@p54 Das kommt bei 443 tatsächlich ab und an vor und liegt dann ggf. eher an einer trägen Gegenstelle die dann noch Daten schickt, dabei hat die Firewall die Verbindung hier schon zugemacht und den State geschlossen. Ist jetzt gar nicht so sehr unüblich (bei anderen Ports dann schon eher) und bei 443/TLS/SSL kann es auch so mal vorkommen. Ggf. ist da auch ein sehr langer keepalive auf ner Webseite/Anwendung im Spiel der erst viel zu spät kommt.

PA ist ja als Flag "Push Ack" als gabs vorher nen Push bzw. ne Datenverbindung. Ggf. also ein langsamer Server, ein Paket was sich ggf. verirrt hat oder was virago schon sagt out of state/out of bound traffic bei Asymmetrie also das Routing geht verkehrt (über ein IF raus, übers andere rein o.ä.).

@haithabu84 said in pfSense 2.5 EEE Problem:

Die jetzigen Fehler sind aber alle so eher vermeidbar und in dieser Situation nie dagewesen. Einfache Dinge, wie robustes PortForwarding, da gibt es keine zwei Meinungen... das muss einfach laufen.

Das war aber kein "einfaches" PFW, sondern spezifisch nur bei MultiWAN / multiplen GWs. Könnte man auch als Spezialkonfiguration sehen, der normale Kunde hat nicht unbedingt mehrere Leitungen.

Du kannst mir auch nicht erzählen das mit der Einführung von der Community und Plus Edition hier nicht ganz klar ein finanzieller Aspekt zum Nachteil der Community verfolgt wird. Hier werden grob gravierende Unterschiede Einzug halten zwischen diesen beiden Versionen, als wären es zwei völlig neue Produkte.

Ich erzähle gar nichts, ich sage nur, dass das vielfach nur einfach Hörensagen und Meinungen sind, die hier gepostet werden. Tatsächlich verwertbare Punkte konnte ich bislang noch keine finden. Es wurde/wird gefixt mit entsprechender Manpower egal ob bei Plus oder CE, ansonsten gäbe es jetzt keine 2.5.2 in der Mache. Das jetzt als Aufhänger zu nehmen weil ein Release daneben ging, ist IMHO quark.

Hätte man die Community zu Beta-Testern gemacht und dann die Plus Edition als Stable nachgezogen, alles andere sonst gleich, dann würde niemand was sagen. Aber hier wird eine Version, scheinbar bewusst, abgeschwächt um die Leute ins Abo oder zu den eigenen Produkten zu drängen. Aber das wird das Anfang vom Ende.

Wo wird hier eine Version abgeschwächt? Nimmt dir jemand Features aus der CE? Nein. Es wurde klar angekündigt "Plus bekommt Firmen/Enterprise Features nach und nach". Hat sie noch nicht mal. Ich sehe da also keinen Grund jetzt ein Drama vom Zaun zu brechen wenns noch nichtmal nen Grund dafür gibt. Der kann noch kommen - natürlich. Aber aktuell ist es quatsch.

Und ob das ein kluger Move ist oder nicht, die Plus "schneller" upzudaten bzw. zu entwickeln und neues dort einzubringen sei dahingestellt. Aus Sicht der Hardware - wie in deinem erlebten Fall in deinem OP - ist GENAU das der Sinn. Man hat eine sehr schmale Hardware Palette: ARM #1, ARM #2, Atom C3xxx und Xeon-D 1st gen aktuell. Mehr nicht. Heißt ich kann extrem gut abgestimmt für genau diese Umgebungen testen und bauen. Ich kenne definiert welche Accelerator drin sind, ich weiß welche NICs verbaut sind etc. etc. - Aus Entwicklersicht macht das also völlig Sinn. Dass es nicht das ist, was man sich im OSS Umfeld wünscht à la Proxmox oder bspw. auch RedHat/Fedora ist ein anderes Blatt.

Abo oder zu den eigenen Produkten zu drängen. Aber das wird das Anfang vom Ende.

Spekulation über ein "Abos", das weder angekündigt noch bestätigt ist. Da diskutiere ich nicht, solange keiner weiß wie "Plus" überhaupt später für Whitelabel Boxen gekauft/zugebucht werden kann. Bis dahin sind es nur Unterstellungen. Zumal schon länger klar/bekannt ist, dass man als Prosumer/Poweruser oder im Lab die Plus problemlos kostenfrei bekommt - wie auch TNSR, was es sonst nur als "payed product" gibt. Da zu unterstellen, dass sie nur Geld schneidern wollen ist etwas weit hergeholt. Ne unlimitierte Lab/Testversion will ich von anderen Herstellern erstmal sehen - die richtig Kohle mit ihrem Produkt ziehen wollen.

Von der beobachteten Problematik um die Einführung von WireGuard-Code von Netgate ins FreeBSD, fange ich gleich gar nicht erst an...

Wird besser sein, denn da war Netgate selbst ja nur Randbeteiligter. Komisch dass aber da keiner mit Fackeln und Heugabeln Sturm gegen den WG Code Entwickler oder gar die FreeBSD Kernel Member läuft, die nach 4 Augen Prinzip den Code einfach in den Kernel reingewinkt haben. Ist selbstredend viel öffentlichkeitswirksamer, wenn man hinterher gegen den Sponsor schießt, der Geld in die Hand genommen hat um das Feature einzukaufen weil damals keine Sau interesse dran hatte es zu machen. Aber yay, wenn jetzt der Erfinder selbst kommt und alles rettet, dann sind ja garantiert alle anderen die bösen Buben - Fall geklärt :D Zynisch? Sarkastisch? Jap. Nicht gegen dich, aber gegen die Situation per se und alle, die da nur tumb mit dem Finger auf pfSense und Netgate zeigen. Das war in der Fuckup Kette ein eher nachgelagertes Glied. Aber dazu hatte ich im WG Thread schonmal länger mit entsprechenden Links was zu geschrieben. Das jetzt hier anzubringen ist aber falsch abgebogen.

Btw: Letzte Chance für pfSense... das Update auf 2.5.2 und ich werde jetzt mal die Kiste von Grund auf neu machen, also ohne Tweaks oder Config-Anpassungen. Dann mal schauen wie es läuft.

Kann man so machen - keine Frage. Da ja gern OPNsense als Vergleich eingeworfen wird - joa. Gern. Aber denen steht das Update auf FBSD12 auch noch bevor, man verabschiedet sich dazu von Hardened BSD als Zwischenlayer und schraubt gleichzeitig an der UI. Das ist toll und bringt das Ding natürlich voran, aber dafür knallt es auch ständig an allen Ecken und Enden. Wenn das besser gefällt - klaro - let's go. Hat aber auch nen Grund, warum ihre neue Business Edition mit den Builds hinterherhinkt - damit es eben nicht ständig scheppert ;) Und da ich dort genauso das Forum manage wie hier und wir Kunden in beiden Feldern haben - da gab es das auch schon oft genug, dass - was du so schön "einfache Dinge" nennst - einfach mal in einem Minor Update geflogen und explodiert sind. Und auf Rückfrage kam dann sogar "das war so gewollt, das ist ein Feature". Ja supi :)

Man kanns eben nicht jedem recht machen. Die einen schreien weils nicht schnell (genug) geht, den anderen ist es nicht langsam/stabil genug - irgendwo ist immer nen Kompromiss drin. Sei es bei der Entwicklung, Wireguard, Updates, etc. etc.
Vielfalt ist für alle gut und wer ein wenig in der Entwicklung drin steckt weiß, dass solche Zeiten/Bugs scheiße sind, aber manchmal ist eben der Wurm drin. Das gefällt den Entwicklern selbst am allerwenigsten. Die würden sich jetzt sicher auch gern auf neue Sachen und Updates konzentrieren statt Regression Bugs suchen und fixen zu müssen die eigentlich schon abgeschlossen gedacht waren.

Nochmal zur Klärung: ich halte Kritik für wichtig und richtig, aber meckern und Extremente werfen ist unnötig. Zumal wenn es pure Gerüchte oder Gefühle sind.
Dein "einziges" Problem im Threadstart war zudem "das Interface hängt/geht down" bei einer Interface/HW nahen Aktion die treiberbedingt sein kann. Verstehe immer noch nicht was daran jetzt so schlimm ist/war, dass das so ein Faß werden muss :)

@jegr Guten Morgen,

ja dies war auch mein erster Gedanke das das am DNS liegen könnte und ein Timeout ausgeführt wird, bzw. dem UpdateCheck geschuldet sein kann - diesen habe ich auf "nicht prüfen" gesetzt und neu gestartet. Leider mit dem selben verhalten, danach bin ich unter generals gegangen und hab den DNS Eintrag dort entfernt -> Neustart und wieder selbiges.

Nachdem ich dem Verweis gefolgt bin "auf das Umbiegen im Resolvers" wie im Link zu sehen hat es dann zum Ziel geführt. Warum erst dann ist eine gute Frage. Es gab aber dazu auch schon mal einen redmine Eintrag aus 2020 glaube ich.

Jedenfalls bin ich jetzt entspannt, da alles theoretisch so funktioniert wie ich es mir wünsche mit dem Recovery, jetzt steht nur noch ein live Test an. :)

VG und in freudiger Erwartung auf V2.5.2

@jegr Erst noch mal danke für die Mühe.
tatsächlich habe ich es von Anfang an so gemacht, wie du beschrieben hast und es hat einfach nichts funktioniert.
Ich habe danach alles Mögliche und Unmögliche probiert, aber ohne Erfolg.
Ich hatte auch schon einen "klassischen" P2-Tunnel aufgebaut, wo sich die gegenstelle geweigert hat diesen abzunehmen (obwohl es funktioniert hat).
Das klassische IPSec benutzen wir aber noch für eine Standortanbindung und kann ich auch nicht so ohne weiteres Ändern.
Aktuell probiere ich, dass der Server bereits mit der geforderten IP-Adresse bei der pfSense ankommt.
Entweder über ein zweites Interface oder das eine andere pfSense das NAT macht und dann weiter routed.
Naja, mal sehen, was funktionieren wird.

@jegr said in Woher kommen die statischen Routingeinträge:

Wenn es Firmenbezogen ist und es da kritisch sein sollte wegen Datenaustausch: dann gib ggf. per Mail oder DN Bescheid und kontaktiere meinen Kollegen, dann können wir auch kurzfristig ne Stunde Support o.ä. ganz offiziell einplanen mit entsprechenden Datenschutz und Verschwiegenheitserklärungen>
\jens

Das macht vermutlich Sinn, ich kläre es ab und melde mich

...Alex

@viragomann Wahrscheinlich mal in System/General die Zeitzone geändert aber seither nie rebootet und die Logs nicht neu schreiben lassen.

Ist btw in 2.5 wirklich wesentlich besser, da hier dann auch keine CLogs mehr am Start sind, sondern default Textdatei-Syslogs und da ist ein Reset mal schneller gemacht ohne gleich alle Logs ins Nirvana zu blasen :)

@viragomann Danke für deine Unterstützung und die kompetente Erklärung.

@viragomann ja genau OpenWrt ist das.

Danke für die Info.
Ich versuche mich weiter.

@heinzk said in captive portal mit http funktioniert nicht mehr mit NB oder PC:

und im Browser steht nur etwas von unsicherer Website.

was steht da genau? Irgendwas wirds nicht sein :)

Ich tippe darauf, dass da an irgendeiner Stelle was falsch konfiguriert war/ist und entweder HSTS ausgeliefert wurde und damit der Browser sofort auf HTTPS springt und damit dann irgendwas nicht mehr auflösen kann oder es einen seltsamen Redirect gibt.

Ja die neue Version ist unter der Haube halt ein wenig optimierter und damit schneller.

Das wundert mich jetzt nicht.

@flole Voila: GIF interfaces should be reconfigured when IPv6 address of a WAN-Interface changes

Das Problem wurde m.E. nicht wirklich beseitigt und wegen des echten DualStacks (was ich später nachgebucht habe) habe ich das Thema nicht weiter verfolgt.

@jegr
Nein, wie drunter beschrieben:
On local area network interfaces the upstream gateway should be "none".

@jegr Ich habe den Hacken nun rausgenommen. Werden dennoch die neuen PCs, die sich eine DHCP Adresse holen im DNS eingetragen oder muss ich das nun selber machen?

Mit welchem Eintrag kann ich den DSN Cache den anpassen?
Ist das der Wert "Anzahl an Hosts welche zwischengespeichert werden"

Schönen Abend Wünsche ich

@nocling said in Wireguard zurück als Paket:

Melde dich, dann bohren wir nen Tunnel 😊

Ad tunnel bohren bin ich dabei

@eklasen

bitte einen grafischen netzwerkplan hast du mal versucht einen portforwad einzurichten und geschaut ob es von extern geht? bist du dir sicher das du dualstack hast und kein ds-lite? welcher provider?

@dogfight76 bitte mal einen netzwerkplan

@nocling
das ist ja interessant, ich sollte dann unser Backup doch mal etwas belasten!

Sieht fast so aus. Ich habs dann doch klassisch gehalten und die IP Ranges kopiert und per Massen Import im Alias hinterlegt. Sollte es in Zukunft doch aufwendiger werden wegen fehlenden IPs muss ich mich wohl mit dem Support auseinandersetzen zu diesem Thema. Danke für die geistige Unterstützung.

@achim55 said in multi-WAN load balancing LTE:

Am liebsten wäre es mir mit einer internen Karte die ich auf das Board stecken kann und die die SIM aufnimmt.

Nö, das wird AFAIK nichts. Ich kenne keine MiniPCI / miniPCIe Karte die intern verbaut wird, LTE kann, externe Pigtails anspricht UND dazu noch unter FBSD12 läuft.
(Kommt zudem STARK darauf an WELCHE PCengines hier gemeint wird. Das kann jetzt von WRAP, ALIX, APU1, APU2-3 so ziemlich alles sein...)

Mobiler Router oder ein halbwegs vernünftig agierender USB Stick wären da die sinnvollere Option, da die meist besser angepasst und aktualisiert werden können.

Gibt es eine Karte für das Board für die Nutzung einer SIM-Karte?

AFAIK nope.

Wie sind eure Erfahrungen mit Freenet-Funk

Kenne ich nicht

Habt ihre eine Empfehlung für die Hardware für ein mobilen Router

Hängt ja immer schwer davon ab, was auch der Kartenanbieter/ISP vorgibt oder wahlweise anbietet. Solang man da was brauchbares findet was am Besten kein WiFi Geraffel ist, sondern ne ordentliche RJ45 Buchse hat, sollten wohl die meisten da mitspielen. Sobald die selbst nen (mini)Router haben, ist es nur noch relevant, ob die Kiste nen ordentliches Transfernetz stellen kann und danach wird sie einfach genauso behandelt wie jeder andere vorgeschaltete Router auch. Wenn man auf AVM steht, gibts ja inzwischen sogar reine LTE-Boxen von AVM zu relativ günstigem Preis.

Cheers

@slu said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:

@one
es gibt noch keine neuere Version als die 2.5.1 oder was genau meinst Du?

Naja wenn er Tunnel in der 2.5.2 meint, die sehen bislang brauchbar aus. Aber ich habe sicherlich keine zwei Dutzend Tunnel zu unterschiedlicher Hardware dass ich konkret sagen kann "X, Y und Z laufen, A nicht" :)

Ich bleib da eher beim Diesel-Zitat aus Pitch Black: "Sieht OK aus!"

Hey @noplan ,

Zu A = Einfach das Geode Combined Image auf eine CF gebrannt 👍 , wie gesagt, jetzt ist das Alix nur noch mein SmartSwitch um den einen Port des MacMini auf 2 zu splitten. Mit OpenWRT rennt das kleine teil wieder 😁

Shalla also in den pfBlockerNG ja? Kann ich dann noch die Kategorien trennen, oder gibt es getrennte Listen?

Zu B = Momentan per Proxy, der kann das nach Wochentagen regeln (So-Do kürzer, Fr-Sa länger), der Firewall-Zeitplan wollte direkt irgendwelche Datumsangaben von mir.

Zu C = Zum Beispiel die EmergingThreats Listen und weitere von raedts.biz. Außerdem noch ein paar PiHole Listen für den DNSBL um Android Werbung, SmartTV-Gedöns und CoinMining einigermaßen auszusperren. Das ist weniger für die Kinder, als für ein angenehmeres Erlebnis an den Handys usw. 😳

Zu D = Ich war nie Fan von transparenten Proxys und Datenverkehr aufbrechen. Ich lasse den Proxy bewusst per DNS/DHCP per WPAD ausrollen oder trage ihn notfalls von Hand ein. Das klappt bisher ganz gut, auch an anderen pf-Boxen. Am eigenen Handy scheitert es zwar am Opera Mobile, aber der Proxy dient zu Hause ja ohnehin hauptsächlich den Kindern, da kann ich das regeln. Daher ist HTTPS mMn kein Problem.

Ich nutze, für die Kids, nicht den DNS der pf, sondern lasse an den Endpoint direkt die DNS-Server von JUSPROGDNS liefern. Da gibt es jeweils 2 IPs für verschiedene Altersgruppen. zum Beispiel 0-6, 6-12 Jahre usw. Ein ganz kleines bisschen kann man den DNS-Dienst anpassen über einen gratis Account und DynDNS. Der Dienst behauptet, nur selbst kontrollierte Seiten mit aufzunehmen die dem Alter entsprechen. Was also durch den Squid sickert, könnte womöglich der DNS Dienst nicht auflösen, oder umgekehrt. Der Squid, als auch JUSPROGDNS, haben mein SafeSearch irgendwie nicht umgesetzt. Ich konnte ganz normal umschalten auf unsichere Suche. Daher sperre ich momentan "Searchengines" aus und habe stattdessen eine Whitelist für fragfinn und 2-3 weitere gesetzt. Auch der Redirect führt zu fragfinn, falls man eine gesperrte Seite öffnen wollte. Das Ganze soll Schritt für Schritt natürlich gelockert werden, ist auch mit den Kindern so besprochen. Funktionierendes & erzwungenes SafeSearch wäre hier ein großer Schritt in die richtige Richtung.

Zu E = Nun ja, die Version, die mit 2.5.1 ausgeliefert wird. Ich dachte, man muss den Python-Mode erst aktivieren? Da der pfBlockerNG eher dem Komfort dient, sind die Listen womöglich wirklich nicht sehr umfangreich. Als Kindersicherung lässt er sich nicht einspannen, dann sperrt er wieder zu viel bei allen anderen Geräten im Netz. Außer den Kids, nutzen alle Geräte den DNS der pf, gefüttert vom DNSBL. Die Kinder nutzen vorrangig die Filterung vom Squid. Das ist vielleicht nicht ganz optimal? So ist aber zumindest keine Werbung im Smart-TV und fast keine in den restlichen Geräten. Da wir durchaus mal die Mediatheken nutzen, bekomme ich sonst die Werbung im Tv nicht weg und den Kodi für Mediatheken zu verwenden ist mir zu unhandlich 😌

@bon-go Ich weiß, ist in so einer Situation natürlich nervig. Und die Idee war ja gut. Woran das jetzt klemmt ist nur leider schlecht zu sagen, da es bei anderen Setups ja leider läuft. Schwierig :/

Are you sure, that's the right place to post? You are in the german subforum where normally every post is german (wir schreiben deutsch).

I think that post would be better suited in the ACME/HAproxy package subforum.

hi @pasu,

da du die Tunnings befolgt hast, gab es keine Besserung?

Unter System > Advanced > Networking solltest du diese nur beiden Flags mal testen:
Flags bei Hardware TCP Segmentation Offloading & Hardware Large Receive Offloading

reboot.

Bei Vodafon musst du DHCP im Interface aktiv lassen (IPv4 Configuration Type) und über die Homepage den Modus ändern falls nicht getan. Für das Vodafon-Interface musst du auch Speed und Dublex dann auf "Default..." gesetzt lassen. Dieser handelt für sich den Mode dann schon richtig aus.

VG

Vielen Dank euch beiden, ich habe nun eine grobe Richtung. Werde mich noch mal melden, wenn Glasfaser freigeschaltet wird... Danke

@pressakey Schön dass es geklappt hat.

Trotzdem gibt es für mich keinen sinnvollen bzw logischen Grund heute Bridge Tap Tunnel so zu nutzen oder zu bauen. Die Gründe würden mich da interessieren. und mit längsten hat das nichts zu tun sondern mit sauberem Netz und Debugging sowie ARP und L2 was dadurch nicht gegeben ist. Da braucht man schon sehr gute Gründe.

Cheers

@viragomann Besten Dank für deine Antwort. DNS Override wäre meine zweite Wahl gewesen, aber die NAT reflection macht auch ihren Dienst. :-)

@jegr said in 2.5.2-Beta: Test für MultiWAN Problem:

@slu Ist eigentlich nach meinem Verständnis nicht per se ein Bug. Wenn die Kiste auf DHCP/DHCP6 default eingestellt ist, und auf dem LAN logischerweise dann auf static IP/Track IF dann für IPv6 fähige Geräte bereitstellt, dann muss auch DHCP6 laufen für DNS Unterstützung etc.

Ich würde dir zustimmen, aber auf der System war nie ipv6 aktiviert und ist es auch nicht.
Evtl. kommt das aber darauf an wann die pfSense installiert wurde und wie damals der Default war...

@nocling Weil Distributor und Distris machen den Händlern selten die Preise kaputt ^^

@nocling @JeGr

Fenstertag

@mabinogion said in Serverfreigabe:

Test durchgeführt -> Keine Pakete

Wo? Am WAN?
Wenn ja, solltest du mal die Teile davor untersuchen.

Architektur:
Fritz Box Unitymedia (heute Vodafone)
pfSsense
Client
W10 VM

Hast du auf der FritzBox die Pakete weitergeleitet?
Wenn alles auf die pfSense weitergeleitet werden soll, wäre diese als "Exposed host" oder DMZ zu setzen, wie immer das auf dem Router heißt.

Darf ich diesen Post ein paar Tage stehen lassen bis ich wieder etwas Zeit frei bekomme?

Dieses Forum ist so geduldig wie Papier. Da kann man auch in 10 Jahren alte Threads posten, die Sinnhaftigkeit mal nicht in Betracht gezogen. 😃

@jegr Neustart des Service schreibt die in der OpenVPN Page definierten Daten (also auch das CA File) neu, Reboot bereinigt zusätzlich den Ordner was einer Löschung der manuell 'beigelegten' Files gleichkommt.

Ich habe mal mit Deinem Input bzgl. der Dateinamen gespielt und habe jeweils von alter und neuer CA die Dateinamen übernommen. Habe aber daraus keine neuen Erkenntnisse gewinnen können

Auch hier ein herzliches Dankeschön für die schnelle Hilfe.
Gruß
Martin

@viragomann
Das Leben kann so einfach sein. Danke für Deine schnelle Unterstützung.

Gruß
Martin

Software nicht, aber eine Konfigurationsdatei, die ein Mensch lesen, verstehen und nach eigenen Wünschen einfach anpassen kann, hat gewisse Vorteile.

@nocling außer topic editieren und reinschreiben nicht

der Tunnel ist s2s (s. Threadtitel)
Zugriff nur auf die Fritzbox würde mir erstmal reichen
aus dem Management LAN von Standort A

also Outbound NAT für den Rückweg
funktioniert!
Danke :)