@benjsing Ich hab das bei mir etwas anders aufgebaut und daher mehr VLANs:

1 - ist tot, gibts nicht damit keiner Blödsinn macht 99 - Management, da ist alles mit Console, Management UI etc. drin. NAS UI, Proxmox UI, etc. (würde ich heute anders nummerieren, prinzipiell aber egal) 123 - Gast/WLAN: bekommt Internet, sonst nur Minimalzugriff und DNS und für bestimmte Clients (via WPA2-Enterprise Auth) Dashboards (IoT HA). Alle anderen nur WiFi/Internet mit geblockten IPs und gefiltertem DNS (via Infra DNSen) 270 - Infrastruktur: 2x DNS, Automatisierung, Monitoring, Logging, NAS, alles was zentral gebraucht wird 271 - LAN: Clients, meistens PCs oder Laptops, ggf. auch per WiFi und WPA2Ent Laptops. 272 - IoT: Kram der hoffentlich kein Netz braucht, HomeAssistant Control, MQTT, etc. 273 - Media: Kram der ganz sicher Internet braucht. Streaming Gedöns, Sonos Boxen, AndroidTV/Chromecast und so'n Kram 274-276 - Labs / frei 277 - Work: abisoliertes Testnetz mit direkter VPN Strecke zur Firma, nur aus dem Netz erreichbar, company DNS etc.

Daher keine so starre Einteilung aber durch WPA2Ent und Radius based VLANs pushe ich die Clients dahin wo ich sie haben will.

@achim55 said in Umbrel und DMZ:

PfSense läuft auf einem PC Engines ALIX Board, mit drei mal LAN.

ALIX? Sicher?? Die ist uralt und überfordert und kann kein 64bit. Ich zweifle das stark an :)

@achim55 said in Umbrel und DMZ:

Im LAN läuft ein Raspberry mit Umbrel OS der von außerhalb erreichbar ist.

Wie? Portforward?

@achim55 said in Umbrel und DMZ:

Ich weiß jetzt nicht wie sicher diese Konstellation ist und wollte den Raspberry an die dritte, noch freie, Schnittstelle von dem ALIX Board hängen. Hier dann ein DMZ damit er vom LAN getrennt ist.

Spräche nichts dagegen :)
Kommt halt drauf an was/wie/wo man erreichen will. Dann Regeln entsprechend und gut :)

@nocling

heute Morgen hat es wie durch ein Wunder von selbst geklappt. Ne Nacht drüber schlafen hilft also doch ;-)

@fireodo said in PFsense auf ZBOX CI625 nano?:

@slu said in PFsense auf ZBOX CI625 nano?:

@toddehb said in PFsense auf ZBOX CI625 nano?:

Diese Kisten sind geil. Pfsense ist sogar in der Version 2.6 vorinstalliert.

Und das macht dir keine Sorgen?
Das Teil kommt aus CN und pfSense darf überhaupt nicht vorinstalliert verkauft werden.

Würde ich auch nicht trauen - pfsense ist das Kernstück eines Netzwerks, da sollte man schon achten dass nur die richtige Installation in Frage kommt. (SHA256 Checksum usw.) Ich würde von Grund auf neu installieren.

Meine 2 Cents,
fireodo

Habe die Kiste mit dem offiziellen Image neu aufgesetzt. War mir dann doch zu unheimlich ;-)

@micneu said in Pfsense mit OpenVPN Client. Alles wird über den Tunnel geroutet, soll aber nicht:

@viragomann nach welcher anleitung hast du es denn gemacht, ich hatte auch mal nordvpn, ich glaueb irgend wo mal gelesen zu haben das die das so konfigurieren, wenn du weist was du tust kannst du an dem enstprechenden punkt einfach anders machen.

Sehr wahrscheinlich mit der Anleitung von NordVPN.

Dazu muss ich leider sagen: ich hatte mir die angeschaut. Bitte baut das NICHT nach der Anleitung von NordVPN - das ist eine einzige Katastrophe. Wer auch immer die zusammengeklickt hat(te), hat keinerlei Lust oder Ahnung von *sensen gehabt. Alleine was nach "deren Definition" alles in die Adv. Options rein muss, ist kompletter Nonsense. Plus ihre Doku macht genau das: den kompletten Traffic via NordVPN raushauen obwohl das Dokument eigentlich NUR heißt "NordVPN mit pfSense einrichten" (oder so ähnlich). Hatte das vor einem halben Jahr o.ä. mal geprüft weil ständig seltsame Berichte kamen und das ist eine einzige Vollkatastrophe gewesen. So macht man das leider nicht :/

Cheers

@swk said in Über OpenVPN sind Clients ohne Standard Gateway nicht erreichbar:

Der springende Punkt ist jetzt nur, dass man solch eine Kundenmaschine (zB 192.168.0.251) im internen Netzwerk erreichen kann und über das VPN nicht. (unsere Firewall==VPN Server) Sobald die Kundenmaschine aber dann mal zum Test temp. einen 2. Gateway (zB 192.168.0.1) auf der 2. Karte eigentragen bekommen, dann kann ich diese Maschinen auch aus dem VPN erreichen.

Soweit ich das gerade ohne groben Netzplan vom Flow verstanden habe und @viragomann auch schon schrieb ist das alles lediglich eine etwas verkorkste Design/Architekturfrage und ein Routingproblem Wie schon gesagt ist das VPN Subnetz von der Einwahl den Maschinen nicht bekannt, sie schickens über das Default GW raus und das wars dann.

Wenn ihr dann nochmal davor eine (andere) Firewall habt, könnt ihr das entweder ausgleichen, indem ihr dort direkt eine Route nach innen macht (wenn die externe FW mit euren internen Netzen irgendwie verbastelt ist), oder ihr müsstet - was unschön ist - die ganzen Kundenkisten mit ner zusätzlichen Route ausstatten.

Alternative: Ihr NATtet die OpenVPN ausgehend zu den Kundenmaschinen auf eine andere IP der pfSense, die von den Kundenkisten aus gesehen/erreicht werden kann (ohne extra Route). Dann seht ihr zwar auf den IIS Mühlen nicht mehr direkt welche VPN IP ankommt, sondern nur noch die NAT IP, aber dann sollte es auch ohne zusätzliche Route klappen.
Wie gesagt das ist nur "der Normalfall", wie das in eurem spezifischen Netzaufbau aussieht kann ich nicht 100% sagen, da ich die Architektur nicht ganz durchschaue.

Es klingt aber auch so, als ob eure IIS Kisten dann via 2. Interface eure Firewall unterlaufen indem sie "hinten raus" zu euch direkte Verbindungen aufbauen. Das kann man machen, aber aus einem Security Sichtpunkt ist das nicht sehr schön, da ihr hier ein Breakout baut der nicht durch die Firewall davor geschützt ist und dem explizit vertraut wird. Zudem sehen sich je nach Setup die Kisten dann über dieses Interface auch oder können Verbindungen aufbauen die sie nicht sollten.

Da würde ich ggf. nochmal eine Runde mit einem Netzplan drehen und mit den Kollegen oder ggf. auch mit "Sicht von außen" das einfach mal durchgehen, ob man das nicht optimieren könnte oder ggf. sinnvoller aufbauen. :)
Machen wir/ich z.B. relativ häufig für Kunden.

Cheers
\jens

@pixel24 Mal ganz ohne doofe Antwort zu

Hat das irgend eine Bewandtnis?

Das eine ist die Ausgabe mit erfolgter Reverse DNS Auflösung, bei der anderen fehlt das. Das kann jetzt 2 Möglichkeiten haben, entweder hat der zweite Host keine rDNS Einträge oder sie konnten ggf. nicht geladen werden (oder es gab dabei Probleme). Zumindest wurden Sie dann eben nicht dargestellt.

@pixel24 said in Ping "von" manchmal IP, machmal Host:

Wenn ich von meinem Clinet (Linux-Mint 20)

Gerade bei einem Linux wird inzwischen ja gerne nicht mehr nur DNS gemacht, sondern lokal noch ein DNS Agent entweder mitinstalliert, oder man hat eh schon systemd und den ganzen Geraffelbaum an Spaß mit dabei. Dann läuft meist auf der Kiste noch ein eigener Resolver/Forwarder/Cache, der die Einträge cached und/oder auflöst. Das kann dann in diesem Szenario auch mit reinspielen.
Ohne ein wenig tiefer da reinzugehen würde ich jetzt erstmal sagen ist kein großes Problem, ping macht man beim Debugging eh gerne mit -n für unterdrückte Namensauflösung damit man ggf. keine Wartezeiten auf DNS hat - oder ne Ausgabe bekommt wenn der DNS down ist.

Wenn du mehr Phänomene hast, dass dein DNS vllt. nicht so will wie du möchtest, dann müsste man das ggf. auf der Sense - wenn sie dein DNS ist - näher beleuchten und schauen was läuft und ob es Probleme, Aussetzer, Neustarts o.ä. gibt.

Cheers

Keine Ahnung wo da der Bug ist. Vielleicht hat ja
jemand noch nen schlauen Tipp.

|=Also es verhält sich meiner Meinung nach so, dass zwischen der Sophos Firewall und der pfSense sich die DMZ befindet.

Und dort sollten dann die Server stehen die die einen permanenten Kontakt zum Internet haben und hinter
der pfSense sollte dann eigentlich das sichere LAN sein.=|

Dobby

So Teil 1 abgeschlossen :)
Internet geht ohne Fritze. Teil 2 mit Portierung der Rufnummern in 3 Wochen (ob das aus so einfach wird.....)

Vielen Dank für euren Input!

Scheint ja jetzt wirklich eher ein kosmetisches Thema und kein Problem zu sein.
Ich werde das bei Gelegenheit einfach mal über die GUI über zusätzliche DNS Server Einträge versuchen, bzw. wenn das nichts bringt dann aus dem xml-File rauslöschen und dann so zu importieren...

Es eilt ja nicht.. 😃

@bob-dig said in Wireguard Newbee Fragen:

@toddehb said in Wireguard Newbee Fragen:

Yo, das ist mir durchgerutscht. Mist. So klappt es jetzt auch :-)

Na supi, dann waren ja die Mühen auf allen Seiten nicht umsonst.

:-) Dir besten Dank für die Unterstützung 👍

@bingo600 Removing is not an option - Nein, ist natürlich nicht ideal, aber warum nicht? Die Regeln gehen nicht verloren sondern bleiben vorhanden auch wenn das Interface temporär weg ist. Ist ja bei 2.4.x auch so dass das Ruleset nicht gelöscht wird. :)

Aber ja, scheint so, dass das schon gefixt wurde, ich kanns zumindest nicht konkret nachvollziehen.

@megalukas Aah jetzt :) Ich dachte jetzt du meinst Ports in der pfSense selbst (was bei bspw. der 2100 möglich gewesen wäre) aber klar, dann war das wohl ein Layer2 Problem :)

@unbekannt3 said in LWLcom DSL IPv6 über DHCP kein renewal:

Die Sense bekommt eine Adresse aus einem /64er Subnetz am WAN Interface zugewiesen und darauf dann mein /60er Subnetz geroutet, beides mit einer lifetime von 300.

Warum? 300er Lifetime hört sich für mich nach Quatsch an und viel zu kurz. Wenn ich da auf bspw. einer Fritzbox nachsehe, was da das Default Verhalten ist bei DHCP6 dann sehe ich da Zeiten in der Größenordnung 48h als Lease Time runtertickern. Zumindest wesentlich mehr als 300s. Das hört sich da schon entweder nach einer seltsamen/falschen Konfiguration an oder dass der ISP da Murks macht.

Da würde ich nochmal beim ISP selbst versuchen jemand technischeren an die Strippe zu bekommen, denn das klingt nicht gerade sinnvoll.

Cheers
\jens

@bob-dig das hat schon mal geholfen :) Die OpenVPN Server laufen wieder. Clients verbinden sich auch. Komm bloss noch nicht drauf. (Komm wieder drauf)

@gtrdriver said in Pfsense mit mehreren WAN´s /öffentlichen Ip´s - wie ausgehende "route" definieren:

Aber was ist mit Traffic der "nur raus geht" - also der Client im LAN möchte ohne dass er angerufen werde raus telefonieren - dann weiß er doch aber (sofern er in einem LAN hängt an dem mehrere externe IP´s hängen) nicht über welches er raus gehen soll

Telefonie ist zusätzlich nochmal ein ganz anderes Thema weil hier sehr oft andere Punkte noch mit reinspielen:

VoIP ist sehr oft Line-gebunden weil bspw. Telekom keine VoIP Anfragen via anderer Leitung annimmt, sondern nur aus dem gleichen Netz VoIP nicht einfach "so raustelefoniert", sondern es eine SIP Anmeldung gibt und dann logisch auch der Anruf über die gleiche Line wie der Login laufen muss

etc .etc.

Das ist ein extrem unpraktisches Beispiel, denn gerade bei SIP/VoIP gibt es oft kein Möglichkeit da ein Failover zu bauen aus den Restriktionen und Eigenheiten des Protokolls.

Wenns um Surfen o.ä. geht also die Verbindung von innen aufgebaut wird und es keine policy-based rules gibt, die irgendetwas anderes sagen, wird die Verbindung immer über das Default GW aufgebaut. Man kann aber als Default GW auch ein Failover GW (KEIN! Loadbalancing GW) hinterlegen, dann wird ein Fall wie "Line 1 down" eben problemlos abgefangen ohne dass man PBR rulesets bauen muss.

Wenn man ein (V)LAN spezifisch auf ein LAN mappen will, dann packt man hier beim entsprechenden LAN die Regeln mit definiertem Gateway rein und schon läuft auch ausgehend alles über bspw. WAN2. Wenn man das wirklich hart trennen möchte, passt man entsprechend die outbound NAT auf manuell an, damit dann gar keine Verbindung über WAN1 läuft.

Das ist aber alles eine Definitionsfrage, was genau wie laufen soll.

Cheers

@francoblanco
meinst du das ernst?
so wi ich es verstanden habe:

nutzt du die fritzbox als modem willst die webgui der fritzbox trotzdem aufrufen? macht ein vpn auf die fritzbox (geht das wenn die fritzbox ein modem ist)? hier im forum haben wir schon unzählige male das thema behandelt das man auf die webgui eines modems will, einfach mal die forum suche nutzen aber bitte erkläre mir das noch mal warum und wieso du die ports der fritzbox weiterleitest oder hast du einen expose-client eingetragen?

Bitte beschreibe mal genau was dein ziel ist

Und nochmals guten Abend in die Runde...

Da mir das ganze keine Ruhe mehr gelassen hat warum das mit PFSENSE nicht geht habe ich heute mit 2 Hardware PFSense Firewalls in einem kleinen Testaufbau den versuch widerholt und siehe da - da klappt das layer2 over OpenVPN...

Ich hatte die Config noch in einem Versuchsaufbau auf 2 Servern im RZ gespeichert -also hier exakt die gleiche Situation nachgestellt - geht nicht ...

Wollte fast schon wieder aufgeben und stoße zufälligerweise in einem anderen Zusammenhang (da ging es um OpenWRT auf ESXI) auf Mac Spoofing und das das auf ESXI per Default abgeschaltet ist.

Ok - also Mac Sppfing auf den beiden virtuellen NIC´s eingeschaltet und siehe da - LÄUFT !
Ohne Probleme - sofort auf Anhieb - auch DCHP via Bridge läuft sofort ohne mucken...

Also mal schnell ein paar Performance Tests gemacht und auch hier - Beigeisterung - ca. 30% niedriger als mit einer Layer3 S2S Bridge.

Da sich die Bridge in Pfasense als Interface integriert sind hier exakt die gleichen FW Regeln möglich - man kann also ganz wunderbar definieren wer mit wem und wer nicht ...

Nochmals zur Klarstellung - ich würde niemals auf die idee kommen eine klassische S2S Layer3 Verbindung damit zu ersetzten - darum geht es auch nicht - aber für unser Szenario - 3 Server an einem anderen standort zu betreiben -- mit quasi transparenter Netzwerk Bridge ist das jetzt optimal

Wenn jemand hier mal Bedarf hat - gerne melden.

Ansonsten - allen einen schönen Abend

@chri5 said in pfsense mit OpenVPN funktioniert mit mobilen Daten nicht, jedoch im WLAN:

ich gebe in den "Allgemeinen Einstellungen" die DNS-Server 8.8.8.8 sowie 1.1.1.1 mit und als Gateway die WAN Schnittstelle.

Die Server, die hier eingetragen sind, verwendet pfSense für eigene Zwecke. Zusätzlich stellt sie standardmäßig den DNS Resolver für die internen Clients, die je nach Konfiguration eben auch diese Server verwenden (Forwarding Mode) oder Root-Server.

Wenn der DNS Resolver oder der Forwarder läuft, kannst du in der OpenVPN Konfig auch die IP der pfSense selbst angeben, wenn du diese verwenden möchtest. Aber ja, du kannst da auch direkt externe Server eintragen.

@richie1985 sorry aber wenn eure user damit überfordert sind ihren benutzer namen/passwort einzugeben müsst ihr halt eure user besser schulen, das währe meine wahl. ich habe seit jahren nicht mehr viel mit windoof zu tun (war mal admin in einer windoof dominierenden umgebung ca. 100 Rechner), aber du kannst doch umgebungsvariablen nutzen (ich denke du bist ein windoof admin, dann wirst du ja schon wissen was ich meine)

PS: bei uns in der firma bekommen alle neuen kollegen am ersten tag eine schullung von ca. 1,5 stunden (von den administratoren) so gehen wir sicher das die benutzer optimal in ihren teams starten können (ich bin seit ca. 7 jahren admin in einer apple umgebung)

Ich würde hier anraten die komplette Struktur noch mal zu überdenken.

Statt mehrere P2s zu verwenden, kann man das mit einem gescheiten Netzkonzept erschlagen.

Setzt du z.B. auf Seite A statt 192.168.10.0/24 ein 192.168.0.0/20 ein, packst das in die P2, dann hast du hier 16 Netze mit 24er Maske die du direkt im Tunnel hast und dann auf der jeweiligen Seite sauber einsetzen kannst.
Reicht das nicht, dann halt ein /19 für jede Seite, das sind dann 32 Netze.

Limiter nutzt Trafic Shaping, man kann den manuell anlegen ohne Assistent.
Wichtig Floating out mit match und auf keinen Fall quick, dann läuft es auch.
Und zur Sicherheit noch mal ICMP out regeln davor, sonst klemmt das schon mal mit der einen oder anderen Version und der Dpinger liefert verzerrte Werte und max Last.

QoS ist noch mal eine eigene Sache für sich, kann man auch machen um dann noch mal gewissen Dienste, wenn die denn das Flag mit bringen, per Sonderspur direkt am Limiterstau vorbei zu mogeln.

@sauerländer Statt "Permit Outbound" zum Beispiel "Alias Permit" auswählen.

Das Thema hat sich erledigt. Ich habe den Unifi Switch nochmal resettet, die gleichen Einstellungen eingetippt und nun funktioniert es wieder.

Danke für die Hilfe!

@europc Mit der Präfix ID hat das ganze nichts zu tun.
Trage mal unter dem WAN Interface MTU und MSS ein. Wenn Telekom dann MTU 1492, MSS 1452.

Wurde gerade hier abgehandelt.
https://forum.netgate.com/topic/172774/hilfegesuch-bei-telekom-vdsl-anschluss-mit-vigor167-und-pfsense/12

@jegr

Vielen Dank für die hilfreiche Antwort. Sind wieder sehr gute Punkte dabei, die ich noch nicht bedacht habe.

Budget ist eigentlich egal. Ich steigere mich gern rein und bin dann over the top :) aber muss Im sinnvollen Maße sein und darf nicht zu laut sein.

Guter Hinweis auch nochmal mit den Atom Prozessoren und der udm pro.
Fand die netgate 6100 gut, hatte letztens aber gelesen, dass die auf 2,5 gbit singlestream abgeregelt ist. Aber wenn ich Layer 2 im gleichen Netz mein 10gbit Notebook und Nas stehen habe, dann bleibt ja die pfsense eh außen vor und der Switch macht alles

Auch ne super Idee mit dem aggregation Switch. Ich werd deine vorachlage mal durchdringen. UniFi finde ich vom Ansatz echt super

Schade dass der Switch flex ng kein sfp+ hat.
Weißt du wie laut der switch pro 24 und der Switch xg 16 ist?
Erstes Gefühl ist, wenn der Switch xg 16 von der Lautstärke vertretbar ist, den zusammen mit nem Switch Enterprise 8 Poe - dann hab ich es ja eigentlich. Dann kann ich noch nen unify ap direkt über Poe versorgen, was super ist und vielleicht nochmal irgendwann eine Camera

Vielen Dank!

@eyetap said in Teils lange Ladezeiten von Websites und hohe DNS Antwortzeiten:

Welche Werte haltet ihr denn für die Failover-Detection für vernünftig...?

Die Standardeinstellungen tun es vollkommen.

@eyetap said in Teils lange Ladezeiten von Websites und hohe DNS Antwortzeiten:

Für mich ist das Provider Gateway (= Provider Router) das erste Teil das dem Provider gehört und ohne das ich hier nicht ins Internet komme

Niemand hindert dich daran, das so zu definieren, aber dann darfst du dich auch nicht wundern, wenn dich Texte, die von einer sinnvollen Definition ausgehen, verwirren. Im Handbuch steht jedenfalls absolut unmissverständlich, wie es gemeint ist:

By default the gateway monitoring daemon will ping the gateway IP address. This is not always desirable, especially in the case where the gateway IP address is local, such as on a cable modem or fiber CPE. In those cases it makes more sense to ping something farther upstream, such as an ISP DNS server or a server on the Internet. Another case is when an ISP is prone to upstream failures, so pinging a host on the Internet is a more accurate test to determine if a WAN is usable rather than testing the link itself. Some popular choices include Google public DNS servers, or popular web sites such as Google or Yahoo. If the IP address specified in this box is not directly connected, a static route is added to ensure that traffic to the Monitor IP address leaves via the expected gateway. Each gateway must have a unique Monitor IP address.

@eyetap said in Teils lange Ladezeiten von Websites und hohe DNS Antwortzeiten:

ob die pfSense nicht leider doch eine Nummer zu groß/komplex für mich ist.

Einfach weniger an den Standardeinstellungen rumpfuschen und nicht versuchen, alle Probleme auf einmal lösen zu wollen.

@bosco Für beste Kompatibilität würde ich versuchen eine X710 zu bekommen. 2-Port SFP+. Ist allerdings leider auch durch die aktuelle Logistiklage nicht gerade billig und ziemlich im Preis geklettert. Zudem ist das eine PCIe x8 Karte (PCIe gen3).

Netgate selbst verbaut in den höheren Geräten inzwischen statt Chelsio wieder Intel X710(BM) nachdem es mit den kleinen Chelsios aber auch den mittleren Intels (5xxer) zwischendurch mal Trouble mit Treibern gab. Somit dürfte man mit den X710(BM) den sichersten Griff machen, der garantiert unterstützt und ordentlich supportet wird.

Cheers

@orcape said in Hinter OpenVPN Client Geräte ansprechen:

@jegr Man muss nicht alles verstehen, wobei 2 x NAT nicht sein müsste. ;-)

Es geht hier nicht drum ob das gut oder schlecht ist, sondern dass ich schlicht hinterfrage, ob das Sinn macht und woher die Probleme kommen. Wenn ich nen Euro für jedes verschrobene Setup bekäme dass ich während der Woche auf Arbeit sehe wäre ich jetzt reich.

Darum habe ich den OT gefragt, was ich gerne wissen würde um zu verstehen was er da tut und warum. Nicht um irgendwelches Raten und Schätzen oder Glaskugellesen zu starten. Sondern um konkret zu wissen: wie wo was, denn dann kann ich auch am Besten was zu beitragen, wie man das am Einfachsten konfigurieren kann. Nutzt keinem wenn hinterher rauskommt "oh ups, wäre auch viel einfacher gegangen".

Cheers

@slu said in Neuinstallation 2.6.0 mit ZFS und einer SSD (NVMe) - TRIM aktivieren?:

Hab seither noch keine Erfahrung mit ZFS, muss erstmal herausfinden wie man den Status heraus bekommt.

Wenn ich diesen Thread richtig verstanden habe müsste TRIM automatisch aktiv sein:
https://forum.netgate.com/topic/112410/ssd-zfs-enable-trim?_=1654852746290

[2.6.0-RELEASE][admin@pfSense.home.arpa]/root: sysctl -a | grep _trim kern.cam.nda.max_trim: 256 kstat.zfs.misc.zio_trim.failed: 0 kstat.zfs.misc.zio_trim.unsupported: 0 kstat.zfs.misc.zio_trim.success: 1312 kstat.zfs.misc.zio_trim.bytes: 35938304

@viragomann
Ok, da merkt man wieder, dass man nicht zu lange auf Zahlen starren sollte. Du hast vollkommen Recht. Die .80 ist die Netzadresse und nicht das Gateway. Das hatte mir zwar Vodafone so per Telefon auf meine Anfrage mitgeteilt, konnte gerade aber anhand einer weiteren FAQ von Vodafone zu deren Netzen und deinem Hinweis daraus schliessen, dass ich hier kein Gateway unter der .80 nutzen kann. Danke dir!

@karsten said in OPENVPN kein reconnect after reboot:

Ich habe das LOG-Level hochgedreht. Da kam dann auch die neue Meldung zum Vorschein :-)

Ahh, alles klar.

@toddehb said in Upgrade auf APU nicht möglich:

Du hast da vielleicht unwissentlich zur Lösung beigetragen ;-) Habe im Package Manager Snort geupdated. Lief einwandfrei durch. Danach konnte ich auch das Systemupdate machen. Evtl. hat das vorherige Updaten den Knoten irgendwie gelöst. Mir soll es recht sein. :-)

Auf 2.6 sollte man nicht nach Möglichkeit nicht einfach "updaten" sondern neu installieren. ZFS ist jetzt das Default Filesystem und es gab etliche Änderungen und Neuerungen im Filesystem Aufbau, den Datasets und den Einstellungen dafür wie bspw. auto-Kompression bei /var/log etc. etc.

Daher: 2.6 Update-installieren sonst bekommt man das neue FS Layout nicht mit.

Hallo,
der Techniker war da, die Leitung hausintern hat ein Problem. Das wird noch was werden...
Sei's drum, die TAE-Dose wurde wenigstens gewechselt, die Abbrüche wurden dadurch schonmal seltener. Eben war's wieder so weit, kurzer Aussetzer und nach dem gateway-change war die WebGUI nicht erreichbar.
https://<meineip>/status_logs.php ist ebenfalls nicht erreichbar gewesen.

Zur Hardware:

CPU:
Intel(R) Core(TM) i5-7200U CPU @ 2.50GHz
Current: 2400 MHz, Max: 2601 MHz
4 CPUs: 1 package(s) x 2 core(s) x 2 hardware threads
AES-NI CPU Crypto: Yes (active)
QAT Crypto: No

Version:
2.6.0-RELEASE (amd64)
built on Mon Jan 31 19:57:53 UTC 2022
FreeBSD 12.3-STABLE

RAM: 16 GB

installierte Packages:
bandwidthd
openvpn-client-export
RRD_Summary
Status_Traffic_Totals

Nach nem Gateway-Change kann es übrigens passieren, dass der DNS-Resolver nicht mehr funktioniert, das war auch bei mir der Fall. Wird in Version 2.7 gefixt sein. Hab deshalb erstmal auf den DNS-forwarder umgesattelt. Brachte aber keine Besserung bezüglich der Erreichbarkeit der WebGUI.

@enjoyit Ich setze leider keine pfsense ein, habe hier nur geschrieben, weil das Problem das Gleiche war. Betroffener Router war eine be.IP (bzw. Digitalisierungsbox Premium).
Aber das was @NOCling geschrieben hat, klingt sinnvoll. Laufen denn die anderen Anschlüsse über IPv6?

@viragomann

Es war ein DNS Problem.
Habe ich zum Glück lösen können.

Vielen Dank für die Kommentare

@adminbaun said in OpenVPN Endian Site-To-Site tls-error, reconnecting:

May 19 11:09:39 openvpn 10803 Certificate does not have key usage extension

Das Problem habe ich schon öfter hier gesehen, aber Lösungen eigentlich immer nur auf Serverseite.

Hier ist ein Redmine Ticket dazu:
https://redmine.pfsense.org/issues/13056

Auf der Seite werden zwei Patches genannt, die beide installiert werden sollen: 48cf54f850c5bf4fe26a8e33deb449807e71c204, 47f2f4060d9e5b71c5c69356b61191fd2931383c

Ob das aber auch am Client hilft, weiß ich nicht.
In deinem Fall beklagt sich der Client, dass im gelieferten Server-Zertifikat die "Key Usage Extension" fehlt. Die kannst du natürlich nur am Server hinzufügen.
Falls das nicht möglich ist, lässt sich aber vielleicht am Client die Überprüfung deaktivieren, ev. mit diesen Patches.

Ist das alles schon gekauft und vorhanden oder ist noch Einflussnahme auf die Geräte möglich?

Ich würde mir eine klare Struktur, VLAN/Netz überlegen, also sprich das 3 Oktet ist dann die VLAN ID, das vereinfach vieles später im Umgang mit den einzelnen IP Bereichen.

Kommst du wirklich mit einem /24er für Mitglieder und Gäste aus?

Ich meine du solltest dir das hier offen halten, eine IP Änderung ist dann einfach.

Verwendest du z.B. 192.168.8.0/24 kannst du das später zu einem /21 hin umstellen, dann ist für Gäste halt die 192.168.16.0/24 das nächste Netz mit VLAN 16, welches du auch in eine /21er umstellen kannst wenn es mal zu klein wird.
Heise Netzrechner

Auf der pfSense legst du dann im Management, da reicht ein /24, dann Interface an und für die andere Netze dann VLANs mit Supinterfacen.
Dann einfach die beiden VLANs tagged auf den Port zur pfsense zuweisen und fertig.

Hast du viel Datenverkehr zwischen NAS und Clients, könnte auch ein LAG Sinn machen.
Habe ich hier mit meine HPs am laufen, bin ich vor x Jahren aber mit Netgear schon mal dran gescheitert.
Ich halte von dem Hersteller daher nicht mehr so viel.