8
Pfsense Firewall-Regel, die nicht angelegt wurde bzw. per default angewendet wird, blockiert. Woher kommt die Regel? Wie kann man diese entfernen?
Hallo zusammen,
das Board hat mir sehr gute Dienste geleistet als ich eine Firewall suchte und installierte (pfsense).
Mittlerweile habe ich viel Erfahrung mit der pfsense-Firewall-Konfiguration gesammelt (try an error
). Allerdings bin ich nun an einen Punkt gekommen, wo ich einfach nicht mehr weiter komme. Ich habe aber die Hoffnung, dass mir einer von Euch weiterhelfen kann.
Meine Konfig sieht wie folgt aus:
Interfaces:
LAN1-Netz: 192.168.178.0/24 -> Static-IP: 192.168.178.1
WANENTRY-Netz: 192.168.10.0/24 -> Static-IP: 192.168.10.100
ROUTER-Netz: None
WohnzimmerSwitch: None
Bridges:
Über die Bridge wird ein VLAN-Kreis mit dem WAN-Kreis gebündelt. Das funktioniert ganz prima!
NAT-Regel:
Firewall-Regeln:
Dazu habe ich unter "System->Advanced folgende Einstellung vorgenommen:
Nun zum Problem:
Dabei interessiert die Regel, die per NAT den Port 7999 umlenkt.
Was nun passiert, wenn aus dem INET der Aufruf des Ports 7999 erfolgt (gem. Firewall-LOG):
Das Problem ist, dass die Antwort meines Servers zurück ins INET (scheinbar willkürlich) geblockt wird. Die Regel mit der ID 1000005770 ist nirgends zu finden. Auch Versuche hierzu entsprechende Pass-Rules anzulegen verlief negativ. Ich verzweifle so langsam daran...
Ich hoffe jemand kann mir helfen! Ich zähle auf Euch
1000-Dank schon mal im Voraus!
Viele Grüße
Tomac
P.S.: Hier noch die Systeminfos meiner Firewall...
das Board hat mir sehr gute Dienste geleistet als ich eine Firewall suchte und installierte (pfsense).
Mittlerweile habe ich viel Erfahrung mit der pfsense-Firewall-Konfiguration gesammelt (try an error
). Allerdings bin ich nun an einen Punkt gekommen, wo ich einfach nicht mehr weiter komme. Ich habe aber die Hoffnung, dass mir einer von Euch weiterhelfen kann.Meine Konfig sieht wie folgt aus:
Interfaces:
LAN1-Netz: 192.168.178.0/24 -> Static-IP: 192.168.178.1
WANENTRY-Netz: 192.168.10.0/24 -> Static-IP: 192.168.10.100
ROUTER-Netz: None
WohnzimmerSwitch: None
Bridges:
Über die Bridge wird ein VLAN-Kreis mit dem WAN-Kreis gebündelt. Das funktioniert ganz prima!
NAT-Regel:
Firewall-Regeln:
Dazu habe ich unter "System->Advanced folgende Einstellung vorgenommen:
Nun zum Problem:
Dabei interessiert die Regel, die per NAT den Port 7999 umlenkt.
Was nun passiert, wenn aus dem INET der Aufruf des Ports 7999 erfolgt (gem. Firewall-LOG):
Das Problem ist, dass die Antwort meines Servers zurück ins INET (scheinbar willkürlich) geblockt wird. Die Regel mit der ID 1000005770 ist nirgends zu finden. Auch Versuche hierzu entsprechende Pass-Rules anzulegen verlief negativ. Ich verzweifle so langsam daran...
Ich hoffe jemand kann mir helfen! Ich zähle auf Euch
1000-Dank schon mal im Voraus!
Viele Grüße
Tomac
P.S.: Hier noch die Systeminfos meiner Firewall...
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 312043
Url: https://administrator.de/forum/pfsense-firewall-regel-die-nicht-angelegt-wurde-bzw-per-default-angewendet-wird-blockiert-woher-kommt-die-312043.html
Ausgedruckt am: 19.04.2025 um 10:04 Uhr
8 Kommentare
Neuester Kommentar
Das Design ist gewöhnungsbedürftig um das mal vorsichtig auszudrücken. Was der tiefere Sinn sein soll ein Parent VLAN mit dem WAN Port zu bridgen weiss der Wind.
Eigentlich völlig Sinnfrei, denn du hättest das auch so ohne diese üble Krücke ja direkt ins WAN Netz stecken können ohne diese üble Frickelei mit der Bridge, aber nundenn.
Was auffällig ist, ist die FW Regel am Bridgeport WANentry.
So wie es aussieht betreibst du die Firewall ja in einer Router Kaskade sprich mit einem vorgeschalteten NAT Router. Nach der Adressierung zu urteilen einer FritzBox. Leider kommen dazu keinerlei Infos von dir. Eine Topologie Zeichnung wäre hilfreich aber wir als Administratoren denken uns die mal...
Zurück zur WANentry Regel...
Du lässt dort alles passieren was eine IP Absender Adresse aus diesem WAN Netzwerk hat, sprich also dem Koppelnetz zw. FW und Router.
Vermutlich ist aber kein einziges Endgerät in diesem Netzwerk das entsprechende Daten schickt für die diese Regeln irgendeinen Sinn machen. Diese Geräte müssten ja alle in diesem Netz sein.
Pakete vom Internet haben also floglich niemals diese Adressen sondern irgendwelche öffentlichen IPs je nachdem wo man sich befindet. Niemals aber haben VPN Pakete aus dem Internet eine Absender IP Adresse aus dem Koppelnetz.
Mal ganz abgesehen davon das das private IP Netze (RFC 1918) sind die niemals im Internet geroutet werden.
https://de.wikipedia.org/wiki/Private_IP-Adresse
Alle VPN Clients müssten ja wie gesagt im Koppelnetz liegen damit das einen Sinn macht...
Der Hammer und absolute FW no go kommt aber danach....
Die tödliche Scheunentor Regel die ALLES zu ALLEM mit ALLEM erlaubt, also keinerlei Sicherheit bringt und die Firewall damit zu einem sinnfreien Gebilde macht.
Damit wird das ganze Design ad absurdum geführt und es hätte ein einfacher 20 Euro Switch gereicht.
Sprich: Die Regel am WAN Port ist völliger Unsinn und führt die FW ad absurdum.
Fazit: Du solltest besser nochmal dein gesamtes Design überlegen ob das alles so Sinn macht. Als Firewall ist es wenigstens völliger Quatsch so, denn die gesamte Sicherheit hast du ausgehebelt. Wozu dann also eine FW ?
Bevor man an so einem (sorry) sinnfreien Konstrukt weiter rumfrickelt und es noch schlimmer macht sollte man das besser grundlich überlegen.
Ein sinnvolles Redesign wäre hier der richtige Weg...
Eigentlich völlig Sinnfrei, denn du hättest das auch so ohne diese üble Krücke ja direkt ins WAN Netz stecken können ohne diese üble Frickelei mit der Bridge, aber nundenn.
Was auffällig ist, ist die FW Regel am Bridgeport WANentry.
So wie es aussieht betreibst du die Firewall ja in einer Router Kaskade sprich mit einem vorgeschalteten NAT Router. Nach der Adressierung zu urteilen einer FritzBox. Leider kommen dazu keinerlei Infos von dir.
Eine Topologie Zeichnung wäre hilfreich aber wir als Administratoren denken uns die mal...Zurück zur WANentry Regel...
Du lässt dort alles passieren was eine IP Absender Adresse aus diesem WAN Netzwerk hat, sprich also dem Koppelnetz zw. FW und Router.
Vermutlich ist aber kein einziges Endgerät in diesem Netzwerk das entsprechende Daten schickt für die diese Regeln irgendeinen Sinn machen. Diese Geräte müssten ja alle in diesem Netz sein.
Pakete vom Internet haben also floglich niemals diese Adressen sondern irgendwelche öffentlichen IPs je nachdem wo man sich befindet. Niemals aber haben VPN Pakete aus dem Internet eine Absender IP Adresse aus dem Koppelnetz.
Mal ganz abgesehen davon das das private IP Netze (RFC 1918) sind die niemals im Internet geroutet werden.
https://de.wikipedia.org/wiki/Private_IP-Adresse
Alle VPN Clients müssten ja wie gesagt im Koppelnetz liegen damit das einen Sinn macht...
Der Hammer und absolute FW no go kommt aber danach....
Die tödliche Scheunentor Regel die ALLES zu ALLEM mit ALLEM erlaubt, also keinerlei Sicherheit bringt und die Firewall damit zu einem sinnfreien Gebilde macht.
Damit wird das ganze Design ad absurdum geführt und es hätte ein einfacher 20 Euro Switch gereicht.
Sprich: Die Regel am WAN Port ist völliger Unsinn und führt die FW ad absurdum.
Fazit: Du solltest besser nochmal dein gesamtes Design überlegen ob das alles so Sinn macht. Als Firewall ist es wenigstens völliger Quatsch so, denn die gesamte Sicherheit hast du ausgehebelt. Wozu dann also eine FW ?
Bevor man an so einem (sorry) sinnfreien Konstrukt weiter rumfrickelt und es noch schlimmer macht sollte man das besser grundlich überlegen.
Ein sinnvolles Redesign wäre hier der richtige Weg...
@aqui:
ok, danke erstmal für Deine recht offene Meinung zu dem "Konstrukt".
Zwar trägt das nicht zur Lösung meines derzeitigen Problems bei, aber vielleicht kann ich ja noch was verbessern
Mit der Kaskade hast Du recht und die sieht wie folgt aus:
INET -> FritzBox -> pfsense -> interne Netze
Die FritzBox kann ich aktuell nicht ersetzten, da darüber die Telefonie läuft. Ich Route das gesamte INET über die FritzBox an die pfsense (192.168.10.100). Die pfsense managed dann alles andere.
Die Fritzbox hängt natürlich ebenfalls im 192.168.10.0-Netz und deren WLAN ist aktiv. Der DHCP-Server der pfsense vergibt jedoch entsprechende IPs (auch für das WLAN), so dass die pfsense-Firewall-Regeln wieder greifen. Deine Annahme, dass die Regel überflüssig ist, weil keine weiteren Geräte im WANENTRY hängen, stimmt nicht. Es gibt Geräte!
Nun zum Sinn der Bridge: Ich benötige einige Geräte im 192.168.10.0-Netz und da ich einen VLAN-Switch und eine pfsense habe, brauch ich keine Kabel umzustecken. Alle diese Geräte in ein VLAN zu schmeißen, war mir nix. Ich wollte das weiterhin trennen. Vor allem weil der WAN-Port der pfsense der direkte Routeranschluss (also zur FritzBox) ist.
Zu der Regel:
Der Sinn der ganzen Sache ist ja, dass die öffentlichen IPs (also "das INET") nicht auf mein Netz zugreifen sollen. Die WANENTRY-Regel ist damit eigentlich klar. Ausnahme: Die IPs, die den Port 7999 ansteuern! Durch die NAT-Regel werden die INET-Zugriffe umgeleitet ins interne Netz.
Vielleicht hast Du es übersehen: Die Regeln sind disjungt. Da die Blockregel vor der "alles ist frei"-Regel kommt, werden alle INET-Zugriffe vorher geblockt. Kann man auch gut im Log sehen (hab ich aber nicht bei gefügt - musst Du mir mal vertrauen ).
Mein Fazit: Bevor Du so rum posaunst, dass alles quatsch ist, wäre es besser ggf. ein paar Fragen zu stellen, wenn was nicht ganz ersichtlich ist. Ist schwer immer alle Info zu liefern, wenn man nicht genau weiß was evtl. noch fehlt.
Ich sage im übrigen nicht, dass es das coolste Konstrukt ever ist, was ich da habe. Aber: es funktioniert (bis auf mein eigentliches Problem!).
Leider konntest Du mir hier nicht mal ansatzweise weiterhelfen. Schade!
VG
ok, danke erstmal für Deine recht offene Meinung zu dem "Konstrukt".
Zwar trägt das nicht zur Lösung meines derzeitigen Problems bei, aber vielleicht kann ich ja noch was verbessern
Mit der Kaskade hast Du recht und die sieht wie folgt aus:
INET -> FritzBox -> pfsense -> interne Netze
Die FritzBox kann ich aktuell nicht ersetzten, da darüber die Telefonie läuft. Ich Route das gesamte INET über die FritzBox an die pfsense (192.168.10.100). Die pfsense managed dann alles andere.
Die Fritzbox hängt natürlich ebenfalls im 192.168.10.0-Netz und deren WLAN ist aktiv. Der DHCP-Server der pfsense vergibt jedoch entsprechende IPs (auch für das WLAN), so dass die pfsense-Firewall-Regeln wieder greifen. Deine Annahme, dass die Regel überflüssig ist, weil keine weiteren Geräte im WANENTRY hängen, stimmt nicht. Es gibt Geräte!
Nun zum Sinn der Bridge: Ich benötige einige Geräte im 192.168.10.0-Netz und da ich einen VLAN-Switch und eine pfsense habe, brauch ich keine Kabel umzustecken. Alle diese Geräte in ein VLAN zu schmeißen, war mir nix. Ich wollte das weiterhin trennen. Vor allem weil der WAN-Port der pfsense der direkte Routeranschluss (also zur FritzBox) ist.
Zu der Regel:
Der Sinn der ganzen Sache ist ja, dass die öffentlichen IPs (also "das INET") nicht auf mein Netz zugreifen sollen. Die WANENTRY-Regel ist damit eigentlich klar. Ausnahme: Die IPs, die den Port 7999 ansteuern! Durch die NAT-Regel werden die INET-Zugriffe umgeleitet ins interne Netz.
Vielleicht hast Du es übersehen: Die Regeln sind disjungt. Da die Blockregel vor der "alles ist frei"-Regel kommt, werden alle INET-Zugriffe vorher geblockt. Kann man auch gut im Log sehen (hab ich aber nicht bei gefügt - musst Du mir mal vertrauen
).Mein Fazit: Bevor Du so rum posaunst, dass alles quatsch ist, wäre es besser ggf. ein paar Fragen zu stellen, wenn was nicht ganz ersichtlich ist. Ist schwer immer alle Info zu liefern, wenn man nicht genau weiß was evtl. noch fehlt.
Ich sage im übrigen nicht, dass es das coolste Konstrukt ever ist, was ich da habe. Aber: es funktioniert (bis auf mein eigentliches Problem!).
Leider konntest Du mir hier nicht mal ansatzweise weiterhelfen. Schade!
VG
Zitat von @tomac01:
Ich sage im übrigen nicht, dass es das coolste Konstrukt ever ist, was ich da habe. Aber: es funktioniert (bis auf mein eigentliches Problem!).
Ich sage im übrigen nicht, dass es das coolste Konstrukt ever ist, was ich da habe. Aber: es funktioniert (bis auf mein eigentliches Problem!).
Moin,
ich glaube mit dem was Aqui dir sagen möchte, geht es weniger um die Frage ob irgend etwas funktioniert, sondern ob das ganze aus einem Sicherheitsaspekt Sinn macht.
Ich kann zwar in etwa nachvollziehen was du erreichen möchtest aber du willst zuviel erreichen und verzichtest damit auf viele Vorteile die eine pfSense im Punkt Sicherheit bietet (z.B. zweistufiges Firewall-Konzept). Zwischen FB und pfsense hättest du eine schöne DMZ und mit deinen VLAN-fähigen Geräten genügend Möglichkeiten den Zugriff in die jeweiligen Bereiche zu steuern (z.B. auch Gast-LAN/WLAN). Der Zugriff aus dem geschützen LAN in die DMZ lässt sich auch gut steuern. Ich vermute das der einzige Grund für dieses Konstrukt der Grund ist das WLAN der FB zusammen mit dem geschützten Netz zu nutzen. Darauf solltest du aber in puncto Sicherheit verzichten.
Denke daran, dass du die pfSense benutzt um dein Netz sicher zu schützen, sonst brauchst du diesen Aufwand nicht zu Betreiben und kannst gleich alles wieder in dein FB-Netz werfen. Also entweder konsequent sicher oder gar nicht.
VG
Ashnod
Hallö,
Passt! Ich möchte ja 'ne Firewall weil ich mehr Sicherheit habe möchte. Ich gebe gerne zu, dass ich da absolut kein Profi bin und mich an entsprechende Lösungen "ran kämpfe". *grins*
Das hört sich gut an ist aber sehr allgemein formuliert. Kannst Du mir vielleicht ein paar Lese-Tips (Links) dazu geben? Oder das näher ausformulieren wie das geht?
Ja und nein:
Das WLAN wollte ich eigentlich ebenfalls als ein "internes Netz" nutzen, da ich keine eigene WLAN-Karte in der Hardware zur pfsense habe. Ich dachte mir, dass dies über den DHCP-Server der pfsense, der auch für diesen Bereich IPs vergibt, für alle per DHCP-vermittelten IPs erreicht wird. Ich hab damit nur eine "dirty DMZ". Das ist mir schon klar.
Anmerkung: In der FritzBox ist als Exposed Host die IP 192.168.10.100 angegeben, was ja dem WANENTRY (s. meine Ausführungen oben) der pfsense entspricht.
Der Hintergrund warum ich noch weitere Geräte per VLAN in die "dirty DMZ" packen möchte ist, dass die Bonjour-Dienste sonst nicht erkannt werden. Ein weites Thema ist ein Hardware-Werbung-Blocker (eblocker). Der dient für das Inet als Gateway und soll deshalb auch unter dem WANENTRY-Netz "stehen".
Ich weiß, ist ne Menge. Ich hoffe ich konnte das so einigermaßen beschreiben was ich meine.
Würde mich über ein paar Anregungen (wie gesagt) freuen! Vielleicht ist damit auch mein Problem zukünftig erledigt
VG,
tomac
Zitat von @ashnod:
ich glaube mit dem was Aqui dir sagen möchte, geht es weniger um die Frage ob irgend etwas funktioniert, sondern ob das ganze aus einem Sicherheitsaspekt Sinn macht.
ich glaube mit dem was Aqui dir sagen möchte, geht es weniger um die Frage ob irgend etwas funktioniert, sondern ob das ganze aus einem Sicherheitsaspekt Sinn macht.
Passt! Ich möchte ja 'ne Firewall weil ich mehr Sicherheit habe möchte. Ich gebe gerne zu, dass ich da absolut kein Profi bin und mich an entsprechende Lösungen "ran kämpfe". *grins*
Zwischen FB und pfsense hättest du eine schöne DMZ und mit deinen VLAN-fähigen Geräten genügend Möglichkeiten den Zugriff in die jeweiligen Bereiche zu steuern (z.B. auch Gast-LAN/WLAN). Der Zugriff aus dem geschützen LAN in die DMZ lässt sich auch gut steuern.
Das hört sich gut an ist aber sehr allgemein formuliert
. Kannst Du mir vielleicht ein paar Lese-Tips (Links) dazu geben? Oder das näher ausformulieren wie das geht?Ich vermute das der einzige Grund für dieses Konstrukt der Grund ist das WLAN der FB zusammen mit dem geschützten Netz zu nutzen. Darauf solltest du aber in puncto Sicherheit verzichten.
Ja und nein:
Das WLAN wollte ich eigentlich ebenfalls als ein "internes Netz" nutzen, da ich keine eigene WLAN-Karte in der Hardware zur pfsense habe. Ich dachte mir, dass dies über den DHCP-Server der pfsense, der auch für diesen Bereich IPs vergibt, für alle per DHCP-vermittelten IPs erreicht wird. Ich hab damit nur eine "dirty DMZ". Das ist mir schon klar.
Anmerkung: In der FritzBox ist als Exposed Host die IP 192.168.10.100 angegeben, was ja dem WANENTRY (s. meine Ausführungen oben) der pfsense entspricht.
Der Hintergrund warum ich noch weitere Geräte per VLAN in die "dirty DMZ" packen möchte ist, dass die Bonjour-Dienste sonst nicht erkannt werden. Ein weites Thema ist ein Hardware-Werbung-Blocker (eblocker). Der dient für das Inet als Gateway und soll deshalb auch unter dem WANENTRY-Netz "stehen".
Ich weiß, ist ne Menge. Ich hoffe ich konnte das so einigermaßen beschreiben was ich meine.
Würde mich über ein paar Anregungen (wie gesagt) freuen! Vielleicht ist damit auch mein Problem zukünftig erledigt
VG,
tomac
Mit so einem Design hätte sich dein Problem im Nu erledigt.
Dein grundlegendes Problem ist die falsche Einrichtung der VLANs, da du ja unbedingt noch Endgeräte im Transfer Netz betreiben willst. Warum das so sein muss erschliesst sich einem nicht aber du hast da ja sicher deine Gründe...?!
Fakt ist aber das diese Netz isoliert auf dem VLAN Switch liegen muss und nicht über eine Backdoor Bridge Frickelei in andere Netze an der Firewall. Aus FW sicht ist sowas tödlich !
Isoliere also das Transfer LAN Segment nur rein auf dem VLAN Switch und decke alles anderen Segmente mit separaten VLANs ab OHNE ein Bridging auf der FW. So wird ein Schuh draus.
Dein Design ist gelinge gesagt krank und es ist kein Wunder das du da in solche Probleme rennst.
Dein grundlegendes Problem ist die falsche Einrichtung der VLANs, da du ja unbedingt noch Endgeräte im Transfer Netz betreiben willst. Warum das so sein muss erschliesst sich einem nicht aber du hast da ja sicher deine Gründe...?!
Fakt ist aber das diese Netz isoliert auf dem VLAN Switch liegen muss und nicht über eine Backdoor Bridge Frickelei in andere Netze an der Firewall. Aus FW sicht ist sowas tödlich !
Isoliere also das Transfer LAN Segment nur rein auf dem VLAN Switch und decke alles anderen Segmente mit separaten VLANs ab OHNE ein Bridging auf der FW. So wird ein Schuh draus.
Dein Design ist gelinge gesagt krank und es ist kein Wunder das du da in solche Probleme rennst.
Zitat von @tomac01:
Der Hintergrund warum ich noch weitere Geräte per VLAN in die "dirty DMZ" packen möchte ist, dass die Bonjour-Dienste sonst nicht erkannt werden. Ein weites Thema ist ein Hardware-Werbung-Blocker (eblocker). Der dient für das Inet als Gateway und soll deshalb auch unter dem WANENTRY-Netz "stehen".
Der Hintergrund warum ich noch weitere Geräte per VLAN in die "dirty DMZ" packen möchte ist, dass die Bonjour-Dienste sonst nicht erkannt werden. Ein weites Thema ist ein Hardware-Werbung-Blocker (eblocker). Der dient für das Inet als Gateway und soll deshalb auch unter dem WANENTRY-Netz "stehen".
Ahoi ..
also spätestens hier "Dirty DMZ" sollte dir klar sein, dass du dir den ganzen Aufwand sparen kannst ... folge der Empfehlung von Aqui das ist die einzig saubere Lösung. Bei dem was du versuchst kannst du dir die Firewall (pfSense) auch gleich sparen.
Wenn du alles haben möchtest, dann packe die FB hinter die pfsense und davor ein Modem, dann kanst du auch alle Dienste nach belieben nutzen.
Allein die Wartbarkeit der Firewall ist nicht mehr gegeben, weil du irgendwann nicht mehr wissen wirst warum das so gewurschtelt ist und jede Veränderungen wird wieder drumgewurschtelt.
VG
Ashnod
Hallo zusammen,
ich hab mir Eure Kritik zu Herzen genommen und nochmal meine Architektur studiert. Ich bin nun auch auf dem gleichen Pfad wie Ihr: Das ist Müll!
Hab deshalb auf Werkseinstellungen zurück gesetzt und nochmal neu angefangen. Schön nach Aquis Anleitungen. Manchmal muss man erstmal alles Wegschmeißen und Neu machen, damit es gut wird.
Sieht alles jetzt viel besser und aufgeräumter aus. Vorschriftsmäßige DMZs angelegt und das WLAN in die DMZ verlegt. Zwischen FritzBox und pfsense ist nun nix mehr im Netz. NATs neu eingerichtet. Firewall-Regeln auf ein minimum runtergefahren.
Tatsächlich sind meine Probleme nun auch weg (kaum macht man's richtig funktioniert es auch
). Allerdings hatte auch der eBlocker, der Werbung wegfiltern soll, etwas damit zutun. Hat wohl noch ein wenig mehr weggefiltert. Nun geht auch VPN wieder. Demnächst soll für den eine neue SW rauskommen. Dann probier ich es nochmal. Dann wäre so eine Art Proxy als Gateway im Netz zwischen FB und pfsense. Denke das passt dann...
Nochmal danke für die Anregungen.
VG,
Tomac
ich hab mir Eure Kritik zu Herzen genommen und nochmal meine Architektur studiert. Ich bin nun auch auf dem gleichen Pfad wie Ihr: Das ist Müll!
Hab deshalb auf Werkseinstellungen zurück gesetzt und nochmal neu angefangen. Schön nach Aquis Anleitungen. Manchmal muss man erstmal alles Wegschmeißen und Neu machen, damit es gut wird
.Sieht alles jetzt viel besser und aufgeräumter aus. Vorschriftsmäßige DMZs angelegt und das WLAN in die DMZ verlegt. Zwischen FritzBox und pfsense ist nun nix mehr im Netz. NATs neu eingerichtet. Firewall-Regeln auf ein minimum runtergefahren.
Tatsächlich sind meine Probleme nun auch weg (kaum macht man's richtig funktioniert es auch
). Allerdings hatte auch der eBlocker, der Werbung wegfiltern soll, etwas damit zutun. Hat wohl noch ein wenig mehr weggefiltert. Nun geht auch VPN wieder. Demnächst soll für den eine neue SW rauskommen. Dann probier ich es nochmal. Dann wäre so eine Art Proxy als Gateway im Netz zwischen FB und pfsense. Denke das passt dann...Nochmal danke für die Anregungen.
VG,
Tomac
Demnächst soll für den eine neue SW rauskommen
Für die pfSense ?? Dann weisst du mehr als wir Dann wäre so eine Art Proxy als Gateway im Netz zwischen FB und pfsense.
Bahnhof ?? Was soll das sein ?Nicht das du schon wieder mit irgendwelchem Blödsinn anfängst. Die pfSense kann auch alle Arten von VPN und über die Package Verwaltung bekommst du Adblocker, Web Proxies und was auch immer.... Also aufpassen was du da machst !!
Aber gut das nun erstmal alles so rennt wie es soll !
