@jegr Erst noch mal danke für die Mühe.
tatsächlich habe ich es von Anfang an so gemacht, wie du beschrieben hast und es hat einfach nichts funktioniert.
Ich habe danach alles Mögliche und Unmögliche probiert, aber ohne Erfolg.
Ich hatte auch schon einen "klassischen" P2-Tunnel aufgebaut, wo sich die gegenstelle geweigert hat diesen abzunehmen (obwohl es funktioniert hat).
Das klassische IPSec benutzen wir aber noch für eine Standortanbindung und kann ich auch nicht so ohne weiteres Ändern.
Aktuell probiere ich, dass der Server bereits mit der geforderten IP-Adresse bei der pfSense ankommt.
Entweder über ein zweites Interface oder das eine andere pfSense das NAT macht und dann weiter routed.
Naja, mal sehen, was funktionieren wird.

@jegr said in Woher kommen die statischen Routingeinträge:

Wenn es Firmenbezogen ist und es da kritisch sein sollte wegen Datenaustausch: dann gib ggf. per Mail oder DN Bescheid und kontaktiere meinen Kollegen, dann können wir auch kurzfristig ne Stunde Support o.ä. ganz offiziell einplanen mit entsprechenden Datenschutz und Verschwiegenheitserklärungen>
\jens

Das macht vermutlich Sinn, ich kläre es ab und melde mich

...Alex

@viragomann Wahrscheinlich mal in System/General die Zeitzone geändert aber seither nie rebootet und die Logs nicht neu schreiben lassen.

Ist btw in 2.5 wirklich wesentlich besser, da hier dann auch keine CLogs mehr am Start sind, sondern default Textdatei-Syslogs und da ist ein Reset mal schneller gemacht ohne gleich alle Logs ins Nirvana zu blasen :)

@viragomann Danke für deine Unterstützung und die kompetente Erklärung.

@viragomann ja genau OpenWrt ist das.

Danke für die Info.
Ich versuche mich weiter.

@heinzk said in captive portal mit http funktioniert nicht mehr mit NB oder PC:

und im Browser steht nur etwas von unsicherer Website.

was steht da genau? Irgendwas wirds nicht sein :)

Ich tippe darauf, dass da an irgendeiner Stelle was falsch konfiguriert war/ist und entweder HSTS ausgeliefert wurde und damit der Browser sofort auf HTTPS springt und damit dann irgendwas nicht mehr auflösen kann oder es einen seltsamen Redirect gibt.

Ja die neue Version ist unter der Haube halt ein wenig optimierter und damit schneller.

Das wundert mich jetzt nicht.

@flole Voila: GIF interfaces should be reconfigured when IPv6 address of a WAN-Interface changes

Das Problem wurde m.E. nicht wirklich beseitigt und wegen des echten DualStacks (was ich später nachgebucht habe) habe ich das Thema nicht weiter verfolgt.

@jegr
Nein, wie drunter beschrieben:
On local area network interfaces the upstream gateway should be "none".

@jegr Ich habe den Hacken nun rausgenommen. Werden dennoch die neuen PCs, die sich eine DHCP Adresse holen im DNS eingetragen oder muss ich das nun selber machen?

Mit welchem Eintrag kann ich den DSN Cache den anpassen?
Ist das der Wert "Anzahl an Hosts welche zwischengespeichert werden"

Schönen Abend Wünsche ich

@nocling said in Wireguard zurück als Paket:

Melde dich, dann bohren wir nen Tunnel 😊

Ad tunnel bohren bin ich dabei

@eklasen

bitte einen grafischen netzwerkplan hast du mal versucht einen portforwad einzurichten und geschaut ob es von extern geht? bist du dir sicher das du dualstack hast und kein ds-lite? welcher provider?

@dogfight76 bitte mal einen netzwerkplan

@nocling
das ist ja interessant, ich sollte dann unser Backup doch mal etwas belasten!

Sieht fast so aus. Ich habs dann doch klassisch gehalten und die IP Ranges kopiert und per Massen Import im Alias hinterlegt. Sollte es in Zukunft doch aufwendiger werden wegen fehlenden IPs muss ich mich wohl mit dem Support auseinandersetzen zu diesem Thema. Danke für die geistige Unterstützung.

@achim55 said in multi-WAN load balancing LTE:

Am liebsten wäre es mir mit einer internen Karte die ich auf das Board stecken kann und die die SIM aufnimmt.

Nö, das wird AFAIK nichts. Ich kenne keine MiniPCI / miniPCIe Karte die intern verbaut wird, LTE kann, externe Pigtails anspricht UND dazu noch unter FBSD12 läuft.
(Kommt zudem STARK darauf an WELCHE PCengines hier gemeint wird. Das kann jetzt von WRAP, ALIX, APU1, APU2-3 so ziemlich alles sein...)

Mobiler Router oder ein halbwegs vernünftig agierender USB Stick wären da die sinnvollere Option, da die meist besser angepasst und aktualisiert werden können.

Gibt es eine Karte für das Board für die Nutzung einer SIM-Karte?

AFAIK nope.

Wie sind eure Erfahrungen mit Freenet-Funk

Kenne ich nicht

Habt ihre eine Empfehlung für die Hardware für ein mobilen Router

Hängt ja immer schwer davon ab, was auch der Kartenanbieter/ISP vorgibt oder wahlweise anbietet. Solang man da was brauchbares findet was am Besten kein WiFi Geraffel ist, sondern ne ordentliche RJ45 Buchse hat, sollten wohl die meisten da mitspielen. Sobald die selbst nen (mini)Router haben, ist es nur noch relevant, ob die Kiste nen ordentliches Transfernetz stellen kann und danach wird sie einfach genauso behandelt wie jeder andere vorgeschaltete Router auch. Wenn man auf AVM steht, gibts ja inzwischen sogar reine LTE-Boxen von AVM zu relativ günstigem Preis.

Cheers

@slu said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:

@one
es gibt noch keine neuere Version als die 2.5.1 oder was genau meinst Du?

Naja wenn er Tunnel in der 2.5.2 meint, die sehen bislang brauchbar aus. Aber ich habe sicherlich keine zwei Dutzend Tunnel zu unterschiedlicher Hardware dass ich konkret sagen kann "X, Y und Z laufen, A nicht" :)

Ich bleib da eher beim Diesel-Zitat aus Pitch Black: "Sieht OK aus!"

Hey @noplan ,

Zu A = Einfach das Geode Combined Image auf eine CF gebrannt 👍 , wie gesagt, jetzt ist das Alix nur noch mein SmartSwitch um den einen Port des MacMini auf 2 zu splitten. Mit OpenWRT rennt das kleine teil wieder 😁

Shalla also in den pfBlockerNG ja? Kann ich dann noch die Kategorien trennen, oder gibt es getrennte Listen?

Zu B = Momentan per Proxy, der kann das nach Wochentagen regeln (So-Do kürzer, Fr-Sa länger), der Firewall-Zeitplan wollte direkt irgendwelche Datumsangaben von mir.

Zu C = Zum Beispiel die EmergingThreats Listen und weitere von raedts.biz. Außerdem noch ein paar PiHole Listen für den DNSBL um Android Werbung, SmartTV-Gedöns und CoinMining einigermaßen auszusperren. Das ist weniger für die Kinder, als für ein angenehmeres Erlebnis an den Handys usw. 😳

Zu D = Ich war nie Fan von transparenten Proxys und Datenverkehr aufbrechen. Ich lasse den Proxy bewusst per DNS/DHCP per WPAD ausrollen oder trage ihn notfalls von Hand ein. Das klappt bisher ganz gut, auch an anderen pf-Boxen. Am eigenen Handy scheitert es zwar am Opera Mobile, aber der Proxy dient zu Hause ja ohnehin hauptsächlich den Kindern, da kann ich das regeln. Daher ist HTTPS mMn kein Problem.

Ich nutze, für die Kids, nicht den DNS der pf, sondern lasse an den Endpoint direkt die DNS-Server von JUSPROGDNS liefern. Da gibt es jeweils 2 IPs für verschiedene Altersgruppen. zum Beispiel 0-6, 6-12 Jahre usw. Ein ganz kleines bisschen kann man den DNS-Dienst anpassen über einen gratis Account und DynDNS. Der Dienst behauptet, nur selbst kontrollierte Seiten mit aufzunehmen die dem Alter entsprechen. Was also durch den Squid sickert, könnte womöglich der DNS Dienst nicht auflösen, oder umgekehrt. Der Squid, als auch JUSPROGDNS, haben mein SafeSearch irgendwie nicht umgesetzt. Ich konnte ganz normal umschalten auf unsichere Suche. Daher sperre ich momentan "Searchengines" aus und habe stattdessen eine Whitelist für fragfinn und 2-3 weitere gesetzt. Auch der Redirect führt zu fragfinn, falls man eine gesperrte Seite öffnen wollte. Das Ganze soll Schritt für Schritt natürlich gelockert werden, ist auch mit den Kindern so besprochen. Funktionierendes & erzwungenes SafeSearch wäre hier ein großer Schritt in die richtige Richtung.

Zu E = Nun ja, die Version, die mit 2.5.1 ausgeliefert wird. Ich dachte, man muss den Python-Mode erst aktivieren? Da der pfBlockerNG eher dem Komfort dient, sind die Listen womöglich wirklich nicht sehr umfangreich. Als Kindersicherung lässt er sich nicht einspannen, dann sperrt er wieder zu viel bei allen anderen Geräten im Netz. Außer den Kids, nutzen alle Geräte den DNS der pf, gefüttert vom DNSBL. Die Kinder nutzen vorrangig die Filterung vom Squid. Das ist vielleicht nicht ganz optimal? So ist aber zumindest keine Werbung im Smart-TV und fast keine in den restlichen Geräten. Da wir durchaus mal die Mediatheken nutzen, bekomme ich sonst die Werbung im Tv nicht weg und den Kodi für Mediatheken zu verwenden ist mir zu unhandlich 😌