Ist das Thema noch relevant?

@Grimson
Du machst mir irgendwie Angst.:😀

@krischeu

Wenn Du ältere Logs studieren möchtest, dann installiere das "Email Notifications Paket und lass Dir alle 24 Stunden die gewünschten Logs zumailen,

Andere Alternative wäre ein syslog-Server auf einen Host wenn vorhanden.

@monstermania said in pfsense installation auf APU2d4:

Man muss akzeptieren, dass Netgate mit der HW Geld verdienen muss! Von daher kann ich verstehen, dass man sich eine eigene HW-Plattform aufbaut.

Klingt ein bisschen wirr. Was du da schreibst ist in etwa so wie wenn der nächste Tesla Konkurrent mit einem Rollstuhl Motor betrieben wird, und voraussichtlich mehr kostet als ein Model S. Zusammen mit den Zukunftsplänen für pfSense 2.5/3 ist das etwa so, wie wenn besagter Tesla Konkurrent mit eigenem RollstuhlMotorRennstall den Rennsport revolutionieren will.

ARM SoC's sind eine äußerst Leistungsfähige Plattform der die Zukunft gehört. Die Bandbreite der positiven Aspekte ist enorm. ARMv8 ist in etwa mit dem Kürzel x86-64 gleichzusetzen. Du kannst nicht sagen nur weil der Kürzel drauf ist, ist es gut.

Eine Cortex A53 will Heute keiner mehr in seinem Handy und ist auch für ein RasPi zu schwach. Marvell geht gar nicht. Broadcom ebenso. Eine Katastrophe. Wer will kann ja mal bei Ubiquity -und anderen die darauf gesetzt haben- Erfahrungswerte sammeln. Eine 64Bit SoC muss mit einem 64Bit OS befeuerte werden, ansonsten werden aus den Stärken große Schwächen. 1GB RAM können sich auch Hersteller von Single-Board Computer, TV's und Switches mit SFP+ nicht länger leisten. Selbiges gilt für PoE, mSATA, Verschlüsselungstechnik und Co

Netgate hat mit der SG-1100 sicherlich aufs richtig Pferd gesetzt, dabei aber auch viele Fehler gemacht. Sie hätte besser in Israel bei Annapurna angefragt, und zweitens wäre es deutlich besser gewesen sie hätten eine Semi-Business Plattform für pfSense 2.5 und neuer gebaut.

//EDIT: Bevor die absehbaren Vorwürfe kommen, möchte ich klarstellen dass sich meinem posts weder auf hatespech noch trolling beziehen. Es geht mehr darum dass sich alte Socken wie ich über Technik Diskreditierung und Pfusch am Bau echauffieren, und Zwangs-gedrungen potentielle Spectre/Meltdown gefährdete Stromschleudern wie eine APU2C4 als besser erklären müssen.

Einem Interface können nur einzelne IP-Adressen (eben auch mehrere) zugewiesen werden, aber nicht eine ganze Range. Nur diese werden vom Alias "This Firewall" erfasst.

Ein ganzer Bereich wie 10.0.0.0/8 könnte zwar auf eine (einem Interface zugewiesene) IP geroutet werden, doch wird auf diese Weise auch nicht der ganze Bereich dem Interface bzw. dem Gerät zugewiesen, würde also auch nicht auf den Alias zutreffen.
Geroutete IPs könnten nur weiter geroutet oder genattet werden.

@rico said in Zugriff von LAN auf Opt1ermöglichen:

Wenn du an der default LAN Regel nichts geändert hast kannst schon jetzt von LAN auf OPT zugreifen.
Um aus dem OPT Netz alles zu sperren außer Internet schau mal hier, da war die Selbe Frage und die Lösung dazu: https://forum.netgate.com/topic/139895/gast-regel

Danke Rico, hat wunderbar geklappt. Zugriff funktioniert prima.

LG

Eine Idee, wie ich das erreiche?

Hallo @be1001,

eine Anleitung kann ich dir gerade nicht liefern. Aber versuch mal, ob du mit dem Avahi Package weiter kommst. Das ist für solche Zwecke geeignet.
Und lies dich mal generell in Multicast Themen ein. Das hat mit IPv6 nichts zu tun sondern ist IPv4 Traffic an bestimmte Adressen, auf die halt mehrere Geräte hören.

Beim Googlen kannst du dich auch an Apple Bonjour halten. Das ist auch Multicast und sicher verbreiteter als KNX.
z.B. hier: https://www.youtube.com/watch?v=RPpX34bfk_w

Viele Grüße

Hi Sternenwolf,
OpenVPN-Port für den Tunnel unter "Internet-Freigaben-Portfreigaben" freigeben.....
0_1549552465152_Screenshot-2019-2-7 FRITZ Box 7490(2).png
Du kannst auch DHCP im Frittennetz weiter nutzen...0_1549552179468_Screenshot-2019-2-7 FRITZ Box 7490.png
..und die IP für die pfSense (hier skydive) festschreiben....
0_1549552507118_Screenshot-2019-2-7 FRITZ Box 7490(1).png
Dann noch WAN-Rule in der pfSense festlegen für den entsprechenden Port...
0_1549552732990_Screenshot-2019-2-7 skydive orca net - Firewall Rules WAN.png
...und die OpenVPN-Rules zur Server-IP, Netz oder wo auch immer....
0_1549552833320_Screenshot-2019-2-7 skydive orca net - Firewall Rules OpenVPN.png
Hier im Bild auf OpenMediavault-NAS mit IP 172.16.7.10 von allen Tunneln bzw. dorthin.
Das war es schon.
Gruß orcape

Danke für Eure Tipps! Scheint gelöst zu sein!

Inter-client communication ist deaktiviert. Folgenden Regeln habe ich gesetzt:

0_1549478048740_2019-02-06 19_31_16-pfSense.netcup - Firewall_ Regeln_ OpenVPN.jpg

Danke für den Link. Ja es war etwas wenig beschrieben, aber soviel gibt es da ja auch nicht zu machen.
Jedenfalls funktioniert es nun OHNE das ich etwas verändert habe. Die PF musste wohl ne Nacht drüber schlafen.

Achja... version: 2.4.4-RELEASE-p2 (amd64)

@mike69 Stimmt! 🤔
Wäre wohl besser die Regel übergreifend zu setzten, damit ist der port in alle Richtung dicht.
Mann ich mach echt zu viele Denkfehler. Insbesondere bez WAN. Irgendwann muss ich mir ein post-it auf den Bild Schirm machen

WAN ist NICHT das Internet, WAN ist die IP-Range vom Anbieter

Moin,
@wkn im Double NAT sehe ich kein Problem, Einrichtung exposed Host kommt bei Bedarf, VPN ist mometan nur abgehend geplant aber kommt eventuell noch eingehend als Relais und VPN Tunnel.

Und ja, der Hintergrund für die Verbindung über den Switch sind räumliche Gründe und eine schon verlegt LAN Leitung und die Position des Telefonverteilers. Ich habe den Smart 2 dann gleich am Einlass im HA-Raum und speise, mit der vorhandenen Leitung, den Schrank ein.

Du braucht mit BNG nur noch das VLAN7-Tagging auf dem WAN-Interface. VLAN8 entfällt damit. Ich denke mal, die Fritzbox macht das schon für die Verbindung.

Setze mal in deiner LAN to any rule auch die "Allow IP options"

Danke! Die Anleitung deckt sich mit meiner. Nun möchte ich auf meinem gw (Linux host, spielt DHCP, etc.) mit iptables den Client vom Nachwuchs umlenken auf den pfsense Server. Jedoch klappt das nicht :/

Das ist schonmal ein Anfang. Also der "alte" pfBlockerNG noch. Das ist wichtig. Ansonsten muss natürlich auch der DNS Resolver (Unbound) genutzt werden, sonst klappts mit DNSBL gar nicht. Zudem muss der Client dann logischerweise auch die pfSense als DNS nutzen und nicht dran vorbei was anderes aufrufen. Und zu guter letzt sollten auf Client und pfSense natürlich die DNS Caches auch initial mal leer sein, damit keiner noch mit alten Sachen antworten kann.

Kann/konnte ich so nicht rauslesen aus den 3 Posts. Denn für meine Interpretation stand da immer noch (sinngemäß): Wenn der Haken rausgenommen wird, kommt er aufs WAN auf die FB drauf. Hat aber wie gesagt damit nichts zu tun, da es um die Richtung geht, in welcher Regeln gelten. Und da hier ein Anfänger mit ersten Schritten zu Gange ist, mag ich sowas Mißverständliches klarstellen. Regeln genauso wie die Haken bei Bogon/Private Networks gelten nur eingehend auf diesem Interface. Und nur für Traffic der von dort ursprünglich ausgeht. Nicht für irgendetwas anderes, keine Antwortpakete oder sonstiges :)

@jegr said in Gateway MonitorIP nicht änderbar:

Welche Version wird überhaupt eingesetzt?

@powersense said in Gateway MonitorIP nicht änderbar:

PF sense Version: 2.4.4-RELEASE-p2

-Rico

Schade...

LG