Ich habe jetzt mal das Cron Package installiert und einen Cronjob

*/1 * * * * root dhclient run0_wlan1

angelegt.

Damit funktiert es wenigstens. Ist zwar nur eine Notlösung aber was solls.

Ich würde dir den HFSC TrafficShaper empfehlen.
Ist zwar etwas schwerer zu erlernen, aber macht am Ende eine Menge Spaß.

Ein gutes Tutorial findest du hier: https://calomel.org/pf_hfsc.html

um das ganze mal etwas einzugrenzen.. squid+squidguard funktioniert nun..
die frage ist nur noch wie muss ich den postfix relay konfigurieren bzw. welche nat einträge benötige ich dafür?

gelöst: -> http://forum.pfsense.org/index.php/topic,45255.45.html

Danke

@Nachtfalke:

Jetzt bin ich verwirrt. Du willst festlegen, welcher deiner vielen gateways der DEFAULT ist und dann sagst du, dass du nur einen und nicht mehrere festlegen kannst. Es kann nur einen default Gateway geben ;-)

Ich will nicht mehere Gateways als "Default" angeben, sondern garkeinen, da ich las das squid sonst nicht funktioniert. ;-)
Werde es aber erstmal in Ruhe ausprobieren.
Gibt ja ne Menge Infos im Netz und hier im Forum darüber.
Die PFsense an sich und das Failover laufen auf jeden Fall zuverlässig.
Vielen Dank dafür.
Sollte ich noch Probleme haben melde ich mich.

Ein User darf doch mehrere Zertifikate haben (aka mehrere common names)? Wo genau ist da das Problem? Und wenns nicht anders geht kann man immer noch duplicate Connections aktivieren?

@senser: Und mir wirft man dummes Geschwätz vor, wenn ich mehr Informationen verlange um zu helfen. So einen Stuss habe ich lange nicht mehr gelesen. Bei einem offenen Hotspot der ggf. sogar kommerziell genutzt wird, ist man Dienstanbieter. Und ggf. zu Auskunftspflicht gezwungen und sei es nur um zu belegen, dass man nicht selbst irgendeine Urheberrechtsverletzung begangen hat. Solang die Gesetzeslage noch so bescheuert ist, müssen eben gewisse Daten geloggt werden. Nicht unbedingt alle die er da abgreifen will, aber das habe ich oben mit meinem Statement schon beschrieben.

Wenn du dir ein Freiheitskämpfer T-Shirt anziehen und zu Hause einen offenen Hotspot aufstellen willst, nur zu. Aber wenn das hier ein (teils) kommerzielles Setup ist (Beispiel: Hotel o.ä.), gelten da eben andere Spielregeln wie bei deinem CheGuevara-Gedächtnis-Fon-Hotspot. Spätestens wenn du dann mal eine Abmahnung im Haus hast, überlegst du dir das auch 2x ob das noch so cool ist. Und eine Firma oder Personengesellschaft kann das hart treffen.

Wo ich senser zustimmen muss ist, dass hier offenbar - auch durch die anderen Threads ersichtlich - nicht extrem viel technisches Verständnis für die Grundlagen und die Technik vorhanden ist. Da frage ich mich an der Stelle schon, ob es keinen Sinn gemacht hätte, lieber eine fertige kommerzielle Lösung einzukaufen als etwas halbgar hinzuklatschen, was später vielleicht keiner mehr administrieren kann oder man nur vage Ahnung hat, was man da eigentlich tut. Gerade wenn es um einen öffentlichen HotSpot geht (und das am Ende sogar noch was kommerzielles ist)? Nur ein Gedanke.

Hallo JeGr,

erstmal danke für deinen Post.
Das mit den Gruppen ist mir bewusst, da ich diese auch ausgiebig nutze. Funktioniert auch wirklich alles super.
Das mit dem default gateway switching ist auch soweit richtig, da ja in der Firewall angegeben ist, dass Gruppe xy genutzt werden soll.

Das switching benötige ich aus folgendem Grund:

Alle OpenVPN Clients sollen eine Verbindung zu einem OpenVPN Server aufbauen. Hinter dem Server ist meistens eine 100mbit Glasfaser vorhanden, die Clients sollen auch primär mit der besten Leitung die Verbindung aufbauen. Meistens ist dies auch mindestens eine 34mbit Glasfaser. Wenn aber beim Client die Glasfaser wegbricht, dann wird der Tunnel gar nicht mehr aufgebaut, da bei der OpenVPN-Config ja die Glas angegeben ist. Um dies zu umgehen, habe ich festgestellt, dass die Option "any" nur dann funktioniert, wenn das default Gateway switching an ist. Nun ist es so, dass immer zuerst die Verbindung mit dem aktuellem Default Gateway aufgebaut wird. Also habe ich die dickste Leitung als default Gateway markiert. Dass bestimmter Traffic über andere Leitungen gejagt wird, habe ich, wie du schon beschrieben hast, über Gatewaygruppen in der Firewall gelöst. Nur leider kann ich die OpenVPN-Einstellungen nicht über die Firewall beeinflussen. Auch über Floating habe ich es nicht geschafft. Es scheint wirklich so, als ob OpenVPN wirklich nur die Routing-Tabelle nutzt und das dort eingetrage Gateway wählt, um die Verbindung zum Server aufzubauen.

Und genau aus diesem Grund spielt die Reihenfolge der Gateways eine Rolle. Also entweder kann man die Reihenfolge bestimmen oder man kann OpenVPN irgendwie beibringen Gruppen zu benutzen. Ansonsten muss ich wirklich alle Gateways manuell löschen und in der richtigen Reihenfolge anordnen, oder mit jeder einzelnen Leitung eine VPN-Verbindung aufbauen und dann per OSPF und manueller Cost-Angabe die Priorität bestimmen. Beides ist aber leider mit viel Aufwand und Dokumentation verbunden und daher möchte ich diesen Weg eigentlich nicht gehen, da ich die Systeme so einfach wie möglich halten will.

Trotzdem nochmal vielen Dank für deine Mühe

Den Signalpegel den du beschreibst, hat man auch wenn man überhaupt gar keine Antenne anschliesst.
Mehrere Möglichkeiten:

Falscher Stecker auf der Karte (scheinst du ja schon ausporbiert zu haben) Pigtail defekt Antenne defekt

Generell kannst du sagen:
2.4GHz eine Dämpfung des gesendeten Signales von 20dB in einer Distanz von ca 12cm.
5GHz eine Dämpfung des gesendeten Signales von 20dB in einer Distanz von ca 6cm.
Danach steigt die Dämpfung um 6dB pro verdoppelung der Distanz.

Wenn du also mit 20dBm auf 2.4GHz sendest, hast du in 12cm. Entfernung noch einen Pegel von 0dB.
24cm. -6dB, 48cm -12dB, ~1m -18dB, ~2m -24dB, 4m -30dB, etc.
Dies sind ideale Werte welche durch die Umgebung verschlechtert werden.

komischerweise wenn ich die Dyn DNS Adresse im Browser eingebe gelange ich auf die pfsense was ja auch nicht sein sollte.

Dann ist der Zugriff auf das Web Interface auf die WAN Adresse erlaubt. Da ihr von "innen" kommt, also vom LAN kann es je nach LAN ruleset durchaus sein, dass das erlaubt ist.

Alle 3 Varianten kannst du ja kaum versucht haben, es sei denn ihr könnt einfach mal so eben die Leitung auf ne feste IP umstellen ;)

zu 3) Für NAT reflection muss einmal in den general settings überhaupt erlaubt sein und dann bei der entsprechenden NAT Regel auch aktiviert werden damit das geht. Deshalb bin ich auch kein großer Freund dieser Idee.

zu 2) Um das überhaupt sauber zu testen, wäre es mal wichtig zu wissen wer überhaupt DNS für die Clients intern macht. Wenn der weiterhin die externe IP auflöst kannst du auf der Sense eintragen was du willst, weil sie nie gefragt wird. Dazu mal am Client sehen, welche DNSe hier eingetragen sind. Wenn ihr die über einen Windows DHCP rausgebt, wird der wohl auch seinen eigenen DNS eintragen. Also müsst ihr den anpassen oder diesem für die entsprechende Zone einen anderen Forwarder verpassen. Einfacher wäre es, wenn die pfSense selbst DHCP ist, das ist aber kein muss.

Also erstmal testen, wer überhaupt was und warum auflöst und dann von hinten nach vorne durchgehen.

Der Sinn ist recht einfach. Unsere Virtualisierung nutzt dieses Verfahren für Routed-Network. Ich kenne einige Anbieter wo das auch gemacht wird, und diese sind nicht gerade klein. Ach ja das mit der IP war nur ein Beispiel, wir reden hier von öffentlichen IP-Netzen.

Und das was Hetzner gemacht hat ist gar nicht dumm, ich würde es eher unglücklich nennen :D Da hat einfach keiner an VMs gedacht. Allerdings raffen die Privatuser auch nicht, wie man eine zugroutete IP-Adresse auf der gleichen Maschine terminiert. Daher der ganze Aufwand und daher auch der notwendige Proxy-ARP.

Nachtrag:
Das weitere Problem ist auch, dass wir einzelne IP-Adressen rüber migrieren möchten.

Gibt es denn alternative so etwas wie Custom-commands, die auch repliziert werden?

Nachtrag2:
Mit einer etwas intensiveren Suche wird man schlauer: http://doc.pfsense.org/index.php/Executing_commands_at_boot_time.

Ehm nein ;) da denkt man sich nichts aus. Einfach "New Topic" (neues Thema) statt "New Poll" (neue Umfrage) machen das nächste Mal ;) Dann musst du auch nichts eintragen.

Moin,
ok und danke für die Infos. Ich werde dann die Box vorerst belassen und einfach pfsense versuchen als KVM  nachgelagert zu betreiben. Das mit a+g ist ein guter Tipp, den ich bstimmt demnächst mal ausprobieren werde.

Hi,
dann stellt sich die Frage, ob Du auf dem ALIX noch zusätzliche Software nachinstalliert hast.(Squid, Squid-Guard, etc.)
Auch sollte man nur das nötigste loggen.
Das ALIX hat halt schon recht begrenzte Möglichkeiten was RAM usw. betrifft, und wird durch diese Sachen schon recht "ausgebremst".
Ob das die Ursache Deines Problems ist, ist zwar nicht gesagt, Du solltest aber diese Möglichkeit nicht außer acht lassen.

Gruß orcape

So, das Problem ist gelöst: Es lag am eingeschalteten Captive Portal auf dem 172.29.0.0/16 Netz. Nur Clients mit Passtrough über die Mac-Adresse lassen sich erreichen.
Danke allen für die Mühe und Hilfe

Ich verstehe die Frage auch nicht ganz, sehe es aber so, dass wohl irgendwo ein DNS Server läuft (non Windows) der den Primary macht und ein Windows-AD, der als Secondary im Spiel ist. Der Primary muss dann eben company.local an den secondary weiterreichen, sonst haben die ganzen Windows-Kisten ein Problem.

Und ja, das habe ich oben schon erwähnt in der Liste, dass der DNS Forwarder von pfSense so etwas kann. Nennt sich "Domain Overrides" im DNS Forwarder.
Wenn du es ganz Hardcore möchtest, kannst du statt dem Forwarder auch einen ganzen DNS Server installieren. Rate ich aber von ab.

"die ganzen Services" verstehe ich leider nicht. Außer DNS und DHCP etc. habe ich noch nichts gehört von irgendwelchen Hardcore Diensten. Und die laufen natürlich lokal mit ihrem eigenen Service User ohne erweiterte Rechte wie es sich gehört. Da die Firewall von außen auch nicht erreichbar sein sollte, ist da aber eh nur theoretisch. Die Gefahr käme da eher von innen als von außen.