@shiversc: Ich habe eine Reihe Access Points die Mutil-SSID tauglich sind. Jetzt kommen aber auch Externe, die vor Ort arbeiten müssen, dass heißt z. B. ein Programmierer sitzt in dem Stadtteil und will zur Anlage sich verbinden. Anpatchen an dieses Netzwerk vor Ort will ich nicht. Das steht nur den internen Admins zu. Nun suche ich eine Lösung, das meine Kollegen die MAC Adresse des WLAN-Adapters mir mitteilen und diese dem VLAN samt Berechtigung zugeordnet wird. Vielleicht denkst Du hier nur zu kompliziert… Kann man nicht noch freie SSID Netze für ein Gast WLAN einrichten und diesen den externen Mitarbeitern zuweisen? Wir haben für unsere Gäste das so gemacht.... Eigenes Gast LAN, eigene Regeln ohne große IP /FW Komplikationen ;) Grüße Reiner

@Bladeinger: Zunächst dachte ich, dass die Regel nicht greift, da ein traceroute, von diesen beiden Rechnern ausgeführt, immer zeigte, dass die Daten über das Standard-Gateway für diese Netze (also eine der VDSL-Verbindungen aus der Gateway-Group) laufen. Später kam ich auf die Idee, einfach mal Daten zwischen den beiden Rechnern hin- und her zu schicken, und siehe da - die Daten liefen, genau, wie gewünscht, über die SDSL-Verbindungen! Sehen kann ich das allerdings nur im Traffic Graph. Warum zeigt der traceroute-Befehl das nicht so an? Das ist schon ärgerlich, wenn man sich zum Testen nicht auf dieses Tool verlassen kann… Bin für jeden Tipp dankbar! Traceroute verwendet UDP und ICMP … Du hast vermutlich nur TCP/UDP in den FW Regeln beachtet und nicht ICMP ? Unter Linux/Unix kann man ICMP erzwingen mit -I Falls Du das traceroute auf der FW direkt verwenden würdest, gelten die Regeln der LAN Netze nicht; die FW verwendet immer das default GW, sofern man nicht wie bei Ping das Interface selektieren kann. Unter Linux/Unix kann man das Interface für Traceroute mit Option -i <eth>wählen. Unter BSD/Windows kann man die Source IP selectieren mit -s <src-ip>Grüße Reiner</src-ip></eth>

@LEW: Der WAN hängt an einer Intel E1G42ETBLK PRO/1000 ET Dual Port an PCIe wobei der andere Port nicht belegt ist. Das LAN und die DMZ liegen auf den onboard Ports 2x Intel 82574L des Mainboards: http://www.supermicro.com/products/motherboard/ATOM/ICH9/X7SPA.cfm?typ=H das hört sich sehr stark nach http://doc.pfsense.org/index.php/Tuning_and_Troubleshooting_Network_Cards#Intel_igb.284.29_and_em.284.29_Cards an ;) … hat bei uns das Problem gelöst. Grüße Reiner

@bayoda: Jetzt habe ich Netz 1 - ganz normal laufen - mit GW und Subnetz Maske… Aber wie bekomme ich jetzt Netz 2 bis 4 auf Die PFSENSE mit  "einem" WAN Interface und eine "LAN" Interface? Virtual IPs denke ich .... aber wie trage ich dann richtig die Gateways ein? Also wir haben bei uns IP Alias für das 2. Subnetz auf das 1. gelegt… fertig. Normalerweise sollten die GW IPs beim Provider immer auf dem gleichen Router landen, d.h. es sollte wie bei uns Dein Default GW von Netz1 vollkommen reichen. Falls nicht, müsstest Du die GWs extra eintragen und versuchen über Firewall Regeln im LAN Netz die GWs einzeln anzusprechen. Grüße Reiner

@dArk4psyco: Im pfsense habe ich alle drei Gateways eingetragen aber einen kann ich davon ja nur als default auswählen. Jetzt zu meiner Frage: Kann ich im pfsense Regeln erstellen das z.b. Pc1 nur über das Gateway 1 gehen soll, Pc2 nur über Gateway2 usw.?? gute Frage, wie man das mit 1 Netzwerkkarte macht. Wir haben mehrere LAN Netze… man kann dort Firewall Regeln (ausgehend) definieren. => unten in den Optionen kann man das GW bzw. die GW Gruppe auswählen, über die die FW gehen soll. Wir haben da GW Gruppen drin (Tier1: LWL, Tier2: DSL Fallback) Grüße Reiner

Hi, das dürfte Deine Probleme vielleicht lösen: https://www.youtube.com/watch?v=4HAhaLE8xJo Dazu gibt es das noch mit Voucher: https://www.youtube.com/watch?v=T69U_o8JhJE und hier auch noch mit Radius und Möglichkeiten Bandbreiten/Traffic/Zeitenbeschränkungen: https://www.youtube.com/watch?v=B6Hjxd1Af-s Grüße Reiner

Hi, @craCH: Folgende Struktur möchte ich umsetzen: 1 LWL-WAN-Leitung (1 Gbps) 1 DSL-WAN-Fallback-Leitung (gleiche Services / IPs wie die LWL-Leitung - 10 Mbps) Class-C-Netz auf der WAN-Seite ca. 50 Class-C-Netze auf der LAN-Seite; jedes in einem eigenen VLAN; alles über einen Trunk-Port Aktuell habe ich diese Konfiguration umgesetzt ohne Fallback und alle VLANs gehen über ein und die selbe IP ins WAN. Nun meine Fragen: Wie krieg ich die Fallback-Leitung in die Konfig, damit da nur dann daten durchfliessen, wenn die LWL-Leitung ausgefallen ist? Wie muss ich die 253 public IPs auf der pfSense erfassen? als Other IP oder als Virtual IP (was ist der Unterschied)? Kann ich die pfSense redundant ausführen, ohne jeweils 3 public IPs zu "verbrauchen" für Master / Slave / Virtual IP? ich denke wenn Du so groß werden willst, könnte die pfSense doch zu klein werden… unser ISP Techniker empfiehlt da die Juniper MX5 ;) Wir haben 100 MBit LWL und VDSL Backup (das 2x in verschiedenen Gebäuden, die mit WLAN Brücke verbunden sind) => sofern Du nicht einen ISP hast, der das DSL stellt, nützt Dir dieser Fallback nichts, da Du über Telekom & Co. nicht Dein AS gerouted bekommst.       Diese Bedingung ist lt. Deinen Angaben aber erfüllt. Fallback => System => Routing Gateway Groups   Ich vermute Ihr erhaltet vom Provider für LWL/S(H)DSL je ein eigenes Transfernetz ?   Oder was für Euch deutlich einfacher wäre:   Der Provider stellt das GW inkl. Failover Funktion "am Switchport" bereit. ->   Dann brauchst Du nur 1 GW wie sonst üblich. IPs: Du hast 255 Adressen, davon gehen Netzwerk und Broadcast IP ab...   Und dann brauchst Du auch schon mal 3 IPs für Deine 2 pfSense und die CARP GW IP für den BGP Nexthop ;)   Bleiben also noch  250 übrig. Der Rest bleibt Deiner Fantasie/Nutzungsart überlassen. Du kannst   + 250 CARP IPs anlegen... oder   + 250 Proxy IPs oder   +  62 xx/30 Proxy IP Netze oder   + eine Kombination daraus. Jedes interne LAN Netz erhält dann ein oder mehrere 1:1 NAT Regel(n), die eine IP Adresse oder IP Netz darstellen kann.   Dazu muss die automatic Outbound NAT Generierung deaktiviert und entsprechend dem 1:1 NAT manuell eingerichtet werden. Grüße Reiner

Versuche mal, im Squid die Optionen X-FORWARDED-FOR und X-VIA zu deaktivieren. Das sollte das Problem mit den meisten Webseiten/Applikationen lösen. Wenn du noch einen vorgeschalteten HAVP hast, bitte eingeschaltet lassen und diese Punkte in HAVP deaktivieren.

Also eine Skizze des Ganzen Aufbaus wäre shcon sehr sinnvoll. Denn so verstehe ich den Sinn nicht so ganz, wieso du dort 2 pfsense hast. Grundsätzlich kann man aber sagen, wenn du mehrere pfsense über WAN verbinden möchtest, bietet sich hierfür eine VPN Lösung an. Entweder IPsec oder OpenVPN. Wenn du das auf beiden geräten einrichtest und diese miteinander verbindest, dann kannst du den entsprechenden Verkehr über VPN routen und gewöhnlichen verkehr direkt ins Internet. OpenVPN Server und OpenVPN client "Site-to-Site" Anleitungen gibt es diverse hier im Forum oder im wiki. http://doc.pfsense.org/index.php/OpenVPN_Site-to-Site_%28Shared_Key,_2.0%29

Okay. Es sah für mich auch so aus, als wäre es egal, wie ich das route. War mir aber nicht sicher ob ich was übersehen habe. Das Thema VPN kann ich nicht entscheiden, weil am anderen Ende Leute sitzen die nur Admin heißen, aber keine Ahnung haben….

JA genau… Das war das Problem... Manchmal sieht man echt den Wald vor lauter Bäumen nicht mehr! Vielen Dank Joe

@franzenobody: Im Zyxel Router habe ich folgende Route eingerichtet Ziel: 192.168.2.0 SUBNET: 255.255.0.0 Gateway: 192.168.2.1 (PF-Sense) Hier sagst du ja wie die Zyxel dieses Netz erreichen soll. Also Gatway also eher die 192.168.1.2 Und in WAN Interface die Hacken Block private networks und Block bogon networks rausnehmen weil du auf den WAN Interface der PfSense ja mit privaten IP Adressen arbeitetst und dann entsprechende Regeln einrichten die Pings wenn gewünscht durchlassen

Hello, thank you "Nachtfalke" ! That solved my problem - i just added permission for password change to the user-group and then changed the default .php-file for the Password-Change-Site. So I don't need to mess around with Radius and MySQL. Maybe it could be possible to implement that in the Login-Page ?

Squid3 ist damit kompiliert: WITH_SQUID_USERAGENT_LOG=true Du findest hier alle Pakete und die dazugehörigen "build_options" https://github.com/bsdperimeter/pfsense-packages/blob/master/pkg_config.8.xml Und dann suchst du nach "squid3" Was natürlich sein kann ist, dass das nur für die .PBI Pakete gilt und somit nur für pfsense version 2.1 und pfsense versionen 2.0.x nutzen die normalen .tbz welche eventuell nicht damit kompiliert wurde.