@slu said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway: @one es gibt noch keine neuere Version als die 2.5.1 oder was genau meinst Du? Naja wenn er Tunnel in der 2.5.2 meint, die sehen bislang brauchbar aus. Aber ich habe sicherlich keine zwei Dutzend Tunnel zu unterschiedlicher Hardware dass ich konkret sagen kann "X, Y und Z laufen, A nicht" :) Ich bleib da eher beim Diesel-Zitat aus Pitch Black: "Sieht OK aus!"

Hey @noplan , Zu A = Einfach das Geode Combined Image auf eine CF gebrannt , wie gesagt, jetzt ist das Alix nur noch mein SmartSwitch um den einen Port des MacMini auf 2 zu splitten. Mit OpenWRT rennt das kleine teil wieder Shalla also in den pfBlockerNG ja? Kann ich dann noch die Kategorien trennen, oder gibt es getrennte Listen? Zu B = Momentan per Proxy, der kann das nach Wochentagen regeln (So-Do kürzer, Fr-Sa länger), der Firewall-Zeitplan wollte direkt irgendwelche Datumsangaben von mir. Zu C = Zum Beispiel die EmergingThreats Listen und weitere von raedts.biz. Außerdem noch ein paar PiHole Listen für den DNSBL um Android Werbung, SmartTV-Gedöns und CoinMining einigermaßen auszusperren. Das ist weniger für die Kinder, als für ein angenehmeres Erlebnis an den Handys usw. Zu D = Ich war nie Fan von transparenten Proxys und Datenverkehr aufbrechen. Ich lasse den Proxy bewusst per DNS/DHCP per WPAD ausrollen oder trage ihn notfalls von Hand ein. Das klappt bisher ganz gut, auch an anderen pf-Boxen. Am eigenen Handy scheitert es zwar am Opera Mobile, aber der Proxy dient zu Hause ja ohnehin hauptsächlich den Kindern, da kann ich das regeln. Daher ist HTTPS mMn kein Problem. Ich nutze, für die Kids, nicht den DNS der pf, sondern lasse an den Endpoint direkt die DNS-Server von JUSPROGDNS liefern. Da gibt es jeweils 2 IPs für verschiedene Altersgruppen. zum Beispiel 0-6, 6-12 Jahre usw. Ein ganz kleines bisschen kann man den DNS-Dienst anpassen über einen gratis Account und DynDNS. Der Dienst behauptet, nur selbst kontrollierte Seiten mit aufzunehmen die dem Alter entsprechen. Was also durch den Squid sickert, könnte womöglich der DNS Dienst nicht auflösen, oder umgekehrt. Der Squid, als auch JUSPROGDNS, haben mein SafeSearch irgendwie nicht umgesetzt. Ich konnte ganz normal umschalten auf unsichere Suche. Daher sperre ich momentan "Searchengines" aus und habe stattdessen eine Whitelist für fragfinn und 2-3 weitere gesetzt. Auch der Redirect führt zu fragfinn, falls man eine gesperrte Seite öffnen wollte. Das Ganze soll Schritt für Schritt natürlich gelockert werden, ist auch mit den Kindern so besprochen. Funktionierendes & erzwungenes SafeSearch wäre hier ein großer Schritt in die richtige Richtung. Zu E = Nun ja, die Version, die mit 2.5.1 ausgeliefert wird. Ich dachte, man muss den Python-Mode erst aktivieren? Da der pfBlockerNG eher dem Komfort dient, sind die Listen womöglich wirklich nicht sehr umfangreich. Als Kindersicherung lässt er sich nicht einspannen, dann sperrt er wieder zu viel bei allen anderen Geräten im Netz. Außer den Kids, nutzen alle Geräte den DNS der pf, gefüttert vom DNSBL. Die Kinder nutzen vorrangig die Filterung vom Squid. Das ist vielleicht nicht ganz optimal? So ist aber zumindest keine Werbung im Smart-TV und fast keine in den restlichen Geräten. Da wir durchaus mal die Mediatheken nutzen, bekomme ich sonst die Werbung im Tv nicht weg und den Kodi für Mediatheken zu verwenden ist mir zu unhandlich

@bon-go Ich weiß, ist in so einer Situation natürlich nervig. Und die Idee war ja gut. Woran das jetzt klemmt ist nur leider schlecht zu sagen, da es bei anderen Setups ja leider läuft. Schwierig :/

Are you sure, that's the right place to post? You are in the german subforum where normally every post is german (wir schreiben deutsch). I think that post would be better suited in the ACME/HAproxy package subforum.

hi @pasu, da du die Tunnings befolgt hast, gab es keine Besserung? Unter System > Advanced > Networking solltest du diese nur beiden Flags mal testen: Flags bei Hardware TCP Segmentation Offloading & Hardware Large Receive Offloading reboot. Bei Vodafon musst du DHCP im Interface aktiv lassen (IPv4 Configuration Type) und über die Homepage den Modus ändern falls nicht getan. Für das Vodafon-Interface musst du auch Speed und Dublex dann auf "Default..." gesetzt lassen. Dieser handelt für sich den Mode dann schon richtig aus. VG

Vielen Dank euch beiden, ich habe nun eine grobe Richtung. Werde mich noch mal melden, wenn Glasfaser freigeschaltet wird... Danke

@pressakey Schön dass es geklappt hat. Trotzdem gibt es für mich keinen sinnvollen bzw logischen Grund heute Bridge Tap Tunnel so zu nutzen oder zu bauen. Die Gründe würden mich da interessieren. und mit längsten hat das nichts zu tun sondern mit sauberem Netz und Debugging sowie ARP und L2 was dadurch nicht gegeben ist. Da braucht man schon sehr gute Gründe. Cheers

@viragomann Besten Dank für deine Antwort. DNS Override wäre meine zweite Wahl gewesen, aber die NAT reflection macht auch ihren Dienst. :-)

@jegr said in 2.5.2-Beta: Test für MultiWAN Problem: @slu Ist eigentlich nach meinem Verständnis nicht per se ein Bug. Wenn die Kiste auf DHCP/DHCP6 default eingestellt ist, und auf dem LAN logischerweise dann auf static IP/Track IF dann für IPv6 fähige Geräte bereitstellt, dann muss auch DHCP6 laufen für DNS Unterstützung etc. Ich würde dir zustimmen, aber auf der System war nie ipv6 aktiviert und ist es auch nicht. Evtl. kommt das aber darauf an wann die pfSense installiert wurde und wie damals der Default war...

@nocling Weil Distributor und Distris machen den Händlern selten die Preise kaputt ^^

@nocling @JeGr Fenstertag

@mabinogion said in Serverfreigabe: Test durchgeführt -> Keine Pakete Wo? Am WAN? Wenn ja, solltest du mal die Teile davor untersuchen. Architektur: Fritz Box Unitymedia (heute Vodafone) pfSsense Client W10 VM Hast du auf der FritzBox die Pakete weitergeleitet? Wenn alles auf die pfSense weitergeleitet werden soll, wäre diese als "Exposed host" oder DMZ zu setzen, wie immer das auf dem Router heißt. Darf ich diesen Post ein paar Tage stehen lassen bis ich wieder etwas Zeit frei bekomme? Dieses Forum ist so geduldig wie Papier. Da kann man auch in 10 Jahren alte Threads posten, die Sinnhaftigkeit mal nicht in Betracht gezogen.

@jegr Neustart des Service schreibt die in der OpenVPN Page definierten Daten (also auch das CA File) neu, Reboot bereinigt zusätzlich den Ordner was einer Löschung der manuell 'beigelegten' Files gleichkommt. Ich habe mal mit Deinem Input bzgl. der Dateinamen gespielt und habe jeweils von alter und neuer CA die Dateinamen übernommen. Habe aber daraus keine neuen Erkenntnisse gewinnen können

Auch hier ein herzliches Dankeschön für die schnelle Hilfe. Gruß Martin

@viragomann Das Leben kann so einfach sein. Danke für Deine schnelle Unterstützung. Gruß Martin

Software nicht, aber eine Konfigurationsdatei, die ein Mensch lesen, verstehen und nach eigenen Wünschen einfach anpassen kann, hat gewisse Vorteile.

@nocling außer topic editieren und reinschreiben nicht