Hi gekko,
lies Dir das mal durch und den Lösungspost dazu…
https://forum.pfsense.org/index.php/topic,72549.0.html
Unter Advanced Conf. die Routen/push Routen jeweils Hin- und Rückweg auch für remote LAN´s und vergiss nicht auf dem OpenVPN-Interface die Regeln dazu.
Ein Versuch mit einem zusätzlichen Gateway hat bei mir nicht gefunzt.
Gruß orcape

hat wirklich niemand eine idee? braucht ihr noch infos?

Schön das alles läuft !

Also doch die Subnetmask

Für alle die es nicht wissen und trotzdem Intressiert  ;D

Subnetz Maske /24 = 255.255.255.0
                      /32 = Kein IP-Subnetz, einzelne IP  / Broadcast

Gruß Fragezeichen

Nachtrag zum Arcor Speed Modem 200: Es läuft jetzt seit einiger Zeit völlig problemlos, stabil und performant. Meines hat bei ebay 1 € gekostet.  :)

-flo-

Ich teile deine Argumentation. Ich wollte nur mal hören ob im pfSense-Bereich auch eine Doktrin in diesen Thema herrscht.

Dieses Woche ist mein 34. Access Point online gegangen, hier am Standort. Das P/L-Verhältnis ist unschlagbar. Ich habe vier SSIDs und drei VLANS zzzgl. Management-Netz. Wirklich tolles Zeugs…

Hi,
hab das ganze Routing auf der pfSense eben hinbekommen ohne einen Multiclienttunnel zu machen.
Hier mal eine Beispiel-conf….

OpenVPN-Server3 Advanced Configuration push "route 10.7.8.0 255.255.255.0";    # zu OVPN-Netz 1 push "route 192.168.65.0 255.255.255.0"; # zu LAN hinter OVPN 1 route 192.168.65.0 255.255.255.0;        # zu LAN hinter OVPN 1 push "route 10.14.8.0 255.255.255.0";    # zu OVPN-Netz 2 push "route 192.168.187.0 255.255.255.0";# zu LAN hinter OVPN 2 route 192.168.187.0 255.255.255.0;      # zu LAN hinter OVPN 2 OpenVPN-Server2 Advanced Configuration push "route 10.13.6.0 255.255.255.0";  # zu Tunnel3 route 10.13.6.0 255.255.255.0;                # zu Tunnel3 OpenVPN-Server1 Advanced Configuration push "route 10.13.6.0 255.255.255.0";    # zu Tunnel3 route 10.13.6.0 255.255.255.0;                # zu Tunnel3 Für das OpenVPN-Interface noch ein paar Regeln erstellen und bei Bedarf modifizieren... pass Tunnel3-Tunnel1 pass Tunnel3-  LAN 1 pass Tunnel1-Tunnel3 pass LAN1  -Tunnel3 pass Tunnel3-Tunnel2 pass Tunnel3-  LAN 2 pass Tunnel2-Tunnel3 pass LAN 2  -Tunnel3

…und schon klappt die Verbindung in die remoten LAN´s.
Vom Aufwand her nicht mehr wie ein Multiclienttunnel, wenn man´s weiß. ;)
Leider habe ich dazu nichts in den Manuals finden können.
Gruß orcape

Ich möchte gerne Verbindungen die von der Firewall selber aufgebaut werden (z.B. der VPN-Client, aber auch DNSmasq oder NTP) per Rule matchen. Das wird benötigt, damit ich per Rule den Gateway bzw die Gatewaygruppe zuweisen kann.

Unter Shorewall würde das so aussehen:

ACCEPT  fw  pub:123.123.123.123 udp 1194 # vpn
ACCEPT  fw  pub:123.123.123.123 udp 53 # dns
ACCEPT  fw  pub:123.123.123.123 udp 123 # ntp

Aber ein Interface FW o.ä. gibt es leider nicht. Außerdem ist es wichtig, dass natürlich der State weiterhin beachtet wird und die Antwortpaket zurück kommen dürfen.

Aloha,

so seltsam ist das nicht, denn DHCP sieht das in den Specs einfach nicht vor. Per DHCP können keine 2 Adressen vergeben werden. Was auch immer der Provider da dreht, ist eben nicht standardisiert. Was ggf. Cisco mit "virtuell" macht ist einfach, dass man nach dem DHCP Request die MAC Adresse ändern kann und dann einen neuen DHCP Request senden kann. Da aber DHCP spezifiziert ist als "MAC Adresse stellt Anfrage und bekommt Adresse" ist die initale Fragestellung einfach nicht möglich. Der DHCP Daemon kann keine zwei Adressen für ein Interface bekommen. Was gehen könnte wäre ggf. ein zweites Interface auf das WAN hängen (hinter Modem o.ä.) und dieses auch auf DHCP stellen. Dann bekommt man das hin. Der Cisco Weg ist im Endeffekt auch nur Gemogel indem das mit einem virtuellen Interface durch andere MAC gebastelt wird.

Nur weil das der größte Schweizer ISP so macht, muss das nicht gut/richtig so sein ;) Die Tante Telekom hat jahrelang auch genug Unfug mit Dial-In Anschlüssen und DSL in DE gemacht was auch keinem Standard entspricht. Das macht es nicht gut und richtig ;)

Deshalb ist es eben nicht ohne weiteres möglich, weil das alles Methoden sind, die nach den Standard einfach falsch sind und nur durch (oftmals) Faulheit der Provider hingebastelt werden, egal ob der Kunde dann darunter leiden muss oder nicht. Was würde bspw. bei deinem Provider dagegen sprechen, dir die zwei Adressen statisch zuzuweisen? Oder eine per DHCP und die andere fest zu buchen und auf die dynamische zu routen (wäre auch unschön aber wenigstens korrekt geroutet).

Natürlich mag man mich korrigieren wenn ich falsch liege, aber das ist meines Wissens einfach nicht möglich, weil pfS eben auch "nur" einen guten Standard-DHCP Server/Client nutzt. Und die können das so ohne weiteres nicht. Wenn jemand doch einen Weg weiß, immer raus damit - ich bilde mich auch gern weiter :)

Grüße

Ja das ist denkbar, da die pfSense Filter mit Aliasen einrichten kann.

Unter Firewall / Aliases / IP einfach einen neuen Alias definieren (HostsAdminPC bspw.) und dort statt einer IP die DynDNS Adresse eingeben. Hierzu steht als Beschreibung:

Enter as many hosts as you would like. Hosts must be specified by their IP address or fully qualified domain name (FQDN). FQDN hostnames are periodically re-resolved and updated. If multiple IPs are returned by a DNS query, all are used.

Damit hast du, sofern du den Zugriff nicht gerade 1min nach einer neuen Zuweisung durch DynDNS versuchst, eigentlich genau das, was du möchtest :) Nach meinem letzten Kenntnisstand werden diese Aliase ca. alle 5min neu eingelesen, insofern solltest du spätestens 10min nach Wechsel der DynDNS Adresse wieder Zugriff haben.

Mein Rat wäre zusätzlich zur DynDNS Adresse noch eine Fixe IP einzutragen die immer klappt, sofern du sowas zur Verfügung hast (bspw. feste IP auf Arbeit o.ä.).

Grüße

Ahoi,

1:1 NAT brauchst du nicht, um an die FritzBox heranzukommen. Ich denke dort vorne könnte - wenn ich mir so deine ganzen IP Ranges anschaue - vielleicht auch dein Problem liegen. Ich musste auch dank Kabelanschluß zu Hause eine FritzBox vor die pfS stellen (lassen) und da Bridging keine Möglichkeit ist, das ganze per zweifache NAT lösen. Das läuft aber problemlos:

Fritzbox:
  - WAN Seite ist hier natürlich Kabel, wäre bei dir dann DSL
  - LAN konfiguriert auf: DHCP von 100-200, WLAN mit WPA2 für Gäste (die nichts im LAN zu suchen haben), IP 192.168.178.1/24 (Fritzbox Standard).
  - Netzwerk Weiterleitung konfiguriert auf 192.168.178.2 (allen Traffic von außen weiterleiten auf die IP der pfS)
  - Ggf. wenn nötig externe Erreichbarkeit der WebUI auf anderen Port konfigurieren (8443, 453 o.ä.), dann kann von außen auf die FB zugegriffen werden, sobald ein User dafür angelegt wurde (im neusten FritzOS)
  - Evtl. DynDNS einrichten, da die pfS dahinter sonst evtl. Probleme hat (weil sie die externe Adresse nicht ohne weiteres sieht).

pfSense:
  - WAN Seite auf 192.168.178.2, Default GW 192.168.178.1 (FB). Kein Blocken von Privaten Netzen, nur Bogus Check angehakt
  - LAN Seite beliebig
  - Advanced outbound NAT angelegt mit LAN/24 -> WAN .2 Adressmapping (ich mag es die Regeln zu sehen, deshalb auf Advanced geschaltet)
  - Firewallregel: Auf LAN erlaube Verbindung zu 192.168.178.1 auf WAN. Damit kann man problemlos die Fritzbox per IP erreichen.
  - DNS Forwarder: wenn du den nutzt, kannst du hier bspw. das Alias fritz.box anlegen und auf 192.168.178.1 konfigurieren. Damit ist dann auch das Standard fritz.box DNS Alias mit am Start.

Ich denke man kann dann besser prüfen, wo noch Probleme sind, wenn du die seltsamen 1:1 Mappings und die .1.x Netze vorne rausgeworfen hast und nur noch ein normales Transfernetz zwischen FB und pfS hast :)

Grüße

Könnte es sein, dass es ein Image >2GB ist und der Schalter für die Größenbeschränkung nicht gesetzt ist? Oder wird evtl. ein gz Archiv (nicht) genutzt obwohl angegeben?

Da muss ich tpf zustimmen. Ich hatte vor längerer Zeit noch an der Übersetzung der einzelnen Strings mitgeholfen, aber das Problem war dann wirklich, dass alle 3-4 Worte eines dabei war, dass man so schlecht übersetzen konnte ohne den Sinn zu verfälschen. Schlimmer finde ich dann eher noch, wenn Begrifflichkeiten verfremdet oder völlig falsch gebraucht werden. Das gabs und gibts teils heute noch in diversen SOHO Router All-in-1 Kisten Anleitungen. Wenn man dort was von DMZ liest und "sicher" und drei Sätze weiter wird erklärt, dass die Option den Rechner damit völlig nackt ohne Firewall ins Netz hängt, dann ist das ein exposed Host bzw. ein volle NAT Redirection, aber hat nicht das leiseste mit dem Konzept DMZ zu tun.

Ich würde auch dazu raten, ins tiefe Wasser zu springen und ansonsten einfach zu fragen :)

Das ist zwar nicht das was du beschrieben hast (deine Rede war von EINER Adresse auf MEHRERE 192er, deshalb der Rat, das alles auf eine zu mappen mit Adv. NAT), aber wenn das Resultat das ist was du haben wolltest, ist es doch auch gut :)

Servus,

das mit dem vorgeschlagenen Alias wird wohl etwas schwierig:
http://technet.microsoft.com/de-de/library/bb693717.aspx

Da stehen in der Serverliste einige Wildcards…

Habe keine Erfahrung damit, aber als Ansatz wäre vielleicht mit Squid etwas sinnvolles zu realiseren?
Damit könnte man zumindest die Wildcards abbilden und hätte den charmanten Nebeneffekt, dass das was sehr wahrscheinlich x-fach aufgerufen wird schon im Cache liegt.

Gruß
Harry

Servus,

laut Deinem Logauszug versucht die pfS bei sich selbst die Hosts aufzulösen. D.h. die sollten über den DNS Forwarder (ist der aktiviert?!?) bei den DNSsen aufgelöst werden, die Du im General Setup stehen hast.

Um das Ganze mal zu checken würde ich dort mal die Google DNS (8.8.8.8 und 8.8.4.4) eintragen und auf Use Gateway "none" setzten. Dann alle eventuell vorhandenen sonstigen rausnehmen und den Haken bei Allow DNS server list to be overridden by DHCP/PPP on WAN rausnehmen.

Damit nimmt die pfS nur noch die Googles her und die haben bisher (zumindest bei mir) in jeder Konstellation funktioniert.
Wenn's dann läuft könntest Du's so lassen, außer Du magst den Google nicht, oder Dein ISP mag keine DNS Anfragen bei fremden Servern, oder Du brauchst einen internen DNS (z.B. wegen Active Directory).

Gruß
Harry