@JeGr said in Multi Wan und NAT: Natürlich kannst du unter Outbound NAT auf manuell umschalten und alle Einträge rauslöschen. Dann wird nicht mehr genattet. Sinnvoll ists IMHO aber nicht. Hallo, das geht leider nicht da MultiWan und ein mal NAT drin bleiben muß, ein mal NAT muß drin bleiben. Gruß ré

Vielleicht ein eigenes Thema dafür anlegen mit allen Details die du hast und nicht nur zwei Zeilen Text wären da ein ganz guter Start zur Hilfe. "So wie das da" ist keine sinnvolle Fehlerbeschreibung. ;)

@PFsense-User2019 said in DNS Auflösung funktioniert nicht richtig bei großen Downloads: Andere Frage, wenn ihr den gleichen Test macht, funktioniert bei euch dann die DNS Auflösung korrekt? Ja. Nutze aber eine Vigor 130 als Modem und die Fritze ist zur DECT Station degradiert, die klassische Config eben. Versuche es mal in diese Richtung.

@JeGr said in Firewallregeln hostbasiert in pfSense möglich (IPv6)?: Solang die DUID vom Gerät gleich bleibt und die generierte IP6 somit intakt bleibt, kann man auch die IP6 in einen Host Alias gießen und benutzen. Muss man natürlich auch in den Regeln IPv6 statt v4 einstellen (oder beides, je nach Alias). Da du aber nicht schreibst ob es um eingehenden oder abgehenden Traffic geht, ist mir unklar, wo dein Problem liegt. Mir ging es um eingehenden. Was meinst Du mit kann man auch die IP6 in einen Host Alias gießen Dass ich eine IP6 in einen Alias eintragen kann, ist ja nicht das Ding, sondern ich wollte einen Host in einen Alias eintragen. Dieser Host sollte sich in der Firewallregel dann automatisch anpassen bei einer Änderung der IP. Das Ganze hat aber nur für IPv4 funktioniert und nie für IPv6, obwohl der Host durch den DHCP6 Server in den DNS-Server eingetragen wurde und sich auch so ausgeben ließ per nslookup. Auch sollten die Aliase eigentlich diese Funktion bieten, aber mit meinen lokalen Hosts funktionierte das wie gesagt nur für IPv4, was zeigt, dass es gehen könnte. Am Ende war ich so enttäuscht, dass ich IPv6 endgültig rausgeschmissen habe. Dass die Fritzbox es kann und eine pfSense nicht, traurig.

Ah Squid spezifisch. Keine Ahnung dann, genau den MITM Kram versuche ich zu vermeiden und den Leuten auszureden, da er m.E.n. Sicherheit vorgaukelt wo eher das Gegenteil der Fall ist.

@JeGr Konnte inzwischen bestätigen, dass die mit den Nullen vom DHCP kamen, eigentlich auch offensichtlich.

Da du keine großen Infos zu deinem Setup und der pfSense Einstellung schreibst, ist helfen ein wenig schwer für uns, vor allem ohne zu raten, was dein WLAN anders macht als deine anderen Netze oder was mit "andere WLAN Netze" gemeint ist.

Wenn mans von Hand konfiguriert, sprich über config-Dateien, nimmt man einfach alles raus, was nicht EAP-TLS ist ;-)

Und solange man nicht weiß, wie das Outlook überhaupt "Mail empfängt und sendet" wird man auch keine Aussage treffen können, WIE das zu bewerkstelligen ist. Ist heute Tag der Einzeiler und ich habs im Kalender nicht gesehen? Ihr könnt doch wenn ihr Hilfe wollt und ein Problem habt dieses ordentlich beschreiben und notwendige Infos mit in den Post packen. Woher soll denn jetzt ein Außenstehender wissen, mit was du wie über welches Protokoll von wo nach wo Mails empfängst und sendest und jetzt wissen, warum das, was du zum Sperren konfigurierst nicht klappt? Mails funktionieren ja nun nicht über genau einen fixen Weg und nur diesen. Grüße

Genau. Post anpassen und mal zwei Takte drüber schreiben was das eigentlich werden soll. Ein "EY, glubsch ma' Bild! Geht wie?" ist schon hart dran an a) zu wenig Information und b) bisschen dreister Vorstellung von "Forenhilfe". Zumal der ganze Bums von verschiedenen Faktoren abhängt, die man alle nicht ohne ne Glaskugel raus bekommt. Fängt bei den IPs schon an (geroutet etc.). Und einige IP/Port Kombos sind ziemlich beschränkt zusammengelegt, was so nicht gehen wird. Proxy hin oder her. Allein der Quark mit "test.domain.de" auf 3 verschiedene IPs zu streuen oder bei mail zu splitten. Na viel Spaß mit Blacklisten und HELO/EHLO Antworten. Da hilft auch Proxy nichts, da müsste man erstmal ne ordentliche Architektur machen und Sinn reinbringen. Aber mit "geht das" ists da nicht getan ;)

Es hat sich herausgestellt, dass der mitgelieferte TAE-Adapter der DSL-Leitung defekt ist und somit sporadisch eine schwache Verbindung aufgebaut wurde. Mit einem anderen Kabel klappt das Modem einwandfrei!

ich werde wahrscheinlich ein Gigaset s850a go nehmen, eigene vlan für Telefonie machen, auf dem switch weiterleiten zu einem port, das Gerät bekommt fix Ip, NAT 1:1 zu dem Gerät, und fertig. Kann es so funktionieren?

@ElenaLauder said in Benötige Hilfe bei Hardware/Router/WLAN Wahl mit pfsense.: Kann ich mir eine Hardware mit WLAN bei Aliexpress kaufen, pfsense und die Firewall als Router und WLAN Router verwenden? Ja, willst du aber nicht. WLAN möchtest du extra haben, denn das macht auf FreeBSD keinen Spaß. Somit ist alles doch in einem Gerät und benötige kein zweites. Macht aber gerade bei einer Firewall Sinn, eben nicht alles auf einem Gerät zu haben. @ElenaLauder said in Benötige Hilfe bei Hardware/Router/WLAN Wahl mit pfsense.: Ich weiss nicht ob ich mir eine Hardware kaufen sollte und Astaro drauf laden. Aber da gibt es scheinbar Probleme eine Hardware mit WLAN zu finden die mit den Treibern von Astaro funktionieren. Was bei Astaro (gibts nicht mehr, du meinst sicher Sophos?) besser funktionieren sollte (zumindest Astaro basierte noch eher auf Linux und da geht es mit WiFi Treibern besser zu) aber daran zeigt sich, dass es eben nicht so super funktioniert, WLAN auf ne Firewall zu packen. Wenn du Astaro (oder Sophos) aber einsetzen willst, dann solltest du besser dort fragen, was du kaufen sollst. Deren Hardware Empfehlungen liegen sicher anders. @ElenaLauder said in Benötige Hilfe bei Hardware/Router/WLAN Wahl mit pfsense.: Ich will ein WLAN in meiner Wohnung. Alleine dafür ist ein separater Access Point besser da der sinnvoller positioniert sein kann um deine Abdeckung zu verbessern als wenn er reingequetscht irgendwo in der Firewall mit läuft, die vllt. wegen Internet Anschluß sehr ungünstig steht. Ich will per Remote auf meinen Computer zugreifen können. Solltest du nur via VPN. Die Kamera soll nach aussen erreichbar sein. Dito Ich möchte OpenVPN verwenden. Das heisst jegliche Verbindung muss verschlüsselt werden, Zur Einwahl ins Haus? Oder abgehend alles was du im Netz machst? Warum? Es macht keinen wirklichen Sinn und ein echter Sicherheitsgewinn ist allerhöchstens marginal, dafür aber jede Menge unnötiger Ärger und Kosten. Zudem ist es hochgradig unwahrscheinlich, dass du bei VPN Vollverschlüsselung vernünftige Hardware in deinem Preisrahmen findest, die 600Mbps encrypted aushält und dir der VPN Anbieter überhaupt so hohe Datenraten ermöglicht. oder ich bin mit meinem Handy unterwegs, benutze ein öffentliches WLAN und alles wird über das OpenVPN weitergeleitet. Das ist typische OpenVPN Remote Einwahl bei dir zu Hause. Das kannst du natürlich dann auch so konfigurieren, dass das Handy dann über die eigene Hausverbindung surft. Wird dann lediglich von deiner Upload Bandbreite bestimmt (Download hat es ja anscheinend genug). Aber für ~500SFR/EUR wird es schwer, vernünftige Hardware zu finden, die bspw. 600Mbps fully encrypted auf Dauer liefern kann. Selbst Netgates eigene Kiste bringt das erst ab der SG-5100 und da sind wir im Bereich 750-800€ (durch Rabatt momentan). Grüße

@cyruz said in pfBlockerNG-devel macht Probleme nach Neuinstallation: pfB_Top_v4 Statt dessen mal in Diagnostics / Tables geschaut WAS genau in der Tabelle drinsteht? Manchmal verirrt sich in solche Listen auch gern mal ne private Adresse oder Adressblock und dann geht natürlich nichts mehr. Ansonsten ist der Screenshot nichtssagend, denn das was da aufgeführt ist macht keinen Sinn - zumal die Tabelle pfB_Top_v4 abgehend nicht geblockt sein sollte, aber wahrscheinlich als stumpfe Floating Rule auf allen Interfaces hört. Das Verhalten würde ich ändern und normale Interface Regeln erstellen lassen, SO behinderst du gerade deine eigene Kiste daran simple DNS Abfragen via DoT an :853 zu schicken. Dass dann gar nichts mehr geht ist klar ohne DNS. Grüße

Danke für die Antworten. Ich belasse es dann so wie es ist und definiere die Verbindungen manuell. War nur ein Gedankengang mir eventuell einen Schritt einfacher zu machen.

Wie du schon richtig siehst, beim WAN wurde genau das gemacht, was ich beschrieben habe: Er wurde durch ein anderes VLAN aus dem Switching ausgenommen und als eigenständiger Port an den internen Switch angeklemmt, über VLAN 4090. Es müssen 9t und 10t getaggt sein, denn das sind die internen Uplink Ports, quasi die 2x 2,5Gbps Ports. Die werden dann via lagg0 zusammengeknotet, damit man virtuelle 5Gbps hat. Die restlichen Ports - 2-8 - sind dann wieder im VLAN 4091 aber untagged und nur auf dem 9er und 10er wieder tagged für den internen Dummy-Uplink. Wenn du jetzt bspw. Port 2 ausklinken willst, mache genau das, was auch WAN gemacht hat mit einer anderen VLAN ID. Leider hab ich gerade keine 7100 hier mit der ich das durchspielen kann, sonst würde ich das einfach kurz durchspielen.