Moin,

Hier ist ein Beschreibung, zwar keine offizielle Quelle aber mach einen vernünftigen Eindruck  https://www.cpug.org/forums/showthread.php/18672-Check-Point-1100-Appliance-FAQ Demnach ist die CPU eine ARM926EJ-S rev 1

A: The sizing recommendation is based on number of users.
A: 1120 Appliance -> Up to 10 Users, 28 SPU (SecurePower Units)
A: 1140 Appliance -> Up to 25 Users, 34 SPU (SecurePower Units)
A: 1180 Appliance -> Up to 50 Users, 37 SPU (SecurePower Units)

;D SPU, was ein Schmarrn

-teddy

Kann mir mal einer sagen wie sich diese Konfigurationsart nennt damit ich mir entsprechende Guides anschauen kann? Gibt es da schon was ich mir anschauen kann?

Wie Virago sagt, OpenVPN Site2Site machen und die Seite B hinter der FB spielt Client. Für den Zweck dass du Site2Site dann auch noch routen willst, wäre es auch sinnvoller OVPN via Preshared Key zu machen, ansonsten hat auch da Virago recht, dass man sonst gern SSL-based spricht. In dem Fall aber würde ich PSK vorziehen. Auf der Client Seite müsste es sogar ein Setting geben, um das Default GW auf den Tunnel zu legen, dann muss das remote Netz nicht mit 0.0.0.0 angegeben werden, da bin ich aber gerade da unterwegs gerade unschlüssig.

Gruß

Das würde sich aber dann beim WLAN beißen. (Unterscheidung "Intern" und Gast-WLAN)

Warum? Beides sind für mich unterschiedliche VLANs demzufolge dann auch unterschiedliche IP Ranges. Damit ist es auch möglich, WiFi-LAN im Wunschfall ggf. zu Bridgen oder ordentlich zu routen und auf den WiFi-Guest Interface dann bspw. ein Portal o.ä. aufzuziehen wenn gewünscht.

Die VLAN IDs und IP Ranges waren jetzt nur Demo, aber ich würde das eben über das dritte IP Segment codieren und dann einheitlich machen, dann hat man es im Debugging Fall auch leichter.

Ich hatte nicht vor, die Konfig zu übernehmen, sondern parallel neue Hardware beschaffen und neue Konfig aufbauen, ohne Import der alten.

Guter Plan! Hört sich solide an. Jetzt nur noch runterbrechen in kleinere Häppchen wie Hardware beschaffen, Testaufbau, etc. und loslegen :)

@jenszahner:

Nur jetzt stellt sich die "doofe" Frage, wo muss ich das Ding "eintragen", so das es beim Neustart auch hochkommt und idealerweise auch Updates von PfSense überlebt.

Schau dir einfach mal die Packages genauer an, da ist was passendes dabei.

Hallo zusammen,

es funktioniert. Mein Fehler war in der Phase zwei hatte ich fälschlicheweise das Netz der anderen Seite eingetragen. Habe es auf 0.0.0.0/0 korrigiert und nun funktiniert es.

Danke!

@Kurzschluss:

Erlaubst du auf deinem HIDEME-Interface denn DNS-Traffic (UDP/53) zu den genannten Zielen?

Sagen wir es so, sie wurden nicht geblockt. HIDEME nutzt etliche, dtag.de, google.com, etc…. nur nicht die eingetragenen.

Wunderbar, funktioniert!
Vielen Dank an euch für die Hilfe!

Aber nicht nur die Features (die sind echt Top für das Geld, keine Frage), auch die allgemeine Stabilität ist einfach toll - davon können die FritzBoxen nur träumen. Einmal eingerichtet, kann man das Ding auch schon mal vergessen werden.

Früher wurde ich ständig damit genervt, dass die WLAN-Verbindung so instabil sei, irgendwelche Aussetzer hat oder gelegentlich damit konfrontiert, dass absolut keine Verbindung aufgebaut werden konnte. In diesem Zusammenhang musste ich gezwungenermaßen auch hin und wieder die FB neustarten.
Seit dem Umstieg auf Unifi habe ich wirklich meine Ruhe, es beschwert sich keiner und auch ich selbst merke, dass alles viel geschmeidiger läuft.

Was wäre die beste Lösung ?

Dual Stack auf der Glasfaser ;) Leider wohl nicht möglich. Ansonsten wird es wenig Möglichkeiten geben, die VPN Variante ist da noch ein geringes Übel (weil natürlich auch Performance Verlust via Tunnel auftreten kann). Nichts desto trotz ist es eine Möglichkeit. Man sollte nur vorher prüfen, wo man den mietet, es gibt da durchaus die ein oder anderen Einbußen. Bspw. Hetzner hat eine nicht ganz so schöne Anbindung an das Telekom Backbone (gibt eine extra Payment Option um das zu verbessern) und wird von Netflix und Co geblockt. Anderen größeren Hostern könnte das ggf. ebenso gehen. Man sollte also abwägen, worüber man dann die Verbindung tunnelt oder ob man solchen Traffic dann ggf. über UM oder Telekom direkt rausroutet.

Grüße

ich habe das Problem, dass bei einer PFSense durch ein Update das built-in FTP Proxy Modul fehlt und ich ohne diese Funktion kein passives FTP mehr auf die Beine bekomme.

Das interne Modul ist jetzt als Proxy Package enthalten. Musst du aber selbst installieren (System / Packages)

Ansonsten braucht es m.W. lediglich eine ausgehende Regel mit Allow auf Port 21. Der Proxy selbst sollte transparent funktionieren und damit dann auch aktives FTP funktionieren. Passiv bräuchte ja theoretisch keinen Proxy, da es eh alles abgehend ist und wenn dein Regelset von innen nach außen nicht stark filtert, sollte das OK sein.

Hallo,

da ist noch ein Spam GW auf der gleichen  LAN IP.  Und die ganzen Smartphones von extern auf anderen Ports.
Ich glaube da bekomme ich mit 1:1 Nat Probleme.

Ich hab das jetzt mal versucht mit Outbound NAT und /32 und es passt !

Vielen Dank!

mfG

Ansonsten steht dir unter "Packages" ein stunnel Paket zur Verfügung, dass dann auch recht selbsterklärend sein sollte und seine Zertifikate über den normalen Weg (Cert Manager) wählen kann.

Grüße

Ich vermute schon, Grimson.

Und warum schaust du nicht in der Oberfläche nach, was du konfiguriert hast :)

die Sense schreibt ja nicht aus Spaß an der Freude sowas in die Konfiguration, also würde ich mal in die Phase 2 Einträge reinsehen, was du da konfiguriert hast. Da du sonst leider genau Null Infos postest, ist alles andere pure Spekulation und Kaffeesatz-Leserei…

...gutes Stichwort! Ich hol mir mal einen. Vielleicht klappts dann mit der Glaskugel besser :D

Die Einträge im Log sehen nach ganz normalen Web Traffic aus. Ich mutmaße einfach mal, dass wir hier eher wieder den alten Fall mit out of order oder deceased state traffic haben:

https://doc.pfsense.org/index.php/Why_do_my_logs_show_%22blocked%22_for_traffic_from_a_legitimate_connection
https://forum.pfsense.org/index.php?topic=39960.0

Da ich dein Regelset auf HOME nicht kenne, könnte es auch von der Loadbalancing Gateway Funktion her rühren, dass hier noch Verbindungsdaten über GW1 rausgehen obwohl schon GW2 am Zug wäre oder umgekehrt. Prinzipiell wie es im Dok steht ist das aber "Rauschen" und meist kein wirkliches Problem, dass eine Verbindung geblockt wurde, sondern nur, dass ggf. ein FIN oder Paket den falschen Weg nahm oder zu spät ankam.

Gruß

Wie ich es mir gedacht habe.
Ich habe die feste IP Adresse als IP der PFsense richtung Fritzbox eingestellt und ebenfalls das Gateway aus den Unterlagen. Ein Neustart der PFsense und schwups hab ich Internet.

Vielen Dank für eure Infos und Hilfe.

Grüße

@renegade:

Hast du den Traffic Shaper aktiviert?
Dann Werte aktualisieren oder ggf. den Wizard erneut durchlaufen.

Ahhh!! Ihr seid genial! Traffic Shaper wars!

Ausgeschalten, volle Leistung :)

Sollte man sowas evtl pinnen?

Anyway, many thanks!

Ceo

Hallo,

Danke für deine schnelle Antwort. Werde ich gleich mal probieren.

Gruß
Chris

Guten Tag,

kurzes Feedback: Es funktioniert seit dem Wochenende, juhu! Leider hatte ich noch keine Gelegenheit zu antworten - Es waren sehr stressige Tage.

Problem war, dass ich unter NAT noch ein 1:1 Mapping mit der IPv6 aktiv hatte. Das hatte für Fehler bei der Firewall gesorgt, weil die public IPs mit den lokalen IPs übersetzt wurden (Zumindest was ich in den logs gesehen habe). Da aber keine VM mehr die lokale IP hatte und die Firewall Regel auf die öffentliche Adresse ausgelegt war, ist nie etwas angekommen. Der traceroute6 ist beim Gateway des anbieters dann abgebrochen.

Naja, nach dem löschen der NAT 1:1 regel hatte dann alles funktioniert. Jetzt mache ich nach und nach die Server mit IPv6 ready.

Ich danke euch beiden nochmal! Großartige Arbeit. :)