also, immer lächeln und Winken …
Guter Tipp, den brauchte ich heute auch mehrfach. Aber manchmal ist es wirklich wie versteckte Kamera...

Hallo Josch,

trotzdem danke fürs Bescheid geben, das ist auf jeden Fall schön zu wissen!

Viele Grüße

Ich habe den Wert inzwischen auf 1350 eingestellt und fahre gut damit.

Wenn man weiß, nach was man sucht, wird man sogar in den pfSense Docs fündig:  ::)

https://doc.pfsense.org/index.php/IPsec_Troubleshooting#Packet_Loss_with_Certain_Protocols

Ich danke Dir!

Moin flix87,

danke, es läuft schon eine Weile, und das sogar stressfrei, ich wollte nur wissen, ob es noch einen besonderen Hintergrund dafür gibt die IP an die Bridge zu binden.

-teddy

Stimme hier flix vollkommen zu. Gibt nichts fieseres bei VPN Tunneln als gleiche Netze auf beiden Seiten. Gerade innerhalb der gleichen Firma sollte sowas gelöst werden und nicht drumrum gearbeitet. Bei Standort-Vernetzung muss man dann solche Knoten lösen, dafür läuft es danach auch mit weniger Problemen. Und die beiden Netze sind wie schon gesagt durch mehrere Phase2 Settings abbildbar.

Ansonsten müsste man mit bösen NAT Spielchen anfangen und das will niemand. Nicht wirklich.

@bakunin:

Heisst das, dass normalerweise gar keine weiteren Konfigurationsanpassungen notwendig wären? (Mir ist schon bewusst, dass nicht immer alles "normal" läuft …)

Dann müsste ich ja quasi für das Update "vorarbeiten". Nein, das Update von 2.1 auf 2.2 soll natürlich selbständig die Konfiguration erkennen, evtl. portieren oder konvertieren und dann "einfach laufen". Genauso waren die Updates von 2.0->2.1 oder von 1.2.3->2.0 ebenso, dass die Konfiguration konvertiert wurde und anschließend mit neuem System gebootet.

Mein Verständnis von den CARP Änderungen ist aber auch dergestalt, dass ich es so verstanden habe, dass man nun kein physikalisches Interface mehr zwingend braucht um eine CARP Adresse zu definieren. Das heißt aber nicht, dass man es nicht weiterhin so tun kann. Wer also bis jetzt CARP im Einsatz hat, der kann auch weiterhin je ein Bein der pfSense mit eigener IP betreiben + die CARP VIP. Nur wer zukünftig den Luxus nicht mehr hat, weil er bspw. ein /30er Transfernetz bekommt und dort nur noch eine einzige Adresse nutzen kann, kann nun hier auch einen CARP Cluster betreiben, da die pfS auf dem WAN nicht mehr für jedes CARP Mitglied eine eigene IP benötigt. Bislang war unter einem /29er Transfernetz mit mind. 4-6 Adressen nichts zu machen.

Grüße

Sorry, Dein Sicherheitsbedürfnis in allen Ehren, aber man kann es auch übertreiben. Einen PPTP-Tunnel betreibst Du ja hoffentlich nicht und mit einem
WindowsXP gehst Du auch nicht direkt ins Internet, oder doch ?
NSA, DDOS-Attacken und Hacker-Angriffe gibt es, Sicherheitlücken auch.
Man weiss das, unternimmt entsprechende Gegenmaßnahmen im Rahmen seiner Möglichkeiten und gut ist das.

Ich denke du machst dir hier Panik, wo keine sein muss.

Das sehe ich auch so. ;)

Das stimmt wohl. Aber ich mag es eben trotzdem möglichst einfach :)

Das mag bei dir so sein ;) ist aber dein Einsatzzweck. Wie gesagt, wenn du eine Klick-Bumm-Fertig Lösung haben möchtest, ist pfSense nicht das richtige Projekt.

Manchmal wäre es besser, wenn sich die Entwickler auf einige wenige, sehr oft benötigte Szenarien (den Rest ausblenden) und nicht auf 1000 Optionen + 100% Flexibilität konzentrieren würden. Dann würde man zum Beispiel wie auf OpenWRT/Tomato in einem Fenster eine OpenVPN Provider Verbindung aufbauen können… ohne jegliche weitere Einstellung machen zu müssen. Das Problem bei pfsense... man muss überallhin (Klick, klick, klick, klick, klick, ... bis man umfällt). Das nervt schnell.

S.o., wenn du einfach und simpel willst, bist du bei anderen Projekten besser aufgehoben. Wenn dort dann aber eben ein Anwendungsfall aus deinen 99% herausfällt wird es gerne gleich mal ein großer K(r)ampf das dann noch alles ans Laufen zu bekommen. Alles andere sehe ich nicht so. Ich weiß ja nicht was du überall klicken musst, aber gerade die Intial-Einrichtung und bspw. der VPN Wizard machen genau das: mit wenigen Klicks die Konfiguration etc. schon komplett vorbereiten. Wer's noch simpler mag für den ist das einfach nicht die richtige Adresse. Dann solltest du einen Router à la Fritzbox oder Airport suchen, bei dem man die paar Einstellungen die du machen willst, sogar mit einer App bedienen kann. Für alles weitere wirds dann komplexer und da sollte man eben auch wissen was man tut und nicht nur klicken ohne Sinn.

"These log files are held in /var/log which is in a RAM disk on NanoBSD (optional on a full install)"

Richtig, normale Logs sind bei Nano Installation im RAM, die RAMDisk Einstellungen sind aber eher klein, deshalb steht da nicht so viel Platz zur Verfügung. Wenn entsprechend viel/groß geloggt werden soll, muss das entweder vergrößert werden oder auf Disk gehen. Dann ist eine mSATA oder SSD nicht verkehrt. Gerade wenn dann noch Pakete wie Squid o.ä. hinzukommen, die Caching durch lokales Zwischenspeichern reinholen.

Somit wird die SCDard nur beim hochfahren bemüht. Was würde dann eine SSD bringen? Nur schneller booten? Das wäre mir zu wenig.

Bei einem Update muss auch die Updatedatei heruntergeladen und geschrieben werden können. Wer dann schon große Pakete auf der SD entpackt und wenig lokalen Platz hat, kann schnell in ein Problem laufen. Deshalb lieber zwischendurch mal prüfen, wie groß die Belegung ist.

Nun ja wenn du noch irgendwo einen Rechner rumstehen hast mit Linux/BSD drauf (oder eine VM), dann könntest du mit einfachen EasyRSA Tools (eine Skriptsammlung) deine CA und Zertifikate basteln.

Andernfalls wäre unter Windows auch XCA ne Möglichkeit:
http://sourceforge.net/projects/xca/

Grüße

wenn ich da nochmal drüber schaue…

Wurde denn bei der OpenVPN Server Konfiguration das Remote Network angegeben? Wenn nicht, dann für den Client die Option push "route x.x.x.x y.y.y.y"?

Hmm…

Brauche einen Tipp von euch für Ersatz. 2 DSL Anschlüsse via FritzBox mit unterschiedlicher Gesychwindigkeit (6000 und 16000) sind vorhanden. Also sollen die über 2 Netzwerkarten angeschlossen werden. Dazu ist ein internes Netz mit 3 PC einem LANdrucker vorhanden. Dritte LANKarte. Weiterhin soll ein extern Hotspot an eine Vierte LAN Karte angeschlossen werden.

Wenn dir die Performance von Gigabit genügt, könntest du LAN3+4 (LAN und WLAN) mittels VLANs realisieren, sofern du einen Switch mit VLAN Support mit kaufst. Das wäre recht einfach und du könntest somit mit 3 Hardware Interfaces auskommen => bspw. PCEngines APU
Wenn es ansonsten 4 Interfaces mind. sein müssen, dann wäre glaube ich der nächstgrößere Schritt in etwa ein kleiner C2000 Atom. Beispielhaft wäre da die c2358 (2-Kerner) zu nennen wie bspw. die Lanner FW-7525B (die Variante A hat 6 NICs -> unnötig).

Das hängt aber alles ein Stück weit auch am Budget, das du ausgeben kannst/willst.

Das sollte ich vielleicht als Premium Support vermarkten

Gute Idee, die Alte mit der großen Glaskugel verlangt ja auch richtig Kohle…..

shame on me!

..hilft alles nix, beim nächsten Post, erst überlegen was vllt. so alles zielführend sein könnte.
Dann klappt 's auch mit der Hilfe…. ;)
Gruß orcape

ok, nach langem suchen und probieren scheint HAProxy diese aufgabe jetzt uebernommen zu haben.
es gab aber keine vordefinierte Exchange optionen, oder ich habe sie nur nicht gefunden… genausowenig wie eine How-To....

Die beiden Aliase hatte ich, wobei nach dem ich "Suchen" entfernt hatte, war der Fehler weg.
Ich habe aber beide entfernt und noch nicht neu angelegt.
Bin erstmal froh das es läuft.

<alias><name>Suchen</name>
<url>www.google.de</url>
<updatefreq>32</updatefreq>

<address>www.google.de</address>

<descr><type>urltable</type>
<detail></detail></descr></alias>
<alias><name>Updates</name>
<url>http://updates.pfsense.org</url>
<updatefreq>128</updatefreq>

<address>http://updates.pfsense.org</address>

<descr><type>urltable</type>
<detail></detail></descr></alias>

Hi,
sorry…aber irgendwie verstehe ich's nicht ganz bzw. bekomme es nicht hin :-(

Super freut mich, wenn das so geklappt hat. Ich würde noch der Einfachheit und Dokumentation halber die IP Netze so vergeben, dass die FBs nach Möglichkeit wenn sie resettet werden gleich wieder laufen (oder hat die 7390 nach FW Reset auch wie die 6490 ein 192.168.178.x?) und zusätzlich die VLAN IDs wie das 3. Oktett benennen (also 178 und 188), dann ist bei kurzem Blick auf die VLANs auch immer gleich klar, welches IPv4 Netz dahinter hängt. :) Macht das Debugging einfacher.

Grüße
-jens

@viragomann:

Das sind ja keine gültigen URLs:
@kromonos:

https://pfsense/system_usermanager_settings_ldapacpicker.php?port=389&host=10.0.0.2&scope=subtree&basedn=DC=pdc;DC=kromonos;DC=net&binddn=cn=pfSense;DC=pdc;DC=kromonos;DC=net&bindpw=MeinPasswort&urltype=TCP%20-%20Standard&proto=3&authcn=CN=Users;DC=pdc;DC=kromonos;DC=net&cert=5508990deef15

Überprüf das mal bitte.

Ich hab die URL etwas angepasst. Anstelle dem pfsense steht da schon eine richtige URL

Hi,
vergiss nicht das in dem Teil immerhin ein Dual-Core verbaut ist und der keinen Lüfter hat.
Ich würde schon sagen, das das normale Betriebstemperaturen für das Teil sind.
Wenn schon normale Festplatten in einem NAS auf 40 Grad kommen, da wird wohl ein Lüfterloser Prozessor mal 58 Grad haben dürfen…. ;)
Gruß orcape

Macht nichts, war nur irritiert :)