 1 39...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface 43...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter 42...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #2 58...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #4 34...00 00 00 00 00 00 00 e0 Microsoft-6zu4-Adapter 59...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #5 60...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #6 =========================================================================== IPv4-Routentabelle =========================================================================== Aktive Routen:     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik           0.0.0.0          0.0.0.0      192.168.2.1    192.168.2.120    25       10.10.10.0    255.255.255.0      10.10.90.9      10.10.90.10    21       10.10.90.8  255.255.255.252  Auf Verbindung      10.10.90.10    276       10.10.90.10  255.255.255.255  Auf Verbindung      10.10.90.10    276       10.10.90.11  255.255.255.255  Auf Verbindung      10.10.90.10    276         127.0.0.0        255.0.0.0  Auf Verbindung        127.0.0.1    306         127.0.0.1  255.255.255.255  Auf Verbindung        127.0.0.1    306   127.255.255.255  255.255.255.255  Auf Verbindung        127.0.0.1    306       192.168.2.0    255.255.255.0  Auf Verbindung    192.168.2.120    281     192.168.2.120  255.255.255.255  Auf Verbindung    192.168.2.120    281     192.168.2.255  255.255.255.255  Auf Verbindung    192.168.2.120    281         224.0.0.0        240.0.0.0  Auf Verbindung        127.0.0.1    306         224.0.0.0        240.0.0.0  Auf Verbindung      10.10.90.10    276         224.0.0.0        240.0.0.0  Auf Verbindung    192.168.2.120    281   255.255.255.255  255.255.255.255  Auf Verbindung        127.0.0.1    306   255.255.255.255  255.255.255.255  Auf Verbindung      10.10.90.10    276   255.255.255.255  255.255.255.255  Auf Verbindung    192.168.2.120    281 =========================================================================== Ständige Routen:   Keine IPv6-Routentabelle =========================================================================== Aktive Routen: If Metrik Netzwerkziel            Gateway   1    306 ::1/128                  Auf Verbindung 40    276 fe80::/64                Auf Verbindung 11    281 fe80::/64                Auf Verbindung 11    281 fe80::694e:bf91:e36d:c778/128                                     Auf Verbindung 40    276 fe80::89b6:3595:5f20:bc28/128                                     Auf Verbindung   1    306 ff00::/8                Auf Verbindung 40    276 ff00::/8                Auf Verbindung 11    281 ff00::/8                Auf Verbindung =========================================================================== Ständige Routen:   Keine

Ich hab heute mal im Bios rumgespielt, nachdem ich folgenden Thread gefunden hatte: https://forum.pfsense.org/index.php?topic=78147.0

Nachdem ich auf GEN1 umgestellt hatte, wurde die intel pro 1000 quad weiterhin nicht erkannt. testweise haben wir eine Karte von Sun eingebaut und ein 'pciconf' liefert, immerhin, folgenden output:

none1@pci0:0:31:3: class=0x0c0500 card=0x78511462 chip=0x8c228086 rev=0x05 hdr=0x00
    class      = serial bus
    subclass  = SMBus
    bar  [10] = type Memory, range 64, base 0xf7e19000, size 256, enabled
    bar  [20] = type I/O Port, range 32, base 0xf040, size 32, enabled
none2@pci0:1:0:0: class=0x020000 card=0x0000108e chip=0xabcd108e rev=0x01 hdr=0x00
    class      = network
    subclass  = ethernet
    bar  [10] = type Memory, range 64, base 0xf6000000, size 16777216, enabled
    bar  [18] = type Memory, range 64, base 0xf7438000, size 32768, enabled
    bar  [20] = type Memory, range 64, base 0xf7430000, size 32768, enabled
    cap 01[40] = powerspec 2  supports D0 D3  current D0
    cap 05[50] = MSI supports 32 messages, 64 bit, vector masks
    cap 11[70] = MSI-X supports 32 messages
                Table in map 0x18[0x0], PBA in map 0x18[0x4000]
    cap 10[80] = PCI-Express 1 endpoint max data 128(1024) link x8(x8)
                speed 2.5(2.5) ASPM disabled(L0s)
    cap 09[94] = vendor (length 8)
    cap 09[9c] = vendor (length 64)
    ecap 0001[100] = AER 1 0 fatal 1 non-fatal 6 corrected
none3@pci0:1:0:1: class=0x020000 card=0x0000108e chip=0xabcd108e rev=0x01 hdr=0x00
    class      = network
    subclass  = ethernet
    bar  [10] = type Memory, range 64, base 0xf5000000, size 16777216, enabled
    bar  [18] = type Memory, range 64, base 0xf7428000, size 32768, enabled
    bar  [20] = type Memory, range 64, base 0xf7420000, size 32768, enabled
    cap 01[40] = powerspec 2  supports D0 D3  current D0
    cap 05[50] = MSI supports 32 messages, 64 bit, vector masks
    cap 11[70] = MSI-X supports 32 messages
                Table in map 0x18[0x0], PBA in map 0x18[0x4000]
    cap 10[80] = PCI-Express 1 endpoint max data 128(1024) link x8(x8)
                speed 2.5(2.5) ASPM disabled(L0s)
    cap 09[94] = vendor (length 8)
    cap 09[9c] = vendor (length 64)
    ecap 0001[100] = AER 1 0 fatal 1 non-fatal 6 corrected
none4@pci0:1:0:2: class=0x020000 card=0x0000108e chip=0xabcd108e rev=0x01 hdr=0x00
    class      = network
    subclass  = ethernet
    bar  [10] = type Memory, range 64, base 0xf4000000, size 16777216, enabled
    bar  [18] = type Memory, range 64, base 0xf7418000, size 32768, enabled
    bar  [20] = type Memory, range 64, base 0xf7410000, size 32768, enabled
    cap 01[40] = powerspec 2  supports D0 D3  current D0
    cap 05[50] = MSI supports 32 messages, 64 bit, vector masks
    cap 11[70] = MSI-X supports 32 messages
                Table in map 0x18[0x0], PBA in map 0x18[0x4000]
    cap 10[80] = PCI-Express 1 endpoint max data 128(1024) link x8(x8)
                speed 2.5(2.5) ASPM disabled(L0s)
    cap 09[94] = vendor (length 8)
    cap 09[9c] = vendor (length 64)
    ecap 0001[100] = AER 1 0 fatal 1 non-fatal 6 corrected
none5@pci0:1:0:3: class=0x020000 card=0x0000108e chip=0xabcd108e rev=0x01 hdr=0x00
    class      = network
    subclass  = ethernet
    bar  [10] = type Memory, range 64, base 0xf3000000, size 16777216, enabled
    bar  [18] = type Memory, range 64, base 0xf7408000, size 32768, enabled
    bar  [20] = type Memory, range 64, base 0xf7400000, size 32768, enabled
    cap 01[40] = powerspec 2  supports D0 D3  current D0
    cap 05[50] = MSI supports 32 messages, 64 bit, vector masks
    cap 11[70] = MSI-X supports 32 messages
                Table in map 0x18[0x0], PBA in map 0x18[0x4000]
    cap 10[80] = PCI-Express 1 endpoint max data 128(1024) link x8(x8)
                speed 2.5(2.5) ASPM disabled(L0s)
    cap 09[94] = vendor (length 8)
    cap 09[9c] = vendor (length 64)
    ecap 0001[100] = AER 1 0 fatal 1 non-fatal 6 corrected

Bei einem 'ifconfig' taucht nichts neues auf, nur die bereits konfigurierten Interfaces.

Viele Grueße,

Auf iOS 8.x kommt man wohl nur mit einem Backup zurück, ein anderes fallback gibt es leider nicht.

Top! Danke dir! Werde das mal testen und mich gegebenenfalls nochmal melden.

wenn du eine Reservierung für die MAC Adresse machst hast du die möglichkeit für diese MAC Adresse einen eigenen DNS Server einzutragen im DHCP Server unter DHCP Static Mappings for this interface.

Hi,

thx für deine Mühe!

Naja, hatte zwar lange über pfsense gelesen und foren auf fragen durchsucht die bereits gestellt wurden, aber mit Hardware welche
ich bereits hatte, wollte da versuchen mit der aktuellen HW es auszuprobieren bevor ich mir eine kaufe.

Ich hatte im Inet in einem Form gelesen das dieser Digitus ausreicht, ich dachte auch schon daran das es keine Gute Idee war.
Du bestätigst mir das, immerhin kann ich den noch zurückbringen ;)

Da ich den M93p bereits hatte wollte ich es ausprobieren ob das so funkt, wie man sieht nur bedingt.
In der hoffnung ich hätte evtl doch etwas übersehen an der config schrieb ich hier rein.

Werde nun doch eine HW mit dual GBit zulegen wie ich es auch zuerst vorhatte.

TIA
fNx

Gibt es dafür eine Lösung,

Nicht benutze Switch Ports einfach abschalten Switch Port Security Switch ACLs dynamische VLANs (MAC basierend)

oder wie geht Ihr mit diesem Risiko um?

AD Anmeldung und dann Kabel lose Geräte via Radius Server & Zertifikat (nicht exportierbar) absichern Kabel gebundene Geräte via LDAP absichern Squid & SquidGuard als HTTP-Proxy mit Benutzeranmeldung in der DMZ installieren

Alle nicht benötigten LAN-Dosen kommen dann ins Default-VLAN (untagged),
welches du sonst nicht nutzt - fertig

Also das default-VLAN ist das für den Admin und da sind so oder so alle Geräte drin
und da hat außer dem Admin niemand Zugriff und der Admin am besten nur mittels SSH-Key.

Ein extra VLAN z.B. VLAN151 anlegen und dort alle leeren Ports der Netzwerksteckdosen
rein packen und dann alles verbieten und dann einen Snort Sensor dort rein platzieren
schafft es irgend jemand die still gelegten Ports auf zu wecken oder zu reaktivieren,
dann bekommst Du eine Mail oder SMS vom Snort Server und weißt auch genau an
welcher Netzwerkdose der Störer mit seinem Gerät dran hängt. Fertig.

Im jedem Fall habe ich einen Client im LAN, den ich nicht kenne und von dem
ich auch nichts merke. Im schlechteren Fall habe ich auch noch ein Problem mit dem
gesamten Netz, wenn er "zufällig" eine schon vergebene IP-Adresse benutzt …

Das kann dann nicht mehr passieren? Denn alle leeren Dosen und Netzwerkports
sind in einem extra VLAN und für dieses ist dann alles gesperrt und der Snort Server
informiert Dich dann darüber an welchem Port gerade jemand herum spielt!
Und wenn er seinen eigenen PC ausklingt und seinen privaten Laptop anschließt ist dort
immer noch die LDAP und/oder Radius Sicherung die er nicht erfüllt und man kann das
dann auch via ACLs oder Snort rules melden lassen.

mal die Frage, wie Ihr mit der Situation umgeht …

Arbeitsanweisungen dahin gehend unterschreiben lassen und alle zwei Jahre neu unterschreiben lassen!
Bei Fehlcerhalten eine Mail an alle Gruppenleiter, Abteilungsleiter und die GF bzw. GL das hinsichtlich einer
Nichtbeachtung dieser Anweisung nun gerade Probleme entstehen und rate mal wer dann dort ganz schnell
alles anruft und nachfragt!? Dann steht der Admin nicht immer so alleine da!

Denn ist auf dem privaten Laptop eine MS Windows Home version installiert und gerade an dem Tag kommt
MS Euch mal besuche geht der Geschäftsführer eventuell ab ins Kittchen und Du kannst auf Linux umstellen!

Oder aber eine Windows Pro Version und eine Menge freeware die nur privat genutzt werden darf!
Hmmmm, lecker wenn Dich dann einer anschxxxt kannst Du die Prozesse vor gericht gar nicht mehr
zählen und musst eventuell jedes Mal zahlen!

@BlueKobold:

Danke für deine Info zu DMZ und Co  - hatte ich fast vergessen mich zu bedanken  :)

Deine Punkte sind definitiv richtig…
Was ich allerdings erreichen wollte ist, dass der CentOS Server vom LAN isoliert ist.
Sprich, falls jemand eine Rootshell auf dem CentOS erhält, z.B. durch Apache Vulnerabilites, so soll er nicht auf's LAN zugreifen können...
Dazu habe ich nun eine Firewall zwischen CentOS und dem eigentlichen LAN geschaltet. CentOS kann nur aufs Internet zugreifen, aber das LAN ist explizit verboten.

Ja, das hatte ich, glaub ich, zuvor schon erwähnt.
Damit du mit deiner VPN-IP aus dem Netz rausgehst, ist Outbound NAT nötig, ansonsten hätten die Pakete die interne IP des Rechners als Quell-IP und würden im Internet verworfen werden.
1:1 NAT macht eben beides, inbound und outbound NAT. Wenn du die Regel verwirftst, musst du dafür eine gesonderte Outbound NAT Regel anlegen, die so aussehen könnte.

Ich nehme dafür an, dass du verschiedene Ports an mehrere Rechner weiterleiten möchtest, ansonsten könntest du es ja auch beim 1:1 NAT belassen.
Lege erst einen IP-Alias für alle Rechner an, die über die VPN-IP rausgehen sollen.
Am Outbound NAT Tab schalte auf "Hybrid Outbound NAT rule generation" und klick auf Save. Dann füge unter Mappings eine Regel hinzu: Interface = PTYOPENVPN, Source-Type = Network, -Address = <der oben="" angelegte="" alias="">, der Rest kann auf den Standardwerten bleiben.

Was hier sympathischer ist, bleibt deine Entscheidung.</der>

Andi,
kannst Du denn aus LAN oder WLAN in dein Haustechnik-Netz pingen, sprich, hast Du Regeln in der Firewall, die den Zugriff auf "Haustechnik" erlauben?
Das wäre der erste Schritt.

Wenn die App jedoch mit Broadcasts nach der Steuerung sucht, dann hast Du wirklich ein Problem, denn diese Broadcasts enden definitionsgemäß am Subnetz und werden eben nicht geroutet.
Frage in dem Fall den Hersteller der Anlage/App, wie korrekt vorzugehen ist. Per Konfiguration des Netzwerks ist das jedenfalls nicht möglich (auch nicht per NAT  ::) ).

@sebden:

Hey und danke schon mal! Das wäre auch einen Versuch wert, leider ginge mir dann die ClamAV Filterung verloren  :( Aber ich teste es!

Gut das wäre zwar brachial aber ginge bestimmt.

-> Außerdem ist der Zielhost (irgendwas mit cortalconsors) aus der Firewall genommen worden, das hatte ich via nsookup ermittelt

Und nur Cortal consors bei dem Proxy als Ausnahme hinterlegen und zwar nur für den einen Klienten
oder mehrere sollte auch gehen.

Oder aber man arbeitet mit einer User Authentifizierung am Proxy und bildet Gruppen und die Gruppe
mit dem einen Benutzer lässt man dann eben bei dem Proxy einfach Cortal Consors benutzen ohne zu filtern.
Das sollte auf jeden Fall funktionieren.

Hallo!

@DarkMasta:

Daher habe ich eine NAT Outbound Rule erstellt.

Interface: WAN
Protocol: any
Source: Netzwerk (VLAN IP)
Destination: any
Translation: spezifische IP von ISP die bei virtual IP hinterlegt wurde

Ist mein vorgehen korrekt?

Schaut gut aus.

@DarkMasta:

Wenn das VLAN intern eine Regel hat über eine spezielle WAN Schnittstelle(Virtuelle IP) zu kommunizieren, ist es möglich z.B. eine Webcam in diesem internen VLAN übere eine andere Virtuelle IP zu kommunizieren?

Du meinst eine NAT-Regel, in der du die virtuelle IP auf die Hosts im VLAN wie die Webcam weiterleitest?
Sollte so funktionieren. Jedenfalls wenn du deine Webcam direkt über eine IP ansprechen kannst. Viele Webcam-Apps möchten die Cam unbedingt per Multicasts finden, das geht aber nicht über einen Router.

Die hauptsächliche Änderung der letzten Regel war das der Source Port auf any gesetzt wurde oder? Statt vorher 8000.  :o

Hey,

ich habe Squid samt Suidguard im Einsatz, auch mehrmals schon neu einrichten können.

Laut einem alten Beitrag in irgendeinem Forum muss man SquidGuard immer vor(!) Squid als Package installieren. Im Anschluss erst Squid (in meinem Fall immer Version 3, die 2 sei unkomplizierter) installieren. Funktionierte immer!

Um dann den Filter greifen zu lassen sind auch immer die selben Klicks notwendig, da sonst nach einem Distributionsupdate oder größeren Änderungen der Filter wieder alles durchlässt. Das sind ein Klick auf "Save" in den betreffenden ACL's, dann ein Klick auf "Save" im "general settings" gefolgt von einem "Apply" auf der selben Seite.

Habe viel probiert, es klappte aber immer nur genau so, auch nur in den genannten Reihenfolgen.

Mein Squid läuft übrigens nicht-transparent.

Übeltäter scheint gefunden. Es ist tatsächlich Squid. Lädt an den psf Dateien von Windowsupdates scheinbar auch dann herunter wenn schon viele Stunden nichts angefordert wurde.

Zumindest passte einer der IPs zum Eintrag im Squid Log für ein Windows Update. Leider kann ich so nie vernünftig sehen welcher lokale PC den Anstoß zum Download gab.

Kann man eigentlich dafür sorgen das Squid die Datei zwar cached, aber gleichzeitig auch schon dem anfordernden Client zur Verfügung stellt?

Du kannst auf einem physikalischen Interface VLANs stapeln und darüber dann bis zu 4096 WAN Interfaces bauen (je nachdem wieviele VLAN Tags Dein Switch und der NIC zulassen).
https://doc.pfsense.org/index.php/VLAN_Trunking
https://doc.pfsense.org/index.php/Assign_Interfaces