Ja das ist denkbar, da die pfSense Filter mit Aliasen einrichten kann.

Unter Firewall / Aliases / IP einfach einen neuen Alias definieren (HostsAdminPC bspw.) und dort statt einer IP die DynDNS Adresse eingeben. Hierzu steht als Beschreibung:

Enter as many hosts as you would like. Hosts must be specified by their IP address or fully qualified domain name (FQDN). FQDN hostnames are periodically re-resolved and updated. If multiple IPs are returned by a DNS query, all are used.

Damit hast du, sofern du den Zugriff nicht gerade 1min nach einer neuen Zuweisung durch DynDNS versuchst, eigentlich genau das, was du möchtest :) Nach meinem letzten Kenntnisstand werden diese Aliase ca. alle 5min neu eingelesen, insofern solltest du spätestens 10min nach Wechsel der DynDNS Adresse wieder Zugriff haben.

Mein Rat wäre zusätzlich zur DynDNS Adresse noch eine Fixe IP einzutragen die immer klappt, sofern du sowas zur Verfügung hast (bspw. feste IP auf Arbeit o.ä.).

Grüße

Ahoi,

1:1 NAT brauchst du nicht, um an die FritzBox heranzukommen. Ich denke dort vorne könnte - wenn ich mir so deine ganzen IP Ranges anschaue - vielleicht auch dein Problem liegen. Ich musste auch dank Kabelanschluß zu Hause eine FritzBox vor die pfS stellen (lassen) und da Bridging keine Möglichkeit ist, das ganze per zweifache NAT lösen. Das läuft aber problemlos:

Fritzbox:
  - WAN Seite ist hier natürlich Kabel, wäre bei dir dann DSL
  - LAN konfiguriert auf: DHCP von 100-200, WLAN mit WPA2 für Gäste (die nichts im LAN zu suchen haben), IP 192.168.178.1/24 (Fritzbox Standard).
  - Netzwerk Weiterleitung konfiguriert auf 192.168.178.2 (allen Traffic von außen weiterleiten auf die IP der pfS)
  - Ggf. wenn nötig externe Erreichbarkeit der WebUI auf anderen Port konfigurieren (8443, 453 o.ä.), dann kann von außen auf die FB zugegriffen werden, sobald ein User dafür angelegt wurde (im neusten FritzOS)
  - Evtl. DynDNS einrichten, da die pfS dahinter sonst evtl. Probleme hat (weil sie die externe Adresse nicht ohne weiteres sieht).

pfSense:
  - WAN Seite auf 192.168.178.2, Default GW 192.168.178.1 (FB). Kein Blocken von Privaten Netzen, nur Bogus Check angehakt
  - LAN Seite beliebig
  - Advanced outbound NAT angelegt mit LAN/24 -> WAN .2 Adressmapping (ich mag es die Regeln zu sehen, deshalb auf Advanced geschaltet)
  - Firewallregel: Auf LAN erlaube Verbindung zu 192.168.178.1 auf WAN. Damit kann man problemlos die Fritzbox per IP erreichen.
  - DNS Forwarder: wenn du den nutzt, kannst du hier bspw. das Alias fritz.box anlegen und auf 192.168.178.1 konfigurieren. Damit ist dann auch das Standard fritz.box DNS Alias mit am Start.

Ich denke man kann dann besser prüfen, wo noch Probleme sind, wenn du die seltsamen 1:1 Mappings und die .1.x Netze vorne rausgeworfen hast und nur noch ein normales Transfernetz zwischen FB und pfS hast :)

Grüße

Könnte es sein, dass es ein Image >2GB ist und der Schalter für die Größenbeschränkung nicht gesetzt ist? Oder wird evtl. ein gz Archiv (nicht) genutzt obwohl angegeben?

Da muss ich tpf zustimmen. Ich hatte vor längerer Zeit noch an der Übersetzung der einzelnen Strings mitgeholfen, aber das Problem war dann wirklich, dass alle 3-4 Worte eines dabei war, dass man so schlecht übersetzen konnte ohne den Sinn zu verfälschen. Schlimmer finde ich dann eher noch, wenn Begrifflichkeiten verfremdet oder völlig falsch gebraucht werden. Das gabs und gibts teils heute noch in diversen SOHO Router All-in-1 Kisten Anleitungen. Wenn man dort was von DMZ liest und "sicher" und drei Sätze weiter wird erklärt, dass die Option den Rechner damit völlig nackt ohne Firewall ins Netz hängt, dann ist das ein exposed Host bzw. ein volle NAT Redirection, aber hat nicht das leiseste mit dem Konzept DMZ zu tun.

Ich würde auch dazu raten, ins tiefe Wasser zu springen und ansonsten einfach zu fragen :)

Das ist zwar nicht das was du beschrieben hast (deine Rede war von EINER Adresse auf MEHRERE 192er, deshalb der Rat, das alles auf eine zu mappen mit Adv. NAT), aber wenn das Resultat das ist was du haben wolltest, ist es doch auch gut :)

Servus,

das mit dem vorgeschlagenen Alias wird wohl etwas schwierig:
http://technet.microsoft.com/de-de/library/bb693717.aspx

Da stehen in der Serverliste einige Wildcards…

Habe keine Erfahrung damit, aber als Ansatz wäre vielleicht mit Squid etwas sinnvolles zu realiseren?
Damit könnte man zumindest die Wildcards abbilden und hätte den charmanten Nebeneffekt, dass das was sehr wahrscheinlich x-fach aufgerufen wird schon im Cache liegt.

Gruß
Harry

Servus,

laut Deinem Logauszug versucht die pfS bei sich selbst die Hosts aufzulösen. D.h. die sollten über den DNS Forwarder (ist der aktiviert?!?) bei den DNSsen aufgelöst werden, die Du im General Setup stehen hast.

Um das Ganze mal zu checken würde ich dort mal die Google DNS (8.8.8.8 und 8.8.4.4) eintragen und auf Use Gateway "none" setzten. Dann alle eventuell vorhandenen sonstigen rausnehmen und den Haken bei Allow DNS server list to be overridden by DHCP/PPP on WAN rausnehmen.

Damit nimmt die pfS nur noch die Googles her und die haben bisher (zumindest bei mir) in jeder Konstellation funktioniert.
Wenn's dann läuft könntest Du's so lassen, außer Du magst den Google nicht, oder Dein ISP mag keine DNS Anfragen bei fremden Servern, oder Du brauchst einen internen DNS (z.B. wegen Active Directory).

Gruß
Harry

Servus,

ich kann mich den Ausführungen nur anschließen und diese beim Thema Support noch erweitern:

Versuche mal für $100 pro Stunde einen wirklichen Spezialisten von einer der oben genannten Firmen ans Telefon, geschweige denn auf eine Problemkiste zu bekommen, der dann auch wirklich was reissen kann…

Nochmal zurück zum Thema: Warum ist pfSense sicherer?
Die Frage müsste eigentlich lauten: Warum kann pfSense sicherer sein?

Weil in den Händen, von jemandem der weis, was er tut, eine pfS Box SEHR sicher zu konfigurieren ist, weil alle Schrauben da sind um das einzustellen. Bei Konsumer Geräten wird der Apple-Modus gefahren: Du musst nix machen, ist alles ganz easy! Du kannst und darfst aber auch nix machen... Im Hochpreis-Segment hängt's dann wieder eher vom Geldbeutel ab, wie sicher es sein darf.

Bei pfS ist alles, was das Ding kann drin und vom Endbenutzer einstellbar und das für lau.
Wie man es einstellen will bleibt jedem selbst überlassen.
Gefällt mir!

Gruß
Harry

Servus,

das muss nicht an pfSense liegen.
Bei IPSec gibt es an beiden Endpunkten eine Firewall.
Evtl. ist bei Dir am Client etwas gesperrt?

Ich hab mit der 2.1 und IPSec keine Probleme.

Gruß
Harry

Servus,

soweit ich mich erinnere habe ich hier im Forum gelesen, dass Squid nur über das Default Gateway raus kann.
Ich würde testweise mal das Default Gateway auf die 4MBit umstellen und für das interne Netz in den Firewall Rules die 50MB als Gateway einstellen.
Wenn Du natürlich auch die internen über den Proxy schicken willst, wird's schwierig…

Gruß
Harry

Und schau dir das mal an, so hab ich dies bei einem Freund im Hotel gemacht

….ist  ein super Tutorial von "Aqui", wenn der "Geldbeutel" des Hoteliers mitspielt... ;)

Hab die vermissten Pakete und das Problem gefunden  :)
tcpdump zeigt mir die "vermissten" Pakete an vr2
Das Problem war, dass ich wohl die default Route via vr0 hatte, aber an vr2 eine OpenVPN-Client Verbindung an die IP des IMAPS Server. Diese OVPN Verbindung hat dann eine Route erzeugt für die Server IP via vr2. Drum sind die Pakete für diesen einen Server immer via dem "falschen" Interface raus.
Als Lösung die OVPN Verbindung ebenfalls von vr0 aus und alles lüppt :)

Soweit ich das Widget im Dashboard gesehen habe, ist das ein einziges Widget mit allen VLANs. Die Gruppierung oder Liste kann man meines Kenntnisstandes nicht ohne weiteres ändern. Ich bin auch heute morgen darüber gestolpert und wollte nur ein einziges VLAN anzeigen ;)

Möglich wäre evtl ein eigenes Widget zu bauen, welches nur ein gegebenes VLAN anzeigt anstatt alle. Aber wie das sinnvoll umzusetzen ist, da muss ich leider passen.

Ahoi,

ja das ist normal, da man bei der CF embedded Installation davon ausging, dass die CF Karten ggf. fest in einem Gehäuse verbaut sind (à la ALIX/WRAP) und somit nur schlecht gewechselt bzw. neu geflasht werden können. Ganz im Gegensatz zu einer normalen HDD Installation, die man per USB/CD ja jederzeit neu machen kann.
Deshalb sind auf der CF 2 Partitionen für die Installation, eine aktive und eine passive. Im Dashboard wird angezeigt, welches Slice gerade aktiv ist. Bei einem FW Update wird das Update auf die nicht aktive Partition geschrieben, die Konfiguration rübergesichert und neu gebootet. Im Fehlerfalle kann dann einfach die alte Installation wieder gestartet werden.

Grüße

Kannst du den ersten Router ohne Zugriff per Ping aus LAN A ansprechen?
Sind auf allen beteiligten Routern entsprechende Routingtables konfiguriert?

Gruß
Livinlight

Darf man davon ausgehen das WAN und LAN Interfaces der Pfsense in unterschiedlichen Netzsegmenten stehen?

Grüße
Livinlight