Bin dabei.

Ja genau, 5060.

Bin auch gerne mal bereit sowas im TS durchzusprechen wenn wer Interesse hat.

Deshalb denke ich macht es bei festen IP Adressen keinen Sinn, DHCP einzustellen.

Doch genau deshalb ;) Hast dus schon versucht auf DHCP zu stellen? Wir hatte das bei einem anderen Kunden ebenfalls mit Business Anschluß auch, dort hat DHCP problemlos funktioniert!

Grüße

Wenn deine Fritz als Router arbeiten soll, müssen die IP Netze auf WAN und LAN Seite verschieden sein, deine sind gleich! Das wird so nie funktionieren.

Die Regeln werden nicht MIT angelegt, es sind DIE Regeln.

OpenVPN ist nicht einfacher, sondern viel sicherer. Als Fileserver ist das so sicher machbar, aus Sicherheitssicht eine Katastrophe. Aber das mußt du selbst einschätzen.
Ftp ist schwierig zu handhaben, da hier mehrere Ports und auch noch aktiv/passiv mitspielen. Lass das lieber von außen!


Hehe, okay dann glaube ich dir mal als Erfahrener hier im Forum.  ;D ;D

Okay dann mache ich das mal  ;)

Gruß
Daniel

@TomNick:

…hoffentlich nicht so viel Regen wie im Norden...

Ich gelte noch nicht ganz als Muschelschubser aber weit entfernt davon bin ich auch nicht.  :D
Würde ich nicht drinnen arbeiten, dann wäre es schon ganz angenehm.

Temperatur für das Gigabyte liegt bei normaler (meist geringer Last) bei 45-55 grad. Zumindest in meinen Gehäusen, die hoch genug sind für eine Full-size Erweiterungskarte sowie einen  sehr leisen und langsamen 80er Lüfter an der Front besitzen.

Das gilt für die J1900 sowie N3150.

Das N3050 habe ich in einem rein passiven sehr kleinen ITX Gehäuse wobei dieser auch gerne Richtung 60 Grad geht ohne besondere Last. Allerdings ist laut Intel zumindest für die Prozessoren noch viel Luft nach oben.

Generell langweilen sich die Prozessoren bei 5-15 Klienten mit aktivierten Squidy, ClamAV und 2 Snort Instanzen.

Vielen Dank an alle, konnte das Problem mit Filterregeln lösen….

Hi,

WAN Details bekommst du bei Unitymedia m.W. egal ob Privat oder Business immer per DHCP, deshalb wollen die bei Business Tarifen im Normalfall auch die MAC Adresse des Geräts/Interfaces, das die Verbindung via Bridging Mode aufbaut. Die IP fix zu konfigurieren führt m.W. immer wieder zu Problemen, wenn UM mal die Konfiguration intern mal wieder ändert und man dann suchen kann, warum man plötzlich kein Internet mehr hat.

Gruß

Samba sollte sich an der Stelle genauso via LDAP einbinden lassen wie ein MS AD ebenso. Ein Beispiel dass es funktionieren sollte, ist hier gegeben:

https://oitibs.com/pfsense-samba4-authentication/

Grüße

Hi matzelorenz,

genau die OPT1 war es. Habe Regeln erstellt und schwup ging es….

Vielen Dank für den Hint....

Dankeschön! Es funktioniert wieder :)
Gruß Marius

Nachdem ich nun die Modems geupdatet habe auf die aktuellste Firmware und überall mehrere Neutarts durchführt habe scheint die Verbindung stabiler zu laufen. Wie lange muss sich noch zeigen.

Allerdings habe ich immer noch folgendes im Log der FW1 recht häufig:

Jul 8 14:41:29 charon 04[ENC] <con2|1>parsed INFORMATIONAL request 73 [ ]
Jul 8 14:41:29 charon 04[NET] <con2|1>received packet: from 46.182.150.187[4500] to 10.10.1.1[4500] (96 bytes)
Jul 8 14:41:25 charon 16[KNL] <con2|1>unable to query SAD entry with SPI c64d75c7: No such file or directory (2)
Jul 8 14:41:25 charon 16[KNL] <con2|1>unable to query SAD entry with SPI c89f5115: No such file or directory (2)
Jul 8 14:41:19 charon 08[KNL] <con2|1>unable to query SAD entry with SPI c64d75c7: No such file or directory (2)
Jul 8 14:41:19 charon 08[KNL] <con2|1>unable to query SAD entry with SPI c89f5115: No such file or directory (2)</con2|1></con2|1></con2|1></con2|1>
Jul 8 14:41:19 charon 08[NET] <con2|1>sending packet: from 10.10.1.1[4500] to 46.182.150.187[4500] (96 bytes)
Jul 8 14:41:19 charon 08[ENC] <con2|1>generating INFORMATIONAL response 72 [ ]
Jul 8 14:41:19 charon 08[ENC] <con2|1>parsed INFORMATIONAL request 72 [ ]
Jul 8 14:41:19 charon 08[NET] <con2|1>received packet: from 46.182.150.187[4500] to 10.10.1.1[4500] (96 bytes)</con2|1></con2|1></con2|1></con2|1></con2|1></con2|1>

Was ist das? Irgendwie finde ich dazu nicht wirklich etwas…

EDIT:
zwischendurch habe ich mal wieder 2-3 Request Timeout. Dann ist wieder alles ok. Zu der Zeit passiert in den Logs gar nichts bis auf:

FW1:

Time Process PID Message
Jul 8 14:48:14 charon 08[NET] <con2|1>sending packet: from 10.10.1.1[4500] to 46.182.150.187[4500] (96 bytes)
Jul 8 14:48:14 charon 08[ENC] <con2|1>generating INFORMATIONAL response 113 [ ]
Jul 8 14:48:14 charon 08[ENC] <con2|1>parsed INFORMATIONAL request 113 [ ]</con2|1></con2|1></con2|1>

FW-Extern:

Jul 8 14:48:23 charon: 05[ENC] <con1|88>parsed INFORMATIONAL response 114 [ ]
Jul 8 14:48:23 charon: 05[NET] <con1|88>received packet: from 87.128.103.38[4500] to 46.182.150.187[4500] (96 bytes)
Jul 8 14:48:23 charon: 11[NET] <con1|88>sending packet: from 46.182.150.187[4500] to 87.128.103.38[4500] (96 bytes)
Jul 8 14:48:23 charon: 11[ENC] <con1|88>generating INFORMATIONAL request 114 [ ]
Jul 8 14:48:23 charon: 11[IKE] <con1|88>sending DPD request
Jul 8 14:48:13 charon: 11[ENC] <con1|88>parsed INFORMATIONAL response 113 [ ]</con1|88></con1|88></con1|88></con1|88></con1|88></con1|88>

Super! Vielen dank für deine Bestätigung.  8)

Ah i see,

also steht zwar als DNS das interface vom VLAN drinnen aber im endeffekt nimmt er die DNS Server die unter General Setup eingetragen sind, richtig?

So .. das läuft jetzt …

Auf der vorgelagerten PFsense ist das so:

IPv4 hat eine feste IP vom Provider. Es gibt ein GIF-IF wo ich das /64-Netz eingetragen habe, was mich mit dem Tunnelprovider verbindet (Tunnel-Subnet) Ein neues IPv6-IF unter "interface assignment" wird mit dem GIF verbunden Bei dem LAN-IF wird als statische IPv6 die erste Adresse des gerouteten /64-Subnetzes des Tunnelproviders eingetragen Ein Gateway wird angelegt auf dem IPv6-IF, was oben erwähnt wurde. Das muss ein DefaultGW sein. Das /48-subnetz des Tunnels wird als statische Route angelegt und weist auf die vIP des CARP-Clusters hin. in der Firewall muss man das /48-Subnetz auf dem LAN erlauben any/any

Auf dem CARP-Cluster:

Auf jedem Member muss auf dem entsprechenden WAN-IF, an das der vorgelagerte Router liefern soll, eine statische IPv6 aus dem gerouteten IPv6 angelegt werden Man braucht eine vIP für dieses WAN IF welche das Ziel der Route von der vorgelagerten Sense ist für das LAN muss man auf den echten IF je eine IPv6 aus einem /64-Subnetz (aus dem Bereich des gerouteten /48-Subnetzes) festlegen. Man hat 65536 solche /64-Subnetze ... also reicht erst mal ein paar Tage :D Man braucht eine vIP für dieses LAN IF Für das LAN-IF muss man unter DHCPv6-Router Advertisements den "unmanaged" modus aktivieren und als RA Interface die vIP des IPv6-LAN angeben.

Wenn ich nix vergessen habe, wars das ... aber ich bin auch nur mit viel Hilfe an den Punkt gekommen...
Die Clients bekommen dann per SLaC eine private und öffentliche IPv6 (nicht per DHCP) ... Also abhängig von der MAC. Die Private ist dabei immer gleich.

Wenn man einen Server von außen unter einer IPv6 erreiche will, muss man noch in der Firwall ankommende Regeln anlegen. NAT ist ja nicht erfoderlich, da wir für alle Zeiten ausreichen feste IPv6 Adressen haben, für jeden Staubflusen hier im Office.

Danke dir war wirklich nur der Default Gateway :o
Aber nein die pfSense läuft auch nur als VM. Und ist an zwei vSwithes angeschlossen. Einer WAN der andere LAN, jeder mit eigener Netzwerkkarte. Das Management interface ist wie alle anderen Services und echten Rechner an den LAN seitigen vSwitch angeschlossen.
Grüße Chris

ja, man kann das Squid Paket installieren und dort den transparent Proxy aktivieren.
Dann kann man mit einem zweiten Paket "Lightsquid" interaktiv die aufgerufenen Seiten analysieren, bzw. die Daten herunterladen und eigene Auswertungen daraus generieren.

Nein, die FB ist für den VoIP Client  der Server
Die pfSense ist zwischen Client und Fritzbox

Das ist was er gepostet hat:
1. Ich versuche mich im lokalen Netzwerk mit einem VoIP-Client über SIP auf einer FritzBox anzumelden
2. Diagramm: VoIP Client <-> pfSense <-> FritzBox <-> Internet

Es gibt in dieser Konfiguration keinerlei Grund anzunehmen, dass die Fritzbox zur Telekom irgendwelche RTP Problem haben könnte.