Das Problem war, dass die pfSense dann NICHT nattet, wenn ein Gateway eingetragen ist. Für meine nachgelagerten Netze habe ich ein Gateway gebraucht und das bei der LAN Schnittstelle angelegt - dadurch wird es auch ausgewählt und dann nattet er nicht.

Ich hab mal ein Bild der betreffenden Stelle angefügt.


Hi shiversc,

vielen Dank für deine Antwort.

Die erfragten VLAN-Modi sind möglich;
das Telefon kann auch als vlan-taggendes Gerät umgangen werden indem ein davorgeschalteter switch das taggen/untaggen übernimmt (ist zwar kein Cisco oder Dell aber läuft).

Das Telefon hängt nicht direkt an der pfSense, diese ist aufgesetzt als virtuelle Maschine; das ist allerdings ein interessanter Test um die nachfolgende Infrastruktur als Ursache auszugrenzen.

BTW:
Der jetzige Aufbau lässt das gewünschte Szenario temporär zu, derzeit taggt ein switch das Netz2 mit VLAN100 und führt es dem Netz1 zu. Das Telefon in Netz1 erhält dann eine IP aus dem Netz2 via DHCP von der pfSense.
Doch wie kann man das mit der pfSense realisieren…?

Gruß
WitchDoc

Das CP sitzt auf einen Interface. Das erübrigt die Frage mit dem WLAN.

Nein, die pfSense erkennt die Access Points nicht von allein. Das könnte man theoretisch machen, aber das  wäre völlig sinnfrei, weil die die MAC-Adresse des Clients der über WLAN zum Layer verbunden ist, das entscheidende Merkmal darstellt. Die Verbindungen kommen ja nicht von dem Access Point oder seiner IP, sondern vom Client der den Access Point als Bridge nutz um die MAC deines pfSense zu erreichen.

Die pfSense hat NUR am LAN Interface bereits eine Regel vorkonfiguriert, die sämtlichen Traffic Richtung Internet erlaubt. Für weitere Interfaces wie dein Gastnetz muss du die Regeln selbst erstellen.
Und Firewall-Grundsatz: Alles was nicht explizit per Regel erlaubt ist, ist verboten. D.h. solange du nicht Traffic am Gastnetz erlaubst (Firewall > Rules), geht gar nichts.

Wie du die Regeln einrichtest, hängt von deinen Wünschen ab. Was CP ist, wieß ich nicht. Torrent ist ohnehin problematisch, weil der Torrent-Client auch vom Internet erreichbar sein müsste. Dafür müsstest du eine Portweiterleitung der jeweiligen Torrent-Ports (z.B. 6881, 8891) an eine bestimmte IP einrichten, oder UPnP aktivieren, wenn der Client dies unterstützt, dann konfiguriert sich der Client die Firewall selbst. Von beidem rate ich aber in einem Gastnetz ab.

Wenn es reicht, dass dein Gastnetz nur Webserver per http erreicht, dann richte auf LAN2 eine Regel ein, die Verbindungen überall hin außer Lan net auf Port 80 u. 443 erlaubt. Eventuell auch Port 25 für Mailversand, wobei diesen auch Spambots nutzen würden, wenn ein infizierter Rechner drangehängt wird.
Erlaubte Ports kannst du in Firewall > Aliases > Ports einen gemeinsamen Namen geben und diesen dann in der Regel als Zielport angeben. Soll der Traffic Richtung LAN nicht erlaubt sein, kannst du in der Regel bei Destination das "Not" anhaken und im Dropdown "Lan net" auswählen.

Geschwindigkeit drosseln geht in Firewall > Traffic Shaper, das hab ich aber selbst noch nie gemacht.

@viragomann:

Ah ja. Das dürfte ein Problem mit deinem Keyboard sein. Wobei aber Keyboard austauschen auch nichts bringen wird. Das Problem ist das Board.
Soweit ich mich erinnern kann, kann man hier einen anderen Treiber laden über den Bootlaoder Prompt. Der ist im Boot-Menu mit "7" zu erreichen.

Vielleicht mal danach das Forum durchsuchen. Hier müsste es schon Lösungen geben.

Sieht so aus als ob es genau das war, ist grade beim installieren :)

Also hat nun alles geklappt, danke für die hilfe!

Jo klasse wa…der 512'er Riegel wird nicht erkannt...war ja klar...kein Kingston oder KVR.

Trotzdem Danke für die Mühe..

Werner

Also das mit dem DHCP war nur in Bezug auf die Clients gemeint. Die DHCP-Rolle eines Windows Servers ist mehr oder weinige Pflicht.

Bezüglich deiner VM. Keine schlechte Idee, aber ich werde zunehmend das Gefühl nicht los, dass dazu viel zu wenig Ahnung vorliegt.

Das mit der MAC-Adresse ist so weit richtig, dass ein Switch solche verbindet und eine MAC theoretisch beliebig viele IPs haben kann.

Hört sich doch sehr schick an. Vielleicht magst du noch etwas ins Detail gehen? Wie sind die WANs aufgebaut? Loadbalanced oder für gewisse interne Adressen je ein WAN etc. :)

Grüße

Hallo

ja das mit den Vouches finde ich auch gut so wie es ist.
Aber ich hatte vor, das man sich mit den Voucher nur 1 mal einlogen kann.
Beispiel:
Ein Kunde hat einen Voucher bekommen und ist mit 2 Personen im Meeting Raum. Die 1. Person meldet sich an und ist im Internet. Person 2 sieht den Voucherzettel und meldet sich ebenfalls an.
Jetzt ist die Person 2 im Internet und die Person 1 ist raus.
Ich möchte vermeiden, das der Voucher wie oben beschrieben ein 2. mal verwendet werden kann.
Person 1 meldet sich an und Person 2 würde eine Fehlermeldung erhalten, z.B.: Voucher wird bereits verwendet.

Gruß

pfSense > VPN > OpenVPN > Wizard

here you go…

Da braucht es kein großes Tutorial mehr. Wizard durchklicken, einstellen was man braucht (ist eh meist wenig bei Client/Roadwarrior Setup) und sobald es fertig ist installiert man sich das Package "OpenVPN Client Export Utility" noch dazu. (System/Packages). Damit bekommt man dann noch einen Export Reiter, womit man für gängige Plattformen (Windows Mac Linux) sich die entsprechende Client config generieren und exportieren kann. Das spielt man auf dem Laptop ein -> fertig.

Grüße

Hallo,

es handelt sich um dieses Modell "Ruckus Wireless ZoneFlex 7731 Wireless Bridge"

Ich verstehe die Anleitung so: Der Port ist fest als "Trunk Port" konfiguiert, damit sollten alle VLAN IDs erhalten bleiben.

VLAN
Untag ID: Enter a valid VLAN ID in this field
to redefine the “Native VLAN” (also known as
“Untag VLAN”. Default is 1. Valid entries are 1-4094.
Members: Not configurable with VLAN Trunk
port type (membership includes all VLANs).

Working with Port-Based VLANs
The ZoneFlex 7731 Wireless Bridge has only one Ethernet port and this port must be
configured as a VLAN Trunk Port. Therefore, as a VLAN Trunk Port, the port is a
member of all VLANs (1-4094).
The VLAN Untag ID field (default = 1) can be used to redefine the “Native VLAN” for
the port. If your network uses a VLAN other than 1 as the native VLAN, you should
configure the Untag VLAN so that the configuration across the network is consisten.

Gruß
Shine

sollte immer noch dort sein! Siehe Anhang… :o

packages.JPG_thumb
packages.JPG

Ich mag mich irren, aber in der Windows Client Konfiguration kommt mir die Route am Ende schräg vor.

route 192.168.178.0 255.255.255.0

Das erzeugt doch eine Route zum OVPN Server. Die muss aber auf die IP zeigen, die deine Home-pfSense beim einwählen auf dem VPN Server hat. Sonst kommt sie da ja nie an.

Was mich zudem wunderte schon im Screenshot: Warum ist das Gateway vom Windows Server nach der Einwahl .9 und der Client .10? Wie sieht es bei der pfSense aus? Das sieht nämlich so aus, als würdest du kleine Mini-Subnetze im 10.8.0er Netz pro Einwahl aufmachen. Es sollte aber m.W. auch anders gehen, dass der Server EIN Gateway stellt (10.8.0.1/2) und jeder Client dann aufsteigende IPs hat (.3, .4, .5) aber das gleiche Gateway. Dann sollten die sich auch gegenseitig sehen können.

Grüße

Hallo Edgar,

freut mich zu hören und schön, dass du auch gleich den Thread auf gelöst gesetzt hast ;)

@viragomann: toll gesehen und gelöst :)

Grüße
Jens

Port Forwardings oder 1:1 NAT ist eigentlich relativ simpel und selbsterläuternd, aber vielleicht kannst du uns ja ein konkretes Beispiel geben, anhand dessen wir dich durch den Prozess führen können. Dann lichtet sich vielleicht die temporäre Verwirrung und weicht einer angenehmen Klarheit ;)

Grüße
Jens