Also, bei 100MBt ist die AN, bei Gbit ist die aus, und die linke ist immer an für Aktivität?

Das ist aber ziemlich dumm gemacht? Sollte viel besser Orange bei 100Mbit, Grün bei 1Gbit.

Das 'leuchtet' mehr ein ;-)

Als Master meine ich den VPN Server mit dem sich die Clients (die anderen RZ's) verbinden.

Welche Server hinter welcher Blase stehen soll dabei vollkommen irrelevant sein - da sich das VPN über die 3 RZ's strecken soll. Es geht mir nur erst einmal um die Router Konfiguration - die Webserver Cluster, etc. kommt später.

Bsp.:

Anfrage - DNS - pfsense-1-1 - load-balancer-rz1 - webserver-rz1 Anfrage - DNS - pfsense-2-1 - load-balancer-rz2 - webserver-rz2 Anfrage - DNS - pfsense-3-1 - load-balancer-rz3 - webserver-rz3

Das wäre an sich kein Problem. aber um die Daten synchron zu halten würde hinter webserver-rzX ein Fileserver Cluster stehen, welches über VPN mit den anderen Fileserver repliziert.

Im LAN gab es oben noch eine Any to Any Pass Rule. Hatte die nur wieder entfernt, da die Einträge trotzdem gekommen sind.
Tut mir leid, dass es in meinem Post so rüber gekommen ist als hätte ich nur das probiert.

Mittlerweile hat sich die Situation allerdings geklärt. Schuld waren falsche Outbound NAT Rules.
Nachdem ich gemerkt habe, dass ich Outbound NAT gar nicht brauche und alle Regeln entfernt hatte kamen auch keine Log Einträge mehr in der Firewall :)

Trotzdem danke :)

Gruß

Hey,

ich mische mich jetzt mal direkt mit ein, das spart sicherlich Kommunikationszeit…

Wir versuchen nicht das Netzwerk aufzurüsten oder zu verbessern, es geht lediglich darum die bestehende iptables-Firewall gegen eine pfsense-Lösung auszutauschen.

Natürlich gebe ich dir recht, dass diese Konstellation mit einer solchen DMZ nicht wünschenswert ist und dies niemand freiwillig nachbauen wollen kann. Allerdings haben wir diese bestehende Struktur und momentan nicht die Möglichkeit etwas zu ändern. Irgendwo in der Planung (damals, vor unserer Zeit) ist gewaltig was schief gelaufen und durch mangelnde Kommunikation hat sich das nicht verbessert. Das Abteilungsnetz hat keine Möglichkeit zu wachsen und auch für die DMZ ist (bisher) kein anderer IP-Adressbereich verfügbar (gewesen). Uns sind in der Hinsicht die Hände gebunden.

Man könnte jetzt darüber diskutieren, ob es dann nicht eine Alternative wäre, dass man das Abteilungsnetz in drei eigene Subnetze aufteilt und die DMZ ebenfalls. Allerdings steht dann der Aufwand die Konfiguration anzupassen und alles was sonst noch da dran hängt, was wir jetzt noch nicht überblicken können gegenüber dem Aufwand, den IST-Zustand der iptables-Firewall auf pfsense abzubilden. Hierbei ist die Umstellung auf pfsense unsere Wahl...

Wie du selbst gesagt hast, so wie wir das abgebildet haben geht es. Zumindest theoretisch, praktisch haben wir mit pfsense dabei noch Probleme. Und genau da bräuchten wir die Hilfe...

Gruß
cBoLsmUiEc

Kann geclosed werden! Im WLAN Interface muss der Haken bei "Allow intra-BSS communication" natürlich gesetzt werden  ;D

Nicht schimpfen - es ist unschön und ich hasse es - aber es ist wie es ist.
Ich schimpfe nicht ;) ich staune nur. Trotzdem verstehe ich dann nicht, warum ihr das nicht mit VLANs schöner lösen und damit das leidige Problem mit mehreren Subnetzen auf dem gleichen Interface umgehen könnt?

Grüße

In den Firewall Regeln werden Blocks angezeigt. Wenn keine passieren, wird der Traffic wohl durchgelassen.

Allerdings schreibst du

Jetzt komm ich noch vom WLAN in das LAN und wollte das unterbinden mit einer weiteren Regel.

Dann ist die Regel falsch, denn du verbietest nur LAN ADDRESS. Also den Zugriff vom WLAN auf die LAN Adresse der Firewall. Nicht auf das LAN network.

So,

bin weiter gekommen. Ich hab den Benutzer heinz statt in der von mir erstellten Gruppe CaptivePortal Group mal in die Admin Gruppe genommen. Hier gehts.

In der CaptivPortalGroup hatte ich das CapivePortal Login drin. Was braucht man denn noch so?

Grüße

Heinz

Hi tschuya,
versetz Dich doch mal in die Lage eines Außenstehenden, der Dein Vorhaben nicht kennt.
Hier fehlt einfach noch etwas Input, um mit Deinen Schilderungen klar zu kommen.

auf welcher Hardware läuft die pfSense vielleicht mal ein kleiner Netzwerkplan, um Dein Vorhaben etwas zu verdeutlichen. was spielt die Zywall für eine Rolle
Mit Deinen bisher gelieferten Daten einfach nur Rätselraten…. ;)
Gruß orcape

Scheinbar tritt das Phänomen nur im Main Mode auf. Sobald ich auf den Aggressive Mode wechsel, baut sich die Verbindung auf. Das muss doch auch im Main Mode gehen.  :o

Grundsätzlich spricht dagegen, dass du etwas tust das nicht unterstützt (Supported) ist.

Nicht nur das, was JH sagt, sondern du gehst somit auch Gefahr nach einem Update wieder "deine" Version der Konfiguration hochzuladen, die vllt nicht mehr unterstützt wird. Das Config.XML Schema bspw. darf/kann sich jederzeit ändern, sollten bspw. Funktionien o.ä. hinzukommen. Das heißt, du hast hier keinen automatischen Prozess, sondern etwas wo du ständig Hand anlegen musst.

Wenn du solche direkten Änderungen im Radius brauchst, den die pfSense mit der simplen GUI nicht abbilden kann, dann solltest du drüber nachdenken (bei 120 Usern ist das ja nicht mehr so ein "kleines Setup"), ob sich eben nicht die Anbindung eines externen Radius Servers lohnt. Den kannst du dann eben auch gern zerbasteln wie du willst, ohne deine Firewall/Gateway damit ins Nirvana zu schippern.

Gruß

Hi,

Es würde keinen Sinn machen, wenn es nicht gehen würde. Ich weiß nicht wo du suchst, aber wenn du eine Regel erstellst gibt es meist als Destination oder Source Address die Auswahl "Single Name or ALIAS(!)". Dann kann darunter in der Textbox der entsprechende Alias eingetragen werden (und wird auch versucht mittels auto-completion zu ergänzen).

Gruß

So hab das Problem gelöst.

Anscheinend brauchen die Ubuntuserver manuelle Outbound NAT Rules damit die von meinem privaten Netz erreichbar sind (Windows und Debian funktionieren mit den Automatischen Regeln…). Hab jetzt für meine zwei privaten Netze 192.168.1.0/24 (LAN) und 192.168.10.0/24 (WLAN Router an OPT1 zu Hause an der pfSense) die Regeln eingerichtet und schon sind alle Kisten von zu Hause aus erreichbar.

Vielleicht weiß jemand was bei den Ubuntuserver anders läuft als bei Debian.

Gruß

:-\ Gibt es denn gar keine Möglichkeit?

Gruß
NoiR

Die Lösung schien eher trivial: logt man sich auf der Server-Maschine ein (z.B. via SSH), ist ein Einloggen über die Services: Captive portal und dann "Portal page contents
View current page" möglich. Das beobachtete Phänomen war, dass innerhlab einer Minute der Voucher wieder rausfliegt. Das ist beobachtbar in dem log.

Lösung: das passiert nur wenn man über den Pfsense-Server diese Seite aufruft - aber nicht, wenn man von den LAN-Rechner das macht. Warum? K.A., insgesamt eher unwichtig.

Puh Snort habe ich auf meiner Box nicht mehr laufen.
Zum versuchen kannst du ja mal Snort ausmachen und schauen ob es dann geht…

Bei mir ist es eigentlich so: Wenn die Werbung geht, geht der Rest auch. Bei einigen (wenigen) Videos geht nichts bis die Seite neu geladen wird. Das scheint ein generelles Cache Problem zu sein.

Viel erfolg!

Ciao
Joerg H.

Das wird auf jeden Fall keine lustige Situation. Vom Netzwerker Standpunkt aus ist das einfach: eines der Modems muss weichen. Da beißt keine Maus nen Faden ab. Wenn beide Modems an der pfSense hängen sollen, geht es einfach nicht, dass du gleiche Netze auf unterschiedlichen Interfaces hast. Und dann auch noch gleiche Endgeräte IPs (.1). Das wird gerade für MultiWAN definitiv ein Desaster. Irgendeines der Modems umzustellen ist von allen Möglichkeiten noch die einfachste und schmerzfreieste. Und gerade wenn man vom gleichen Provider 2 hat, sollte der so kulant sein und einem dabei helfen.

Grüße

Lösung gefunden!!!
iptables des RADIUS Servers deaktiviert!!
8)