Er versucht etwas ähnliches wie ich.. Er möchte einfach einen VPN Client zu Hause an eine IP seines vServers binden.
Er lässt z.b. auf seinem Client sagen wir 172.16.10.100 einen Mailserver laufen auf port 25. Er möchte diesen Port über den VPN an einer IP Seines Vservers weiterleiten. Das heißt spricht man die WAN IP des vServers auf Port 25 an wird man mittels dnat und snat an den client weitergereicht… Ich hab dasselbe problem.. Jedoch etwas anders :D

Hallo K,

ja dafür gibts eine Lösung. Die heißt aber nicht MyFritz. Sondern OpenVPN welches auf der pfSense läuft und durch die Fritzbox einfach durchgetunnelt wird. Dann ist das auch alles kein Problem mehr. Wenn ich eines über die Jahre sagen kann, dann, dass die Boxen zwar schön und gut sind (für privat) aber VPN keine tolle Idee ist. Das fängt alleine schon damit an wenn man bspw. zwei dynamische Gegenstellen verbinden möchte. Und dann die IPSec Konfiguration über dieses himmelschreiende Tool, das kaum Einstellungsmöglichkeiten bietet.

Ich würde es mir hier wirklich sehr einfach machen und zwischen Box und Sense das Transfernetz 192.168.179.x definieren, .1 ist Fritz, .2 (oder 254) ist pfSense und dann in der FritzBox die Einstellung machen, dass alles transparent auf die Sense durchgereicht wird (Internet / Freigabe / Exposed Host). Und dann einfach auf der Sense ein schönes OVPN aufsetzen und alles ist gut.

Grüßend
J.

Wäre dies bei mir der Fall, würde ich mir diesen Workaround nicht bauen wollen, Faxe und Telefonate sind schon gelaufen mit dem Provider, da lässt sich wohl als nicht Business Kunde nichts machen.

HI,

Sehe ich eher weniger. 256MB sind für Dienste wie Squid schon extremst wenig. Da lässt sich auf einer Alix sehr wahrscheinlich nichts machen.

Grüße
J

Genau das ist es ;).

OK dann ;)
Funktionieren würde es auf jeden Fall, denn was du vorhast sind Grundfunktionen :)

genau

http://forum.pfsense.org/index.php/topic,16048.msg83598.html

Da muss ich Nachtfalke zustimmen, das Problem hört sich sehr nach DNS an. DNS timeout, danach gecacheter DNS Eintrag und die Seite geht. Danach klappts auf gleicher Seite reibungslos.
Es klingt so als würde das Firmenlaptop einen primären nicht erreichbaren DNS haben und auf den zweiten DNS warten müssen.

Grüße

Was soll ich denn schreiben? Ich habe ein Subnetz im Bereich 10.0.1.0. Daran hängt ein WLAN-Access-Point. Also nehme ich an, dass alles, was im LAN zugänglich ist, auch im WLAN erreichbar sein soll.

Nirgends in deinem Post stand irgendwas davon, dass:

a) es einen extra WLAN AP gibt. Die Sense ist durchaus in der Lage selbst WiFi AP zu sein. Woher soll man also wissen, dass sie es nicht ist?
b) man dadurch keine Ahnung hat, ob WLAN somit an einem eigenen Interface der pfSense hängt
c) mit beidem lokaler Zugriff gemeint ist (es hätte das WLAN ja auch ein ganz anderes Netz sein können).

Und ich mag mich täuschen, aber zu mehr als 50% wäre auch im englischen Forenteil eine der ersten Fragen gewesen, ob man nicht noch zwei Sätze mehr zur Umgebung verlieren kann, damit man auch weiß worüber man diskutiert. Kostet dich jedes Wort extra? Aber wehe es gibt dann keiner Antwort - nein, dann lieber jemand, der in seiner Freizeit helfen möchte, mal dumm vors virtuelle Schienbein treten, was der sich oberlehrerhaft erdreistet nachzufragen, bevor er was schreibt, was dir kein Stück weit weiterhilft.

Welche Angaben fehlen noch?

Eine erste Idee wäre ja durchaus ein fehlender ARP, lokaler mDNS, Routing-Tabelle oder auch fehlende Regeln auf dem Interface gewesen. Was du schreiben sollst? Es geht um eine virtuelle Appliance. Das sagt mir genau gar nichts drüber aus zwischen was die eigentlich hängt und worauf sie läuft. Und wo dein Macbook mit USB LAN hängt. Und wo der WiFi AP hängt an dem du dann Probleme hast. Oder von wo nach wo dann der Verkehr gehen sollte, der nicht läuft. Denn offensichtlich scheint der Bonjour mDNS discover agent nichts aufzulösen. Das kann von der falschen DNS Domain die via DHCP gepusht wird bis zur geblockten Regel vieles sein. Du gibst genau 0,0 Informationen verlangst aber Antworten. Wie wärs mal mit etwas mehr Einsatz? Zumal ich meine Hausaufgaben gemacht habe. Wenn ich sehe, dass du bereits im englischen Teil was mit IPSec, VPN etc. in Verbindung mit Avahi/Bonjour rumkasperst, muss ich mich eben fragen: ist das jetzt ein anderes Setup oder das Gleiche? Wo hängt der Krempel, der per mDNS discovery sich melden sollte? Auf der gleichen Seite? Auf der anderen Seite? Wo ist der Unterschied zwischen LAN und WLAN von der Wegstrecke. Wo der Unterschied in der Konfiguration.

Hätte wohl besser im englischsprachigen Forum geschrieben. Da bleiben solche oberlehrerhaften Beiträge aus.

Genau, hat ja letztes Mal toll geklappt. Aber da lassen sich dann eben auch nicht nur Zwei-Satz-Fragen stellen. Aber wofür gibts den Paid-Support… Ach nein, ist ja das deutsche Forum...

Da geht mir wirklich das Verständnis für ab, wenn man Hilfe sucht, jemand helfen will und man dem dann noch vor den Kopf geschlagen wird, wenn man nachfragt. Freundlich. Aber Hauptsache erst einmal blöde Sprüche über Oberlehrer abdrücken weil man nicht gleich die Lösung bekommt. Und dann fragt man sich warum es immer weniger Leute gibt, die freiwillig helfen wollen, wenn sie auf ein Hilfsangebot nur ne blöde Antwort bekommen...

Grüße Freunde,

Just for the record: Weil das schon mehrmals passiert ist:

Schreibt man das NanoBSD Image auf eine CF Karte kann diese wie so alle Speichermedien entweder

a) zu klein
b) Sektoren abweichen
c) Defekte Sektoren

aufweisen. Auch wenn das doof ist ;) Lässt sich damit trotzdem arbeiten. Mir ging es bei einer 4GB Karte so, dass das 4GB Image ständig kaputt auf der Sense ankam.

Abhilfe schaffte das 2GB Image. Das hatte problemlos funktioniert. Merke also: Wenns mal (mehrfach) nicht klappt, ggf. das Image eine Nummer kleiner ausprobieren.

Grüßend
Jens

Port richtig, Protokoll auch? Sicher dass es keinen Tippfehler gab bei der IP Vergabe?

Soweit ich weiss, ist das mit squidguard nicht (ohne Weiteres) möglich. Ich muss deswegen mein webGUI auch auf http laufen lassen.
Im Forum wurde dieses Problem auch schon mal angesprochen, ist schon bestimmt 9 Monate her oder länger. An eine Lösung kann ich mich nicht erinnern.

Vielleicht musst du diesbezüglich nochmal suchen. Eine Lösung wäre für mich auch interessant.

Also das was 9fisi1 beschreibt wäre so aufzusetzen:

                :                       :                 : Telekom VDSL          : Telekom VDSL                 :                       :             .---+---.                .--+--.        WAN1 |  DSL  |     Modems     | DSL | WAN2             '---+---'                '--+--'                 |                       |        Ethernet |                       | PPPoE                 |                       |            .----+----.             .----+----.            | Router1 |    Router   | Router2 |            '----+----'             '----+----' 192.168.101.1/24 |                       | 192.168.102.1/24                 |      .---------.      |                 +------| pfSense |------+     192.168.101.2/24   '----+----'   192.168.102.2/24                             :                internes LAN : 10.0.0.1/24

Wichtig hier: hinter deine beiden VDSL Modems wie in der Grafik 2 kleine Router hängen. Die müssen jetzt nichts dolles können, es genügt, wenn sie eine Einstellung haben (außer dem VDSL , was sie natürlich beherrschen müssen), dass du sämtlichen Traffic an einen "dedicated Host" (oftmals falsch auch als DMZ Host bezeichnet) weiterleiten können, OHNE dass etwas gefiltert wird.

Die beiden Router 1 und 2 bekommen dann intern eine statische Adresse (192.168.101/102.1). DHCP wird IMMER abgeschaltet, Freunde. Das nur an der Stelle erwähnt, weil ich hier etwas gelesen habe von DHCP im Transfernetz. Nichts da! Es gibt nichts schlimmeres als wenn eine Firewall (pfSense) in solch einem Transfernetz-Setup auch noch ständig wechselnde externe Adressen hat. Dann kommt nie Ruhe rein. Sicher, es sollte keine Adresswechsel geben, aber für Debugging und Diagnose ist es tödlich. Zudem es schwierig wird, dem Router beizubringen, dass die dedicated Host IP ständig wechselt.

Der pfSense geben wir aus den beiden Transfernetzen die .2 als statische WAN1/2 Adresse. Eigentlich bräuchte es an der Stelle auch kein /24 Netz, ist aber meistens einfacher zu verstehen. Theoretisch würde ich ein /29 vorschlagen, das vergeudet am wenigsten Adressen und ermöglicht trotzdem noch, dass man sich in die Transfernetze mit dazusteckt (Laptop o.ä.) um Probleme zu suchen.

Anschließend werden der pfSense noch die Gateways zugewiesen (die .1er Adressen) und für jede Strecke eine Check-IP hinterlegt. Bspw. 8.8.8.8 für WAN1 und 8.8.4.4 über WAN2 (das sind die beiden Google public DNS Server, geht aber auch mit anderen. Es darf nur nicht die gleiche IP pro Interface sein).

Danach im Debugging Menü durchaus mal einen Ping nach draußen machen über das Interface WAN1 und WAN2. Beides geht? Perfekt, dann kann mit der Konfiguration der Regeln und/oder sonstigen Dienste weitergemacht werden.

Grüße

Wenn du auf das Block-Symbol klickst (javascript event) sollte aufpoppen, welche Regel und warum geblockt wird. Ein Zugriff auf Akamai oder sonst irgendwas wird nicht einfach nur wegen dem Ziel geblockt. Wenn, scheint mir das eher wegen TCP Flags, Fragmentation oder sonst einem Grund zu sein.

Grüße

Ah, verstehe. Doch damit habe ich bei NAS4Free wohl keine Chance, da es sich komplett aufhängt, nachdem ich die serielle Konsole aktiviert habe: Es ist auch über die WebGUI oder SSH nicht mehr erreichbar - das habe ich gelegentlich auch bei pfSense beoachtet.

Wenn ich mich recht entsinne, ist es unter FreeBSD wohl so, dass der Boot-Loader wohl immer 9600 baud sendet, während die Kernel- und Daemon-Meldungen dann wohl variabel einstellbar sind.

Gruß
Peter

Ahoi,

na das ist doch schön zu hören :D Wenn du die Sense jetzt noch als AD-aware 2nd DNS einsetzen magst, müsste hier unter Domain Overrides noch folgendes rein:

Domain: firmenname.local
IP: IP-Adresse des DCs (AD DNS)
Description: WasAuchImmerDirGenugInfoVerschafft ;)

Damit weiß der DNS Forwarder der Sense dann, dass er *.firmenname.local doch bitteschön an den DNS auf x.y.z.a weiterleiten soll und tut das normalerweise auch :)

Grüßend
Jens

OK, alles klar.

Dann werde ich das mal testen. Danke für die Hilfe !

Ich werde bei meinem ISP nachfragen, ob dies die DNS Server sind. Ansonsten öffne ich sicherlich keine Ports auf der WAN Seite. Und nein, ich habe nur 1 WAN Interface.

@Nachtfalke: Hyper-V ist Windows/MS Hypervisor. Ganz andere Baustelle und Funktionsweise als KVM. Deshalb der verlinkte Beitrag der sich gezielt auf Hyper-V bezieht.