Danke fürs aktualisieren, aber das ist sehr schön zu hören :)

@Tesla:

WAN auf ein /25 (.1-.126) Netz, VLAN Kinder auf ein /26 (.193-254) Netz, Outbound NAT auf 192.168.138.192/26, DHCP VLAN Kinder auf .201-.250, IF VLAN Kinder auf .200 !

So hatte ich das allerdings gar nicht gesagt/gemeint. Meine Aussage war/ist: Wenn die pfSense hinter der Fritzbox NAT macht, erscheint sie beim ersten Kontakt der pfSense bzw. eines Clients dahinter in den Einstellungen der Fritzbox. Legt man jetzt für ein paar Adressen intern ein 1:1 NAT der pfSense ins FB Netz an (OHNE das FB Netz /24 zu verändern), dann erscheint die pfSense plötzlich "mehrfach" weil die FB Traffic von verschiedenen IPs von der pfSense bekommt. Einmal bspw. als .2 wenn das ihre IP ist und dann noch als .200 bspw. wenn man das als 1:1 NAT für eine Test IP genutzt hat. Da der Eintrag in der Fritte jetzt erscheint/aufgetaucht ist, kann man den dann auch entsprechend zuordnen, dass man auf der IP irgendwelche Filter/Kindersicherungen aktivieren will.

Das war gemeint - ganz ohne Bridge :) Die Unterscheidung erfolgt lediglich anhand der anderen NAT IP. Normaler Traffic geht über die default NAT IP raus, bestimmte Geräte werden 1:1 auf andere IPs geNATtet und damit anders behandelt. Das könnten theoretisch auch mehrere Clients sein, die man abgehend auf eine andere IP mappt und damit dann bspw. mit dem Kinderfilter bespaßt.

@Satras: Natürlich, das "Können" war gar nicht in Abrede gestellt. Nur die Konfiguration wird entsprechend (vllt. unnötig) komplex, vor allem wenn man anfängt dann einzelne Hosts auf einzelne Leitungen zu drapieren denn abgehendes LoadBalancing bei Servern könnte sehr häßlich werden. Zudem kommen die einzelnen WANs ja mit eingenen externen IPs und können nicht mit einer Public IP über alle 6 Leitungen dienen, womit das ganze Konstrukt nochmals komplexer wird. Und bei 100+ Servern über 6 Adern mit IPs zu jonglieren ist schon abenteuerlich. Bei der Anzahl Servern sind wir eigentlich schon im (semi)pro Bereich und reden eigentlich schon von Serverraum oder kleinen RZ Strukturen ;) Und da klingt eben 6 WANs ein wenig schräg, aber vielleicht bekommen wir da ja noch ein wenig mehr Hintergrund :)

Ah sehr schön, da bin ich gespannt.

Nicht? ;) Bei mir schon :D Aber ich muss es auch testen ;)

also nochmals danke. bin jetzt auf openvpn umgestiegen. damit funktioniert jetzt auch wieder dns auf ios geräten.

Offen gestanden kann ich auch nur raten. In Deinem Trace sind tatsächlich sehr große Frames. Das geht nur, wenn alle Komponenten mitmachen, also insb. alle (virtuellen) Netzwerkadapter. Ich kenne mich mit Hyper-V aber auch nicht aus.

Von so großen Frames habe ich auch noch nie gehört, aber TCP erlaubt m.W. ein theoretisches Maximum von 64K.

Moin,

hab es mit dem pfsense-user-xml-generator in XAMPP hinbekommen. Ausgabe sieht dann so aus:

[font][size] <user><scope>user</scope> <password>$1$M4MeQe5P$9GGNOC2f2pUoH0lDGt2IO/</password> <md5-hash>79f26294a2f86770e1381a08ad390b90</md5-hash> <nt-hash>3031326363663366333730663639633162363532393736303432373739373165</nt-hash> <name>gast1</name> <expires><authorizedkeys><ipsecpsk><uid>2002</uid></ipsecpsk></authorizedkeys></expires></user> <user><scope>user</scope> <password>$1$ZsMysqFh$W1NkZ1ZG7g0ruy20GdL3R/</password> <md5-hash>7dfcd58351a03cb764920ed16da14cc8</md5-hash> <nt-hash>3432646462366335633130666266333334643363366165376633623932313330</nt-hash> <name>gast2</name> <expires><authorizedkeys><ipsecpsk><uid>2003</uid></ipsecpsk></authorizedkeys></expires></user> [/size][/font]

Kann dann in das Backup eingefügt werden, bis auf das Passwort, bzw den <bcrypt-hash></bcrypt-hash>und das scheint ja das PW zu sein, dass im Usermanager bei der Eingabe des Users generiert wird.

Also werde ich wohl jedes einzelne Passwort der User in BCrypt umwandeln müssen, oder hat jemand noch eine Idee?
Leider ist das Tool wohl nicht angepasst worden.  :-\

Hallo JeGr,

upnp-natpnp ist bei mir aktiv, exclusiv für die IP der PS4. Da ich mangels hinreichenden Kenntnissen zu den Konfigurationsmöglichkeiten nicht einschätzen kann,  welche Auswirkungen die von mir vogenommenen Einstellungen auf die Sicherheit der pfSense bzw. des Netzwerks haben, frage ich nach.

Gibt es außer dem von heise.de angebotenen

https://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1

Gibts es weitere Test, die auf offene Ports etc. prüfen? Bzw. wie kann die Sicherheit der pfSense-Konfiguration geprüft werden (Stresstest)? Wie geht man dabei vor?

Grüsse

Ralf

wenn es ausserdem "nur" um einen teamspeak server geht, würde ich dir empfehlen, nur die teamspeak-ports per port forward freizugeben. das ist sicherer, als sich zb auf eine windows-firewall zu verlassen.

Der Satz alleine ist so ja nicht richtig. Zum NAT gehört immer eine Firewall Regel. 1:1 NATs erstellen deshalb absichtlich KEINE Regel automatisch, sondern man muss händisch eine erstellen - und diese kann wiederum nur TS3 Traffic erlauben, trotzdem ist dann der Host/Server 1:1 verbunden und mann muss nicht umständlich Port Forwards & Outbound NAT separat erstellen, damit der Host nach draußen auch mit der richtigen IP seine Verbindung aufbaut (sofern das relevant ist). Das ist durchaus nicht unwichtig :)

Gruß

@krischeu:

Hi,
wo hast du denn das genau im IIS eingestellt?

Hi,
ich habe die Einstellung im Internetinformationsdienste(IIS)-Manager gefunden.
Dort auf deine Site und die Kachel FTP-Firewallunterstützung anklicken, da kann man die Portrange einstellen. Wichtig ist, dass du den Dienst dann neu startest, sonst wird sie nicht übernommen, zumindest war das bei mir so.

Hallo Heinz,

Reicht dann 1025 –> 5000 ??

Warum denn 5000? Und warum 1025? Mit >1024 sind ALLE Ports ab 1024 gemeint. Also 1024-65535.
FTP Läuft auf Control Port 21 und Data Port 20. Du hast anscheinend mit einem umkonfigurierten Control Port (auf 12365) zu tun? Ist der Data Port dann auch umkonfiguriert worden? (und warum überhaupt)

Server01 soll nicht in das Internet in der Zeit von 8:00 - ... Uhr (ist nur ein Linux-Fileserver)

Ah und Server01 steht im internen Netz? Deshalb meine Verwirrung :)

Das Gateway Telekom ist ein DSL-Modem der Telekom

Aber steht das im internen Netz? Ansonsten wäre das als Source an der Stelle völlig unklar?

Diese Überzeugungsarbeit mute ich mir bei einem großen schwäbischen Autohersteller nicht zu.

Gut, das kann ich mir vorstellen, allerdings müssen auch die Jungs da ordentliche Richtlinien haben ;) Aber wer weß :D

Gern und Gruß

Das war ein Rechtschreibfehler. Natürlich meinte ich 192.168.1.102  8)

Klappte jetzt mit dem Eintrag der WAN Adresse.

thanks

Der Anschluss selber kostet auch nur 65 CHF im Monat und das ist für die Geschwindigkeit sehr günstig und Preis/Leistungsmässig das beste was man in der Schweiz bekommen kann.

Ach seufz, die Schweiz - an der Stelle wirklich ein Schlaraffenland :)
Und Cablecom ist mir auch schon negativ zu Ohren gekommen von Schweizer Kunden - scheint ja wirklich nicht gerade ein guter Anbieter zu sein.

Weder die Installationsroutine noch die fertige Installation wollen automatisch booten.

Von welcher Version reden wir da? Die neue 2.4? Schon mit der älteren 2.3er probiert?`Wenn die geht, hast du eines der typischen UEFI Problemchen.

Ein wenig stören die 40 Watt schon.

Dann würde ich entweder (minimum) eine APU2 oder die größere NCA-1020 nehmen. Kostet mehr, kann aber auch mehr. Und wenn ich nicht ganz schief liege, war die 1010 und 1020 mit <10W Dauerleistung angegeben, dann hättest du deine 40 Watt abgespeckt :)
Bei APU2 bist du aber - um grobe Hausnummern zu sagen - mit ~200€ dabei, bei einer NCA-1020 bist du dann auch bei ~450€. Beide brauchen dafür wenig Strom und haben trotzdem noch Power um einige Pakete zusätzlich zu bedienen. Aber wie ich an anderer Stelle schon gesagt hatte, wenn man die vollen Gigabit bspw. verschlüsseln ;) oder mit einem IDS durchkontrollieren will, wirds mit jeder kleinpreisigen Hardware eng ;) Aber für Routing, normales Paketfiltern und vielleicht noch ein wenig Magie via pfBlockerNG und Co. haben die mehr als genug Reserven. :)

Grüße

@pc-dok:

sagen wir mal so, wenn ich bei Azure eine zusätzliche Local Network Gateway mit dem Range 192.168.100.0/24

Zu Azure kann ich nichts sagen, ich kenne es nicht so weit.
Doch "Local Network" klingt für mich nicht logisch, wenn dieses Netz an der anderen Seite liegt, also Remote.

Sollte bei Azure nur ein Tunnel möglich sein, kannst du ja auch diesen einen so konfigurieren, dass er alle benötigen Remote-Netze mit einschließt, bspw. 192.168.0.0/17. Solange da keine weiteren Verbindung aufgebaut werden, stört das ja nicht. Oder du legst den OpenVPN-Tunnel näher zu deinem Heimnetz und kannst dann den IPSec-Tunnel enger machen.
Wichtig ist, dass die Einstellungen immer an beiden Seiten des Tunnels gegengleich sind.

@JeGr:

Ein anderer Punkt ist der, dass du mit unterschiedlichen IPs unterwegs bist. Wechselst du die Verbindung zwischen WAN1 und 2 ändert sich auch deine externe IP. Das mögen bspw. Shops mit Sessions gar nicht. Da kann es dann schonmal sein, dass plötzlich der Warenkorb leer ist oder man sich neu einloggen soll, weil man plötzlich von einer anderen IP kommt. Darum muss man hier abwägen, was man erreichen möchte und sich dann eine Weg suchen, das optimal umzusetzen.

An der Stelle kann man den Punkt Use sticky connections unter System => Misc => Load Balancing nutzen. Solange ein State aktiv ist, wird die Verbindung immer über dasselbe Gateway aufgebaut.

ok habe etwas rumprobiert und es nicht hinbekommen. Weiß auch nicht ob ich es mit der Bridge richtig Verstanden habe. Reicht pfsense dann die daten einfach weiter?  Den ich müßte den Wanport praktisch brücken und die Fritzbox den Vlan Tag für die Internettelefonie senden lassen. Dann meldet sie sich auch an

Also Wan nic und den VoiP Nic in eine Bridge packen und es läuft? Oder muß ich noch was beachten.

Sorry bin noch recht neu in der Materie ^^

Hi,

was hast Du denn auf der pfSense alles laufen, wenn viele Verbindungen schon zu solchen Phänomenen führen? (Was sind bei euch viele Verbindungen?)
Ist tatsächlich die CPU-Auslastung am Anschlag? Oder liegt es eher an der Anzahl der States?

Wenn man die Anzahl der HTTP/HTTPS-Verbindungen verringern will, könntest du auch über einen Proxy (z.B. Squid) nachdenken. Das könnte aber auch an der möglichen CPU-Auslastung scheitern.

Ansonsten wären ein paar mehr Infos zur Hardware (vor allem CPU und Netzwerkkarte/Chip) und pfSense-Konfig sinnvoll, vielleicht fehlt bei Dir nur ein hardwarespezifischer Eintrag in der loader.conf.local.

MfG
Birke

Danke für alle Antworten!

Das Kastl ist mittlerweile auf dem Versandweg zu uns…

Luggi