Erstell mal eine Firewallregel ähnlich wie im ersten Posting, nur das bei "Destination Port Range" der Port des Proxys eingetragen wird.

Wie bekommen die an pfSense angeschlossenen Computer ihre IP Adresse? DHCP oder Feste? Als Gateway und DNS Server sollte hier die IP Adresse von pfSense stehen.

Gruß
Yasman

Als DNS Server steht 192.168.0.1 drin.

Einen weiteren gibt es nicht.

Gruß

Du solltest über kurz oder lang trotz allem auf pfsense 2.x wechseln.

in der shell hättest du einfach die files *.rrd von /var/db/rrd/ löschen müssen und ggfs. den Dienst neu starten.

Schau mal was /var/log/syslog auf dem Linux Mint sagt.

Hallo zusammen,

ich habs hingebracht.
Hier die angesprochene Anleitung:

https://skydrive.live.com/?cid=8c0b893b54ba3516#cid=8C0B893B54BA3516&id=8C0B893B54BA3516%21291

Bitte entschuldigt den einfachen Text und ev. Rechtschreibfehler. ::)
Ich habs nur kurz zusammengestellt.
Wie schon angesprochen keine Gewähr.

Greets
Mike

Genau das ist das was ich auch wissen möchte. Langsam finde ich die embbedded Sache unreif.

Wie und wo nutzt du die Blacklist !?

Nutzt du squid, squidguard, dansguardian oder sonst etwas !?
Oder hast du einen URL Tabel Alias für die Firewall ?

Hallo flix87

Vielen Dank für Deine Antwort!

@flix87:

[…] den Tunnel geht […]

Das war genau das richtige Stichwort, vielen Dank! Das, was ich vorhabe, kann so nicht funktionieren… Also wieder zurück ans Zeichenbrett!

@moderator: thread kann zu/gelöscht werden, damit betreffend IPsec nicht noch mehr Unsinn verbreitet wird.

Danke,
Horst

http://www.administrator.de/index.php?content=184566

Hier habe ich hilfe bekommen :)

Es funktioniert zumindest PSK, aber das ganze soll nun über Zertifikat + Benutzer/Passwort abfrage laufen! Ich bin mir nicht sicher wie ich das umsetzten soll…

@sanches:

hast du den in beiden pfsense-Firewall's die jeweiligen Regeln (z.B. SSH) erlaubt?

In den IPSec "Tabs" in der Firewall ist alles erlaubt (jedes Protokoll, jede Source/Destination).

@sanches:

Kannst du ggf. im Firewall-Systemlog erkennen, ob dort ggf. solche Pakete gedroppt werden?

Ich sehe irgendwie keine relevanten Drops.

Werde mal die IPSec Logs hier posten, evtl. sagen die Dir mehr als mir. Danke schonmal!

Vielen, vielen Dank für die schnele und vor allem kompetente Hilfe :)

Jetzt klappt alles so wie es soll.

@Nachtfalke: An dichnochmal speziellen Dank für deine ausführlichen Anweisungen und den Hinweisen zum Failover. Habe ich natürlich gleich umgesetzt ;)

Die Firewall auf "Conservative" zu stellen und das scrubbing zu deaktivieren erledigst du folgendermaßen:
system -> advanced -> firewall

Outbund NAT stellst du ein unter:
Firewall -> NAT -> Outbound
Outbound NAT gibt an, wie die interne Kommunikation nach extern geschehen soll. Hat man beispielsweise mehrere externe IP Adressen kann man so angeben, welche Hosts im LAN mit welcher externen IP nach außen auftreten sollen.
Ebenso kann man den Source Port "static" einrichten. Normalerweise ist es ja so, versucht ein Host aus dem LAN einen Webserver (google.de) zu erreichen, dass er die goole IP und ziel port 80 versucht zu erreichen. weiterhin gibt der host einen dynamisch gewählten source port an. Das ist notwendig, denn die firewall muss ja wissen, wohin sie die Daten weiterleiten soll, die der Google server sendet.
Laut dem link über die VoIP Konfiguration von meinen vorherigen Posts ist es aber wohl so, dass VoIP manchmal keinen dynamischen Quell Ports mag. Das bedeutet also, du musst sagen, wenn ein Host aus deinem LAN deinen SIP Provider über Port 5060 versucht zu erreichen, dass er als quell Port den Port 5060 wählen soll und zwar immer (static). Das kannst du über Outbound NAT realisieren.

1 : 1 NAT stellst du unter:
Firewall -> NAT -> 1:1 ein
Diese Form des NAT leitet alle externen Anfragen eins zu eins an deine FritzBox weiter. Alle Ports von 1 bis 65536 werden eins zu eins weitergeleitet. Die Fritzbox befindet sich dann quasi vollkommen ungeschützt am Internet.
Beim PortForwarding hingegen leitest du nur gezielt einzelne Ports oder eine kleine Port Range weiter. Außerdem kannst du Ports umbiegen, das heisst eine öffentliche Anfrage auf Port 80 soll intern auf Port 8000 laufen.
PortForward und 1:1 NAT sind beides Funktionen um den Zugriff von extern auf interne Geräte weiterzuleiten. Natürlich benötigt man auch für jede NAT Regel eine Firewall Regel - diese kann man sich aber automatisch erstellen lassen, indem man "Create associated Firewall rule" auswählt.

Zu den Firewall Regeln gibt es folgendes zu sagen:
Sie werden von oben nach unten abgearbeitet. Die Regel, die zuerst zutrifft, wird angewendet. alle weiteren werden ignoriert.

Ich auch… mal aus Süd-Korea oder Japan ausprobiert. WIRD GEBLOCKT... (Mediathek nicht aber LIVE-STREAMS)!!!