@JeGr:

Vielleicht treibt es dich für was anderes ja zurück zu pfSense.

Ich behalte es ganz sicher weiter im Sichtfeld und beobachte die Entwicklung  … es gibt immer wieder Leute die nach ner einfach zu administrierenden Lösung Fragen und da ist pfSense ganz vorne mit dabei.
cu

Ahoi,

über was für einen Proxy reden wir denn? Derer gibt es verschiedene für die pfSense. Was möchtest du damit den anstellen?
Dazu kommt, dass nicht nur Proxy etc. die Performance beeinflussen, sondern es auch darauf ankommt, wie groß deine Internet-Anbindung ist (Bandbreite), denn die ALIX bspw. kann mit ihrer doch etwas betagteren kleinen CPU z.B. keine 100MBit/s Anbindung handeln.

Grüße

@virago Natürlich wird er die haben, aber fragen schadet ja nichts ;)

So wie Du es schilderst sieht es schon so aus, als ob es zwar vom Client, aber nicht vom Browser abhängig ist. Das heißt aber nicht, daß das Problem bei den Clients liegen muß.

Es gibt noch eine Status-Seite: Status > Captive Portal. Was steht denn da, wenn das Problem auftritt? Gibt es da noch Einträge? Und dann nochmal die Frage nach dem Logfile der pfSense (Status > System Logs).

Kein Problem. Betrifft mich selbst, da ich in einigen alten Appliances noch 512er (und in alten WRAPs noch 128er industrial CFs) verbaut habe. Die müssen auch alle raus. Vorteil dabei ist, dass man inzwischen die 4G Größe auch mit anständigen Geschwindigkeiten bekommt, so dass sich hier auch das Handling etwas beschleunigt (subjektiv).

Grüße

Ahoi,

ja die pfSense kann als Radius Server fungieren. Warum du aber beim Ausleuchten vom Hotel MultiSSID als Feature haben möchtest, erschließt sich mir nicht ganz. Normalerweise ist der Prozess eher, das Hotel ordentlich von vorn bis hinten abzumessen und WLAN APs mit wechselndem Kanal (1,7,13 oder 1,6,11 konservativ - wenns eng wird auch Ch. 1,5,9,13) zu deployen, die möglichst alles ausleuchten ohne sich groß zu überschneiden. Wenn mans wirklich toll machen will und ein gutes Angebot hat, bekommt man teils auch WiFi Bundles von größeren Herstellern (Juniper, HP, etc.) bei denen nicht nur gleich mehrere APs sondern auch ein Controller mit im Gepäck ist, der das Handover übernimmt, womit dann der Gast wirklich komplett durchs Hotel gehen kann ohne den WLAN Empfang zu verlieren (der Controller übernimmt das Roaming).

Multiple SSIDs machen hier eigentlich nur Sinn, wenn man gleichzeitig auch noch einen privaten Bereich für sich selbst abzweigen will und den dann per VLAN auch noch gleich abschottet und in ein anderes IP Netz legt.

Grüße

Ja leider, das mit den Selbstgesprächen ist aber nicht nur ein Problem bei pfsense ;)

@coolio: bei den IP Netzen muss (müsste im Text hintendranstehen) einmal das entfernte und einmal das lokale Netz angegeben werden, damit die entsprechende Route erzeugt werden kann. Du kannst auch schlicht nach der off. Doku gehen:

https://doc.pfsense.org/index.php/OpenVPN_Site-to-Site_(Shared_Key,_2.0)

Da genau das bei meiner Kabel-Fritzbox nicht sauber funktionierte, habe ich das vom Provider (Unitymedia) zugewiesene /56er verworfen und mir ein freies /64er Netz von Hurricane Electrics reserviert. Das einzurichten dauerte einen Bruchteil der Zeit, die ich mit Herumhakeln der Fritzbox, pfSense und Settings der FB verbracht hatte.

Problem war, dass man die FB zwar dazu bringen kann, ein Präfix weiterzudelegieren, allerdings kann man die Größe des Bereichs nicht festlegen. Das ist intern auf ein /62er (?) Netz voreingestellt (laut AVM Specs die ich gefunden habe). Allerdings holt sich die pfS trotz entsprechender Einstellungen kein /62er ab, sondern mappt ein /64er auf WAN und eines per Track auf LAN. Allerdings kommen dabei aus ominösen Gründen die Routing Einstellungen irgendwie durcheinander. Endresultat war zumindest, dass zwar meine PCs im LAN mal eine v6 Adresse bekamen (manchmal auch nicht), das Routing aber trotzdem nicht funktionierte. Jeder v6 Test nach extern schlug fehl. Außerdem hat man leider keinerlei Kontrolle über den DHCP6 mehr, da die pfS nur noch als Forwarder arbeitet. Und auf der FB kann mans entsprechend auch nicht wirklich schön konfigurieren. Schlußendlich war mir dann der HE Tunnel lieber (auch wenn ich kein Tunnel Fan bin, wenn man schon ein /60er oder /56er Bereich bekommt), da ich den dann wenigstens ordentlich auf pfS Seite konfigurieren und managen kann (DHCP6 Leases etc etc.) und den dann auch zu einem anderen Provider mitnehmen kann :)

Grüße

Eine einzelne Karte kann nur auf einer Frequenz gleichzeitig operieren.
Wenn du 2.4 und 5GHz gleichzeitig willst, brauchst du 2 Karten.

Hallo,

super Sache! Das wars!

Ansonsten, vergewissere dich, dass am OVPN-Server unter Client Settings der Haken bei "Address Pool" gesetzt und der darunter bei Topology nicht gesetzt ist, wenn er nicht unbedingt benötigt wird.

Genauergesagt war der Topology Haken gesetzt. (ich weiß nicht genau, was ich damit jetzt gemacht habe) aber es funktioniert jetzt Einwandfrei!

zu deiner Frage: Ja - ich verwende den normalen client, den ich übüer client-export im Bereich "openVPN" exportieren kann.

Vielen Dank für die Unterstützung!

lg. Christian

Hast du bei den Authentication Settings am Mac die Gruppe angegeben (Group Name = Peer Identifier/User distinguished name im Ipsec)?

Sonst ist dort nciht viel zu konfigurieren, funkt hier einwandfrei mit 10.9x

Policy generation auf unique, Proposal auf Strict.

@JeGr:

@Hobby: Wenn das aber "alles" ist, kann es durchaus sein, dass je nach Zeitaufwand und Finanzlage es einfacher ist, dass einfach beim Paid-Support einzukippen und da ggf. eben ne Stunde oder was zu zahlen dafür, dass sie einem ein custom/angepasstes Paket bauen und/oder maintainen. Evtl. wird es ja nach der Anforderung auch mit in den normalen Build aufgenommen. Fragen schadet zumindest nicht. :)

Ja, nein, ja… ;)

Ich habe pfSense auch bei Kunden im Einsatz und die haben - jeder für sich - spezielle Wünsche. Im Großen und Ganzen überschneiden sich die Wünsche meist. Für mich ist es einfacher ein eigenes repository zu halten und darin (zu den standard packages) noch meine eigenen anzubieten.

z. B. squid
ich arbeite mit der Version 3.3.11, welche im offiziellen repository als "dev" gekennzeichnet ist und somit nicht mit "stable" gleichgesetzt werden kann. Ein ganz großes Problem für mich war die fehlende Unterstützung für Zertifikate mit key >2048 bit. Wir können uns jetzt streiten, ob das sinnvoll ist oder nicht... Aber ja, für mich war es notwendig.

Wenn man sich einmal eingearbeitet hat, ist das selber kompilieren von PBIs kein Problem. Natürlich kommt es hier auf die Vorkenntnisse FreeBSD und kompilieren an. Ob jeder kleine Wunsch auf Anpassungen von packages über den Gold-Support Erfolg haben wird, zweifle ich auch ein wenig an.
Ich habe mir heute mal das Thema AD-auth bei squid angeschaut. Wenn Du weißt, wie Du Dateien auf der Box editieren kannst, dann sollte das ein Aufwand von wenigen Stunden sein, um es dann schnell und einfach verfielfältigen zu können.

@badger: tut er im Normalfall eben nicht ;) Da du leider aber immer noch nicht wirklich das Setup klarer beschrieben hast, versuch ichs mal mir vorzustellen:

WAN1,2,3 hängen per Modem direkt an der pfS. Sprich: Es sind mindestens 4 Interfaces an der pfSense? WAN1/2/3 und LAN? WAN1-3 bauen die Verbindung per PPPoE auf und bekommen eine statische IP zugewiesen? Im LAN hängen mehrere VMs auf denen ein Webserver läuft? (Exemplarisch VM1,2,3)? Konfigurationswunsch ist nun Zugriff über alle 3 WANs auf die VMs? Oder pro WAN eine VM (warum)?

Was mir unklar ist, was ihr zu erreichen versucht:

Selbst bei pro WAN einer VM: Wie sollen die Webseiten darauf über alle 3 WANs verfügbar gemacht werden?
  - Custom WAN wrapper?
  - DNS RoundRobin?
  - Verschiedene DNS Namen (www1-3) mit externem Loadbalancer?
  - custom RFC2136 DNS? Warum der HAProxy auf der pfSense?
  - internes Loadbalancing damit mal eine VM ausfallen kann?
  - externes Balancing? Wie wird dann aber ein Interfaceausfall gehandelt?

Wäre schön dazu ein wenig Einsicht zu bekommen, dann wäre auch die Antwort einfacher, wie ihr das erreichen könnt, was ihr da versucht? :)

Das wird nicht über die lokale User Datenbank gehen sondern nur mit einem Radius Server und entsprechende Wildcards dort in der Authentisierung.
Klappt ist aber Aufwand im Betrieb und Customizing.
Besser ist sicher eine Voucher basierte Verwaltung über einen Webserver:
http://www.administrator.de/contentid/193763

Eine gute Anleitung wie man es mit einem grafischen Syslog und einem Raspberry Pi macht findest du unter anderem hier:
http://www.administrator.de/contentid/191718
bzw.
http://www.administrator.de/contentid/193763

Es gibt diverse Speedports die das können. Allerdings ist deren Verhalen unterschiedlich. Manche der moderneren taggen von sich aus allen ausgehenden Traffic mit der iD7 da ist ein Tagging auf der pfSense nicht mehr nötig. Die älteren tun das meistens nicht so das eine VLAN Konfig erforderlich ist.
Ein Klassiker ist das Speedport 300HS Modem was es für kleines Geld bei eBay gibt.
Details zu VDSL Modems auch hier http://www.administrator.de/contentid/149915 im Bereich "VDSL".

Sry für die verspätete Nachricht und danke für eine Antwort. Ich komme mir oft wie ein Alleinunterhalter vor :'(

Ja die Firewall steht seit eh und je auf Conservative, daran liegt es nicht :/

Ich glaube es liegt an meinem Lancom LC1722Voip, der als Voipserver fungiert. Wenn ich eine Fritzbox als Voip Cliet oder Server einsetze kann ich länger als 30 Sekunden telefonieren.

Ich werde mir jetzt erstmal einen Asterisk-Server aufsetzen, damit das leidige Thema Voip mal von meiner Todo Liste kommt.

Gruß
Rubinho

Ich habe mich auch gerade gefragt wozu der Aufwand. Plus VPNs hintereinanderzukoppeln ist totaler Irrwitz. Auch von der Performance Seite her. Schön, wenn das alles virtuelle Maschinen sind auf einem kräftigen System, aber was da an (sinnloser) Performance auf der Strecke bleibt, ist schon enorm. Dazu kommt, dass die Pakete von der Ubuntu VM dann verschlüsselt und getunnelt werden in Pfs1, dann nochmals verschlüsselt und getunnelt in pfs2. Das alles wird um das arme IP Paket drumherum geschnürt. Das eh nur 1500 Byte (etwas weniger bei DSL) groß sein darf. Sprich die Payload sinkt, der Overhead steigt enorm und der Traffic muss in viele kleine Pakete zusammengeschlagen werden, was nochmals Latenz und Leistung kostet.

Als Lern/Test/Experimental-Projekt sicher ganz interessant, aber produktiv ein Albtraum.

Gegenfrage: Was hindert dich daran, einen weiteren IPSec Service zu konfigurieren für die Win7 Clients? Zumal echte Clients normalerweise eh andere Security Implications bzw. Berechtigungen haben als Mobile Devices (zumindest bei uns)?