Da genau das bei meiner Kabel-Fritzbox nicht sauber funktionierte, habe ich das vom Provider (Unitymedia) zugewiesene /56er verworfen und mir ein freies /64er Netz von Hurricane Electrics reserviert. Das einzurichten dauerte einen Bruchteil der Zeit, die ich mit Herumhakeln der Fritzbox, pfSense und Settings der FB verbracht hatte.

Problem war, dass man die FB zwar dazu bringen kann, ein Präfix weiterzudelegieren, allerdings kann man die Größe des Bereichs nicht festlegen. Das ist intern auf ein /62er (?) Netz voreingestellt (laut AVM Specs die ich gefunden habe). Allerdings holt sich die pfS trotz entsprechender Einstellungen kein /62er ab, sondern mappt ein /64er auf WAN und eines per Track auf LAN. Allerdings kommen dabei aus ominösen Gründen die Routing Einstellungen irgendwie durcheinander. Endresultat war zumindest, dass zwar meine PCs im LAN mal eine v6 Adresse bekamen (manchmal auch nicht), das Routing aber trotzdem nicht funktionierte. Jeder v6 Test nach extern schlug fehl. Außerdem hat man leider keinerlei Kontrolle über den DHCP6 mehr, da die pfS nur noch als Forwarder arbeitet. Und auf der FB kann mans entsprechend auch nicht wirklich schön konfigurieren. Schlußendlich war mir dann der HE Tunnel lieber (auch wenn ich kein Tunnel Fan bin, wenn man schon ein /60er oder /56er Bereich bekommt), da ich den dann wenigstens ordentlich auf pfS Seite konfigurieren und managen kann (DHCP6 Leases etc etc.) und den dann auch zu einem anderen Provider mitnehmen kann :)

Grüße

Eine einzelne Karte kann nur auf einer Frequenz gleichzeitig operieren.
Wenn du 2.4 und 5GHz gleichzeitig willst, brauchst du 2 Karten.

Hallo,

super Sache! Das wars!

Ansonsten, vergewissere dich, dass am OVPN-Server unter Client Settings der Haken bei "Address Pool" gesetzt und der darunter bei Topology nicht gesetzt ist, wenn er nicht unbedingt benötigt wird.

Genauergesagt war der Topology Haken gesetzt. (ich weiß nicht genau, was ich damit jetzt gemacht habe) aber es funktioniert jetzt Einwandfrei!

zu deiner Frage: Ja - ich verwende den normalen client, den ich übüer client-export im Bereich "openVPN" exportieren kann.

Vielen Dank für die Unterstützung!

lg. Christian

Hast du bei den Authentication Settings am Mac die Gruppe angegeben (Group Name = Peer Identifier/User distinguished name im Ipsec)?

Sonst ist dort nciht viel zu konfigurieren, funkt hier einwandfrei mit 10.9x

Policy generation auf unique, Proposal auf Strict.

@JeGr:

@Hobby: Wenn das aber "alles" ist, kann es durchaus sein, dass je nach Zeitaufwand und Finanzlage es einfacher ist, dass einfach beim Paid-Support einzukippen und da ggf. eben ne Stunde oder was zu zahlen dafür, dass sie einem ein custom/angepasstes Paket bauen und/oder maintainen. Evtl. wird es ja nach der Anforderung auch mit in den normalen Build aufgenommen. Fragen schadet zumindest nicht. :)

Ja, nein, ja… ;)

Ich habe pfSense auch bei Kunden im Einsatz und die haben - jeder für sich - spezielle Wünsche. Im Großen und Ganzen überschneiden sich die Wünsche meist. Für mich ist es einfacher ein eigenes repository zu halten und darin (zu den standard packages) noch meine eigenen anzubieten.

z. B. squid
ich arbeite mit der Version 3.3.11, welche im offiziellen repository als "dev" gekennzeichnet ist und somit nicht mit "stable" gleichgesetzt werden kann. Ein ganz großes Problem für mich war die fehlende Unterstützung für Zertifikate mit key >2048 bit. Wir können uns jetzt streiten, ob das sinnvoll ist oder nicht... Aber ja, für mich war es notwendig.

Wenn man sich einmal eingearbeitet hat, ist das selber kompilieren von PBIs kein Problem. Natürlich kommt es hier auf die Vorkenntnisse FreeBSD und kompilieren an. Ob jeder kleine Wunsch auf Anpassungen von packages über den Gold-Support Erfolg haben wird, zweifle ich auch ein wenig an.
Ich habe mir heute mal das Thema AD-auth bei squid angeschaut. Wenn Du weißt, wie Du Dateien auf der Box editieren kannst, dann sollte das ein Aufwand von wenigen Stunden sein, um es dann schnell und einfach verfielfältigen zu können.

@badger: tut er im Normalfall eben nicht ;) Da du leider aber immer noch nicht wirklich das Setup klarer beschrieben hast, versuch ichs mal mir vorzustellen:

WAN1,2,3 hängen per Modem direkt an der pfS. Sprich: Es sind mindestens 4 Interfaces an der pfSense? WAN1/2/3 und LAN? WAN1-3 bauen die Verbindung per PPPoE auf und bekommen eine statische IP zugewiesen? Im LAN hängen mehrere VMs auf denen ein Webserver läuft? (Exemplarisch VM1,2,3)? Konfigurationswunsch ist nun Zugriff über alle 3 WANs auf die VMs? Oder pro WAN eine VM (warum)?

Was mir unklar ist, was ihr zu erreichen versucht:

Selbst bei pro WAN einer VM: Wie sollen die Webseiten darauf über alle 3 WANs verfügbar gemacht werden?
  - Custom WAN wrapper?
  - DNS RoundRobin?
  - Verschiedene DNS Namen (www1-3) mit externem Loadbalancer?
  - custom RFC2136 DNS? Warum der HAProxy auf der pfSense?
  - internes Loadbalancing damit mal eine VM ausfallen kann?
  - externes Balancing? Wie wird dann aber ein Interfaceausfall gehandelt?

Wäre schön dazu ein wenig Einsicht zu bekommen, dann wäre auch die Antwort einfacher, wie ihr das erreichen könnt, was ihr da versucht? :)

Das wird nicht über die lokale User Datenbank gehen sondern nur mit einem Radius Server und entsprechende Wildcards dort in der Authentisierung.
Klappt ist aber Aufwand im Betrieb und Customizing.
Besser ist sicher eine Voucher basierte Verwaltung über einen Webserver:
http://www.administrator.de/contentid/193763

Eine gute Anleitung wie man es mit einem grafischen Syslog und einem Raspberry Pi macht findest du unter anderem hier:
http://www.administrator.de/contentid/191718
bzw.
http://www.administrator.de/contentid/193763

Es gibt diverse Speedports die das können. Allerdings ist deren Verhalen unterschiedlich. Manche der moderneren taggen von sich aus allen ausgehenden Traffic mit der iD7 da ist ein Tagging auf der pfSense nicht mehr nötig. Die älteren tun das meistens nicht so das eine VLAN Konfig erforderlich ist.
Ein Klassiker ist das Speedport 300HS Modem was es für kleines Geld bei eBay gibt.
Details zu VDSL Modems auch hier http://www.administrator.de/contentid/149915 im Bereich "VDSL".

Sry für die verspätete Nachricht und danke für eine Antwort. Ich komme mir oft wie ein Alleinunterhalter vor :'(

Ja die Firewall steht seit eh und je auf Conservative, daran liegt es nicht :/

Ich glaube es liegt an meinem Lancom LC1722Voip, der als Voipserver fungiert. Wenn ich eine Fritzbox als Voip Cliet oder Server einsetze kann ich länger als 30 Sekunden telefonieren.

Ich werde mir jetzt erstmal einen Asterisk-Server aufsetzen, damit das leidige Thema Voip mal von meiner Todo Liste kommt.

Gruß
Rubinho

Ich habe mich auch gerade gefragt wozu der Aufwand. Plus VPNs hintereinanderzukoppeln ist totaler Irrwitz. Auch von der Performance Seite her. Schön, wenn das alles virtuelle Maschinen sind auf einem kräftigen System, aber was da an (sinnloser) Performance auf der Strecke bleibt, ist schon enorm. Dazu kommt, dass die Pakete von der Ubuntu VM dann verschlüsselt und getunnelt werden in Pfs1, dann nochmals verschlüsselt und getunnelt in pfs2. Das alles wird um das arme IP Paket drumherum geschnürt. Das eh nur 1500 Byte (etwas weniger bei DSL) groß sein darf. Sprich die Payload sinkt, der Overhead steigt enorm und der Traffic muss in viele kleine Pakete zusammengeschlagen werden, was nochmals Latenz und Leistung kostet.

Als Lern/Test/Experimental-Projekt sicher ganz interessant, aber produktiv ein Albtraum.

Gegenfrage: Was hindert dich daran, einen weiteren IPSec Service zu konfigurieren für die Win7 Clients? Zumal echte Clients normalerweise eh andere Security Implications bzw. Berechtigungen haben als Mobile Devices (zumindest bei uns)?

Hi,

die FB hing über WAN Zugang LAN1 an dem KD Modem, anders gehts auch nicht, da sonst die FB über den eigenen WAN Port versucht ins I-Net zu gehen.

Komischerweise hat es nun geklappt. Ich musste gestern im Haus komplett den Strom trennen und somit waren auch die beiden Modems stromlos. Nachdem dann die Modems wieder gebootet hatten, funktionierte plötzlich der Zugang über die Tenvis Software (auch von außerhalb)  ;D Ich hatte zwar zwischenzeitlich auch schon beide Modems neu gebootet, aber da funktionierte es nicht…

Die Konstellation habe ich nun folgendermaßen (für alle die vor dem selben Problem stehen):

KD-Modem (Hitron) ALIX Board mit PfSense an KD Modem an LAN 1 (vr1) Tennis HD-Camera über Netgear Netzwerkswitch an LAN (vr0) Alles soweit konfiguriert plus Bridge 1 (WLAN/LAN) und Bridge 2 (WAN/LAN)

Jetzt müsste ich nochmal schauen, welche Firewallregeln ich aufstelle. Welche Ports sollten für den "normalen" Betrieb offen sein? Ich kenne im Moment nur LAN (Port 443 & 80) und 81 oder 8001 für Camera.

Danke & viele Grüße
Sven

Für diese Konstellation fehlt noch eine weitere IP Adresse (ob v6 oder v4 ist eher nebensächlich). Aber so kann das System nicht virtuallisiert betrieben werden. Das /64er v6 Netz muss irgendwo hin geroutet werden. Deshalb braucht es zumindest noch eine extra v6 Adresse. So wird davon ausgegangen, dass das installierte System selbst die IPs verwaltet und wenn das ein Host mit mehreren VMs werden soll klappt das nicht. Die Routing Instanz benötigt eine eigene IP getrennt von der physikalischen Maschine (die die ursprüngliche v4 Adresse hat. Ob das v6 Netz MAC gebunden ist oder nicht kann ich nicht beurteilen, evtl. kann man es dann extern auf die pfSense draufbinden, das hängt aber vom Hoster ab.

Hallo danke dir erstmals.

Genau ich möchte alles was vom WLAN her kommt über den Tunnel schicken.
–-----------------------------------------------------------------------------------------------------------
Habe folgende Schritte ausgeführt:

1.JPG

2.JPG

@viragomann:

Dann werden die autom. gen. NAT Regeln aufgelistet. Die für WLAN änderst du auf die IP des VPN Gateway.
Dann sollte der Traffic über den Tunnel geführt werden. Das aber ohne Gewähr.

3.JPG

Hier habe ich aber noch ein Problem. Wie müsste ich dies einstellen?

2.JPG
2.JPG_thumb
3.JPG
3.JPG_thumb
1.JPG
1.JPG_thumb

habe ich zuwenig infos gegeben

Obwohl sich noch niemand gemeldet hat, bitte ich diesen Thread zu schließen, da ich selbst eine Lösung gefunden habe. Bei Interesse hier meine Lösung: https://forum.pfsense.org/index.php?topic=74546.msg407664#msg407664

https://forum.pfsense.org/index.php?topic=74618.msg407635#msg407635