@micneu Nein. Was mir noch aufgefallen ist ist der Umstand, dass das DNS die betroffene IP revers auf den alten Hostnamen aufgelöst hat.

Nach dem Neustart des DNS war zumindest dieser Spuk verschwunden.

@altmetaller Dann sollte es mit einer Match Regel aber klappen, denn das wird im filter.log in /var/log dann entsprechend gekennzeichnet. Dort werden die Logs ja auch länger aufbewahrt als in der UI anzeigbar, da solltest du notfalls mit Logfile Größe und Anzahl erhöhen schon was finden können :)

Cheers

Vielen Dank Leute,
als Nicht-Mac-User bin ich hier fast durchgedreht als einer unserer Mitarbeiter mit seinem Mac antanzte und er die lokale Domain beim besten Willen nicht auflösen wollte! Ihr seid Großartig!

@Beerman dann kaufe dir doch eine Hardware direkt bei netgate, wie es einige von uns gemacht haben. Ich glaube das wurde hier auch schon erwähnt. Ich habe den Kauf meiner 6100er nicht bereut.

@Tobi said in Fritz!App Fon (Handy VLAN A) zu FritzBox (VLAN B):

Das ist zwar für mich ganz dünner Boden, weil ich nun mal kein "Netzwerker" bin. Woher soll die Sense denn wissen, was sie mit einem neuen/ ankommenden Paket machen soll?
Es wird doch von innen nach außen alles geroutet aber von Außen nach Innen?

Außen & Innen sind keine Dinge, die ein Gerät kennt. Es hat lediglich Routen. Jedes lokal anliegende Netz hat implizit eine Netzroute mit fast höchster Prio. Die Sense weiß also in welchen Netzen sie steht und wo sie Pakete zwischen den Netzen hin und her verteilen soll. Alles was sie NICHT weiß, schickt sie an die Default Route - dafür ist sie da :)

In der klassischen Situation:

FB <--> pfSense <==> Netz(e) intern

wie man sie oft antrifft, steht ja die Fritte als Provider Kiste vor der Sense, ergo ist der Weg dahin für die Sense immer einfach -> es geht ja eh alles raus, was nicht intern bekannt ist. Problem hat hier die Fritte, denn die hat nur die Sense als Nachbarn, sieht aber die internen Netze nicht und hat da keinen Schimmer von und da ihre Default Route raus ins Internet geht, kommt da dann ohne NAT ausgehend aus der pfSense kein Paket von innen mehr dorthin zurück - außer man setzt statische Routen in der Fritte.

Umgekehrt: Wenn die FB aber in einem internen Netz parkt, wie alle anderen auch und die Sense direkt Internet hat/macht oder es eine andere Kiste davor gibt, dann ist die Default Route der Fritte ja die Sense selbst. Alle Netze an der Sense sind dann problemlos erreichbar, weil die Pakete von/zur Fritte dann ja immer über die Sense laufen und dort die Netze alle bekannt sind. Die Fritte kennt sie zwar nicht, aber da diese auf dem Rückweg eh alles an die Sense schickt - kein Problem, denn die kann dann regeln und kennt wieder den Absender. Ergo ist hier intern hinter der Sense zwischen den Netze kein NAT nötig, die finden sich alle.

Cheers

@wschmidt

ich weiß das Thema ist alt aber der Vollständigkeit halber:

Wenn man den Gästen z.B. den Google DNS (8.8.8.8) per DHCP zuweist muss dieser im Captive Portal unter Allowed IP Addresses eingetragen werden.

@JeGr said in Lets Encrypt ACMEv2 | RFC 2136 Update | Strato:

Damit kann man die Auth via API Eintrag des TXT Records in der dedyn.io Zone lösen, während im händischen DNS Tool des Providers (Strato, 1und1 etc.) ein einfacher CNAME eingetragen wird für den Hostnamen, den man ausstellen möchte.

Das Ganze kann man dann natürlich für beliebige weitere Hostnamen wiederholen/ausdehnen, für jeden weiteren legt man beim "AltProvider" einfach weitere CNAMEs nach dem gleichen Schema mit Ziel _acme-challenge.beispiel.dedyn.io an. Da kann man beliebig viele drauf zeigen lassen. Oder man kann es auch für eine Wildcard Domain ausdehnen.

Das funktioniert ja ausgezeichnet und ist so einfach danke @JeGr !

Übrigens Strato arbeitet auch mit einem CNAME für seine Zertifikatausstellung...

Hallo nochmal,

ich habe das Problem selbst lösen können. Es ist sehr einfach, wenn man es gefunden hat.

Die Lösung:

pfSense -> VPN -> OpenVPN -> Client Export
Dort bei "Host Name Resolution" die eigene DynDNS-Adresse eingeben
Danach auf "Save as default" klicken.
Fertig.

Ich kann jetzt über meine DynDNS-Adresse von außen OpenVPN erreichen.

@slu said in IP als "ACL" in OpenVPN / kann der Client die IP überschreiben?:

Und gleich die nächste Frage (sorry), nimmst Du da immer je eine eigene CA?

Natürlich, ansonsten wäre das leicht angreifbar, indem der Client es auf anderen Ports versucht und wenn die gleiche CA verwendet wird, kommt er - rein vom Zert - dann schonmal rein. Das will man nicht :)

@heiko3001 said in pfSense und NetCologne Glasfaser:

Man nimmt es mit Kusshand, wenn keine Glasfaser verfügbar ist.

Antworten

Wenn das in der kleinen Region so ist, dann viel Glück dass es so bleibt.
Ansonsten habe ich durch Kunden in der ganzen Republik inzwischen Horrorstories, mit denen ich ein Buch füllen könnte. Und es geht da nicht um "ein bisschen Downstream eingebrochen", sondern um UPstream, der von versprochenen 50 auf unter 2-5Mbps einbricht. Davon war/bin ich u.a. auch selbst betroffen weil Großräume wie Stuttgart und Co. einfach nicht ausgebaut werden, obwohl dir 2 Jahre lang Versprechungen gemacht werden dazu.

Daher kann ich aber jeden Verstehen, der mit dem Laden und seiner Drückerkolonne, die einem mit Vorlieben Mist am Telefon verkaufen und dafür schon mehrfach abgestraft wurden, nichts zu tun haben möchte. :/

@heiko3001

Muss v6 bei dir via V4 bezogen werden? Wenn der Anbieter sauber v6 macht, sollte der Haken unnötig sein? Stimmt die /57er Prefixe? Ich kenne einige Szenarien bei ISPs wo das nicht geklappt hat und erst ab /59 oder /60 es sauber funktionierte. Prefix Hint könnte auch sein, dass das unnötig ist.

Notfalls bei Änderungen beim v6 Interface mal neu starten, denn nicht alle Haken werden zur Laufzeit dann richtig gelöst und man meint erst, dass es nicht klappt, nach Neustart ist dann aber das Netz da.

Bei mir kommen bei VDSL bspw. mit /59 und mit no-RA Haken hinter meiner Fritte problemlos die v6 Prefixe. Beim Kunden wo direkt PPPoE aufliegt, brauchte es nur via v4 Parent und Prefix Size und die Sache saß. Das ist also gern mal völlig unterschiedlich was wo genau gebraucht wird. Ich würde auch mal mit dem DON'T WAIT toggle experimentieren und es weglassen und prüfen, das könnte auch was ausmachen.

Edit:
Ist mir gerade selbst beim Experimentieren aufgefallen. Nach Testen welche Einstellung geht, gespeichert, hatte ich kurzzeitig IP6 auf den Interfaces, dann nach knapp einer Minute weg.
System Patches der 24.11 eingespielt, wo es einen RA Patch gab und dann einmal neu gestartet, danach blieben mit gleicher Einstellung die IP6 auf dem Interface. Entweder wars der Neustart oder der Sys Patch

@gtrdriver said in Pfsense hinter Fritzbox + Auerswald Telefonanlage:

In einem Forum hatte ich auch mal einen Post gefunden wo Port Weiterleitungen vom Interface der FB zur Telefonanlage gemacht wurden - da hab ich auch schon probiert - aber ohne erfolg.

Ich hab zum testen mal alles an die Auerswald weitergeleitet aber auch ohne ERfolg.

Das klingt dann aber gefühlt SEHR nach Problem auf der Auerswald Seite. Denn wenn du schon alles transparent schaltest und es immer noch nicht geht, was kannst du dann auf der Sense noch einstellen wollen?

Wir haben das jetzt schon oft genug mit Starface und anderen Anlagen durchgespielt und es hat bislang bei so ziemlich allem funktioniert, entweder sind da noch Regeln die dir dazwischengrätschen und wir nicht sehen und deshalb nicht wissen oder es ist irgendein kurioses Problem zwischen Fritte und Auerswald, aber der Rest wird inzwischen recht unwahrscheinlich. Da kann man jetzt so mit der Foren-Glaskugel einfach wenig machen leider, da müsste man schon remote support rauf und alles durchtesten.

Cheers