Beide dynamisch? Das ist ja schmuddelig…
Muss man nicht auch in Phase1 den Aggressive Mode nutzen, sobald du nur mit dynamischen IPs arbeitest? Die IPs sind ja vorher nicht bekannt...

Das klingt alles nicht nach Spass. Außerdem hast du bei einer CAT Verbindung maximal 100m Leitungslänge. Wenn du ein bissel drüber bist oder auch schon bei 100m könnte es Probleme machen. Aber gib mal mehr Info, was du eigentlich vor hast…

Ich meine das du im Fall PPTP den VPN abbauen musst, wenn du Regeln änderst. Also Clients raus, dann Regeln erstellen. Es gibt immer eine Deny All Regel…

Du müsstest also einfach drei Aliases für deine Ranges erstellen. Danach erstellst du dann auch dem PPTP Tab deine Regeln. Interessant wären auch Screenshots deiner Regeln und der komplette Output von /tmp/rules.debug. Dann wähle dich auch mal per ssh ein und schau dir die pflog0 Ausgabe an (Punkt 10) und poste das auch mal, aber erst wenn du alles konfiguriert hast...

Ziehe erstmal den WLAN Router ab, den richtig zu konfigurieren machen wir später.

Die Clients an der pfSense bekommen eine IP und können auch nach aussen pingen, richtig?
Ist in deren Browser irgend ein Proxy eingetragen?
Was meldet ein IPCONFIG /ALL als Admin in der command.com?
…und was ein "tracert www.heise.de" ebendort?
NSLOOKUP sollte ja funktionieren, welcher DNS Server wird da bekannt gegeben?

Hallo GruenFroschli,

@GruensFroeschli:

Was du beschreibst tönt wie: Probleme beim DNS Resolver, (Primary geht nicht, Backup geht, erst nach Timeout kommt die Antwort) oder ein MTU Problem, (zu grosse MTU, viele Packete gehen unterwegs verloren)

@DNS-Resolver
beide bekommen die bei der Einwahl mit

[16:26:41] root@s2vdr 1.5.2 # nslookup www.zdf.de
Server:        192.168.x.y
Address:        192.168.x.y#53

Non-authoritative answer:
www.zdf.de      canonical name = cdn.zdf.com.c.footprint.net.
Name:  cdn.zdf.com.c.footprint.net
Address: 207.123.56.254
Name:  cdn.zdf.com.c.footprint.net
Address: 192.221.125.126
Name:  cdn.zdf.com.c.footprint.net
Address: 198.78.197.254

Antwort kommt im Nu.

MTU sollte doch 1492+4 = 1496 (vlan Header) sein. Wo kann ich das bei pfsense einsehen ?
Nervig, frustran, da hat man nach ca. 12 Jahren mal richtig Boost und es geht doch nicht, ausser man setzt die Fbox ein. Ahhhhh.

Gruss
Lindemann

ahh das ging wirklich an mir vorbei! :)
nächster punkt: WinSCP!!!
ai ai thanks forward….hört sich genau richtig an!

Was für Angaben brauchst du denn?
Also es geht alles los mit einer Fritzbox 7170 die als DSL Router fungiert und die Leitung direkt weitergibt an meinen kleinen Server(onboard Netzwerkkarte) dort läuft Windows XP 64 bit und pfsense in vmware. Von dort aus gehts weiter (Intel 1000mbit Netzwerkkarte) an einen TP-Link Router und dort sind dann alle CLients angeschlossen. PFSense ist dhcp Server und vergibt die IP's. Ich hoffe das reicht falls noch was fehlt bitte sagen die genauen Ip Adressen kenne ich jetzt nicht weil ich unter der Woche auch nicht zu Hause bin. Kann ich euch aber am Wochenende mitteilen falls die nötig sind.

Gruß
Ironcurtain

guten abend meine herren,

selbst bei der aktuellen 2.0 beta 5 hab ich das problem :)
hat zumnidest jemand das selbe problem oder steh ich allein da, das ich zwar alle rechner erreichen kann aber nie einen aus dem anderen netzwerk sehen kann.
sinngemäß sollten die netze verschmilzen und man sollte so auch alle sehen können oder irre ich mich?!?!?!

danke für antworten!
gruß dave

Herzlichen Dank für die Rasche und tolle antwort!
Das NUT Package ist mir beim durchstöbern der Package gar nicht aufgefallen.

Nun ist bei mir jedoch folgendes passiert, als ich das NUT Package installieren wollte;
Installation wurde angezeigt, system verlangte ein Reboot, nach dem Reboot war das NUT Package nirgens aufzufinden :(

Komischerweise ist unter System -> Package Manager nun folgender Eintrag ersichtlich; Unable to communicate to pfSense.com. Please check DNS, default gateway, etc.
auch das Package (welches die Dateien Darstellt, ähnlich einem FTP Programm, glabe File Manager oder so) ist nicht mer aufgeführt.

Meine Internetverbindung funktioniert jedoch einwandfrei.

Woran kann dies Liegen?

System: pfsense Releas 1.2.3-Release
Alix Board Typ: Alix 2d3 Herstellerlink http://pcengines.ch/alix2d3.htm

folgende Internet Konfig verwende ich:
TV Breitband Modem (Keine Konfig möglich, leitet öffentliche IP weiter)
Wan Port Type DHCP (Keine weiteren Einstellungen)

hi,

muss das Thema mal wieder aufgreifen da es leider immer noch nervt :-)))

Habe auch ein bisschen nach squid und https gegoogelt.

Dort steht überall das ich https nicht über den squid laufen lassen soll da es dann nur Probleme gibt. Nun ist meine Frage wie gebe ich es in der PF ein? Per Einstellung finde ich nichts im Squid, muss ich dort was in die Command Zeile eintragen oder eventuell eine Rule erstellen?

Squid läuft aktuell als Transparent Proxy und ich will ihn quasi nur sagen das er https in Ruhe lassen soll.

Guten Rutsch  :D

Auf dem Wiki steht, dass mit VLANs die segmentation der Daten auf Layer2 geschieht.
–> VLANs benötigen 802.1Q fähige Switches und die Konfiguration der Switches segmentiert logisch das physikalische Netz.
Dazu werden die Ethernet-frames mit einem zusätzlichen/anderen Ethertype-tag und anderen Informationen erweitert.

Subnetting geschieht auf Layer3.
--> Alle Daten sind überall empfangbar und lediglich die Subnet-zuweisung des Systems verhindert, dass Daten von einem Subnetz auch ins andere gelangen.
Allerdings kann man die Karte auch in den promiscous mode versetzenund dann empfängt man wieder alles.

Aber wie in meinem letzten post geschrieben, kannst du was du willst anders lösen.
Einfach nicht mit VLANs ;)

Hallo

ja nach einem Neustart hat die Seite wizigerweise funktioniert.

Danke und schöne Weihnachten

Halli Hallo

Ja Danke viel mals logisch Rules ich weis nicht was meine Überlegung war mit dem NAT. Ich danke dir viel mals

Danke und greez

Hi,

das mit dem Voip ist immer so eine sache und eine einseitige kommunikation kann mehrere ursachen haben.

Prüfe folgendes:

1. wurde das LANnetz der pfsense in der routing tabelle der Fritzbox hinzugefügt (netzwerkeinstellungen)
2. existiert eine Firewallregel am WAN welche den Zugriff auf des telefon von "außen (der Frizbox)" erlaubt

Normalerweise sollte auch was im Firewalllog zusehen sein.

cya

Eigentlich nur das, was hier steht:
http://doc.pfsense.org/index.php/Multi_WAN_/_Load_Balancing

Das betrifft Load Balancing in pfSense 1.2.3.

In pfSense 2 sieht es etwas anders anders aus.

Ansonsten richtest du dein zweites WAN (OPT1) Interface so ein, wie dein erstes.
Wenn du Load Balancing nutzen möchtest, dann siehe den Link oben, möchtest du "Failover" nutzen, also wenn ein WAN ausfällt, dass das andere einspringt, dann siehe ebenfalls den Link oben. Der Link erklärt quasi LoadBalancing und Failover in einem.

Möchtest du einfach nur, dass zum Beispiel die IPs 192.168.0.2 - 192.168.0.100 über WAN1 gehen und die IPs von 192.168.101 - 192.168.0.200 über WAN2 (OPT1), dann musst du das einfach in den Firewall regeln einstellen, indem du bei der Regel den "Gateway" angibst, über welchen diese Adressen ins Internet kommen.

–--EDIT----
Ich sehe gerade, dass du ja auch Fragen zum Thema SQUID gestellt hast. Zur Information: SQUID und LOAD BALANCING funktionieren bisher NICHT auf ein und derselben pfsense.

Ich umgehe das Ganze, indem ich 2 pfsense nutzen, wie im Beispiel:

WAN1 ---
              --pfSense1 (Load Balancing) --------- pfSense2 (SQUID) ---- Clients
WAN2 ---/

Die pfSense1 braucht wenig Leistung, da hier ja nur die Internetbandbreite als maximal mögliche Bandbreite erzielt werden kann und die pfSense2 ist natürlich stärker ausgelegt, da der SQUID ja auch etwas cachen können soll, also auch RAM braucht.
Unabhängig vom SQUID hat man dort aber meist mehr Durchsatz, wenn intern zwischen verschiedenen Subnetzen Daten ausgetauscht werden.

http://www.pfsense.org/index.php?option=com_content&task=view&id=52&Itemid=49

10-20 Mbps - No less than 266 MHz CPU
wenn der interne Netzwerkverkehr NICHT über die pfSense geroutet wird, sondern lediglich der Internetverkehr.

Packages - Some of the packages increase RAM requirements significantly. Snort and ntop are two that should not be installed on a system with less than 512 MB RAM.

Also mindestens mal 512MB RAM, besser 1GB und beim Prozessor…sind wir mal ehrlich....da kannst du eigentlich alles nehmen, was noch keinen Staub angesetzt hat. 1GHz wirst du sicherlich irgendwo auftreiben können.

PS: Soll ich es nochmal im englischsprachigen Thread posten oder reicht dir einmal ? ;-)

maximum_object_size_in_memory 8 KB

http://www.visolve.com/squid/squid24s1/cache_size.php

http://www.visolve.com/squid/squid24s1/contents.php