@altmetaller Hi Jörg,

zusätzlich zu dem was Virago schon schreibt, kannst du auch temporär die Masse einfach mal abschalten. Also die Default Deny Rule Logging bspw. - > Status / System Logs / Settings
Dort einfach mal " Log packets matched from the default block rules in the ruleset " abschalten und ggf. auch die Bogon/Private Logs, dann müsste da auch ganz viel erstmal weg bleiben und du hast eine bessere Change was zu sehen/finden :)

Du kannst das auch bspw. ohne "Änderung" der Einstufung (Pass/Block) als sehr spezielle Floating Rule erstellen (JA, eine float, das ist genauso so ein Sonderfall 😜 )

Floating Rule Outbound - nicht inbound WAN Interface

damit erwischst du alles was von intern oder der pfSense selbst kommt und auf deine zu loggende IP wollen

action: match logging: an quick: an

Das loggt das ganze ins System Log, macht dank "match" aber nichts weiter als zu loggen, wenn die Regel zutrifft, sonst aber nichts. Die Regel erlaubt oder verbietet also nichts, sondern loggt nur. Erlaubt/Verboten muss sie dann woanders schon sein (meist auf einem der inneren Interfaces weil Internet o.ä.)

Das kann man dann zum Loggen leicht an/ausschalten.

Cheers

@wschmidt

ich weiß das Thema ist alt aber der Vollständigkeit halber:

Wenn man den Gästen z.B. den Google DNS (8.8.8.8) per DHCP zuweist muss dieser im Captive Portal unter Allowed IP Addresses eingetragen werden.

@JeGr said in Lets Encrypt ACMEv2 | RFC 2136 Update | Strato:

Damit kann man die Auth via API Eintrag des TXT Records in der dedyn.io Zone lösen, während im händischen DNS Tool des Providers (Strato, 1und1 etc.) ein einfacher CNAME eingetragen wird für den Hostnamen, den man ausstellen möchte.

Das Ganze kann man dann natürlich für beliebige weitere Hostnamen wiederholen/ausdehnen, für jeden weiteren legt man beim "AltProvider" einfach weitere CNAMEs nach dem gleichen Schema mit Ziel _acme-challenge.beispiel.dedyn.io an. Da kann man beliebig viele drauf zeigen lassen. Oder man kann es auch für eine Wildcard Domain ausdehnen.

Das funktioniert ja ausgezeichnet und ist so einfach danke @JeGr !

Übrigens Strato arbeitet auch mit einem CNAME für seine Zertifikatausstellung...

@Tobi said in Fritz!App Fon (Handy VLAN A) zu FritzBox (VLAN B):

Damit die Telefonie eben funktionieren kann musste ich eh ein NAT zu der Fritze anlegen. Mit den stationären Telefonen funktioniert alles. Nur die Telefone wollen nicht mehr, deswegen überhaupt die Überlegung mit entsprechenden Apps auf den Hadys

Antworten

Warum sollte denn dann NAT notwendig sein, wenn die Fritz HINTER der Sense steht? Dann routet die ja alles, also muss da nichts zwangsweise geNATtet werden?

Ich verstehe das Konzept grade nicht :)

Hallo nochmal,

ich habe das Problem selbst lösen können. Es ist sehr einfach, wenn man es gefunden hat.

Die Lösung:

pfSense -> VPN -> OpenVPN -> Client Export
Dort bei "Host Name Resolution" die eigene DynDNS-Adresse eingeben
Danach auf "Save as default" klicken.
Fertig.

Ich kann jetzt über meine DynDNS-Adresse von außen OpenVPN erreichen.

@slu said in IP als "ACL" in OpenVPN / kann der Client die IP überschreiben?:

Und gleich die nächste Frage (sorry), nimmst Du da immer je eine eigene CA?

Natürlich, ansonsten wäre das leicht angreifbar, indem der Client es auf anderen Ports versucht und wenn die gleiche CA verwendet wird, kommt er - rein vom Zert - dann schonmal rein. Das will man nicht :)

@heiko3001 said in pfSense und NetCologne Glasfaser:

Man nimmt es mit Kusshand, wenn keine Glasfaser verfügbar ist.

Antworten

Wenn das in der kleinen Region so ist, dann viel Glück dass es so bleibt.
Ansonsten habe ich durch Kunden in der ganzen Republik inzwischen Horrorstories, mit denen ich ein Buch füllen könnte. Und es geht da nicht um "ein bisschen Downstream eingebrochen", sondern um UPstream, der von versprochenen 50 auf unter 2-5Mbps einbricht. Davon war/bin ich u.a. auch selbst betroffen weil Großräume wie Stuttgart und Co. einfach nicht ausgebaut werden, obwohl dir 2 Jahre lang Versprechungen gemacht werden dazu.

Daher kann ich aber jeden Verstehen, der mit dem Laden und seiner Drückerkolonne, die einem mit Vorlieben Mist am Telefon verkaufen und dafür schon mehrfach abgestraft wurden, nichts zu tun haben möchte. :/

@heiko3001

Muss v6 bei dir via V4 bezogen werden? Wenn der Anbieter sauber v6 macht, sollte der Haken unnötig sein? Stimmt die /57er Prefixe? Ich kenne einige Szenarien bei ISPs wo das nicht geklappt hat und erst ab /59 oder /60 es sauber funktionierte. Prefix Hint könnte auch sein, dass das unnötig ist.

Notfalls bei Änderungen beim v6 Interface mal neu starten, denn nicht alle Haken werden zur Laufzeit dann richtig gelöst und man meint erst, dass es nicht klappt, nach Neustart ist dann aber das Netz da.

Bei mir kommen bei VDSL bspw. mit /59 und mit no-RA Haken hinter meiner Fritte problemlos die v6 Prefixe. Beim Kunden wo direkt PPPoE aufliegt, brauchte es nur via v4 Parent und Prefix Size und die Sache saß. Das ist also gern mal völlig unterschiedlich was wo genau gebraucht wird. Ich würde auch mal mit dem DON'T WAIT toggle experimentieren und es weglassen und prüfen, das könnte auch was ausmachen.

Edit:
Ist mir gerade selbst beim Experimentieren aufgefallen. Nach Testen welche Einstellung geht, gespeichert, hatte ich kurzzeitig IP6 auf den Interfaces, dann nach knapp einer Minute weg.
System Patches der 24.11 eingespielt, wo es einen RA Patch gab und dann einmal neu gestartet, danach blieben mit gleicher Einstellung die IP6 auf dem Interface. Entweder wars der Neustart oder der Sys Patch

@gtrdriver said in Pfsense hinter Fritzbox + Auerswald Telefonanlage:

In einem Forum hatte ich auch mal einen Post gefunden wo Port Weiterleitungen vom Interface der FB zur Telefonanlage gemacht wurden - da hab ich auch schon probiert - aber ohne erfolg.

Ich hab zum testen mal alles an die Auerswald weitergeleitet aber auch ohne ERfolg.

Das klingt dann aber gefühlt SEHR nach Problem auf der Auerswald Seite. Denn wenn du schon alles transparent schaltest und es immer noch nicht geht, was kannst du dann auf der Sense noch einstellen wollen?

Wir haben das jetzt schon oft genug mit Starface und anderen Anlagen durchgespielt und es hat bislang bei so ziemlich allem funktioniert, entweder sind da noch Regeln die dir dazwischengrätschen und wir nicht sehen und deshalb nicht wissen oder es ist irgendein kurioses Problem zwischen Fritte und Auerswald, aber der Rest wird inzwischen recht unwahrscheinlich. Da kann man jetzt so mit der Foren-Glaskugel einfach wenig machen leider, da müsste man schon remote support rauf und alles durchtesten.

Cheers

@tschan Fein!

Ich denke das hier

0 root -60 - 0B 1328K CPU0 0 4:06 81.05% [kernel{if_io_tqg_0}]

aus deiner Prozessliste war ein Anhaltspunkt. CPU0 ist der CPU Master und wenn CPU0 ausgelastet ist, gibt es immer wieder Möglichkeit für Probleme, Drops oder Fallouts. CPU0 mit 81% auf IO Tag/Queue sieht mehr sehr danach aus, als wäre die alte kleine Celeron CPU da nicht mehr mit den Acks der Verbindung klar gekommen. Das aber nur ein Verdacht, das hätte man dann ggf. etwas länger beobachten müssen. Sieht aber schon danach aus. Da nutzen dann auch gute NICs nichts mehr, wenn die I/O Lanes oder Queues voll sind und die CPU nichts mehr schieben kann :)

Cheers

@Kharon said in Überlappende Netzwerke auf LAN Interfaces einrichten:

Wir werden dies aber dann so anpassen und vermutlich hier dann auch ein Class-C-Netz verwenden.

Vergesst irgendwelche alten Class-A/B/C Definitionen. Die sind heute quatsch. Class C ist heute nicht mehr der Stein der Weisen geschweige denn Class B. Ordentliche Netzplanung heißt sich mit CIDR (classless inter domain routing) also mit den /24, /22, /20 Masken auseinander zu setzen und zu verstehen. Auch heißt 10.0.0.0/x nicht automatisch Class A. Also bitte lies dir keinen steinalten Quatsch aus dem letzten Jahrhundert an ;)

Wichtig wenn du eh eine Neuplanung machst sind Punkte wie

Subnetting bzw. VLAN Separation: es ist heute mehr denn je wichtig, sein Netz in Subnetze aufzuspalten und per VLANs zu trennen, damit eben nicht alles im gleichen Netz rumgaukelt. Sei es um den Impact von Malware o.ä. zu minimieren, sei es um Rechtestrukturen und Policies ordentlich zu konfigurieren ohne jede einzelne IP besonders zu behandeln müssen, sei es wegen IPv6 Vorbereitung usw. Netze nicht kreuz und quer zu konfigurieren und nicht "weils schön/lesbarer ist" irgendwelchen Kram in der IP mit reinzukonfigurieren. Also nicht beim neuen Netz dann automatisch dann 172.16.0.0/18 nutzen, nur weils jetzt ein /18 ist. /18 klingt hart nach quatsch weil viel zu groß. Niemand braucht ein /16 oder /18 an einem Stück für sein LAN und wenn ers bräuchte wäre spätestens das die wichtigste Erkenntnis, dass man VLANs und kleinere Einzelnetze braucht! Netze sollten zusammenhängend konfiguriert sein. Dafür gibts sinnvolle Tools wie "visual subnet calculators", mit dem man bspw. einen /20er Bereich definieren kann und diesen dann in 16x /24er Netze aufteilen. Warum ist das sinnvoll? Weil man dann bspw. bei VPN Verbindungen das gesamte Netz mit allen VLANs mit einer einzigen Route greifen kann statt zig dutzend Einzelnetze aufschreiben zu müssen.

Sinnvolles Netzdesign und -architektur ersparen bei ordentlicher Vorabplanung Stunden bis TAGE an Debugging und Fehlersuche und machen an allen Ecken und Enden das Netzwerker-Leben leichter!

Cheers

@deylo said in pfSense auf Hetzner-Server, Anbindung 2x Unifi als Wireguard-VPN:

@JeGr Verzeihung, ich meinte OPNsense anstatt OpenVPN. Wäre aber auch eine Idee.
Performancetechnisch soll Wireguard aber schneller sein. Merkt man den Unterschied spürbar?
Theoretisch würde darüber dann sämtlicher Datenverkehr und ggf auch ein Netzwerkspeicher laufen.

Da ist leider viel altes Halb-Wissen immer wieder im Spiel. Da kursiert dann häufig "OpenVPN ist langsam", "das ist single Core", "das skaliert nicht" etc. etc.
Das meiste davon ist quatsch. Wie bei vielem hängt das immer auch stark von der Gegenseite ab. Wie bei IPsec bspw. auch. Wenn die Gegenseite nur alten Mist unterstützt, kann meine Seite leider auch nicht auf Geschwindigkeit kommen, die möglich wäre. Bei OVPN ist das ähnlich. Durch DCO, multiple Server und Co lässt sich da enorm viel an Geschwindigkeit und Flexibilität rausholen ohne die Seltsamkeiten, die WG oftmals aufwirft, weil es sich nicht um Interfaces schert.

In diesem Fall ist wahrscheinlich die Remote Seite nicht up2date und würde bremsen, daher ist vermutlich WG schneller, hat aber trotz der immer gelobten "so einfachen" Konfiguration genau beim korrekten Routing und Setup seine Probleme.

Im Prinzip bleibt da nur zu debuggen, welche Routen vor Ort ankommen, welche auf der Sense ankommen, ob die überhaupt gesetzt werden, bis zu welchem Punkt man pingen kann und Geräte erreicht etc. etc.

Cheers

Also zur Frage überhaupt (die Eingangs gestellt wurde)

Die Fritte braucht überhaupt nicht für irgendwas berücksichtigt werden.
Soweit ich das Setup verstanden habe läuft eh alles hinter deiner pfSense, egal was. DHCP, DNS, etc.
Wie das im Einzelnen eingestellt ist, ist ja noch ein anderer Punkt, aber die Fritze ist VOR der Sense, die Sense sieht sie als WAN/Internet Uplink und daher "extern" und lässt von der gar nichts zu. Also kann die Fritte auch keine Geräte intern erreichen oder ansprechen, einen internen DNS zu setzen würde also gar nichts bringen. Da du auch keine Geräte an der Fritte hast, braucht die DNS nur für sich selbst, also kannst du da einfach alles standard lassen, damit die das Internet ordentlich aufbaut und da die Sense exposed Host ist, musst du dich um sonst von der Fritte her um nichts kümmern.

Ob und wie dann dein Netzaufbau hinter der Sense dann für dich gut oder schlecht ist oder ob da Raum zur Verbesserung sind, steht auf anderen Blättern :) Aber die Fritte hat mit dem Rest des Netzes nichts zu tun. Ein Gerät von "vorne" (also direkt oder nah am Internet) nochmal an einen DNS dahinter zu verweisen ist eh meistens eine schlechte Idee, weil man damit oft Abhängigkeits-Loops baut, die dann einen sehr in der Praxis beißen können.

Cheers

@slu said in Internet Zugang "! RFC1918" vs. block RFC1918 any - any:

Hatte mir auch schon überlegt nur ein "dummy" VLAN Interface für das Zeug anzulegen, dann dachte ich mir wieder dann kann ich gleich das LAN Interface NTP/DNS freigeben...

Warum Dummy? Sowas nennt man auch Infrastruktur Netz ;) DNS, (externe) NTP (bspw. mit serial attach), Backup Proxy oder Monitoring Probe könnte man da gut reinstellen. Alles auf das ggf. zugegriffen werden muss. Also eingehend. Dann noch nen Management Netz aus dem nur ausgehend was gehen muss (und minimal eingehend aus nem Admin Netz oder von einigen wenigen spezifischen Clients). Und schon kann man die Netze relativ einfach generisch handhaben.