Hi,

meines Wissens nach wird der Port 500 und 4500 UDP verwendet, diese sind auch im Log sichtbar.
Wenn diese nicht geblockt sind, sollte es funktonieren.

@enjoyit said in Seit heute keine Verbindung mehr über VPN-IPSec zu drei Fritzboxen (Telekom-Netz):

Edit: Es funktioniert nun wieder bei allen drei Boxen. Habe nix geändert...

Klingt tatsächlich eher nach AVM, hatten wir leider auch schon häufiger trotz keiner Änderung.

@flo-0 Vielleicht lag es auch nur an dem Neustart, keine Ahnung, aber da ist die pfSense leider etwas merkwürdig bei IPv6.

Du kannst auch in der Sense auf LAN das Default GW setzen und dann alles darüber raus jagen was nicht aus dem Segment kommt.

Hallo,

Komando zurück, klappt nun ohne das ich was geändert habe...

danke ré

Schau mal ob das dieses Problem ist: https://forum.netgate.com/topic/121939/verbindungsabbr%C3%BCche
pfSense Logs dann entsprechend prüfen. Ist aber ein recht langer Thread. ;-)

-Rico

@haithabu84
for openvpn look here:
openvpn-external-crl-automatic-renewing-openvpn-restart

So... you could download the CRL with Curl, transfrom it in x509 and drop it where it is needed.

Bei mir ist die pfSense als Resolver für DNS konfiguriert. Für VOIP ist nur eine Outbound NAT Rule mit Static Port definiert, keine Portweiterleitungen.
Im IP-Telefon ist für die SIP-Konten DNS-NAPTR als Transport eingestellt (alternativ gibt es auch DNS-SRV), da die alte Auflösung über den A-Record von tel.t-onlne.de nicht mehr funktioniert. Keep-Alive ist bei 30 s.

Bis jetzt habe ich noch keinerlei Abbrüche feststellen können.

@sub2010, stell den Limiter doch einfach mal auf 4 Mbit/s im Download und 1 Mbit/s im Upload, mach einen ganz normalen Speedtest auf speedtest.net und poste das Ergebnis hier. Sonst drehen wir uns noch zwei Wochen im Kreis.

@viragomann
Das geht leider nur innerhalb einer Stunde nach dem Posting.

Ah ich war nur blind. Die Antwort steht direkt bei Reddit unter dem zitierten Beitrag, da war nur jemand zu faul zu suchen oder zu verlinken.

Statement von kphilips:

You know....you try to get a solid 8 hours of sleep and this is what you wake up to.....sips my cup of tea.....OK here we go:

There is no super secret backdoor into your firewall and we certainly aren't going to just remote into your firewall (even if we could) without your permission, whether on pfSense CE or pfSense Plus. Anyone who has ever opened a TAC ticket that required us to remote in to take a look knows that we explicitly ask for access via a firewall rule from a specific source subnet on our network or we do a screensharing session, whichever the end user is most comfortable with. And if they're not comfortable with either, we do our best to accommodate.

The point I was trying to make with the iTunes joke is that legal verbage is a funny thing. Kind of like those funny laws you hear about in a random town in Minnesota where you're not allowed to have a shark in a bathtub on your lawn after midnight or whatever. As an outsider looking in, I'd imagine being a person in legal is a lot of CYA, so what I was TRYING to say is don't mistake a random line in a EULA as maliciousness.

I'm not a lawyer and nobody else that mods this subreddit from Netgate is either, to my knowledge. We're all volunteers who take time out of our day to provide answers to things like tech support questions. In fact, I'm responding to this right now outside of normal working hours for me. The reason I locked the other threads is because anyone here commenting on it, beyond what I've said, would be futile. Reddit isn't an appropriate place for these kinds of questions. If you're a Netgate customer who has questions about our products and the licensing for them, as I said, reach out to Netgate directly and ask. Our phone number and emails are right on our web site.

I get it. Reddit, and the internet at large, LOVES drama and burns it like a red hot coal engine running down the tracks at 500 mph, but Netgate isn't big brother and we're not putting backdoor software into your firewall.

I hope the above is enough to satisfy concerns. If it's not, I'm sorry and I encourage you to reach out via an appropriate channel. Like I said in my previous response I'm locking this thread as well (just like I said I would). Please refrain from trying to continue opening threads like this for the reasons above.

I sincerely hope you all are having a wonderful weekend and a great day. Take care.

Blumige Sprache beiseite gelassen, kurz zu den Punkten:

...remote into system...: Ja da hat er recht und das deckt sich mit unserer Erfahrung mit dem Netgate Team und den Supportern. Wenn die wirklich mal access anfordern (und das tun sie im Ticket gezielt nachdem sie Infos vorher anfordern etc., da wird nicht einfach gesagt ja wir machen alles selbst) dann gezielt von ihrem Support Subnetz und mit einem Extra User für sie damit es nachvollziehbar bleibt. Oder es gibt nen Screenshare mit dem Supporter. reach out to Netgate: Auch nicht falsch, wenn man eine EULA nicht abnicken will oder fragen dazu hat, dann meldet man sich eben bei der Firma. JA, natürlich kann man jetzt anführen, dass sie es doch einfach alles selbst hier posten sollen, aber ganz ehrlich, es wird gerade im Zuge der Plus Migration wieder so viel FUD und Kram betrieben, dass das mehrere Vollzeit Jobs wären, jeden Tag hier im Forum+Reddit+Twitter+whatever jede Sorge und jedes Gerücht zu entkräften. Und dann hat man noch die Aluhüte, die dann die Entkräftung nehmen um zu sagen "ja das wird jetzt aber extra hart dementiert, da MUSS dann ja was dran sein!!11elf". Ist halt wie die Covid-Diskussion, wenn jemand "seine Meinung" hat, wirst die Diskussion unsinnig, die Person findet dann immer irgendwas um sich ihren Standpunkt zu bekräftigen.

Auf einen Punkt muss ich aber hinweisen:

@nonick said in pfSense 2.6.0 oder pfSense+:

Evaluator agrees to provide Netgate personnel full and free access to the Product, including remote access, subject to the Evaluator’s security regulations, for the purpose of observing the testing and performance of the Product.

Da wird bspw. explizit genannt "Zugriff auf das Produkt - gemäß Vorgabe/Maßgabe/Security Policy des Testers! - zum Zwecke der Begutachtung des Tests und der Performance des Produkts.
Gemäß den Vorgaben des Testenden ist hier im Regelfall der Knackpunkt. Wenn meine Vorgabe ist, mein Labor/Testumgebung ist heilig und da schaut keiner rein, dann schaut da keiner rein. Blöd gesagt.

Der Punkt ist, es geht in dem zweiten Punkt explizit um einen "Testenden". Evaluator. Meiner Ansicht nach sichert man sich da ab, dass man ggf. mal anonyme Metriken anfrägt o.ä. wenn man von ner (großen) Firma "diverse" Testlizenzen angefragt bekommt. Ständig. Viele. Wenn mir bspw. FORD o.ä. ständig Anfragen reinschickt "need pfSense Plus testing/eval license for our new lab in Canada...", "our new lab in Germany...", "our new lab in Tokyo...", dann würde ich da auch reingrätschen und sagen Moooooment mal! 30 Labore mit CARP (x2 Lizenzen) rund um die Welt die "alle testen müssen"?

Ich glaube nicht Tim! 😉

Und wie gesagt der erste Punkt mit dem Tracking/Disable Feature ist meiner Mutmaßung nach zweigeteilt.

wird es um die NID und die Token Generierung gehen, was ja u.a. dann bei Paketupdates als User Agent mitgeschickt wird, damit man unterscheiden kann ob die Kiste das Plus Repo verwenden darf oder nicht. Das ist ja völlig legitim, kann aber eben getrackt werden wie ein User/Pass in der Repo URL auch geloggt werden kann. Daher muss das auch ins Legal Agreement dass man das weiß denke ich, dass es auch um zukünftige Absicherung geht, da man ja bereits (indirekt) angekündigt hat, dass es später auch Dienste geben könnte, die man noch "on top" auf die Plus zusätzlich anbietet/verkauft und diese müssen ja auch über eine Möglichkeit verfügen geprüft zu werden, ob man "noch Kunde von Plus+SuperDuperBlocklist" oder nur noch "Plus" Kunde ist. Also muss es "enable/disable" von Funktionen geben.

Daher bin ich auch hier eher pragmatisch und sage "wird wieder viel Lärm gemacht um wenig Background".

Ich kann das Fass gern mal versuchen über den Partner Channel/Mail aufzumachen, aber ich denke wie ausgeführt eher, dass es hier um "Legaleese" (Rechtsverdreher-Arsch-an-die-Wand-Formulierungskram) geht als um hands down Drama Facts. 😄

Cheers und take care!
\jens

Was @viragomann sagt. Linux ist je nach Distro, GUI und Client vogelwild was gemacht wird. Auch bei den DNS Einstellungen. Jeder hat da was Eigenes. Bisschen nervig. Ich vermute da auch, dass schlicht der Linux Client einfach alles übers VPN juckelt weil irgendein Automatismus mal wieder überreaktiv ist oder irgendein Haken in der UI gesetzt ist, was die Settings vom Configfile/Client überschreibt. Wäre nicht das erste Mal :)

@hsrtreml Ticket bei Netgate aufgemacht dafür? Da ist meist innerhalb eines Tages der Download Link da. Für die 4860 ist es aber auch schwieriger ein Image zu bekommen, weil die schon lange EOS/EOL ist. Wenn sich aber niemand meldet, gib ggf. nochmal Bescheid, wir haben als Partner die Images ggf. auch schon direkt abrufen können.

Cheers

@fireodo Nicht unbedingt. Wenn der HW Watchdog wegen harter Limitüberschreitung ggf. direktes Powerdown anfordert, steht vllt. was auf der Konsole aber nicht unbedingt im Log wenn da alles abgeschossen wird. Dann ist keine Zeit mehr auf liebes Logging vom Temp Prozess zu warten ;)

Also gerade bei >80° klingt das sehr nach Thermikproblemen. Das ist einer der großen Schwachpunkte der APU/APUx Serie leider schon immer gewesen. Wenn die nicht sauber und akkurat mit dem Wärmepad und der Paste verbaut und verschraubt werden, gehen die extrem schnell über ihre Temp-Werte raus. Hatten da leider auch viel zu viel Rückläufer und deshalb angefangen die Boxen im professionellen Umfeld schlicht zu meiden. Wenn so ein Ding irgendwo in nem Schaltschrank verbastelt wird, dann kannst du da nicht alle 2 Wochen reinkrabbeln und neu starten o.ä. das muss laufen, egal obs mal 5-6° wärmer im Schrank ist. ;)

Ansonsten scheint es ja das Netzteil nicht zu sein - ich würde mit Wärmemessung das Ding im Auge behalten und die nächsten Tage schauen, klingt aber sehr nach Wärme.

Cheers

Ja, wobei die so viel CPU Power hat, die man ohne die Möglichkeit eine 10G Karte nach zu rüsten, gar nicht auf die NIC bekommt.

Das Teil ist also eher ein Hypervisor, bei dem dann x Sachen parallel drauf laufen und keine reine Firewall Appliance.
Denn dann müssten hier wie bei einer SG-6100er 10G NICs rein und die Leistung auf auf die Straße zu bekommen.

Moinsen,
so. Update via Neuinstallation und conifg.xml einspielen hat gut funktioniert. Im Nachgang mussten:

die Paketquellen angepasst werden, um verfügbare Pakete anzeigen zu lassen die Listen für pfblockerNG_dev neu eingelesen werden FreeRadius musste neuinstalliert werden, danach erfolgte das Starten desselben via console, da via GUI kein Start erfolgte (merhfach versucht, keine Ahnung warum, läuft jetzt aber)...die KOnfiguration blieb dabei aber erhalten alle bis auf eine Firewallregel wurden aus der config.xml übernommen, lediglich das Erlauben von DNS Anfragen für unbound musste neu angelegt werden.

Alles andere funktionierte sofort ohne weiteres Zutun.
Bisher läuft es seit 16 Stunden problemlos durch, alle Aliase, IPv4 und v6 Einstellungen am Start, openVPN problemlos.
Danke für die Arbeit...
:)

Grüßle
the other

Wobei ich es praktisch finde z.B. die 1.1.1.1 für das GW Monitoring zu nutzen, denn so ist dann wirklich sichergestellt das hier das Internet auch wirklich erreichbar ist.

Zudem sieht man dann auch schon was für einen verknotetes Routing der Provider hier schon mal abliefert.

@mike69

hab ich gemacht, pinge was anderes an, passt und nochmals danke für die vielen Hinweise, echt Klasse hier, das Forum meine ich!

in deiner Client Config solltest du mal :
Address = 192.168.255.253/24
setzen.
Die Peer Config in der pfsense aber so lassen wie es ist (/32)