Den Nachteil des doppelten NAT akzeptiere ich
"zähneknirschend". ;-)

Man kann auch den einen Port an dem die pfSense "hängt"
bzw. angeschlossen ist in der AVM FB als "Exposed Host"
hinterlegen dann kann man direkt aus dem Internet an
die pfSense heran gehen, wie gesagt bitte nur den einen
Port und nicht die gesamte AVM FB.

Die mailreport Package habe ich installiert, mal schauen
ob ich da etwas sinnvolles machen kann.

Paket deinstallieren und dann noch einmal installieren und
die Einstellungen dann abspeichern funktioniert nicht?

Danke für die Antworten, ich werde mir das noch einmal anschauen.

Danke - hatte ich noch nicht entdeckt! 🙈

@ileonard und bitte einen grafischen netzwerkplan, das hilft allen (die helfen wollen und neue nutzer die später den beitrag lesen)

Als Transfernetz reicht ein kleines Netz aus wo z.B. 6 IPs rein passen, eine HA und 2 Device IPs pro Seite.

Aber wenn das Kabel dein Grundstück verlässt und durch unbekannte Gefilde läuft, hier Daten im Bereich der DSGVO drüber laufen, solltest du das verschlüsseln.

Das muss ja nicht über die pfSense sein, einige Switche können so etwas auch und das mit Line Speed.

Und wenn du das alles noch nicht gemacht hast, packe dir einen Dienstleister ins Boot der unterstütz und weiß was er da tut.
Der Schulungen anbietet und dann mehr und mehr in den Hintergrund tritt aber wenn es brennt zum löschen bereit steht.
Denn so einen braucht es immer mal in der Hinterhand.

Aber ja man kann sich mit dem nötigem Vorwissen auch so in ne Firewall einarbeiten, aber das scheint hier nicht vorhanden.
Sonst würde gezielt Fragen aus dem HA Bereich kommen, nicht zum grundsätzlichem Design einer Standortkopplung.
Also schaue mal bei Jens rum, da gibts von Einsteiger bis zum Hardcore User seit pfSense 1.0 noch was zu lernen.

https://forum.netgate.com/topic/174335/pfsense-workshops

Für deine beiden Standorte schaue mal mit einem Netzrechner nach /19 oder kleiner.
Ich habe hier ein /59 für IPv6 und da passt ein /19 v4 perfekt dazu, beides sind 32 Netze.

Reicht das nicht kannst auch 10.1.0.0/16 und 10.2.0.0/16 einsetzen.
Im 10er Bereich hast auch genug Platz für Transfernetze.

Aber auch hier gehts wieder mit NAT los wenn du dich mit anderen Firmen per S2S verbinden willst.
Da braucht dann ggf. jeder ein NAT Netz auf seiner Seite.

Hallo micneu,
danke für Antwort. Ich wollte ungern die geforderten Informationen zusammentragen, da kein Konfigurationsproblem vorliegt und das Erstellen von Netzwerkplan wäre bei mir in der Tat etwas komplizierter.
Mir war aufgefallen, dass die Firewall teilweise Pakete abweist. Lt Log schlägt die Standard Deny Regel zu. Das hätte nicht passieren dürfen, da ich testweise alles erlaubt habe.
Ich habe mittlerweile pfsense neuinstalliert, Ordner mit Zertifikaten überschrieben und die Config neu eingespielt, jetzt läuft alles.
Es kann sein, dass Suricata dazwischen gefunkt hatte. Das hatte ich mal installiert, konfiguriert, aber wieder entfernt. Das wäre meine Erklärung.

Liebe Grüße

@jegr
Du meinst wir schaffen es in die Rente und dann wird dieses wegen so etwas ungültig 😦
"Laut System bekommen sie keine Rente, die ist schon abgelaufen" 😁

@jegr Hey, danke für dein schnelles Feedback!

Ja, richtig. Ich habe zwei pfSense-VMs als HA-Cluster laufen. Auf der WAN-Schnittstelle sind bei beiden Maschinen die PPPoE-Zugangsdaten hinterlegt, jedoch ist logischerweise - und wie du auch richtig erkannt hast - immer nur eine aktiv eingewählt.

Jedoch ist die IGMP-Proxy-Konfiguration nicht geclustert. Dafür gibt es ja in der Software unter "System" -> "High Availibility Sync" -> "Select options to sync" auch gar keine Möglichkeit. Oder sehe ich das falsch?

@sandfurz Das klingt eher nach Monitoring als Firewall Problem. Da die Firewall selbst den Traffic nicht über Zeit misst - kann sie (aktuell) nicht - kannst du hieraus kein Event ableiten, nach dem sich filtern lassen kann. Das wäre auch out of scope für den Paketfilter. Denkbar wäre so eine Funktion eher in einer neueren Art IDS/IPS das auf Ereignissen basiert statt auf stumpfen Entities wie es aktuell Snort/Surricata tun.

Aktuell lässt sich das aber in der Firewall selbst ohne Hilfe von außen nicht erledigen. Man müsste hier eher den Traffic überwachen durch Monitoring und dort definieren, dass alles was > X an Bandbreite über Zeit Y ist ein Problem darstellt. Dann könnte man den Ball wieder an die Firewall zurückspielen und sagen "aktiviere Regel X" oder "Blocke IP Y".

Cheers

Regelwerk für DNS hast du aber auf dem IPsec Interface oder der Gruppe?

Dann musst wohl nen Mitschnitt anfertigen und schauen ob Anfragen rein kommen, wenn nicht dann halt deinen angebissenen Apfel mal auf weitere Bisspuren untersuchen.

Mein angebissenes Obst funktioniert hier tagellos.

@nobanzai
Ich antworte mir dann nochmals selber.
Für wireguard war weder pfSense noch die MTU das Problem, sondern ein fehlender PeristentKeepalive, der nötig ist, weil alle Geräte hinter mindestens einem NAT-Router hängen.
Für openvpn konnte ich den Grund noch immer nicht rausfinden. Das Phänomen ist, dass im Regelfall alles funmktioniert. Erst wenn man die Master-pfSense rebootet, kriegt er danach keine Verbindung mehr. Rebootet man dann nochmals beide pfSensen, dann klappt wieder alles. Ist zwar eigentlich nicht der Sinn einer HA-Lösung, aber was Anderes konnte ich bisher nicht als Lösung finden.

@daxerr hab’s rausgefunden!
Musste nur am Smartphone meine APN ändern damit ich eine dynamische IP Adresse bekam!😉
Lg.

@toddehb said in IGMP Proxy und FritzBox Cable DVB-C streaming:

@micneu

Nix treffendes gefunden

ich war mir schon ziemlich sicher das es da was gab, aber der @Bob-Dig kann warscheinlich besser mit der suchfunktion umgehen

PS: habe einfach mal nur den begriff "dvb-c" eingegeben, sofort 2 treffer

Nochmals vielen Dank für deine Antworten @JeGr. Es hat alles wunderbar geklappt.

@viragomann said in Drei Interface bridgen, problematisch?:

Die Quelle ist aber any

Hatte da 0.0.0.0 stehen, aber any hatte ich ja eh alles erlaubt.

@NOCling Static route filtering hatte ich nicht aktiviert, aber es liest sich auch nicht so, dass das gebraucht würde.
Ich habe ja nur der Bridge selbst eine IP gegeben, was eigentlich auch das einfachste sein sollte, sofern ich es richtig verstanden habe. Das ursprüngliche LAN existiert weiterhin außerhalb der Bridge. Mag sein, dass es an Hyper-V liegt bzw. dem internen VSwitch, welcher ein Interface der Bridge ist.

@viragomann
Besten Dank die Lösung kann so simpel sein.

Funktioniert einwandfrei.

@waeck said in pfSense mit allem Traffic über VPN zu Ubiquti:

Unter Schnittstelle / PPP's kann ich eine neue "Verbindung" mit L2TP einrichten.
Diese kann ich danach als neue Schnittstelle hinzufügen.
Mit dem iPhone klappt die Verbindung zu Ubiquiti.
Mit der pfSense leider nicht...
Gibt es dafür evtl einen Tip?
Diese Verbindung sollt. lt. Internet auch möglich sein. Ist zwar nur für einen Weg aber dies würde mir reichen...

Habe aus einem Dokument entnommen, dass die nicht für "normale" VPN ist sonder für ISPs.

*Q: Can I use pfSense's WAN PPTP feature to connect to a remote PPTP VPN?

A: The pfSense WAN PPTP feature is for ISPs that require you to connect using PPTP. This feature cannot be used as a PPTP client to connect to a remote PPTP server to allow pfSense to route over the PPTP connection.*

Somit geht diese Idee auch nicht... Schade!

@nocling Oh sorry. Hier das Update:

Auf den Switchen wurde wie bereits geschrieben nichts konfiguriert

Hallo zusammen,

ES FUNKTIONIEEEERT!

Ich möchte mich bei euch allen bedanken. Es war eine Mischung aus Firewallregeln und dem Haken im Unifi Controller bei Guest Network. Habe ich einfach übersehen.

Recht herzlichen Dank für eure Hilfe.

Ich bin gerade sehr glücklich, dass das endlich funktioniert.

Kein Hitzefrei morgen - selbst Stelle, selbe Welle!