Die Lösung war, das mein Auftraggeber vergessen hatte ein paar Einträge in die Routingtabellen des Netzwerkes zu machen.
Ich hatte das nun wirklich vorausgesetzt.

@SiD67:

Ich hätte einfach mal auf einem anderen Mirror schauen sollen, der niederländische scheint nicht aktuell zu sein ;)

Die Updates findest Du derzeit unter:
http://snapshots.pfsense.com/FreeBSD6/RELENG_1_2/updates/

Dass Du die Files von einem Mirror ziehst hatte ich nicht bedacht, denn die Updates werden ja automatisch neu compiliert und publiziert, so dass der Mirror eigentlich immer hinterher hängen muss…

Chris

Hi,

ich habe mich letztens mit einem Kollegen mal daran versucht einen Windows IPSEC-Client (Funkwerk/Bintec) an eine pfSense zu verbinden. Das hat eigentlich bestens funktioniert, nachdem wir verstanden haben was zu tun ist ;)

Ich kann Dir folgende Sachen sagen - vielleicht bringt es Dich weiter, weil Du nicht sagst, was Du schon selbst ausprobiert hast:

1. VPN / Mobile Clients aktivieren - IPSEC im Punkt Tunnel muss scheinbar nicht aktiv sein
2. Preshared-Key vergeben

Bei uns kam dann sofort eine Verbindung zustande, allerdings konnte man nichts machen, bis ich darauf gekommen bin, dass man unter
3. Firewall / Rules / IPSEC - eine neue Regel erstellen muss, mit der der entsprechende Traffic explizit erlaubt wird. Source = Client-IP od. Netz, Destination pfSense-Netz, Interface IPSEC, Action Pass

Bei meinem IPSEC-Client musste ich Fully Qualified Username wählen, damit eine Verbindung zustande kommt. Wie es dann bei Deinem Endgerät genau heisst weiss ich nicht genau.
Ich habe beruflich ein wenig mit IPSEC-Verbindungen auf Fortinet und Bintec zu tun und irgendwie habe ich das Gefühl das es bei einigen IPSEC-Sachen keine einheitliche Namensgebung gibt und man generell sehr wenig Infos findet….

Die Konfiguration der pfSense war für mich am Anfang total merkwürdig, aber wenn man das Prinzip einmal verstanden hat macht es durchaus Sinn ;).

Als nächstes werde ich mich mal an IPSEC mit Zertifikaten an einer pfSense versuchen... Ist bestimmt auch schaffbar ;)

Gruß SiD

Mit der 1.0.1 und genau denselben Einstellungen läuft es jetzt….

Da mir leider niemand bis jetzt weiterhelfen konnte möcht ich mal versuchen selber anzusetzen, vielleicht kann ja jemand sich das mal anschauen.

WAN-Interface: Wird wohl eine IP 142.2.254.x bekommen.
LAN-Interface: 142.2.60.254

Dann bei Firewall -> NAT -> Outbound auf Advanced Outbound NAT umschalten und die generierte Regel unten löschen, damit sollte NAT deaktiviert sein.

Dann kann ich doch bei allen PC's die 142.2.60.XXX IPs drin lassen, der Gateway bleibt auch gleich (142.2.60.254) und es sollte klappen das alle die IPs nach aussen zeigen?

Das Problem ist das ich bis zur Umstellung nicht testen kann.

Danke … geht ja schon wieder ...

Ok, dann las mich das Wort Geschwindigkeit mit Bandbreite ersetzen, auch wenn es von den meisten Leuten synonym verwendet wird…
Mit 2x 6mbit DSL und dem pfsense LBer kann eine einzelne IP verbindung wie ein http-download trotzdem nur 6 mbit "breit" (oder doch eher schnell  ;D ) sein. Und genau das kann der viprinet umgehen. Mit ihm ist auch EINE Verbindung mit 12 mbit möglich.
Wie auch immer, muß dir ja auch nicht gefallen das Ding, bei mir kommt auf jeden Fall demnächst so was vor meine pfsense, dann muß ich mich nicht mehr mit unterschiedlichen DSL Verbindungen rumärgern, und außerdem kann man so auch noch öffentliche IP Adressen für seine Nutzer bereitstellen.

Mir ist schon klar das ich die einzelne Verbindungen nicht schneller machen kann als wie in deinem Beispiel beschrieben..
Da ich aber viele Clients habe die den Zugang benutzen, ist es garnichtnötig, das eine einzelne Verbindung  Bandbreiten von 12 oder mehr MBit haben..

Aber wenn du einzelne Verbindungen mit einer grossen Bandbreite benötigst, ist das natürlich die viprinet Lösung nicht die schlechste Verbindung…
Nur wie beschrieben ist mir diese Lösung
1. eindeutig zuteuer bei 2 Kisten bin ich bei über 6T € und 
2. wenn ich einen von ihren Partner ISP´s buche bin ich wieder von dem einzelnen abhängig und wenn z.B. den seine Zuführung zum RZ ausfällt ist ist bei mir auch alles Tod…  soviel zur Verfügbarkeit von 99,9%

Bei der von viprinet angegeben Filialvernetzung macht das alles Sinn weil die Kisten 1x Zentrale &1x Filiale bei bei mir stehen würden... 
das ist wohl eher die Hauptstärke dieses Systems....

Wie gesagt hat das System einige Harken und Ölsen aber wenn man das Geld hat und mit den Bedingungen leben kann ist es ein wirklich gutes System dem ich nie widersprochen haben..

Ich kann hier leider keine weitere Hilfe leisten, da ich ein völlig anderes LCD an COM2 vorliegen habe. Das kam halt mit dem Rechner so. Dort läuft ein Term244 von ibo-ott.de …
LCDprog werde ich also vergessen können, da das Terminal einen eigenen Befehlssatz hat.

Chris

Und wieder Pech gehabt…  :P

Danke, das hat geholfen!

;-))

Liebe Grüße,

Leander S.

^^ Na dann lass ich mich mal überraschen

FreeBSD mag Dein CDROM nicht. Entweder CDROM tauschen oder drüber hinwegsehen. Habe hier auch paar Testmaschinen mit solchen CDROMs.

mir ist etwas ähnliches bei PPTP aufgefallen .. sobald sich die DSL Verbindungen zwangstrennen egal ob auf server oder client seite.. musste ich ewig warten bis meine IP wieder frei war und pfsense mich wieder verbinden lassen hat .. davor hat sie mir mindestens eine halbe stunde lang erzählt dass mein benutzername und pwd nicht stimmen würden … erlebe das jede nacht .. war also nichts einmaliges ... ;;-)

Grüße,

Leander

Hi,

also zu meinem WAN Anschluss giibts nicht wiklich viel zu sagen … dran hängt ein ADSL 2+ Modem mit nem T-Online Anschluss und ner static IP.--> PPPoE

im Netzwerk drin steht nur ein Webserver ..... warum die virteuellen IP adressen? - wegen den SSL Zertifikaten. Außerdem möchte ich später gerne virtuelle Server anbieten können ... dazu sollten dann schon alle Ports pro Server frei sein.

Ich dachte mit NAT wäre diese IP Weiterleitungsmöglichkeiten an eine andere interne IP nicht mehr drin ... aber da habe ich mich wohl getäuscht ;-) danke ;-)

Portforwarding möchte ich eigentlich nicht so wirklich haben, da die Server ja sowieso eigene Firewalls integriert haben und wenn ich jedem server ne public IP zuweißen kann ... was will ich in meinem kleinen Rechenzentrum denn mehr?!

Die Frage ist nun, wie gehts für mich weiter? Wo sage bzw. teile ich zu, welche public IP ich welchem internen Server bzw. welcher internen IP gehört? In 1:1 NAT oder in den Firewall rules?

So wie ich das auf die schnelle verstanden habe möchte ich wohl 1:1 anstelle von den rules verwenden - richtig? Bzw .. wo sage ich, dass dann auch der gesamte Verkehr über die neue vIP auf die interne IP freigegeben/geforwardet ist?

Und meine zweite Frage betrifft wieder das 1:1: Ich habe nicht ganz verstanden wie ich das konfigurieren soll ... könntest du mir bitte mal ein Beispiel geben?

Interface                WAN External subnet      217.77.222.222/32    <-- dieser Eintrag verunsichert mich ... sollte ich da nicht ein Subnet angeben? Internal subnet      10.1.10.100/8  <-- hierbei bin ich mir auch nciht sicher, da ja eigentlich Subnetze verlangt werden, ich aber eine IP eingebe, da ich die vIP ja auf eine Server IP innerhalb des netzwerkses forwarden möchte .. und nciht gleich ein ganzes Subnetz?! ist das korrekt? Description            Meine Virtuelle IP Adresse von T-Online --> auf Server weitergeleitet

^^ danke, denn das wäre sehr hilfreich.

Grüße,

Leander

Das Problem ist, daß bei FreeBSD alle Bridgemitglieder einen Link haben müssen, damit das funktioniert. Ist leider eine FreeBSD-Geschichte und nichts, was wir in der pfSense geradebiegen können.

Danke, scheint ein Problem zu sein, das sich durch die Upgradeunterstützung für Embedded Platformen eingeschlichen hat. Einfach demnächst nochmal mit einem neueren Snapshot probieren  ;)

Das Problem scheint im aktuellen Snapshot vom 09-05-2007 nicht mehr vorhanden zu sein.