Von woher pingst du? -> zuerst immer mit pfsense selbst
Kennt der client die route zurück? -> am client wurde nichts geändert
Ohne diese Änderungen kannst du ihn pingen? -> ja
Wie sieht deine "erlaube alles" Regel aus? -> any any any
Erlaubst du auch alle Protokolle? Wenn du nur TCP/UDP zulässt wird ein ping nicht gehen da er ICMP benutzt. -> siehe any any any ^^

mich interesiert nur was bei opt1/openvpn interface nun genau auf was eingestellt sein mus o noch wo anders was fehlt

wer open vpn + rules laufen hat bitte starthilfe leisten

geht das rules gedöhns überhaupt mit schon eingerichteten open vpn server*n? oder darf man alles neu einrichten ?

Danke schön, hat wunderbar geklappt!

1: Wie stellst du dir das vor? Das zwei DHCP Server laufen? Woher soll dann jeder einzelne Client wissen von welchem Server er jetzt eine IP kriegen soll?
Du kannst schon zwei Subnetze an einem Interface haben, aber nur einen DHCP server.
(Und das ist nicht eine limitierung von pfSense sondern vom Prinzip wie DHCP funktioniert).

2: Nicht ohne weiteres und nicht mit der pfSense. Eine Möglichkeit wäre (wenn dein switch VLAN-fähig ist) jeden Port in einem eigenen VLAN zu haben und dann alles über die pfSense zu routen.
Allerdings wäre dann jeder port in einem eigenen subnetz.
Oder wenn es einfach nur darum geht den Zugriff ganz oder gar nicht zuzulassen, direkt mit den VLAN-Regeln
Bsp:
Jeder darf mit der pfSense reden (Internet geht), aber mit keinem einzigen anderen Port (Zugriff auf andere blockiert).

nich wirklich viel

man mus nur nen schlüssel generieren rest siehe pics

bei mir funktioniert allerdings nur TCP als Protocol

und Firewall Rules nicht vergessen

OpenVPN-Server.png
OpenVPN-Server.png_thumb
OpenVPN-Client.png
OpenVPN-Client.png_thumb
Firewall-Rules.png
Firewall-Rules.png_thumb

Hallo miteinander,

sorry dass ich mich erst jetzt melde, wir sind mit unserem unternehmen umgezogen und ich hatte anderweitig Stress…..

ich versuche nun ein ASCII-ART zu erstellen:

        DMZ 2-------- LAN Switch----------Firewall---------Router--------Internet                         217.6.195.0/24      217.6.195.3    217.6.195.4            |           |  217.6.195.2     pfsense 192.168.31.178 ______ DMZ 1  ____ LAN Switch            |  62.154.210,2                    62.154.210.0/24           |                                                  |           |                                                  |           |LAN 192.168.31.0/24                    |         Switch                                    Server, Webserver, Clients           |           LAN Server und clients

Ich wusste doch ich hab round robin schonmal irgendwo gehört. :-)

Vielen dank für die hilfreichen Antworten!
Damit sind all meine Fragen beantwortet.

Gruß
wanie

Ich kenne das nur von anderen Firewallsystemen wie WatchGuard im Zusammenspiel mit Cisco Geräten. Die Ciscos sind da das Problem. Du musst zum Beispiel auf der Cisco definitiv bei der Phase 2 nur eine Lifetime in Sekunden einstellen. Standardmässig ist dort auch noch irgendein Kbyte Wert drin. Dann kommt es meist bei Neuaushandeln des IPSec zu Problemen und nur ein manuelles Neustarten hilft…

Würde ich noch nicht machen. Ich bin wieder auf 1.2.3 zurück, die beta ist echt noch nicht sehr gut. Ausserdem hatte ich fast täglich Kernel Panics und musste das Teil hart neustarten…

Aber ja, so könntest du es machen. From Console und dann den Link zum Image da rein kopieren. Das nanobsd upgrade image ist das richtige...

Bei mir gab es auch nach dem Update Probleme mit dem Traffic Shaper zum Beispiel. Ich durfte dann eh 2.0 komplett neu konfigurieren...

Nein.
Die remote IP, ist die IP die dein Netzwerk gegen das Internet hat.
Die FritzBox betreibt NAT.
Du musst sie so konfigurieren, dass sie alle Ports zur pfSense forwarded.

Hi,

kurze Antwort: 100% JA.
Der Rest kommt auf deine Hardware an, die muss deiner Bandbreite natürlich angepasst sein (1 Mbit, 2 Mbit,10 Mbit, .. ,100 Mbit).
Nach dem Moden ist es egal was für eine Übetragungsart vorher da war (DSL, ADSL, SDSL).

MFG

ich selbst habe noch keine probleme damit gehat weil ich es noch nicht getestet habe. Der plan war uhrsprünglich einige standorte redundant an das wan an zu binden. Mit einer normalen sdsl strecke und ein paar umts/hsdpa routern oder so.
Bevor wir dies weiter angreifen konnten kamen bereits erste bedenken unserer partner die schon viele tage mit dem datenkarten/ummts/nat problem verbracht haben.
Wenn man onkel google mit worten wie "problem ipsec nat" und evtl "transversal" füttert fimdet man sicher gute gründe es zu lassen. (ich errinere mich nur sehr grob daran).

Desweiteren kann die pfsense wie es scheint nur 1 filtersatz für ipsec anlegen. Bei mhereren ipsectunneln kann das schon mal hinderlich sein.

Die openvpn implementierung läuft sehr stabeil bei uns auf pfsense. Es gibt allerdings etwas womit die openvpn server der pfsense so garnicht klar kommen. Und das ist das hinzufühgen von interfaces. Nach dem herumfummeln am interace tab der pfsense brechen alle tunnel bzw nur ihre filter zusammen. Da hilft nur ein reboot. Danach tuts alles wunderbar.

Grüße aus einem Bett an der Niederkändischen Grenze ;-)

Problem hat sich gelöst: es war ein Problem an der MPLS Leitung bzw. am MPLS Router.

hm also nicht viel Infos die du uns hier gibst :)

aber nach der IP Konfiguration zu urteilen müsste vmnet8 mit der ip 10.0.0.1 wohl das LAN interface sein auf dem die webgui läuft probiere mal über dein Browser auf die ip zu gelangen.

Hallo GruensFroeschli,
danke für deine Hilfe, habe das Problem selber lösen können. :)
Die statische route war falsch. >:(
LG Raimund

einfach melden…, pfsense zueinander geht auf jeden Fall!!!

Also mit dem Bios Update meines Alix2c3 auf 0.99h  auf dieser CF Karte 4G

CompactFlash 4 GB, 1 x MLC flash, RoHS compliant

•cf4dp1 uses a single 32 Gbit flash chip, much less expensive, but a bit lower read performance (limited to 30 MB/s by 8 bit NAND interface).
• Mikrotik RouterOS is ultra picky about CF controllers, not recommended.
• Please note that these cards support DMA, must disable DMA when used on WRAP.1C / .1D / .2C boards.
• Same card, new eye friendly label…
• NAND flash does not have unlimited endurance.
• SLC flash offers higher endurance (100K vs. 10K erase cycles) and better read performance.

http://pcengines.ch/cf4dp1.htm

ist es mir möglich Addons zu Installieren laut dem Pfsense Buch werden es nicht Alle sein weil es keine Fullinstallation ist.

Freundliche Grüsse Mohamad