Prefekt!!! Ich danke Dir D-Kun, das war es anscheinend bei mir. Jetzt läuft es durch(erst mal ohne OPENAPPI).

Soll das wirklich das Ziel sein, oder ist das Ziel, dass User ab der "Einwahl" soundso lange online sein können? Denn das kannst du ja im Radius direkt einstellen.

Gruß
pfadmin

Sorry, dass ich mal in den alten Thread schreibe aber ich vermute, das dürfte den einen oder anderen auch interessieren und die Sache war ja nicht abschließend beantwortet.

Wenn man einen Benutzer über das Web anlegt, ihm Shell Access gibt und dann diesen Nutzer auf sftponly festnagelt, kann dieser nichts machen, außer SFTP. Auf das Web Interface bekommt er keinen Zugriff und eine Shell hat er ja dann effektiv auch nicht. Das Gesagte bezüglich Ownership des Home-Verzeichnisses des Nutzers gilt weiterhin. Einziges Problem: wenn man den Nutzer über das Web Interface irgendwie bearbeitet, werden die Verzeichnisberechtigungen zurückgesetzt (also auch z.B. beim Setzen eines Passwortes).

Da ich nichts davon halte, in den pfSense- eigenen Dateien herumzupfuschen, da ich auch mal ein Update installieren will oder das System aus einem Backup wiederherstellen können will, habe ich folgende Vorgehensweise gewählt:

Nutzer über das Web anlegen

Nutzer die Permission Shell Access geben

/etc/sshd_extra anlegen:

Match User sftpbackup
ChrootDirectory /home/%u
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp

/usr/sbin/chown root /home/sftpbackup

-rsa schluessel im authorized_keys file ablegen.
-die sshd_extra config im Config-Backup berücksichtigen.

Funktioniert soweit einwandfrei.

HTH

@pfadmin:

Stimmt.  :-X Verwechselt mit Netcologne. Oh man.

Aber, lt. https://www.wilhelm-tel.de/privatkunden/service/technikoffensive/schnittstellenbeschreibung/ gibt es auch Anschlüsse, die VLAN 1001 und VLAN 1002 benötigen. Man muß scheinbar genau hinsehen, was man denn nun eigentlich bekommen hat.

Grüße

pfadmin

Ein wahres Wort gelassen ausgesprochen  :) …

Gruß, Dirk

So geht es im Prinzip:

Zwei Netze 192.168.1.0/24 (VLAN 1) und 192.168.2.0/24 (VLAN 2)

192.168.1.11 kommt in VLAN 1.

Aus der 192.168.1.55 wird eine 192.168.2.55, das Gerät kommt in VLAN 2.

Firewall-Regeln schreibst Du in pfSense nicht in eine Datei, sondern immer mit der UI.

Um eine weitere Kamera zu ergänzen macht man nicht jeweils 4 neue Regeln, sondern verwendet in den Regeln statt der IP-Adresse einen Alias, z.B 'IPcams'. In dem Alias kann man dann die IP-Adresse der neuen Kamera ergänzen.

Moin,

die Ereignisprotokolle der Fritten geben nichts her?

-teddy

Hi,

nein dazwischen ist kein Switch. Ich habe es nun am ans laufen bekommen.
In der WAN Policy für Multicast habe ich den Haken in den advanced options gesetzt nun läuft es ohne Abbrüche ;-).

Danke nochmal für die Hilfe.

Gruß
Ciscler

Vielen dank für eure Hilfe.

Folgendes war das Problem:
Der DHCP Server hat den Request bekommen, allerdings konnte er ohne Standardgateway nicht auf die Anfrage antworten.
Nachdem ich die Firewall als Standardgateway hinzugefügt habe lief alles ohne Probleme. Anschließend habe ich ihn einfach per Route auf das Gateway gezogen. Alles tuti nun :)

Falls jemand den Thread findet und ein ähnliches Problem hat:

Das Problem habe ich gefunden in dem ich mit hilfe von Wireshark, mir den Traffic auf dem Server angeschaut habe. Dort war zu sehen, dass die DHCP Anfrage eintrifft aber nicht raus kommt.

Ok, aber wie würde man das Schritt für Schritt einstellen? Das ist nicht gerade ersichtlich im Traffic Shaper.
Ich würde im Traffic Shaper das VLAN auswählen, aktivieren, Scheduler Typ auf HFSC, Bandbreite auf 500 MBit/s stellen und speichern. Dann auf Add new Queue, aktivieren,  bei Service Curve die Bandbreite auf 100 MBit/s stellen. Dann gibt es ja noch minimale Bandbreite für die Queue - Echtzeit - m1 - d - m2. Was soll man da machen? Oder muss man davor erst die WAN Verbindung auf 500MBit/s stellen? Wie soll man das dann mit der Firewall verknüpfen?

Hmm.. dann hoffe ich mal es hat noch jemand eine Idee.

Habe es grade mit dem LoadBalancer probiert, aber wenig erfolgreich (oder ich bin einfach nur zu blöd)

Der hat sich tatsächlich auf Port 2 geändert…

Nun läuft er wieder auf 443, wenn ich jetzt noch wüsste wie es dazu kam.

Vielen Dank.

Hallo

ok - schaue ich mir an …

Eigentlich würde ich viel lieber Load Balancing einsetzten - aber hic habe hier ein Verhalten das ich absolut NICHT verstehe - ich mache dazu mal einen neuen Post auf da das mit dem hier nix zu tun hat - evtl kannst du mal rein schauen ...

CU
GTR

Mit CloudPBX leider nicht. Mir bangt auch vor dem Tag dass unser ISDN Anlagenanschluß wegfällt (Ende des Monats :() Da wird auch gerade schwer gebastelt mit dem SIP Provider der den neuen Trunk liefern soll grusel

Hi,

in der Tat ist es so, dass ich die Auth Methode "SSL/TLS+User Auth" verwende und für jeden User ein eigenes Zertifikat verwende.
Da ich nur 4 User habe werde ich das so machen wie du gesagt hast.

War ja eh nur eine Bequemlichkeits-Frage :)

Super Danke!

Servus,
Entschuldigung für die späte Antwort. Der Ton war weg. Aktuell bleiben die Gespräche bestehen. Ich stelle mal den Firewall Opt. Mode wieder um und lasse NAT-alive auf 30Sek. Vielleicht genügt das ja.

Werde berichten.

Super, es funktioniert
Danke

und neben dem VPN-Gateway noch das WAN-Gateway

:o Huh? Nein du kannst beim OpenVPN Client als Interface auch die LB-Routing Gruppe auswählen und nicht nur ein statisches Interface. Wenn dann ein IF der LB Gruppe down ist, wird logischerweise das andere für den Verbindungsaufbau genutzt und die Verbindung wiederhergestellt. Das hat mit deinem sonstigen Routing was du tust erstmal nicht wirklich was zu tun.

Hallo

au weier ich hatte mich total veramt.

der OpenVPN access server war mein Fehler wenn ich die Netze mit Peer to Peer verbinde geht alles wie ich es haben möchte.

Danke du hast mich aber auf den richtigen weg gebracht.

Mfg

Heribert