SSH ist aktiv. Es konnte mit SSH nichts angestoßen werden. Nach einem Neustart wurde überhaupt nichts mehr geladen und es kam ein Fehler. Ich habe dann über USB die 23.09 aufgespielt. Backup eingespielt und alles läuft wieder einwandfrei.
Gruß Christian

@JeGr

Hab’s inzwischen auch gefunden. 🙈

Kritik an mich:
Wer liest schon Release Notes?

Kritik:
Vielleicht sollte man dann auch nicht an jeder Stelle vorschlagen, dass man zu KEA wechseln soll, solange der Dienst noch nicht vollständig implementiert ist. Vielleicht könnt ihr unter Server Backend bei KEA, wie bei ISC DHCP (Deprecated), beta oder Ähnliches hinschreiben, damit die Release Notes Legastheniker, wie ich, doch noch mal vor der Umstellung lesen.☺️

Danke trotzdem für deine Zeit.

@sebden Weder 2.6.4 noch .7 oder generell 2.6 hat da was bei Einwahl VPNs mit VoIP geändert. Wenn Zeitgleich auch noch die Anlage aktualisiert wurde, würde ich eher dort ansetzen, ob jetzt neue Ports o.ä. benötigt werden, die ein Problem machen.

Wir haben hier hinter einer FreePBX mit SIP problemlos auf 23.01, 23.05 und 23.09 gewechselt und damit alle 2.5/2.6er mitgenommen ohne Problem, ich würde daher nicht ausschließen aber fände es recht befremdlich, dass mit dem Update sich was an VPN bezüglich der Anlage getan hätte. Daher würde ich da nach potentiellen Änderungen bei der PBX schauen, die vllt. einen Seiteneffekt mit VPN haben könnte. Ports, Fragmentierung, MTU o.ä.

Cheers

@slu said in pfBlockerNG Entwicklung / Business Einsatz:

Ich schiebe schon eine Weile das pfBlockerNG Thema vor mir her, setzt ihr das in Business Installationen ein?

JA!

@slu said in pfBlockerNG Entwicklung / Business Einsatz:

Es gibt zwar nicht viele Commits, aber die Software kann ja einfach "fertig" sein:
https://github.com/pfsense/FreeBSD-ports/commits/devel/net/pfSense-pkg-pfBlockerNG-devel

Warum muss ein Paket ständig Commits haben?
Es waren jetzt auch IMHO erstmal die ganzen Umbauten für PHP nötig bevor man wieder was an Features drehen kann. Zusätzlich muss man noch aufpassen, ob man pfB in Clustern einsetzt oder nicht. Aber ansonsten ist es annähernd ein Must Have. Ohne Blocklisten fahre ich kaum eine Installation als Grundsicherung.

@JeGr
Vielen Dank! Sieht so aus, als ob das Update auf 2.7.1 das Problem behoben hätte.

@Asulu Nochmal: wie es auch @NOCling schreibt hat das nichts mit der Hardware zu tun, sondern mit der Faser der Telekom. Wenn die keine schöne P2P Faser legen nur für dich, sondern wie üblich wieder einen Multiuser Kram mit GPON, dann kann man die technisch nicht selbst auflegen sondern es muss von der Telekom in einer eigenen Box terminiert werden.

@elbombo

b68bf1be-081f-4a3c-9c41-4d5c7d319949-image.png

Also ich sehe da eindeitug einen Zielserver: Das Feld Upstream Server. Irgendwo hin müssen die DHCP Requests ja geleitet werden. Und ohne den funktioniert natürlich kein DHCP Relay

@alexander90 said in Gateway Monitor IP … so macht das wenig Sinn!:

@bitboy0 Hey, habe genau das selbe Problem. Hast du nach 8 Jahren hierfür eine Lösung gefunden?

Antworten

He? Echt? Nach 8 JAHREN antwortest du auf einen steinalten Thread bei dem noch dazu eine steinalte pfSense Version mit im Spiel ist, dass du jetzt das gleiche Problem hast? Ich bezweifle das ja etwas. Das exakt gleiche vermutlich nicht. Wie wäre es einfach nen neuen Thread mit genau deinem Problem auf zu machen statt einen uralt Thread auszugraben? :)

Cheers

@rprengel
Da kann ich mich @micneu anschließen, eine auf deine Bedürfnisse maßgeschneiderte Anleitung wirst du wohl nicht bekommen.

pfSense selbst ist aber ausgezeichnet dokumentiert: pfSense Documentation
Ist zwar in Englisch gehalten, ist aber eher leicht verständlich geschrieben.

Zum Thema "Hetzner" gibt es hier einige Beiträge. Mal die Forumssuche benutzen.

Bezüglich Reverse Proxy könnte HAproxy dein Freund werden. Was anderes bietet pfSense meines Wissens auch nicht.
Das HAproxy Kapitel ist in der pfSense Doc leider sehr knapp gehalten und reicht nicht über die grundlegendsten Settings hinaus.

Ich hatte vor etwa 2 Jahren nach Basics gesucht. Aber was ich dazu gefunden habe, war es mir nicht mal wert, den Link zu sichern. Zu finden ist einiges im Netz, aber da werden überall nur bestimmte Bereiche behandelt und HAproxy ist sehr, sehr umfangreich.
Mein Tipp: Bei der Suche gar nicht auf pfSense wert legen, sondern allgemein nach HAproxy und dem jeweiligen Thema suchen, ggf. auch die offizielle (umfangreiche und detaillierte) HAproxy Anleitung zu Rate ziehen, und die Einstellungen auf die pfSense GUI umlegen.
Die Settings direkt ins HAproxy Konfig-File zu schreiben, brauchst du erst gar nicht versuchen. Alles muss über die GUI konfiguriert werden. Aber wenn man das mal raus hat, klappt das schon.

@viragomann said in 2 Interfaces miteinander Verbinden:

@ironia
Hallo,

wieso meinst du, dass die pfSense trotz der Regeln nichts durchlässt? Hast du das im Log oder mit Packet Capture überprüft?

Wenn nicht, aktiviere das Logging mal in beiden Regeln, versuche auf den andere Subnetz zuzugreifen, und anschließend schaue ins Log, was sich dazu findet.
Ich erwarte ein grünes Häkchen für Packet passed.

Wenn das in Ordnung ist, würde ich die Firewall des Zielgeräts verdächtigen, die Zugriffe zu blocken.
Das ist Standard in den meisten Betriebssystemen. Zugriffe von außen (von außerhalb des eigenen Subnetzes) werden nicht zugelassen und müssen erst freigeschalten werden.

Voraussetzung ist, nebenbei erwähnt, aber auch, dass die pfSense in beiden Subnetzen auf den Endgeräten das Standardgateway ist.

danke hat mir sehr geholfen habe wald vor lauter Bäumen nicht gesegen, letztlich war die Firewall auf der gegenseite die nicht richtig configuriert gewesen ist.

@micneu
Danke, aber auf Aufnahmen/Timeshift und 4K will ich jetzt auch nicht verzchten.

Ok, Fehler selbst gefunden, so schnell kann es gehen..😂
hier die Lösung:
Screenshot 2023-11-13 201436.jpg

Ich hatte heute ein paar Telefonate mit Vodafone 😀
Die ersten Mitarbeiter hatten keine Ahnung von öffentlichen IPV4 Adressen, ich wurde jedoch danach von einem fähigen Mitarbeiter zurückgerufen.
Der junge Mann wusste sofort um was es ging, es ist das erste Subventionierte Jahr vorüber und ich wurde von 1000mb auf 500 zurückgesetzt, wurde vor einem Jahr so verhandelt.
Er hat mir erklärt das bei einem Vertrags Wechsel DS lite geschalten wird, so erging es mir, jedoch kam bei mir kein IPV6 Zustande.
Er hat sofort DS lite abgeschaltet und nach einer neuen Einwahl der Sense hatte ich wieder eine öffentliche IPv4 Adresse und die WireGuard Tunnel funktionieren sofort wieder.
Ein bisschen Glück war da wohl auch dabei, ich denk das ist keine Selbstverständlichkeit mehr mit den IPv4 Adressen.
IPV6 muss ich noch auf die Spur gehen, er sagte das ich Dual Stack hätte, bis dato kam keine Verbindung zustande.

Danke an alle die mich unterstützt haben 🙋‍♂️

@Bob-Dig

Na das ist ja mal genial!!!
Klasse danke für den Tipp!!

@NopIt said in DrayTek Vigor 130 als Bridge Modem für pfSense einrichten? (Telekom):

Wenn ich mein pfSense zurücksetzte, dann verlieren ich doch alle meine Einstellungen, wie z.B. Firewall-Regeln, statische DHCP-Einträge usw. Das muss doch auch irgendwie anders gehen.

Wobei Du ja neben WAN eh nur ein einziges Interface zu haben scheinst? Das sollte dann ja keine große Sache sein.

@NOCling
guter Hinweis mit dem RAM!

@TrashCo92
Vielleicht hätte das Löschen des Caches auch gereicht, ein alternativer Browser ist aber die sicherere Methode. Und nachdem ich in einem Unternehmen tätig bin, das Webapplikationen entwickelt, habe ich immer mehrere Browser verfügbar. Sorry, hatte nicht gedacht, dass es Leute gibt, die nur einen installiert haben. 🙂

Grüße

Um die Frage selbst zu beantworten: Nein, der TP Link Deco 50 unterstützt keinen Bridge-Modus.

Aber der ZTE MC801A unterstützt ihn. Ein für 250 Euro recht preisgünstiges Modem.

Ich musste erst nach dem Bridge Modus suchen.
Man muss nach der Grundeinrichtung den LTE-Modus auf "OFF" stellen. (5G bei mir).
Dann kann man oben links einen Link erkennen und dort die Betriebsart ändern. Muss man das immer so verstecken?
2023-10-27 21_03_53-5G CPE – Mozilla Firefox.jpg
2023-10-27 21_04_20-5G CPE – Mozilla Firefox.jpg

Klickt man auf Ändern, kann man in den Brückenmodus gehen.
Danach startet das Gerät neu. Fertig.
Ich habe zuvor noch den APN geändert, weil ich in dem Fall diesen WAN-Anschluss als redundante OpenVPN-Verbindung anbinden will, bzw. schon gemacht habe. Und als Failover.
Funktioniert einwandfrei.

Grüße, Arti.

Wie ich jetzt im englischsprachigen IDS-Forum erfahren habe, ist das Problem mit der SIP-Regel ein bekanntes, welches mit 4.1.6_11 behoben werden soll.

Leider gibt es derzeit ein Problem, an die CE-Version von pfSense dieses Update auszurollen.

Gruß, Arti.

@juliokele Du hast mit deiner präzisen Antwort mir Jahre später noch geholfen. Vielen Dank.

Lasse die Fritzbox doch mit den Provider DNS Servern arbeiten.

pfSense nutz per default Unbound im Resolver Modus und löst über die jeweiligen root DNS alles selber auf.

DNS Ausfälle führen zwar für die Clients zu Problemen, sollten aber keinen Einfluss auf den ICMP Echo Monitor der pfSense haben. Hier lag wohl dann generell eine Störung beim Provider vor, wenn du so viele Gateways hast und alle nutzen andere IPs fürs Monitoring, aber alle sind gleichzeitig gestört.

@Daniel-Su Super.

Die Fritte ist da leider sehr bekloppt was ihren Exposed Host angeht, wenn das umschifft ist, klappts aber wunderbar.

Es gibt aber keinen direkten Grund (man kanns machen) eine Route auf Fritte für die FB einzutragen geschweige denn NAT auf der Sense zu Gunsten der FB auszumachen. Warum auch, ich will die FB im Besten Fall überhaupt nicht nutzen, dann packe ich da auch keinerlei Daten von mir rein, und bei ausgeschaltetem NAT auf der Sense würden alle Geräte aus dem Netz auf der FB auftauchen. Schön für den Provider, geht ihn aber nix an. Und da die gern mal nach updates die Firmware wipen und resetten, habe ich da überhaupt keine Lust drauf, dass dann nichts mehr geht ;)

Darum die Fritte so wenig wie möglich konfigurieren, exposed Host rein und gut - außer wir reden noch von SIP und SIP Clients aus dem internen Netz, dann gibts noch 1-2 kleine Sachen die man vllt möchte, aber sonst - nope :)

Cheers

@Bob-Dig Bei welchen allowed IPs? Das Feld hat Wireguard dämlicherweise 2x und es bedeutet 2x was anderes.

Ich vermute es its die Variante, die erlaubt, wer sich verbindet, nicht die, die bestimmt was geroutet wird. Dann müsste da kein 0 rein, sondern einfach die korrekten IP Ranges auf beiden Seiten, sonst wird natürlich der Traffic geblockt.

Cheers

@Artefakt said in Gatewaygruppe, eine IP soll nur über den ersten WAN rausgehen.:

Die Frage war zuletzt eigentlich nur, warum bei Hinzufügen der Policy-Regel (Standard-LAN-Regel) plötzlich eingehend nichts mehr geht. Nehm ich die Regel wieder raus, gehts sofort wieder. Irgendwas muss ich da übersehen haben.

Weil da ein Gateway drinsteht und wenn da eines gesetzt ist, wird ALLES was auf die Regel zutrifft über das GW gepusht, egal ob man das möchte oder nicht. Darum muss man Sieb-weise vorselektieren, was oder was nicht über das GW soll, damit nur externer Traffic der über das IF raus soll über bleibt, der auf die GW Regel matchen kann - sonst sägt man sich die entsprechenden Funktionen ab :)

Cheers

@GrilleGustav said in Ausgehender Datenverkehr zu externen IP-Adressen OpenVPN-Tap Interface scheint nicht korrekt weitergeleitet zu werden:

o OpenVPN Layer 2 Tap Mode Server eingerichtet

Ganz blöde gefragt: warum? Warum will ich OVPN im TAP mode auf Layer 2 wegen ner IP Adresse? Funktioniert doch alles sauber auf Layer 3, warum will man sich dann mit sowas das Leben schwer machen?

@Artefakt
Hallo,

das Interface hinzufügen reicht. Die bestehende Konfiguration wird dann angewandt.

Das macht aber überhaupt nur Sinn, wenn du eingehende Verbindungen hast.

@viragomann Danke, nach Änderung des Subnets funktionierts nun.

Arti.

Damit leben oder mal nach einer Sophos SG125/135 Rev. 3 schauen.
Da ist ein auf Netzwerk optimierter C3k Atom drin mit 4 Kernen und 1,6/2,2GHz.
Mit der Plus hast vollen Quick Assist Support, da rennt dann im LAN das Gbit nicht nur durchs Regelwerk sonder sogar durch eine IPsec Tunnel.

@JeGr

nach immer fehlt ein

Hier

Für die Örtlichkeit

🤔😔

@ShaneDeak said in OpenVPN Problem nach Update:

aber der nslookup nicht.

heißt was genau? Namensauflösung (die wäre doch lokal, was hat die dann mit dem VPN zu tun?) oder der Server auf der anderen Seite oder was ist da genau mit gemeint?

@ShaneDeak said in OpenVPN Problem nach Update:

Außerdem kann ich z.B. auf die Weboberfläche der pfSense B oder auf die von Proxmox nicht zugreifen (über die IP, welche aber eigentlich erreichbar ist).

Ohne Plan was wo wie miteinander verknotet ist, ist das schwer zu überschauen, was warum wo nicht geht. Da bräuchte ich dann wirklich mal nen Plan oder ne bessere Beschreibung zu.

Auf Windows-Freigaben kann ich auch nicht zugreifen.

Same, das mag für dich stimmig/sinnvoll klingen, ich weiß damit aber überhaupt nichts anzufangen, weil ich jetzt keine Ahnung mehr habe, was wo wie steht, wer mit wem versucht zu sprechen, worüber, wie das miteinander verdrahtet oder verbunden ist, etc.

Jetzt hast du noch irgendwie die Richtung/Server-Client umgedreht, jetzt versteh ich noch weniger.

Also gern Hilfe, aber dann bitte richtig, dann brauch ich entweder nen Plan oder zumindest eine wesentlich bessere Beschreibung was wo wie steht, was miteinander reden kann und was nicht und was wo konfiguriert ist. Ansonsten ist das leider eher stochern im Nebel.

Da wir gerade erst wieder einen Kunden hatten, der auf pfSense geswitcht ist und mit der aktuellen Plus 23.05.1 (also auf gleichem Stand wie 2.7) nen Office hinter einem RZ angehängt hat und dabei den Weg zwischen Office und RZ via Tunnel verbunden hat, kann ich sagen, dass das keinerlei Problem mit 2.7 ist - OpenVPN hat da problemlos gewuppt. In dem Fall sogar via MultiWAN über ne Backup Line falls die direkte Anbindung tot ist. Site2Site oder Site2Multisite ist also auch in den neuen Versionen kein Ding.

Meist liegt der Fehler da im Detail: es fehlt nen CSO, es fehlt ne Route, es gibt noch irgendwo nen herumschimmelndes IPsec das die Pakete wegfrisst weil die gleiche Route wie bei OVPN eingetragen ist etc. etc. Aber was es in deinem Fall genau ist - ohne bessere Draufsicht kaum zu sagen.

Cheers
\jens

@sm-vm
Wie gesagt, mit dieser IPSec geht wohl nix.
Also entweder muss es die genannte OpenVPN im tap-Mode sein (L2) oder eine L3, der du ein Interface zuweisen kannst und dieses dann mit gewissen Relais verbindest. Bspw.
UDP Broadcast Relay

Ich habe das aber auch noch nicht selbst praktiziert.

@fireodo

Danke für die Info. ;-)

Dann schaue ich da mal vorbei.

MFG
Steffen