Hallo,

ich habe meinen Fehler gefunden.

Ich sagte doch, mein Denken ist noch von Sophos etwas anders.

Das Problem war, ich habe einen Ping ausm LAN ins Testnetz gemacht und dann erst die Regel erstellt.
Wie ich nun allerdings erfahren habe, greift die Firewall nicht bei bestehenden Verbindungen, sonder nur bei neuen. Nachdem ich dann mittels "Reset the firewall state table" alle Verbindungen getrennt habe, klappts auch mit der Firewall.

Nun habe ich nur noch ein DNS Problem, aber dafür mache ich ein neues Thema auf.

Danke

Danke für den Hinweis.
Ich Tage hatte vor dem Update ein paar VLANs hinzugefügt. Möglicherweise haben sich die IDs daher geändert. Der Reboot erfolgte durch das Update erst viel später.

Hi,

normalerweise gelten die Rules pro Interface, egal wie die verschalten sind. Also entweder eine Rule dafür einrichten, oder im Setup/Advanced/System Tunables diese Grundeinstellung ändern: net.link.bridge.pfil_member und _bridge. In der Vergangenheit hat mein Setup aber diese Werte irgendwie ignoriert.

Außerdem muß ein Windowsrechner für Pingantworten wohl auch entsprechend konfiguriert sein.

Gruß
pfadmin

Ah, danke! Das muss man natürlich wissen…

reeeeebooooot    :o

Was nicht mehr funktioniert ist, meine feste IP 5.123.123.123 kommt nicht mehr an der Pfsene an. Was muss ich noch eintragen, damit die pfsense die feste IP der KabelBW wieder kennt, bzw. wenn die Monitor IP ausfällt, das Gateway gesperrt wird.

Das hast du glaube ich falsch verstanden. Die feste IP ist am Kabelrouter, nur der leitet mit "Exposed Host" alle Anfragen an die IP der pfsense weiter. Damit ist aber nicht der "Ping" gemeint.

Gruß
pfadmin

Also Amazons Schuld kann es nicht sein, dass du dich nicht vor dem Kauf informiert hast, ob das Gerät von deiner Software auch unterstützt wird.

Ehe du jetzt aber die oben erwähnte HW-Kompatibilitätsliste nach 802.11n-fähigen WiFi-Adaptern durchsuchst (da gibt es nämlich welche) - vergiss es besser und befolg den Rat, einen richtigen AP an die pfSense zu hängen!
Alternativ kannst du auch noch dieses Forum bzw. das FreeBSD-Forum nach Lösungen durchsuchen, doch du wirst keinen besseren Rat bekommen.

So habe ich es letztendlich auch etabliert. Wollte nur sichergehen, die optimale Lösung einzusetzen.

Danke für die Bestätigung :-)

Dass wir ggf. andere Ports als 1195, 1196 etc. nutzen ;) Aber das ist Geschmacksfrage.

OK, ich werde mir morgen mal die Interfaces nochmals ansehen, vll. habe ich dort etwas übersehen.

Danke und Gruß, Sebastian

Das Quick- oder Easy-Rule geklicke ist aber wirklich nur das: quick & dirty. Das würde ich lieber so machen, wie es viragomann gut beschrieben hat, das ist einfacher, eindeutiger und für dich auch sinnvoller nachzuvollziehen, als irgendwas, was versehentlich mal im Log Viewer angeklickt wurde oder man sich verklickt hat und plötzlich abgehend intern auf dem LAN irgendwas blockt, was da gar nicht geblockt werden soll.

Firmware auf neuesten Stand gebracht Speedlink 5501 Stand 12/2017 –> Download Telekom
Im Modem-Modus belassen.

PFsense --> interface assignements --> vlan --> erstellen mit vlan 7
Danach gibt es im DropDown-Fenster bei interface assignement unter dem bekannten WAN-Interface was sich bisher weigerte ein neues Interface zur Auswahl. Und zwar das, welches man mit vöan7 neu erstellt hat.
Dort trägt man erneut die Zugangsdaten der Telekom rein und VOILA --> DIE SCHEISSE RENNT.

Grüße

Heinz

Moin,

wie, das Image so wie Du es heruntergeladen hast auf den Stick kopiert? Das wird nix.
Du nimmst nur das Image, entpackst es, und schreibst es dann direkt auf den Stick, nicht kopieren sondern als Image schreiben. Anleitung :
https://doc.pfsense.org/index.php/Writing_Disk_Images Du brauchst kein Tiny Core das auf den Stick geschriebene Image ist bootfähig.

-teddy

Prefekt!!! Ich danke Dir D-Kun, das war es anscheinend bei mir. Jetzt läuft es durch(erst mal ohne OPENAPPI).

Soll das wirklich das Ziel sein, oder ist das Ziel, dass User ab der "Einwahl" soundso lange online sein können? Denn das kannst du ja im Radius direkt einstellen.

Gruß
pfadmin

Sorry, dass ich mal in den alten Thread schreibe aber ich vermute, das dürfte den einen oder anderen auch interessieren und die Sache war ja nicht abschließend beantwortet.

Wenn man einen Benutzer über das Web anlegt, ihm Shell Access gibt und dann diesen Nutzer auf sftponly festnagelt, kann dieser nichts machen, außer SFTP. Auf das Web Interface bekommt er keinen Zugriff und eine Shell hat er ja dann effektiv auch nicht. Das Gesagte bezüglich Ownership des Home-Verzeichnisses des Nutzers gilt weiterhin. Einziges Problem: wenn man den Nutzer über das Web Interface irgendwie bearbeitet, werden die Verzeichnisberechtigungen zurückgesetzt (also auch z.B. beim Setzen eines Passwortes).

Da ich nichts davon halte, in den pfSense- eigenen Dateien herumzupfuschen, da ich auch mal ein Update installieren will oder das System aus einem Backup wiederherstellen können will, habe ich folgende Vorgehensweise gewählt:

Nutzer über das Web anlegen

Nutzer die Permission Shell Access geben

/etc/sshd_extra anlegen:

Match User sftpbackup
ChrootDirectory /home/%u
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp

/usr/sbin/chown root /home/sftpbackup

-rsa schluessel im authorized_keys file ablegen.
-die sshd_extra config im Config-Backup berücksichtigen.

Funktioniert soweit einwandfrei.

HTH

@pfadmin:

Stimmt.  :-X Verwechselt mit Netcologne. Oh man.

Aber, lt. https://www.wilhelm-tel.de/privatkunden/service/technikoffensive/schnittstellenbeschreibung/ gibt es auch Anschlüsse, die VLAN 1001 und VLAN 1002 benötigen. Man muß scheinbar genau hinsehen, was man denn nun eigentlich bekommen hat.

Grüße

pfadmin

Ein wahres Wort gelassen ausgesprochen  :) …

Gruß, Dirk

So geht es im Prinzip:

Zwei Netze 192.168.1.0/24 (VLAN 1) und 192.168.2.0/24 (VLAN 2)

192.168.1.11 kommt in VLAN 1.

Aus der 192.168.1.55 wird eine 192.168.2.55, das Gerät kommt in VLAN 2.

Firewall-Regeln schreibst Du in pfSense nicht in eine Datei, sondern immer mit der UI.

Um eine weitere Kamera zu ergänzen macht man nicht jeweils 4 neue Regeln, sondern verwendet in den Regeln statt der IP-Adresse einen Alias, z.B 'IPcams'. In dem Alias kann man dann die IP-Adresse der neuen Kamera ergänzen.

Moin,

die Ereignisprotokolle der Fritten geben nichts her?

-teddy

Hi,

nein dazwischen ist kein Switch. Ich habe es nun am ans laufen bekommen.
In der WAN Policy für Multicast habe ich den Haken in den advanced options gesetzt nun läuft es ohne Abbrüche ;-).

Danke nochmal für die Hilfe.

Gruß
Ciscler