Guten Morgen, die Tipps haben das Problem leider nicht gelöst….. Anbei das Log der Site-B: Mar 7 07:53:08 charon: 07[KNL] creating acquire job for policy WAN-IP-SITE-B/32|/0 === WAN-IP-SITE-A/32|/0 with reqid {1} Mar 7 07:53:08 charon: 06[CFG] ignoring acquire, connection attempt pending Mar 7 07:53:13 charon: 06[KNL] creating acquire job for policy WAN-IP-SITE-B/32|/0 === WAN-IP-SITE-A/32|/0 with reqid {1} Mar 7 07:53:13 charon: 07[CFG] ignoring acquire, connection attempt pending Mar 7 07:53:15 charon: 07[IKE] <con1|99> giving up after 5 retransmits Mar 7 07:53:15 charon: 07[IKE] giving up after 5 retransmits Mar 7 07:53:15 charon: 07[IKE] <con1|99> peer not responding, trying again (2/3) Mar 7 07:53:15 charon: 07[IKE] peer not responding, trying again (2/3) Mar 7 07:53:15 charon: 07[IKE] <con1|99> initiating IKE_SA con1[99] to WAN-IP-SITE-A Mar 7 07:53:15 charon: 07[IKE] initiating IKE_SA con1[99] to WAN-IP-SITE-A Mar 7 07:53:15 charon: 07[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ] Mar 7 07:53:15 charon: 07[NET] sending packet: from WAN-IP-SITE-B[500] to WAN-IP-SITE-A[500] (312 bytes) Mar 7 07:53:19 charon: 07[IKE] <con1|99> retransmit 1 of request with message ID 0 Mar 7 07:53:19 charon: 07[IKE] retransmit 1 of request with message ID 0 Mar 7 07:53:19 charon: 07[NET] sending packet: from WAN-IP-SITE-B[500] to WAN-IP-SITE-A[500] (312 bytes) Mar 7 07:53:26 charon: 07[IKE] <con1|99> retransmit 2 of request with message ID 0 Mar 7 07:53:26 charon: 07[IKE] retransmit 2 of request with message ID 0 Mar 7 07:53:26 charon: 07[NET] sending packet: from WAN-IP-SITE-B[500] to WAN-IP-SITE-A[500] (312 bytes) Mar 7 07:53:27 charon: 07[KNL] creating acquire job for policy WAN-IP-SITE-B/32|/0 === WAN-IP-SITE-A/32|/0 with reqid {1} Mar 7 07:53:27 charon: 06[CFG] ignoring acquire, connection attempt pending Mar 7 07:53:37 charon: 06[KNL] creating acquire job for policy WAN-IP-SITE-B/32|/0 === WAN-IP-SITE-A/32|/0 with reqid {1} Mar 7 07:53:37 charon: 15[CFG] ignoring acquire, connection attempt pending Mar 7 07:53:40 charon: 15[IKE] <con1|99> retransmit 3 of request with message ID 0 Mar 7 07:53:40 charon: 15[IKE] retransmit 3 of request with message ID 0 Mar 7 07:53:40 charon: 15[NET] sending packet: from WAN-IP-SITE-B[500] to WAN-IP-SITE-A[500] (312 bytes) Mar 7 07:53:43 charon: 15[KNL] creating acquire job for policy WAN-IP-SITE-B/32|/0 === WAN-IP-SITE-A/32|/0 with reqid {1} Mar 7 07:53:43 charon: 06[CFG] ignoring acquire, connection attempt pending Mar 7 07:53:50 charon: 06[KNL] creating acquire job for policy WAN-IP-SITE-B/32|/0 === WAN-IP-SITE-A/32|/0 with reqid {1} Mar 7 07:53:50 charon: 15[CFG] ignoring acquire, connection attempt pending Mar 7 07:53:57 charon: 15[KNL] creating acquire job for policy WAN-IP-SITE-B/32|/0 === WAN-IP-SITE-A/32|/0 with reqid {1} Mar 7 07:53:57 charon: 06[CFG] ignoring acquire, connection attempt pending Mar 7 07:53:59 charon: 06[KNL] creating acquire job for policy WAN-IP-SITE-B/32|/0 === WAN-IP-SITE-A/32|/0 with reqid {1} Mar 7 07:53:59 charon: 15[CFG] ignoring acquire, connection attempt pending Mar 7 07:54:03 charon: 15[IKE] <con1|99> retransmit 4 of request with message ID 0 Mar 7 07:54:03 charon: 15[IKE] retransmit 4 of request with message ID 0 Mar 7 07:54:03 charon: 15[NET] sending packet: from WAN-IP-SITE-B[500] to WAN-IP-SITE-A[500] (312 bytes) Mar 7 07:54:16 charon: 15[KNL] creating acquire job for policy WAN-IP-SITE-B/32|/0 === WAN-IP-SITE-A/32|/0 with reqid {1} Mar 7 07:54:16 charon: 06[CFG] ignoring acquire, connection attempt pending Mar 7 07:54:21 charon: 06[KNL] creating acquire job for policy WAN-IP-SITE-B/32|/0 === WAN-IP-SITE-A/32|/0 with reqid {1} Mar 7 07:54:21 charon: 15[CFG] ignoring acquire, connection attempt pending Mar 7 07:54:27 charon: 15[KNL] creating acquire job for policy WAN-IP-SITE-B/32|/0 === WAN-IP-SITE-A/32|/0 with reqid {1} Mar 7 07:54:27 charon: 13[CFG] ignoring acquire, connection attempt pending Mar 7 07:54:37 charon: 13[KNL] creating acquire job for policy WAN-IP-SITE-B/32|/0 === WAN-IP-SITE-A/32|/0 with reqid {1} Mar 7 07:54:37 charon: 15[CFG] ignoring acquire, connection attempt pending Mar 7 07:54:45 charon: 15[IKE] <con1|99> retransmit 5 of request with message ID 0 Mar 7 07:54:45 charon: 15[IKE] retransmit 5 of request with message ID 0 Mar 7 07:54:45 charon: 15[NET] sending packet: from WAN-IP-SITE-B[500] to WAN-IP-SITE-A[500] (312 bytes) Mar 7 07:54:49 charon: 15[KNL] creating acquire job for policy WAN-IP-SITE-B/32|/0 === WAN-IP-SITE-A/32|/0 with reqid {1} Mar 7 07:54:49 charon: 13[CFG] ignoring acquire, connection attempt pending Mar 7 07:55:11 charon: 13[KNL] creating acquire job for policy WAN-IP-SITE-B/32|/0 === WAN-IP-SITE-A/32|/0 with reqid {1} Mar 7 07:55:11 charon: 15[CFG] ignoring acquire, connection attempt pending Mar 7 07:55:26 charon: 15[KNL] creating acquire job for policy WAN-IP-SITE-B/32|/0 === WAN-IP-SITE-A/32|/0 with reqid {1} Mar 7 07:55:26 charon: 13[CFG] ignoring acquire, connection attempt pending Mar 7 07:55:33 charon: 13[KNL] creating acquire job for policy WAN-IP-SITE-B/32|/0 === WAN-IP-SITE-A/32|/0 with reqid {1} Mar 7 07:55:33 charon: 15[CFG] ignoring acquire, connection attempt pending Mar 7 07:55:49 charon: 15[KNL] creating acquire job for policy WAN-IP-SITE-B/32|/0 === WAN-IP-SITE-A/32|/0 with reqid {1} Mar 7 07:55:49 charon: 13[CFG] ignoring acquire, connection attempt pending Mar 7 07:55:56 charon: 15[KNL] creating acquire job for policy WAN-IP-SITE-B/32|/0 === WAN-IP-SITE-A/32|/0 with reqid {1} Mar 7 07:55:56 charon: 01[CFG] ignoring acquire, connection attempt pending Mar 7 07:56:01 charon: 01[IKE] <con1|99> giving up after 5 retransmits Mar 7 07:56:01 charon: 01[IKE] giving up after 5 retransmits Mar 7 07:56:01 charon: 01[IKE] <con1|99> peer not responding, trying again (3/3) Mar 7 07:56:01 charon: 01[IKE] peer not responding, trying again (3/3) Mar 7 07:56:01 charon: 01[IKE] <con1|99> initiating IKE_SA con1[99] to WAN-IP-SITE-A Mar 7 07:56:01 charon: 01[IKE] initiating IKE_SA con1[99] to WAN-IP-SITE-A Mar 7 07:56:01 charon: 01[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ] Mar 7 07:56:01 charon: 01[NET] sending packet: from WAN-IP-SITE-B[500] to WAN-IP-SITE-A[500] (312 bytes) Mar 7 07:56:05 charon: 01[IKE] <con1|99> retransmit 1 of request with message ID 0 Mar 7 07:56:05 charon: 01[IKE] retransmit 1 of request with message ID 0 Mar 7 07:56:05 charon: 01[NET] sending packet: from WAN-IP-SITE-B[500] to WAN-IP-SITE-A[500] (312 bytes) Mar 7 07:56:07 charon: 01[KNL] creating acquire job for policy WAN-IP-SITE-B/32|/0 === WAN-IP-SITE-A/32|/0 with reqid {1} Mar 7 07:56:07 charon: 15[CFG] ignoring acquire, connection attempt pending Mar 7 07:56:12 charon: 15[IKE] <con1|99> retransmit 2 of request with message ID 0 Mar 7 07:56:12 charon: 15[IKE] retransmit 2 of request with message ID 0 Mar 7 07:56:12 charon: 15[NET] sending packet: from WAN-IP-SITE-B[500] to WAN-IP-SITE-A[500] (312 bytes) Mar 7 07:56:21 charon: 15[KNL] creating acquire job for policy WAN-IP-SITE-B/32|/0 === WAN-IP-SITE-A/32|/0 with reqid {1} Mar 7 07:56:21 charon: 01[CFG] ignoring acquire, connection attempt pending Mar 7 07:56:26 charon: 01[IKE] <con1|99> retransmit 3 of request with message ID 0 Mar 7 07:56:26 charon: 01[IKE] retransmit 3 of request with message ID 0 Mar 7 07:56:26 charon: 01[NET] sending packet: from WAN-IP-SITE-B[500] to WAN-IP-SITE-A[500] (312 bytes) Mar 7 07:56:29 charon: 01[KNL] creating acquire job for policy WAN-IP-SITE-B/32|/0 === WAN-IP-SITE-A/32|/0 with reqid {1} Mar 7 07:56:29 charon: 15[CFG] ignoring acquire, connection attempt pending Mar 7 07:56:43 charon: 15[KNL] creating acquire job for policy WAN-IP-SITE-B/32|/0 === WAN-IP-SITE-A/32|/0 with reqid {1} Mar 7 07:56:43 charon: 01[CFG] ignoring acquire, connection attempt pending Mar 7 07:56:49 charon: 01[IKE] <con1|99> retransmit 4 of request with message ID 0 Mar 7 07:56:49 charon: 01[IKE] retransmit 4 of request with message ID 0 Mar 7 07:56:49 charon: 01[NET] sending packet: from WAN-IP-SITE-B[500] to WAN-IP-SITE-A[500] (312 bytes) Mar 7 07:57:05 charon: 01[KNL] creating acquire job for policy WAN-IP-SITE-B/32|/0 === WAN-IP-SITE-A/32|/0 with reqid {1} Mar 7 07:57:05 charon: 15[CFG] ignoring acquire, connection attempt pending Mar 7 07:57:27 charon: 15[KNL] creating acquire job for policy WAN-IP-SITE-B/32|/0 === WAN-IP-SITE-A/32|/0 with reqid {1} Mar 7 07:57:27 charon: 10[CFG] ignoring acquire, connection attempt pending Mar 7 07:57:31 charon: 10[IKE] <con1|99> retransmit 5 of request with message ID 0 Mar 7 07:57:31 charon: 10[IKE] retransmit 5 of request with message ID 0 Mar 7 07:57:31 charon: 10[NET] sending packet: from WAN-IP-SITE-B[500] to WAN-IP-SITE-A[500] (312 bytes) Mar 7 07:57:41 charon: 10[KNL] creating acquire job for policy WAN-IP-SITE-B/32|/0 === WAN-IP-SITE-A/32|/0 with reqid {1} Mar 7 07:57:41 charon: 15[CFG] ignoring acquire, connection attempt pending Mar 7 07:57:49 charon: 15[KNL] creating acquire job for policy WAN-IP-SITE-B/32|/0 === WAN-IP-SITE-A/32|/0 with reqid {1} Mar 7 07:57:49 charon: 10[CFG] ignoring acquire, connection attempt pending Mar 7 07:58:07 charon: 10[KNL] creating acquire job for policy WAN-IP-SITE-B/32|/0 === WAN-IP-SITE-A/32|/0 with reqid {1} Mar 7 07:58:07 charon: 15[CFG] ignoring acquire, connection attempt pending Mar 7 07:58:13 charon: 15[KNL] creating acquire job for policy WAN-IP-SITE-B/32|/0 === WAN-IP-SITE-A/32|/0 with reqid {1} Mar 7 07:58:13 charon: 10[CFG] ignoring acquire, connection attempt pending Mar 7 07:58:22 charon: 10[KNL] creating acquire job for policy WAN-IP-SITE-B/32|/0 === WAN-IP-SITE-A/32|/0 with reqid {1} Mar 7 07:58:22 charon: 15[CFG] ignoring acquire, connection attempt pending Mar 7 07:58:30 charon: 15[KNL] creating acquire job for policy WAN-IP-SITE-B/32|/0 === WAN-IP-SITE-A/32|/0 with reqid {1} Mar 7 07:58:30 charon: 10[CFG] ignoring acquire, connection attempt pending Mar 7 07:58:37 charon: 15[KNL] creating acquire job for policy WAN-IP-SITE-B/32|/0 === WAN-IP-SITE-A/32|/0 with reqid {1} Mar 7 07:58:37 charon: 11[CFG] ignoring acquire, connection attempt pending Mar 7 07:58:47 charon: 11[IKE] <con1|99> giving up after 5 retransmits Mar 7 07:58:47 charon: 11[IKE] giving up after 5 retransmits Mar 7 07:58:47 charon: 11[IKE] <con1|99> establishing IKE_SA failed, peer not responding</con1|99></con1|99></con1|99></con1|99></con1|99></con1|99></con1|99></con1|99></con1|99></con1|99></con1|99></con1|99></con1|99></con1|99></con1|99></con1|99></con1|99></con1|99> Nachdem ich den IPsec-Service auf Site-B neugestartet habe, ist der Tunnel sofort wieder aktiv! Kann jemand helfen?

Ok, demnach hängt nur die pfsense offen im Netz, aber dies ist ja eigentlich der Sinn einer Firewall, da die ja die Zugriffe von aussen blockt. Die FB hat ja auch eine "Firewall", sonst würde man ja keine Portfreigaben machen müssen. Wenn ich per heise.de Security einen Netzwerkcheck (Standardports+Routertest) mache, ist alles dicht. Regeln gibt es auf der pfsense nur für die Wechselrichter, und die haben tatsächlich eine eigene Authentifizierung. Somit denke ich ist erstmal alles gut. Es ist ja auch so, das mein Provider wohl ein eigenes 'internes' Netz betreibt, da ich eine feste IP bekommen musste, um von aussen erreichbar zu sein. Der macht wohl auch nur eine Freigabe auf seiner Security Appliance. Wie testet ihr eigentlich die Sicherheit eurer Firewall von aussen?? Gruss jgoller

So, also nach einem cf-karten Defekt, mußte ich mein Pfsense auf dem Alix neu Installieren wieder. naja jedenfalls habe ich denn openvpn wizart genommen und siehe da nun funzt das alles. :-) … so nun kann ich mich mehr damit mal Beschäftigen hehe Danke für eure Tips , hat mir doch recht weit geholfen hier.

Hi, auf der pfSense unter Advanced Settings in der OpenVPN-Server Config… MTU=1300 ..eingeben und abspeichern. Winblows habe ich null Ahnung… ;D ...hab´ Dir´s trotzdem mal herausgesucht, die Pfade zur Config sind je nach 32 / 64 bit unterschiedlich. Auf der Seite ganz unten... https://www.cms.hu-berlin.de/de/dl/netze/vpn/openvpn_old/windows7 ..direkt in die Client.config eintragen und abspeichern. Muss überein stimmen, sonst kein Tunnel… Gruß orcape

Sorry … da hatte ich mich selber reingelegt. Auf dem Zweiten Node hab ich einfach die VLAN IDs nicht richtig eingetragen ... deswegen gab es da dann auf den gateways auch nix und er konnte nicht umschalten. gruß

Auskommentiert im conf-file bzw. jetzt am Client im GUI gelöscht hatte ich die Einträge gem. meinem Posting #26. …ist jetzt klar. Die Einträge zu den netmasks (24er oder 31er) habe ich nur über das  GUI auf dem Server geändert unter Tunnel Settings > IPv4 Tunnel Network. Du musst trotzdem versuchen mit einer /24 er Netzmaske klar zu kommen. Da muss noch ein anderer Fehler sein. Logs anschauen, testen kleiner Veränderungen. etc. Gruß Peter

Ich würde mal mit dem Packet capture Tool von pfSense prüfen, ob am Interface überhaupt was ankommt. Ev. benötigt der AP noch eine bestimmte Einstellung. Wenn ein Gerät im Netz an das Interface angebunden ist und eine IP erhalten hat, muss ein Ping auf die Schnittstelle funktionieren, wenn es die Regel auf der pfSense erlaubt. Gateways und Routen spielen dabei keine Rolle. Aktiviere das Logging für alles, auch die "Log Firewall Default Blocks" in den Log-Settings, um hier Fehler ausfindig machen zu können.

So, das ist erst mal geklärt. ich hab die zwei APUs genommen und hier ist eigentlich alles gesagt. Für die Einrichtung mache ich ein neues Thema. Danke bis hier her schon mal!!!! gruß

Hi, ja klar. Man müsste dann ungefähr wisen, wieviel Bandbreite den anderen reicht, bzw. dein Stream am laufen hält. Aber klar optimal ist etwas anderes…

Nein, mit einer Route wirst du da nicht weit kommen, weil die Antwort der APs nie richtig abbiegen wird, da sie ja offenbar kein Routing beherrschen und daher nur dem gleichen Netz antworten können. Evtl. könnte man sich noch was vorstellen mit ProxyARP und/oder schräger NAT Konfiguration, aber was Genaues hab ich da jetzt nicht parat.

ja habe ich … andere Probleme ... https://forum.pfsense.org/index.php?topic=89199.0

Hallo nochmals! Tatsächlich war der "Fileserver" auf dem Pirelli noch aktiv. Warum auch immer. Dieser ist nun - wie alles andere auch - deaktiviert. Kein Traffic mehr von 10.0.0.138 - Problem daher gelöst. Schon kurios! Ich dachte im single-user Mode sind alle anderen Features des Dings deaktiviert. Sehr happy bin ich mit dem Ding ohnehin nicht … LG esquire1968

IPv6 zu deaktivieren kommt bei mir nicht in Frage, da ich hinter einem Kabeldeutschland Anschluss sitze, welcher eine IPv6 Adresse zugeteilt bekommt  ;) Ich denke das ich die Lösung des Problems auch langsam lokalisiert habe. PFsense ist im Grunde nämlich nicht schuld. Ich habe eine 100Mbit Leitung und das AlixBoard geht bei viel Last dann einfach in die Knie. Ein Blick in die Hardwareempfehlungen zeigt ja auch deutlich auf, dass mein Board für die Leitung viel zu leistungsarm ist. Sofern bleibt mir langfristig nichts Weiteres übrig, als in neue Hardware zu investieren. Trotzdem vielen Dank für Eure Tipps !  ;)

Ich war da immer Gegner von, unser Systemhaus hat uns etwas in die Richtung gedrängt. Ah das kenne ich. Wenn man Schreiner ist und einen Hammer hat sieht jedes Problem gern wie ein Nagel aus ;) Gerade am Anfang war es auch nicht schlecht, da man immer nen Backup Image hatte. Das ist schon richtig, aber eine zyklische Sicherung der config.xml tut es auch ;) Wir Filtern im Moment einige Länder, Warez und Pornoseiten. Das lässt sich doch sehr schön mit pfBlocker machen? Genauso sind einige Ports dicht und auch QoS aktiv. Ist jetzt auch nicht die Killeranwendung :) Da wir nur eine 100/10er Leitung bekommen können, muss die für alle reichen. Hey das ist für viele von uns schon Luxus :D Im Moment surfen knapp 150 Jugendliche darüber, gegen Sommer werden es knapp 500 Jugendliche sein. Schätze maximal Auslastung am Ende mit 200 Laptops, 500 Handys und etwa 20 Spielekonsolen. Oha. Ja das sind schon einige, aber das sollte trotzdem kein großes Problem darstellen. Ich sehe da eher die PPS (Pakete pro Sekunde) und die MBUFs und/oder die State Table, die ggf. vergrößert werden müssen. Von ~750 Verbrauchern aktive States zu halten könnte dann schon mehr RAM brauchen, aber wir reden hier Megabytes, keine Terabytes ;) Alle müssen sich über Captive Portal einloggen. Da bin ich leider nicht ganz so bewandert, ggf. könnte das aber eher das Bottleneck werden als die anderen Punkte. Geld spielt eher eine untergeordnete Rolle, möchte Hardware haben, die das prinzipiell für die nächsten Jahre stemmen kann. Kann ich euch bitte als Consultant-Kunden übernehmen? :D Nein im Ernst, das liest man leider selten, dass Geld eher nebensächlich zu einer guten Lösung ist seufz Der Atom soll da ja relativ gut sein, Support wäre für 1 Jahr auch dabei, was wir dankend annehmen. Andererseits gibts für 1500 Euro auch schon nette eigen gebaute Server die eventuell Leistungsfähig wären. Richtig, aber wie kommst du auf 1500€? Die Atom-Kiste ist für roundabout 750€ zu haben, 1500€ wenn du gleich 2 nimmst und das als CARP Verbund baust wegen HA/Ausfallsicherheit. Aber dann ist gut. Extra Serverhardware - ja kann man machen. Aber brauchen… hmm. Ich will dir da nicht von abraten, die Kiste direkt bei pfSense zu kaufen - <deity>bewahre - aber für Europa/DE rechnet sich das einfach leider nicht. Grundkosten + Versand sind derart teu(r)er als die Hardware direkt hier zu kaufen, dass es für uns und unsere Kunden einfach keine andere Möglichkeit gab. Beispiel: VK-T40E (eine APU mit 4GB und 8GB SD Karte) 469$ inkl 1 Jahr Support und Gold Mitglied. Tolles Angebot wenn du nur eine brauchst. Wir haben Kunden, die brauchen das für Außenstellen und dann gleich 6-12 davon. Ein APU Kit Bundle bei Resellern von hier kostet ~200€ für eine. 200€ vs 419€ (rund) + Versand hierher + Wartezeit -> das hat sich für unsere Kunden nicht gelohnt. Gleiches gilt für die C2758. Das ist im Prinzip ein http://www.supermicro.com/products/system/1U/5018/SYS-5018A-FTN4.cfm Supermicro Superserver 5018A. Bekommt man hierzulande für ~650€ + zusätzlich (wenn benötigt) SSD Einbaurahmen + SSD -> ~750€ (alles Brutto als Firma natürlich weniger). Wir haben dann (leider) auch hier eingekauft und statt dessen Gold Member und ein Stunden-Support Kontingent eingekauft um das Projekt zu unterstützen und notfalls Support zu haben wenn was nicht laufen sollte. Lief aber Bestens und vom Stundenkontingent sind noch einige viele übrig :) Ich hoffe sehr, dass pfSense früher oder später auch nen Store in EU aufbaut, um die Lieferzeiten und Preise zu drücken/anzupassen, so ist das leider einfach zu unpraktisch auch wenn ich gern die Kisten mit offiziellem Logo kaufen würde. Grüße Jens</deity>

Super :D

hab noch mal ein bisschen getestet. Wenn ich bei dem cache_peer das round-robin rausmachen klappt es. Allerdings bin ich mir jetzt nicht sicher ob das ein normales Verhalten ist. Klar round-robin macht sinn aber ich habe ja beim cache_peer_access nur einen peer eingetragen also sollte der andere ja nicht belangt werden trotz round-robin. Oder verstehe ich das falsch?

Hallo, hier eine gute und verständliche Erklärung: siehe: http://www.elektronik-kompendium.de/sites/net/1410061.htm Gruß Peter

Danke für die Antwort! Andreas