Eine Regel von meiner Klient-IP inkl. aller Zustände hatte das Problem auch nicht gelöst. Da die Pakete in diesem Fall vom Proxy abgehen wäre es vermutlich auch Unsinn gewesen oder?

Merkwürdig finde ich, dass via Proxy (manuell auf WAN2) zwar Texte langsam laden, aber eben keine Grafiken und erst recht keine Downloads.

@slu said in WireGuard Grundsatzfragen Public Key / Ping WG Client:

Irgendwie ist das WG ja schon spannend, aber irgendwie fühlt es sich auch komisch an wenn man kein AES usw. als Cipher einstellen kann...

Ist halt alles fix hardcoded, was ja u.a. auch ein wenig kritisiert wird, dass - kleiner Code hin oder her - im Fall eines Bugs in der Security man überall das komplette Produkt austauschen/updaten muss und nicht einfach auf einen anderen Cipher wechseln kann. Genauso die Performance. Kernel ist natürlich fein und fix - wenns aber buggy und exploitable ist, kann jemand im kernelspace Code ausführen. Alles Vor- und Nachteile :)

@tpf said in IPV6 track Interface funktioniert nicht wenn WAN hinter Router:

@bob-dig Tjoar, und nun? Wie lösen das die anderen Kollegen hier? Bin ja sicher nicht der einzige, der Router hinter Router hat.

Nein sicher nicht, aber dynamische Prefixe sind eben leider der letzte Schrott. Selbst wenn sie direkt auf der Fritte laufen und ich nen Client an der Fritte habe bekommt der teils recht spät mit, dass sich ein Prefix geändert hat bzw. ist träge in der Umstellung. Das ganze Konzept "mimimi wir machen das aus Privacy Gründen" ist komplett fucked-up. Kann man nicht schönreden.

Aber soweit die Fritte richtig konfiguriert ist mit PD prefix delegation und der Anbieter - zu was er eigentlich verpflichtet ist! - mehr als 1x /64 rausgibt, kann man das nach hinten durchreichen. Ist eben nur häßlich wenn sich dann täglich das Prefix ändert. So lang das vielleicht mal alle Monate was ändert (wies bei Kabel war), lässt sich das abreiten und ertragen und dann funktioniert das dynamic prefix auch so semi-gut und halbwegs sinnvoll.

Cheers

@fglaser Werde ich gerne klären

@jegr

Hallo ich wollte hier nochmals kurz eine Rückmeldung geben.

Wir setzten das VPN ausschließlich für RDP ein und hier ist bei 10 Arbeitsstationen ab 60MBIT VPN keine Steigerung mehr zu messen. (außer alle schauen im Vollbild Video)... - im normalen Arbeitsbetrieb wie gesagt ist bei 10 Arbeitsplätzen und selbst bei intensiver Nutzung ab 60mbit nicht mehr zu gewinnen.

Interessant ist auch dass RDP hier extrem kurze Peaks hat die mit den normalen Tools aufgrund der Auflösung nicht zu sehen sind.

So zieht RDP beim Browsen mal für einige ms tatsächlich 30mbit - fällt dann auf 4-5 mbit ab - schaut man hier nicht genau könnte man denken dass 5-6mbit pro Sitzung ja dann das maximum sind - stimmt im Mittel auch - aber diese kurzen Peaks machen sich unheimlich in der Haptik bemerkbar wenn das VPN oder die Leitung das nicht hergibt ...

Ich habe jetzt auf der Server Seite eine Viritualisierte pfsense mit nem Xeon CPU

und auf der Client seite netgate Hardware

Hallo,
wollte es einfach leicht haben, alle Rules per Befehlszeile runterladen, evtl. auch speichern.
Alles aus der GUI rauskopieren ist ein bisschen aufwendig.

Sollte ansonsten mal bei Zertifikaten - gerade bei aktivem HSTS - ein Zertifikat ablaufen und der Browser möchte dann die WebUI nicht mehr anzeigen (weil HSTS und abgelaufenes Zert in Chrome based Browsern bspw. nicht "weiter" geht), kann man das in Chrome(ium) Browsers "überbrücken":

Zu testen: https://badssl.com/

bspw. revoked auswählen. Firefox kann man hier noch zum "weiter" überreden, Chrome/-iums nicht.

b2b505b5-0c74-4a2d-9b71-220090a7195d-image.png
(weitermachen fehlt hier!)

Die kann man dafür aber "übersteuern" indem man auf solchen Seiten einfach ohne irgendeinen Fokus zu haben (also nicht URL Zeile o.ä. markieren) einfach tippt:

thisisunsafe

und zack wird die Seite doch geladen:

fc344c96-071d-4de3-9a76-1dc713e0f4d6-image.png

Hier im Beispiel mit "Chromium Edge" getestet, geht aber auch mit Brave, Chrome, etc. Das Keyword thisisunsafe ist als override für SSL fix im Browser verankert. Muss einfach in einem Wort ohne große Pause o.ä. am Stück (nur Kleinbuchstaben) im entsprechenden Tab einfach getippt werden. Einfach ausprobieren und für den Notfall im Hinterkopf haben 😄

Cheers

@micneu Nur weil der SOC 2013 erschienen ist, heißt das nicht, dass das auch 2013 raus kam. In dem Fall wars AFAIR late 2013 als die Testmuster kamen. Das ist aber irrelevant. Es ist ein C2000 SOC und die C-Atome werden mit 8-10y++ von Anfang an konstruiert. Ich hätte jetzt auch wenig Bock nach 3 Jahren privat schon wieder was Neues suchen zu müssen vor allem weil die nicht billig sind/waren. Und wenn man sie später dann ggf. günstig bekommt weil der C3000 kommt und die Kiste reicht einem, warum nicht. Konnte ja bis zum Abrauchen und Skandälchen keiner ahnen, dass statt 8-10y plötzlich wesentlich weniger auf der Agenda stehen weil Intel bei Kleinteilen Probleme hat.

Hilft außerdem jetzt auch niemand rückblickend zu sagen "warum kauft man sowas". Hinterher ist man immer schlauer :)

Ich hätte allerhöchstens "gemeckert" weils ein 2750 ist und der nicht für Netzwerk, sondern für kleine Server gebaut war. Die Netzwerk Kisten haben alle Achten als letzte Ziffer -> C2758. Denn nur die 8er hatten QuickAssist (QAT) mit drauf.

Anyways, hoffe es ist fixbar und nicht doch ein Totalausfall!

@chriskoh

Hast du es mal genau nach dieser Anleitung probiert? https://forum.netgate.com/topic/153802/howto-magentatv-mit-pfsense-2-4-5

Hallo!

Sieht für mich nach einem Problem vom Windows 10 aus - oder eines durch die Virtualsierung verursacht.

Heute Morgen wieder kein Internet, musste die Netzwerkschnittstelle Deaktivieren und wieder Aktivieren... 🙄

@nonick

Ich habe das jetzt ausprobiert - Das scheint wirklich geholfen zu haben.
Seit ich für den Resolver die Network Interfaces auf "All" gestellt habe, löst der Resolver auch auf wenn das Interface erst nach dem Start einen Link hat...

Ich finde das zwar nicht wirklich verständlich, aber was solls...

@bob-dig
Sehr gut hat funktioniert. Besten Dank !

Für den Fall das mal…

Na so kritisch können die Server jedenfalls nicht sein, wenn man die einfach so mit einem Switch ins Internet hängt.
Das verstößt gegen alle Grundregel der IT Sicherheit.

Ja man könnte da mit Proxy ARP usw. eine Transparente Firewall zwischen hängen.

Aber wenn die Kisten so wichtig sind, warum dann nicht gescheit mit internen IPs, ggf. verschiedenen DMZ VLANs/Netzen und einer HA Firewall davor?
Dann würde es Sinn ergeben.

Wartung ist dann auch über VPN zum Standort möglich.
Lasse mich mal nachdenken, wann fällt eine HA FW aus?
Totaler Stromausfall, dann ist eh alles egal…
Hardware Schaden, dann ggf. alle x Jahre mal eine, kaufst was gescheites für 24/7 ausgelegtes…
Softwarefehler, beim Update z.B., da bist dann vor Ort und kannst direkt was retten, 2-3 Mal im Jahr…
Menschliches Versagen, wenn jemand Mist konfiguriert…

Sicherlich das kleinere Übel, wenn man jeden Tag sieht welcher Firmen gerade wieder unter gehen da deren IT niederliegt…

@achim55 Schwere Geburt aber jetzt sehe ich es auch. 😁

Ich habe keine Ahnung warum die originalPoster(in) meinte, ihren Account und ihre Posts löschen zu müssen aber ich habe sie aus Nachvollziehbarkeit wiederhergestellt. Sehe auch nicht wo hier das Problem war.

@A Former User said in Site 2 Site VPN IPSEC:

Das schmeckt der PFSense gar nicht. Wie kann sie das deichseln? Danke Lena

Das hat primär nichts mit der Sense zu tun, sondern mit Phase-2 IPsec selbst. Wenn man von einem lokalen Netz (bspw. LAN) zu einem entfernten Netz eine Verbindung aufbaut, wird die via IPsec im Kernel geroutet (taucht auch deshalb nicht in der System Routing Table auf). Und da es nur eine Route zu einem Netz sinnvoll geben kann geht das Setup so nicht.

Das hat aber der @NOCling schon korrekt wiedergegeben. Das liegt auch nicht auf Sense Seite das zu ändern, sondern auf der Remote Seite bei den Fortis. Denen muss verklickert werden, dass sie ausgehend ihr 192.168.2.x Netz NATten müssen durch den Tunnel via VPN. Wenn das korrekt aufgesetzt ist definiert man lokal nur noch 2 VPNs mit anderen Netzen (jenes auf die die jeweilige Forti ihr Netz umschreibt) und hat damit 2 saubere Site2Site Setups ohne Überschneidungen. Die Fortis sollten das können, da es keine "neue" Fragestellung ist. Jeder größere RZ Service Anbieter schreibt inzwischen vor mit welchem Netz man "ankommen" darf und überlässt es dann dem Kunden dass er sein Netz so umbiegt dass es passt.

Somit muss der Sense da gar nicht viel beigebracht werden, sondern eher den Fortis auf der Gegenseite quasi "diktiert" werden, wie sie ihr Netz umschreiben müssen, dann klappt das auch.

Cheers
\jegr

Open VPN ist für unsere Firma die führende Lösung für Home-Office und unterwegs Arbeiten! Das funktioniert seit der Einführung bestens bei 600-800 Clients! Rund 50% davon sind täglich verbunden und geben keinen Anlass zum Klagen. Der eine Spezialfall wo es eben nicht gut funktioniert, ist nach intensiver Recherche auch nicht Open VPN direkt anzukreiden.
Die Aruba Lösung ist auch toll und vor allem sehr end-user-friendly! Aber sie verursacht nicht gerade geringe Kosten, was die Hardware und Lizenzen angeht. Daher verwenden wir diese auch nur dort, wo Open VPN strauchelt. Meist liegt es dann aber an komischen IPv4/v6 Problemen, die der Provider oder deren Endgeräte verursachen.

@tsag said in Truenas (Nextcloud) -> Pfsense -> Cloudflare 522 (timeout):

Gibt es eine Möglichkeit, dass PFSense/HAProxy das Lokal löst?
Ich könnte es zwar über den LAN DNS Server über den Hostname erreichen, allerdings kann dieser keine Ports auflösen. Mein Nextcloud läuft bspw. auf 192.168.1.2:1337, was in HAProxy auch eingetragen ist, sodass ich direkt über meine Domain (ohne Port) darauf zugreifen kann. Beim Hostname muss ich immer den Port mit angeben.

Verstehe das Problem nicht ganz. Warum sollte dein interner Traffic extern über Cloudflare laufen (müssen)?
Trag doch einfach als IP in DNS der Sense die IP des HAproxys ein - der schickt das doch dann auf :1337 weiter ohne dass du mit Ports rumbasteln musst genauso wie von extern auch?

@dobby_ said in Hardware Empfehlung Backup:

Bei einer 1 GBit/s Verbindung würde ich entweder auf die APU7 warten wollen was dann aber auch mit 2,5 GBit/s Ports daher kommt! Oder aber eventuell auf OpenWRT umsteigen

Auch eine APU7 wird eine APU bleiben. Egal welche APU (2-6), es ist bei allen exakt der gleiche inzwischen steinalte AMD Jaguar SOC drunter und der ist eben weit entfernt von up2date wenn es um Performance geht. Das Gigabit ist auch etwas Augenwischerei, denn da gehts um Gigabit routed. Sobald da Regelwerk reinkommt und da System oder Userland die Performance abgreifen, wird die APU deutlich langsamer und es gibt inzwischen einfach wesentlich bessere Geräte wenn es direkt nur um Einsatz für pfSense geht. Wenn ich flexibel bleiben möchte um ggf. noch WRTs oder andere Distros zu verwenden und günstig bleiben muss - klar, OK. Aber rein für Routereinsatz mit Performance ist die APU für mehr als ~500 Mbps eher ein Klotz am Bein. Sobald da Dinge wie Verschlüsselung oder intensiveres Scanning passieren soll wird es recht schnell eng :)

@dobby_ ich hab das mal abgespalten in einen eigenen Eintrag. Einen 7Jahre(!) alten Eintrag sollte man schon da lassen wo er war, in der Versenkung, zumal es da noch um APU1 ging.

Die verschiedenen APUs ab 2 sind auch was den SOC angeht ja gleich geblieben, vllt vom verlöteten RAM abgesehen, aber alles der gleiche SOC, so dass ich hier nicht viel Änderung an Performance zwischen den Geräten erwarten würde. Der Vergleich aber mit Linux/TNSR oder WRTs ist interessant. Durchaus witzig :)

@nocling hab mal opnsense installiert und mit der getestet selbes verhalten.

dann hab ich mal die nats gelegt 1:1 Nats

damit scheint es nu zu laufen.

komm aufs gui und die phones registrieren sich

danke für die hilfe