@Andreas:

Hallo Reiner,

vielen Dank für die Hilfe. Ich denke ich verstehe schon was Du meinst. Allerdings ist es ja wirklich so, dass die IP xxx.xxx.101.22 wirklich xxx.xxx.101.22 bleiben muss. Es darf also keine Übersetzung auf dem Weg von der WAN-Schnittstelle in die DMZ stattfinden. Nun denke ich, dies könnte evtl. über das Setzen von Routen stattfinden. Da bin ich mir aber nicht sicher. Vielleicht ist das ja auch der falsche Ansatz und es gibt eine bessere Lösung.

na, das ist kein Problem… ich mach das bei uns auch so ^^

WAN  =>  GW1/GW2  =>  AS Netz als DMZ  =>  FW1/FW2  =>  LAN Netze

Bei uns ist das aber ganz einfach gergelt, weil wir auf der WAN Seite ein Transfernetz /29 haben und das AS Netz ein /24 ist...
Da ist "nichts" bei NAT/1:1 NAT/Outbound NAT eingetragen, wodurch es automatisch gerouted wird.
Es mussten nur die passenden Firewall Regeln ergänzt werden, damit entsprechende IP/Dienste hinter den GWs erreichbar sind.

Du schreibst aber

… benötige daher nur zwei WAN-Schnittstellen zur Internet-Anbindung zweier DSL-Provider...

und dass du ein

… Auf die WAN Verbindung laufen feste IP's, also zum Beispiel xxx.xxx.101.22/28.

hast…

Daher muss ich erstmal davon ausgehen, dass Du wie schon geschrieben:

Daher wurde LAN in DMZ umbenannt und diverse 1:1 NAT Verbindungen und Regeln eingetragen.

1:1 NAT nutzen musst… denn Du kannst nicht das WAN Netz auf WAN und DMZ Seite einrichten und routen...

Das einzige was noch gehen würde, ist auf den vorderen Firewalls den Brige Modus zu nutzen

http://forum.pfsense.org/index.php?topic=30653.0
http://doc.pfsense.org/index.php/Interface_Bridges
..

es gibt da nette Tutorials, finde sie gerade nur nicht wieder...

Das Zyxel VMG132-B30A kann ich auch nur wärmstens empfehlen.
Hab jetzt erst wieder 5 Stück verbaut. 2 x T-Online VDSL, 2 x Buisness VDSL, 1 x 1und1 und keine Probleme!

Vielleicht sollte man noch darauf Hinweisen das Zyxel auch ein Forum hat, dort sind meist aktuellere Firmwares und man kann Probleme direkt klären.

Oh ahso, das ist natürlich schade,
Da ich eben auch nur mit 53Mbit verbunden bin.
Und im vergleich mit mein alten Wlan router doch schon eine sehr starke datenübertragungs einbusse habe.

Aber was mich dabei auch sehr stört ist eben auch die ständig diese syslog einträge.
"kernel: ath0: stuck beacon; resetting (bmiss count 4)"

lg

Kann mich noch erinnern, dass man einen TCP und einen UDP Port benötigt. Den kann man auch in eMule definieren (und testen glaube ich auch). Aber, wenn Du wie gesagt bereits eine HighID hast … müsste eigentlich alles passen.

Wie dem auch sei: Wie Nachtfalke schon schrieb, auf jeden Fall noch alle Regeln anschaun. Manchmal stimmt auch die Reihenfolge nicht und man siehts erst nicht, weil die Regel ja da ist.

Danke für Deine Hilfe, werde das morgen noch auswerten. Und noch eine eignene Lan Verbindung zwischen die Geräten machen.

Habe die Lösung gefunden.

Dieses Verhalten zeigt pfBlocker immer, wenn es keine eingehenden Regeln auf dem WAN Interface gibt, da er dann eh immer alles blockt.

Damit hab ich mir gewissermaßen selbst ins Knie geschossen. Nächstes mal erst, wie bei mir genutzt, SSH nach innen weiterleiten, dann pfBlocker zuschalten.

Bleibt immer noch die Frage, ob es eine übersichtliche Seite gibt, wo alle derzeitigen Patches aufgelistet und erläutert sind. Kann mir da bitte evtl. noch jemand eine Antwort darauf geben? Ich habe immer noch nichts derartiges gefunden.

LG

Ok, das scheint nicht zu funktionieren.

Du könntest freeradius2 package installieren, dann kannst du ein Ablaufdatum für einen account angeben. Allerdings musst du dann immer Benutzernamen einrichten und auch das Ablaufdatum anpassen. Das ist ja auch quatsch und vermutlich aufwändiger als Voucher-MAC-Adressen regelmässig zu löschen.

Ich wüsste keine Lösung für dein Problem.

Treffer !

Au man ich hätte wetten können, das ich das Gateway am Client gesetzt habe. Aber dem war nicht so. Sorry irgendwie habe ich den Wald vor lauter Bäumen nicht gesehen.

Danke

The issue is solved. There was a typo in the IP configuration. Replace all x.y.44.z with x.y.47.z and it works now.

Could any moderatore please mark this thread as solved.

Einige WLAN-Adapter lassen sich klonen. Ich selbst verwende die Compex WLM54AG mit Atheros-Chipsatz AR5413. Das WLAN-Device dieser Karte habe ich geklont, so dass ich zwei Access-Point zur Verfügung habe. Auch mir ist wichtig, ein separates WLAN-Netz für weniger vertrauenswürdige Geräte wie Smartphones und Gast-Laptops zur Verfügung zu haben. Das Klonen funktioniert nur mit wenigen Karten. Eine Orientierung bietet https://docs.google.com/spreadsheet/ccc?key=0AojFUXcbH0ROdHgwYkFHbkRUdV9hVWljVWl5SXkxbFE&hl=en#gid=0. Hier ist "Multi" in der Spalte "hostap" entscheidend.

Zwar ist die Kartenauswahl der von pfSense unterstützen Karten derzeit sehr klein, doch die unterstützen Karten laufen sehr zuverlässig. Meine obige Anordnung läuft nun seit mehr als einem Jahr stabil und ohne Probleme. Falls man allerdings n-Speed oder mehr braucht, muss man wohl zu einem externen Access Point greifen.

Peter

Servus,

kann imho geändert werden - erscheint mir aber nur sinnvoll, wenn du das gui der Firewall dann aber über einen anderen Port erreichbar machst, da du dich sonst selber "aussperren" kannst.

Gruß
Cosco

Servus,

danke… das ist ja fast peinlich schäm.

gruß
cosco

Ich habe die Firewall abgestellt gehabt, so das die pfSense ein reiner Router ist, leider auch ohne Erfolg. Ich vermute, dass das Problem nicht von der Firewall kommt.

Niemand eine Idee wo ich suchen muss?

HI,

erstmal danke für die Antwort. Ich weis nicht recht wo ich genau anfangen soll.

Nach einigen Hin und Her mit dem Support bei Hetzner und verschiedenen Foren Posts hänge ich atm immer noch etwas in der Luft.

Mein Update im ersten Post kann komplett ignoriert werden nach aktuellem Kenntnisstand.

Das sogenannte Local-Link bei Hetzner hat mich verwirrt.

Aktuell sieht es so aus:

PFsense ist extern über WAN IPv4 erreichbar. Die IPv6 Adresse am WAN war ein Fehler, da durch den Local-Link eh alle IPv6 Pakete für mein Subnet an diese Adresse geroutet werden.

Das aktuelle Problem ist, das ich die Clients im Subnet nicht erreichen kann. Diese können aber über Ipv6 ins Internet und andere ipv6 adressen (z.b. google.de) anpingen.

LAN IPv6 Interface Adresse (2a01:4f8:xxx:xxx::3/64) im Subnet ist extern anpingbar aber andere clients über externe Verbindung (2a01:4f8:xxx:xxx::5/64) im Subnet nicht.

Ich denke das es entweder an einer Firewall Regel oder am Routing liegt.

Alles sehr komisch.

Und NAT möchte ich eigentich umgehen, da ich verschiedene Server im Subnetz habe die alle auf dem selben port erreichbar sein sollten. Auch extern.

thx

Kr99