hi orcape

danke für deine antwort!
ja du hast recht es ist nicht meiner ;)

das problem ist ich weiss nicht wie ich es einrichten soll, daher hatte ich gehofft das es jemand weiss.
ich habe folgene daten die ich eintragen muss:

ServerIP - x.x.x.x
Groupname=xxx
Grouppw=xxx
TCPTunnlingPort=10000 (wobei ich nicht weiss ob das nötig ist, ich habs nur aus der konfig gezogen)
EnableMSLogin=1  (wobei ich nicht weiss ob das nötig ist, ich habs nur aus der konfig gezogen)

Benutzername xxxxxx
Passwort Xxxxxxxxx

VPN IP bekommt ich bei den CLients immer via DHCP zugewiesen
und das ganze muss jetzt in die pfsense.

hast du da irgendwie eine idee?

Hi jojo2014,

Ist dies soweit ohne weitere Einstellungen möglich?

Das möchte ich erst mal anzweifeln.;)
Ich habe das gleiche Board mit pfSense im Einsatz, allerdings mit einer 2GB CF-Karte und der entsprechenden Embedded-Software.
Zumindest wirst Du im BIOS des Boards eine entsprechende Änderung des Bootmediums einstellen müssen.
Inwieweit das problemlos machbar ist, kann ich Dir nicht sagen.
Was soll überhaupt die Festplatte, für zusätzliche Software wie Squid etc. ist das Board mit seinem 500MHz Prozessor doch sowieso zu langsam. Es sei denn, Du möchtest jeden Kram mitloggen.
Aber was soll´s, Dein Part.
Dieses Jahr soll noch eine neues ALIX mit schnellerem Prozessor und GB-LAN auf den Markt kommen, vielleicht wäre dann Dein Vorhaben ja überflüssig…;)
Gruß orcape

Jetzt funktioniert alles. Musste für die FB noch statische Ports einschalten.

Das Problem mit dem Timeout habe ich mit der gleichen Konfiguration auch (Überraschung ::)).

dd if=/dev/ad0s1 of=/dev/ad0s2 bs=64k

Gibt es irgendeinen guten Grund das nicht einfach von Hand auf der Konsole zu machen? Dann kriege ich das Ende der Kopieraktion auf jeden Fall mit …

-flo-

Nochmal Servus,

habe den Fehler selbst gefunden:

Das eingesetzte System (EmRunner 5624) hat offenbar miese LAN-Chips verbaut (2x Realtek GBit, 4x Realtek 100MBit).
Habe das System heute gegen ein JetWay JBC373F38-525-B (4x Realtek GBit) ersetzt, das lief auf Anhieb ohne Probleme mit identischer Konfiguration.
Ja, ich weiß - Realtek is grundsätzlich nix dolles, aber wenn der Geldbeutel nicht so groß ist, muss man halt Abstriche machen. Außerdem habe ich noch nichts mit ähnlichen Maßen, 4x Intel GBit und halbwegs bezahlbar gefunden.

Wenn da jemand was Brauchbares kennt - immer her damit!
Auch für Tipps wie man die EmRunner Kiste doch noch stabil mit pfSense zum Laufen bringt wäre ich dankbar.

Gruß
Harry

Hi gekko,
lies Dir das mal durch und den Lösungspost dazu…
https://forum.pfsense.org/index.php/topic,72549.0.html
Unter Advanced Conf. die Routen/push Routen jeweils Hin- und Rückweg auch für remote LAN´s und vergiss nicht auf dem OpenVPN-Interface die Regeln dazu.
Ein Versuch mit einem zusätzlichen Gateway hat bei mir nicht gefunzt.
Gruß orcape

hat wirklich niemand eine idee? braucht ihr noch infos?

Schön das alles läuft !

Also doch die Subnetmask

Für alle die es nicht wissen und trotzdem Intressiert  ;D

Subnetz Maske /24 = 255.255.255.0
                      /32 = Kein IP-Subnetz, einzelne IP  / Broadcast

Gruß Fragezeichen

Nachtrag zum Arcor Speed Modem 200: Es läuft jetzt seit einiger Zeit völlig problemlos, stabil und performant. Meines hat bei ebay 1 € gekostet.  :)

-flo-

Ich teile deine Argumentation. Ich wollte nur mal hören ob im pfSense-Bereich auch eine Doktrin in diesen Thema herrscht.

Dieses Woche ist mein 34. Access Point online gegangen, hier am Standort. Das P/L-Verhältnis ist unschlagbar. Ich habe vier SSIDs und drei VLANS zzzgl. Management-Netz. Wirklich tolles Zeugs…

Hi,
hab das ganze Routing auf der pfSense eben hinbekommen ohne einen Multiclienttunnel zu machen.
Hier mal eine Beispiel-conf….

OpenVPN-Server3 Advanced Configuration push "route 10.7.8.0 255.255.255.0";    # zu OVPN-Netz 1 push "route 192.168.65.0 255.255.255.0"; # zu LAN hinter OVPN 1 route 192.168.65.0 255.255.255.0;        # zu LAN hinter OVPN 1 push "route 10.14.8.0 255.255.255.0";    # zu OVPN-Netz 2 push "route 192.168.187.0 255.255.255.0";# zu LAN hinter OVPN 2 route 192.168.187.0 255.255.255.0;      # zu LAN hinter OVPN 2 OpenVPN-Server2 Advanced Configuration push "route 10.13.6.0 255.255.255.0";  # zu Tunnel3 route 10.13.6.0 255.255.255.0;                # zu Tunnel3 OpenVPN-Server1 Advanced Configuration push "route 10.13.6.0 255.255.255.0";    # zu Tunnel3 route 10.13.6.0 255.255.255.0;                # zu Tunnel3 Für das OpenVPN-Interface noch ein paar Regeln erstellen und bei Bedarf modifizieren... pass Tunnel3-Tunnel1 pass Tunnel3-  LAN 1 pass Tunnel1-Tunnel3 pass LAN1  -Tunnel3 pass Tunnel3-Tunnel2 pass Tunnel3-  LAN 2 pass Tunnel2-Tunnel3 pass LAN 2  -Tunnel3

…und schon klappt die Verbindung in die remoten LAN´s.
Vom Aufwand her nicht mehr wie ein Multiclienttunnel, wenn man´s weiß. ;)
Leider habe ich dazu nichts in den Manuals finden können.
Gruß orcape

Ich möchte gerne Verbindungen die von der Firewall selber aufgebaut werden (z.B. der VPN-Client, aber auch DNSmasq oder NTP) per Rule matchen. Das wird benötigt, damit ich per Rule den Gateway bzw die Gatewaygruppe zuweisen kann.

Unter Shorewall würde das so aussehen:

ACCEPT  fw  pub:123.123.123.123 udp 1194 # vpn
ACCEPT  fw  pub:123.123.123.123 udp 53 # dns
ACCEPT  fw  pub:123.123.123.123 udp 123 # ntp

Aber ein Interface FW o.ä. gibt es leider nicht. Außerdem ist es wichtig, dass natürlich der State weiterhin beachtet wird und die Antwortpaket zurück kommen dürfen.

Aloha,

so seltsam ist das nicht, denn DHCP sieht das in den Specs einfach nicht vor. Per DHCP können keine 2 Adressen vergeben werden. Was auch immer der Provider da dreht, ist eben nicht standardisiert. Was ggf. Cisco mit "virtuell" macht ist einfach, dass man nach dem DHCP Request die MAC Adresse ändern kann und dann einen neuen DHCP Request senden kann. Da aber DHCP spezifiziert ist als "MAC Adresse stellt Anfrage und bekommt Adresse" ist die initale Fragestellung einfach nicht möglich. Der DHCP Daemon kann keine zwei Adressen für ein Interface bekommen. Was gehen könnte wäre ggf. ein zweites Interface auf das WAN hängen (hinter Modem o.ä.) und dieses auch auf DHCP stellen. Dann bekommt man das hin. Der Cisco Weg ist im Endeffekt auch nur Gemogel indem das mit einem virtuellen Interface durch andere MAC gebastelt wird.

Nur weil das der größte Schweizer ISP so macht, muss das nicht gut/richtig so sein ;) Die Tante Telekom hat jahrelang auch genug Unfug mit Dial-In Anschlüssen und DSL in DE gemacht was auch keinem Standard entspricht. Das macht es nicht gut und richtig ;)

Deshalb ist es eben nicht ohne weiteres möglich, weil das alles Methoden sind, die nach den Standard einfach falsch sind und nur durch (oftmals) Faulheit der Provider hingebastelt werden, egal ob der Kunde dann darunter leiden muss oder nicht. Was würde bspw. bei deinem Provider dagegen sprechen, dir die zwei Adressen statisch zuzuweisen? Oder eine per DHCP und die andere fest zu buchen und auf die dynamische zu routen (wäre auch unschön aber wenigstens korrekt geroutet).

Natürlich mag man mich korrigieren wenn ich falsch liege, aber das ist meines Wissens einfach nicht möglich, weil pfS eben auch "nur" einen guten Standard-DHCP Server/Client nutzt. Und die können das so ohne weiteres nicht. Wenn jemand doch einen Weg weiß, immer raus damit - ich bilde mich auch gern weiter :)

Grüße