interessiert mich auch. hast du eine Lösung gefunden?

Grazie! Sieht vielversprechend aus …

Zu allem kann ich dir leider keine Antworten bieten, dazu hatte ich bislang zu wenig Bedarf mit custom kernel modules zu hantieren, aber für mich würde die loader.conf.local mehr Sinn machen, da diese Datei ein OS/Update überlebt, die loader.conf ggf. überschrieben wird (wie auch im Doku/Wiki erwähnt). Ansonsten war mein Verständnis, dass die txz Packages bei der Installation ja lediglich entpackt werden, insofern würde ich vermuten, dass auch die Kernel Objects und Symbols aus dem txz gehen.

Viele Grüße
Jens

@Lindi genau :)

Zum Verständnis: WAN NET ist NICHT das Internet (auch wenns kurz in der Übersetzung so klingen mag), sondern das Netzwerk-Segment, welches auf dem WAN gebunden ist. Bei DSL bspw. das Netz, in dessen Bereich die IP liegt, die dir dynamisch zugewiesen wird. Also ein Netzsegment der Telekom/Vodafone oder sonstwem.

Richtig ist in der Tat "any" da du ja ins Internet, also "überall" hin willst :)

Ebenso wichtig ist auch die Reihenfolge, was Flix schon richtig beschrieben hat. Hier zählt, was zuerst zutrifft, greift. Also deine "nicht aufs LAN zugreifen Regel" ganz nach oben.
ODER noch einfacher: Ändere dein Ziel bei der Erlauben-Regel so ab:

Allow FROM (OPT1 NET) to (!LAN NET)

Also erlaube den Zugriff aus OPT1 (einer IP aus dem Bereich, der auf OPT1 vergeben wird, also 192.168.188.0/24 ?) nach !(nicht) LAN Netz -> ergo überall hin außer ins LAN.

Damit sparst du dir die Block Regel obendrüber mit dem LAN. Das klappt aber nur, wenn du "nur" diese beiden Interfaces (LAN/OPT1) hast. Sobald bspw. noch ein OPT2 dazu käme, ist es besser, das mit 2 Regeln wie Flix beschrieben hat zu lösen, denn dann soll ja meist nicht nur den Zugriff auf LAN sondern auch ins andere OPT Netz geblockt werden.

Das aber nur als kleine Ausführung. :)

Grüße

Hallo JeGr,

genauso wie in der doc.pfsense definiert haben wir das eingerichtet + die Authentifizierung usw. klappt alles Prima, nur die übertragenen Bytes (accounting) funktioniert nicht.
Ich habe das ganze auch schonmal ohne MySQL also ohne DB-Anbindung probiert, auch da werden die Accounting-Dateien in dem jeweiligen Ordner ./daily ./weekly ./monthly usw. mit der mac-adresse angelegt, aber haben immer den Inhalt "0".

Also scheint irgendwas am Accounting nicht zu funktionieren.

Wo muss ich denn suchen, bei Captiveportal oder bei Freeradius2 ? Irgendwie kann keiner (auch im Englischen Forum) helfen …

Und du redest die ganze Zeit an dem vorbei was ich schreibe ;)
Was ich sag(t)e ist, dass - sobald die Anbindung wichtig genug ist, dass sie nicht down sein soll, es den meisten Entscheidern völlig egal ist, ob das active/passive oder active/active ist, hauptsache es ist HA - hochverfügbar. Natürlich hängt da noch die Zuleitung dran, aber die ist nicht in der Hoheit des Admins/der Firma, da kann man also durchaus den ISP gängeln für. Aber wenn der Border Gateway absäuft steht der Admin/Netzwerker/whoever ziemlich dumm da.

Und wenn ich mir dann irgendeine HA Lösung von Cisco, Juniper oder wasauchimmer hole, nur weil die Entscheider da tolle Labels, große Marketingaktionen und dicke Eier sehen, lege ich mehr hin, als 2 potente Kisten (immer noch völlig egal ob eine passiv ist oder nicht) plus pfSense Support einzukaufen. So passiert mehrfach letztes Jahr bei unseren Kunden. Mehrere tausend Euro gespart, weil die entsprechende <label>Lösung teurer gewesen wäre und man gemerkt hat - hey das geht auch anders/besser.

Damit aber genug OT von mir, hier gehts trotzdem um DNS :)</label>

hier mal so ein Beispiel…
... Ist das der Tunnel, oder vielleicht schon wieder ein anderer, oder kommen noch die Einträge...

Log.jpg_thumb
Log.jpg

Wenn ich mich nicht ganz täusche, kann man Aktualisierungen mittels Kindersicherung (Einstellungen -> Allgemein -> Einschränkungen) unterbinden. Kann man zur Not auch mal versuchen  :)

Und warum antwortest Du auf die Frage, bei welchem deutschen Distri man die NetGate Geräte bekommt, mit einem Link u.a. zur OPNsense Appliance?

Dein Mitteilungsbedürfnis in allen Ehren, aber dann bitte auch die Antworten geben, nach denen gefragt wurde.

@gonzopancho:

I am amused by this thread.

We just signed our first European distributor for pfSense.  So you should see results from that in the next 30-45 days.
…

Und da Du selbst in dem Thread geschrieben hast, solltest Du die Antwort auch noch kennen.
Aber anstatt sie zu posten gibt es wieder Tiraden von (großteils unnützen) Links.  ::)

Route zum OVPN-Tunnelnetz setzen.

Wenn auf dem Router bereits die Route in das LAN 192.168.0.0/24 bekannt ist, kannst du das auch auf der dortigen pfSense über Outbound-NAT lösen: Eine Regel hinzufügen für das IPSec-Interface, Source ist das VPN-Tunnelnetz und als Translation Address gibst du die LAN address an.

Oder - jetzt da es Frank sagt - warum nicht gleich einen USB-WLAN Adapter in den Rechner klöppeln? Dann ist man garantiert immer mit dem Rechner verbunden ;) und wenn die nicht ins Internet sollen, reicht das auch?
Wobei ich die Lösung mit einem kleinen Redirection Router wie dem MikroTik fast besser finde :)

@stickybit:

It looks like, that there is still a problem.
My wife (who else …) told me that calls are going to crash after exactly 15 Minutes.

Does anyone has an idea why?

Your wife is talking to the internal answer phone and after 15 minutes it is full, perhaps?
Ok back to the topic.

In normal as I am setting up VOIP equipment it follows even three main ways to do so.

Working with a STUN Server The router or Firewall comes with an internal SIP-ALG I am Using a VOIP Gateway, VOIP appliance or a VOIP PBX (all the same) in the DMZ

In normal you want to be secure your LAN (local area network) and don´t open ports on
the front side (WAN) so no ones can enter like she want, there fore the routers or firewalls
are doing SPI/NAT and nothing that was called or requested from the LAN will be going in!
But VOIP is like a telephone and for sure peoples like or want to call you from the outside
without that you request this phone call, right? So now you are building a DMZ and placing
there let us imagine an Asterisk VOIP PBX appliance, then you are able to open ports on the
WAN side that are matching the given or offered service at the Asterisk PBX, and now you are
able to connect them from outside (Internet) and from the LAN side, thats it. Ok instead of the
Asterisk you are also able to use a VOIP Gateway from the Germany T-Com without no problems.

You can also place the VOIP PBX Apliance in front of the pfSense without problems as I see it right
VOIP PBX –- PoE Switch --- VOIP Phones that is also very easy to use.

For a dedicated help or guess it would be even fine if someone draws a small network layout
that we all can see  what kind of devices where in the game and where are the placed.

3. Muss man auf irgendein Feature (z.B. Trim Support) achten - wenn ja, welche der genannten oder vorgeschlagenen Platten unterstützt diese Features?

Trim Support sollte man auf der pfSense einstellen und das war es dann auch schon.
und natürlich die neuste "stable version" von pfSense dazu benutzen.

Bump und schon etwas gefunden?

Hier ist ein Lösung die man einfach von außen anbringen kann.
Enermax U.R. Vegas

Moin moin,

leider hatte es wieder etwas gedauert. Problem war nicht der Switch sondern Dummheit von mir. Ich habe zwar nach Umstellung von meinem Test am separatem Port der Firewall den IGMP-Proxy auf das richtige Subnetz geändert, jedoch habe das Interface vergessen umzustellen  :o

Dieser kleine Fehler hat mich so viel unnötige Zeit gekostet  >:(

Aber hey, nun geht es inzwischen. VoIP habe ich auch eingerichtet und es funktioniert. Nun versuche ich mich daran unterschiedliche interne Subnetze über unterschiedliche OpenVPN-Clients zu schicken: http://www.retropixels.org/blog/use-pfsense-to-selectively-route-through-a-vpn

Mit einem OpenVPN-Client in der Firewall klappt das auch super, richtige ich einen zweiten ein, bekommt dieser jedoch die gleiche IP vom Anbieter zugewiesen. Hier muss ich mal schauen, ob das überhaupt so geht wie ich das wollte.

Hallo,
also bei mir stimmt da vieles nicht.
z.B.

DB home catalog contains 'Blacklist' and 'User' sub-catalogs

define('SQUIDGUARD_DB_BLACKLIST',      '/bl');
define('SQUIDGUARD_DB_USER',            '/usr');
define('SQUIDGUARD_BL_UNPACK',          '/unpack');
define('SQUIDGUARD_BL_DB',              '/db');

von diesen Einträgen existiert bei mir nur /usr

Was soll ich dann machen?
Andreas

Nein  :)
Aber danke fürs mitdenken und deiner hilfe

OK das ist auf jeden Fall gut zu wissen. Werde das aber ggf. mal beim Team anfragen, warum das nach wie vor ein Problem ist, denn eigentlich hatte ich das Changelog so verstanden, dass die Queues und Buffer Geschichten jetzt mit 10.x und den neuen Treibern endlich out of the box laufen.

Danke dafür :)