ja ich weiß :D aber ich wohn aufm Dorf das ist mein Privates WLAN und beim dem Traffic naja mann braucht schon seine GigaByte um WEP zu Hacken das datenvolumen wird der DS wohl nicht aufbringen :D

aber wäre klasse wenn du das mal mit beiden aktiven Testen könntest, ist ja nicht dringend ;)

Sorry, ich hatte die Version nur ganz kurz installiert und hineingeschnuppert. Kann jetzt also nicht mehr nachschauen, denn da läuft inzwischen meine IPsec Testinstallation - wenn mir schon keiner auf meine IPsec-Fragen antworten mag… ;-)

Der sichtbare Teil des Fehlers war unten links in der Statusleiste des FX: "Fehler auf der Seite". Mehr nicht.

[Update]:
Habe noch das Verzeichnis mit der ursprünglichen Datei gefunden.

Verzeichnis von D:_Download\pfSense\2007-JAN-07 HEAD pfSense.iso

08.01.2007  15:31  2007-JAN-07 HEAD pfSense.iso.gz
              1 Datei(en)    32.220.201 Bytes

File-Zeit und -Datum entspricht dem Download-Zeitpunkt.
[/Update]

@hoba:

Hier ist übrigens das Update für den Trafficshaper schon verfügbar: http://forum.pfsense.org/index.php/topic,3135.msg18892.html#msg18892
…aber wie gesagt das ist bald direkt im Image integriert.

Momentan solltest Du neu flashen. Ich hoffe, daß wir da noch eine bessere Möglichkeit zum Updaten finden.

Wäre echt lieb, wenn Ihr es irgendwie schafft den Wrap per Update funktion aktuell zu halten, ich weis nicht wie lange mein Wrap gehäuse das ständige auf und zumachen mitmacht ;)

Du brauchst mindestens 3 statische IPs auf dem Anschluß (siehe http://pfsense.com/mirror.php?section=tutorials/carp/carp-cluster-new.htm und http://doc.pfsense.org/index.php/Setting_up_CARP_with_pfSense ). Bzgl Verkabelung brauchst Du einfach nur einen Switch zwischen Modem und den beiden Firewalls.

Wie ist Dein WAN eigentlich genau konfiguriert? Statisch oder PPPoE? Mit PPPoE geht CARP nämlich nicht. Normalerweise kriegst Du aber bei statischen DSL Anschlüßen IPs, subnet etc mitgeteilt, womit CARP geht.

Stelle Dir folgendes vor: Du möchtest alles was von Clients im LAN ins Internet auf port 80 (http) rausgeht "transparent" an Deinen Proxy im LAN umleiten. Dann erstellst Du einen Portforward auf dem Interface LAN mit external Adress "any" (nämlich an alle Adressen im Internet) und schickst das wieder auf Deine interne IP vom Proxy. Das gleiche kannst Du mit SMTP oder was auch immer machen (um z.b. nach SPAM oder Viren zu filtern oder ganz böse Sachen wie Logins mitfiltern usw  ;D ).

Für alle anderen Portforwards nimmst Du die hier "Interface IP" oder falls Du Virtual IPs angelegt hast eine dieser IPs.

Supi, danke für die hilfe hat alles geklappt wie es soll :)

Servus HOBA !

Nach Reinstallation das gleiche Problem !

Rio2000

Es gibt mehrere angefangenen Pakete, die AV-Funktionalitäten bereitstellen, aber davon ist zur Zeit keines einsatzbereit.

Ganz einfach: Deaktiviere advanced outbound NAT. Das wird weder für policybasedrouting noch für loadbalancing benötigt, es sei denn Du hast virtuelle IPs oder willst z.B. gewisse Ausnahmen definieren, etc.

Die pfSense macht bei deaktiviertem advanced outbound nat automatisch NAT auf jedem Interface, das ein Gateway besitzt. Allein die Firewallrules definieren was wohin gerouted wird für policybased routing und loadbalancing.

Hatte noch keinen Blacklist Server eingetragen  :-[

Danach startete der Service einwandfrei.

Kann ich bestätigen, und vom Preis-Leistungsverhältnis unschlagbar  ;D
Die Siemens-Kisten haben sogar meistens Intel nics onboard.

Dankeschön  :)

Wir wünschen der ganzen Community natürlich auch ein Frohes Weihnachtsfest und ein erfolgreiches 2007!

hallo,

monowall setzt aber jetzt auch auf freebsd 6 und mit ihm bekomme ich nach wie vor keine 100% CPU last, sondern nur ~40%.
Ich habe pfsense eben nochmal getestet, die wiki Einstellungen voll übernommen und polling aktiviert.
Das einzigste was dabei raus gekommen ist, ist dass mit aktiven polling ich nun durch die wiki Optimierung wieder einen vollen Speed von 16 Mbit habe, allerdings auch wieder eine CPU Last von 100%.
Bei polling ohne wiki war die CDU Last soweit ich mich erinnere bei 50-60% aber nur noch ein Speed von 10-11 Mbit drin.
Bei der 100% CPU last, kann ja selbst putty und SSH–>top nichts mehr auslesen, weil pfsense so ausgelastet ist, dass sie nichts mehr sendet.
Ob es nun noch dazu kommt das pfsense noch rebootet, weiß ich nicht und werde ich auch nicht weiter testen, weil die 100% CPU Last alleine, für mich schon nicht akzeptabel sind, dass kann nicht gut sein, ich möchte nicht wissen, wie groß die Paketverluste bei 100% CPU sind, womit auch der etwas geringer Speed der pfsense zu erklären wäre, nämlich ~15,3 Mbit gegenüber ~16,7 bei monowall.

Zum Snapshot. Wo soll das liegen? Das wird es wohl nicht sein
http://www.pfsense.com/~sullrich/1.0.1-SNAPSHOT-12-22-2006/

Das wird wohl die HDD Version sein, denn flashe ich mit physdiskwrite das fullupdate, ist meine CF danach nicht bootfähig, meldet mir wrap.
Nehme ich pfSense.img.gz wird es unter Firmware update im Webmenü nicht genommen und benenne es um in embedded.img.gz wird es genommen, aber es gibt eine Warnmeldung, dass crc nicht passt und ob ich wirklich will.
Ich sage ja pfsense sagt "ok ich spiele das jetzt ein und muss neu booten."
Die sense bootet und nach dem reboot ist nach wie vor die Version
1.0.1
built on Sun Oct 29 01:45:08 UTC 2006

vorhanden.

Weiter oben hast du geschrieben, dass bei deaktivierter Firewall die CPU last nicht so hoch sein soll.
Wo lässt die sich zu Testzwecken deaktivieren?
Unter advanced-->Disable Firewall habe ich deaktiviert und da ging dann gar nichts mehr.
Ich konnte zwar einwählen aber das Inet war nicht erreichbar.

Edit:
ich stelle gerade fest, dass mit der Wiki Optimierung die CPU ständig auf 100% hängt, auch wenn nichts gesaugt wird.

Naja, die Timeline ist mir schon klar.
Leider komme ich nicht damit klar, zB den changelog einer bestimmten Version zu finden. Und darin sieht man doch am besten, was sich seit der letzten Version geändert hat.

jahonix

Das nenn ich doch mal ein blödes Problem…
Aber gut, dann weiß ich wenigstens, worans liegt...

Danke!

Gruß

??? ??? ???

Merkwürdig, das !

und haste mal per SCP versucht, das Snort-Verzeichnis zu löschen ?
Das liegt unter /usr/local/pkg (Dateien mit snort*)

?

Es sollten soweit ich weiß gar keine Rules by default aktiviert sein (zumindest war das noch so als ich Snort das letzte mal am Laufen hatte). Es macht auch kaum Sinn defaultmäßig Regeln vorzugeben, da es von der Netzwerknutzung abhängt, was man überhaupt blocken will. Z.B. kann es ja durchaus vorkommen, daß man P2P-Traffic erlauben will, da wäre eine default gesetzte P2P-Block-Regel doch ärgerlich, oder?

also ich habe eine lösung gefunden. ist zwar etwas naja, aber es geht so prima. ich habe in die /etc/rc fast ganz unten:

route delete default
route delete 192.168.23.0
route add -net 192.168.23.0 -netmask 255.255.255.0 -interface rl1
route add -net 0.0.0.0 -netmask 0.0.0.0 -gateway 192.168.23.8

reingesetzt, und siehe da es rennt.

gruss merl

Ich hab die auf nem PII 350 mit 265 MB Ram laufen. Müsste eigentlich reichen. Ich hatte das ganze auch schon auf ner 500 Mhz Schleuder laufen, das war auch nicht gerade schnell..

Gruß tpf

hallo !

wenn es ein servicevertrag geben würde …....
tcha sowas war hier bisher immer zu teuer.

ich werde wohl um eine kostenpflichtige umstellung nicht drumkommen. das letzte wort hat da aber der chef. ich kann ihm nur die fakten auf den tisch legen. Danke trotzdem für die hilfe