Weil das Paket kommt ja von LAN im IPsec an… oder denke ich zu kompliziert??

Nein du denkst etwas verquert ;)

Kurze Faktenlage:

pfSense checkt nur EINgehenden Traffic auf dem Interface auf dem er ANkommt. AUSgehender Traffic aus einem anderen Interface wird - weil das ja zusammengehört - automatisch erlaubt (pass out rule zur pass in rule) Ergo musst du immer betrachten, was du machen möchtest und aus welcher Richtung die Pakete AUF die pfSense zukommen. Kommt Traffic initial vom VPN, ist die Regel auf dem VPN Interface zu erlauben. Ist der Start dein LAN, ergo auf dem LAN Interface. Dass es von LAN nach IPSEC wandert ist irrelevant da -> siehe 2) -> pass out automatisch erfolgt. IPSec Interface Regeln beziehen sich also NUR auf initialen Traffic VOM VPN. Antwortpakete müssen nicht erlaubt werden, sie erzeugen (meisten) einen State der jede weitere zugehörige Verbindung erlaubt. Ergo keine Regel auf VPN IF erstellen nur weil man von LAN da zugreifen will -> stateful inspection regelt das.

Gruß
Jens

Hi,

indem du die Ports nicht frei gibst. Ohne eine Regel von dir sind diese Ports und alles andere auch gesperrt!

Also zunächst auf dem LAN-Interface wie peterhart schrieb, diese Ports explizit blocken und danach zb die "Erlaube alles" Regel.

Gruß
pfadmin

Ich habe das mal gemacht.
Ich denke auch das es wichtig ist. All over IP kommt immer mehr.
Diese thema hatten wir schon oft im Forum auch hier im deutschen Teil. Trotzdem wird es immer wieder gefragt.
Anpassen kann man immer noch.
Bitte nochmals drüber lesen und ggf. ändern (Wenn der Moderator das kann) ansonsten passe ich gerne nochmal an.

Super.

Ich habe es so verstanden, dass wenn ich die Limiter in einer LAN-Regel verwende, die Maske im Download-Limiter auf Destination gestellt werden soll, im Upload-Limiter auf Source.
So hatte ich es hier eingerichtet.

Bei dir scheint es aber anders zu sein.

@flix87:

Die Weboberfläche ist von jeden Interface aus erreichbar wenn die Rückrouten und Firewallregeln stimmen.
Bei Ping ist es genau so.

Ja, das Erstaunliche ist. wenn mans richtig mach, dann läuft es auch. ;-)
Der Apply Button hat durchaus seinen Sinn ….. boah ! ;-)

Das ist auch kein Flag, das in Software irgendwo gesetzt wird, sondern der Header der Platte wird entsprechend beschrieben. Statt des Bootsektors und MBRs bspw. bzw. davor/danach. Und sobald das von entsprechenden Tools erkannt wird, versuchen die das auch wieder herzustellen.

Grüße

Du hast mich da mißverstanden :)  In meiner Konfiguration handelt es sich um 2 separate Anschlüsse (1x DSL mit LTE am Hybrid-Router, 1x normales DSL mit ALLNET-Modem)

Schade. :'(

Das pfsense Projekt liegt zur Zeit hier auf Eis. Das Allnet Modem bringt es mit dem All-IP Anschluss nur auf 3,5 MBit/s, die FB 7390 von Hause aus auf 5,5 MBit/s. Und die IP-Telefonie mit der FB hinter der pfSense klappt überhaupt nicht. Wenn mehr Zeit da ist, geht es weiter.

Mike

Danke für die Info.
Da die Error's auf allen meinen APU's auftreten, scheint es nicht von entscheidender Relevanz zu sein.

Gruß
Peter

:) vielen Dank, genau das war die Einstellung. Nun funktioniert es wie ich es möchte.

@viragomann:

In deinem Fall würde ich mir aber eine zusätzliche pfSense in einer VM installieren, als Backup und mit VPN, nachdem du ohnehin schon in dem RZ virtualisierst.

Schon mal an HA gedacht? Da machen 2 pfSensen das selbe, wenn der Master down ist, übernimmt die Backup-FW alle Aufgaben.

Grüße

Vor Ort haben wir 2 pfSense in HA, im Rechenzentrum allerdings nicht. Dort ist die eine per Spiegelung gesichert aber es gibt keine als "Backup". Ich glaube das ist die beste Lösung, einfach dort noch eine 2. direkt mit HA zu erstellen…

Danke und Viele Grüße

Danke. Die funktion habe ich auch wntdeckt. Ist jedoch nutzlos.  :o

Stimmt, habs nochmal probiert selber Ausdruck, weiss nicht worum. Interessanterweise zeigt er bei Aufruf eines PC im Servernetzwerk das Interface des Tunnes auf der Serverseite an.

Bild 006

Spaßeshalber habe ich das MikrotikWebinterface mal über die OpenVPN-IP-Adresse auf der Clientseite aufgerufen, und siehe da es funktioniert. Ich gehe mal davon aus, das ich gabe noch irgendwo ein Übersetzungsproblem der Adresse. Ich weis jetzt nur nicht wo.

Von der Clientseite funktioniert alles.
Von der Serverseite kann ich scheinbar nur Tunneladressen auf der Clientseite erreichen.

Bild_006.JPG
Bild_006.JPG_thumb

Habe die Intel Pro 1000 PT in meinem HP Gen8 im Einsatz.
Keinerlei Schwierigkeiten bei VPN etc., alles super.

Ist ja auch eine sehr gebräuchliche Karte, wenn auch schon ein wenig in die Jahre gekommen.

Hallo Marcell,

meines Erachtens nach sollte an Hardware alles, was in der Größenordnung C2558/C2758 herumspukt problemlos mit 200Mbps - und später auch mit 1Gbps - klar kommen. Sofern du das Gigabit nicht verschlüsselt mit OpenVPN abbilden musst (wobei das bis nächstes Jahr dann ggf. kein Problem mehr ist), sehe ich da kein Problem. Wie der kleine Atom mit 2 Kernen skaliert kann ich da leider nicht sagen, die Geräte mit 4-Kerner (C2558) die wir bei Kunden im Einsatz haben, verhalten sich da aber richtig super.
Appliances, die das abdecken gehen bei Netto) ~600€ los - die offizielle pfSense Hardware wäre da die SG-4860, die bei ca. 699€ anfängt.

Grüße

Hallo,

klar könnte es ein Sicherheitsgewinn sein, das WLAN vom LAN zu trennen.
Ganz vereint sind die Netze ja auch nicht, wenn sie auf der pfSense gebrückt sind.

Du kannst immer noch auf jedem Interface getrennte Firewall-Regeln erstellen. Dazu müssen die beiden Parameter in System > Advanced > System Tunables "net.link.bridge.pfil_member" (1) und "net.link.bridge.pfil_bridge" (0) die entsprechenden Werte habe. Meines Wissens ist das jetzt standardmäßig so gesetzt, dass man die Filterregeln auf dem Interface setzen kann, war früher anders.

Dann kannst du am WLAN Interface eine Regel wie die o.g. anlegen, nur eben als Quelle und Ziel das neue Netz (dasselbe) eintragen. Für Multicasts kannst du eine Regel erstellen, die das IGMP-Protokoll erlaubt, das dürfte aber ohnehin nur LAN-seitig nötig sein, wo vermutlich eh alles erlaubt ist. Und darunter eine Regel, die Zugriff auf LAN blockt. Dann noch eine, die den Traffic ins Internet erlaubt.

Grüße

Ja, das sind erfolglose und unberechtigte Zugriffe auf einen meiner ssh Server (Port Forward vom Port 443 auf Port 22). Und es sind leider öfters fehlende Einträge zu verzeichnen. Unvollständige Log's sind weniger schön.

Gruß
Peter

Eine NAT Rule brauchst Du nicht, der Loadbalancer / Reverseproxy nimmt den Traffic ja aussen an und reicht ihn nach innen weiter.