@bitboy0
Okay. Noch Fragen dazu:

Welche pfSense Version? Geht die Default Route von AT nach DE über die VPN?
Vermutlich nicht, aber ehe ich mich hier auslasse, würde das die Sache deutlich vereinfachen (und auch mit IPSec funktionieren).
Und falls nicht und auf der pfSense AT läuft CE 2.5.1, kann ich mir auch jede weitere Arbeit ersparen, geht nicht.

Hallo zusammen,

Problem gefunden und es funktioniert nun alles bestens!!

das Problem lag nicht an der PFSense sondern an einer fehlerhaften Einstellung in der Video Software am Server...

das komische war nur das es mit dem Unifi Security Gateway vorher funktioniert hat und nach Austausch durch die PFSense nicht mehr.....

Danke und Gruß
Benny

@viragomann said in Wie einen Redirect für NTP machen:

Wichtig ist, dass die pfSense mit der LAN IP antwortet. Das müsste aber aufgrund der NAT Regel gegeben sein.
Und auf allen beteiligten Interfaces muss der Zugriff auf die LAN IP erlaubt sein.

Verstehe ich jetzt nicht. Die Regel ist ja oben quasi abgebildet, die LAN-IP (im Sinne von LAN1) kommt darin nicht vor. Und was die Firewall betrifft, beim Portforward wird ja eine Regel erstellt, die sollte dann auch keine weitere Intervention nötig machen.

Aber wie gesagt, ist ja hier alles mehr theoretisch. Tatsächlich habe ich kein Problem, wenn ich eine Gruppe erstelle und einfach Zugriff auf die LAN-IP gebe, ganz ohne Portforward.
Capture22.PNG
Nur wollte ich halt ursprünglich, dass jeder seines benutzt.

@mabinogion Du hast doch dein Problem gefunden?

Du spielst mit pfBlocker und hast dir jetzt ein CDN wie das eben von Discord geblockt. Also entweder innerhalb von pfBlocker in der entsprechenden Regel entblocken/whitelisten oder eben VOR die pfblocker Regeln. Da du keine auf dem LAN hast (uarks...) hast du wohl seltsame Floating Regeln erzeugen lassen. Da die Vorrang vor allem anderen haben werden auch deine LAN Regeln nichts dran ändern, dass die pfSense weiterblockt.

Cheers

Wobei für die allgemeine google-Suche? Als Viel-VPN-Nutzer kann ich sagen, dass man mit Captchas überzogen wird etc, aber 403 finde ich immer noch extrem merkwürdig, gerade von google.

@jegr embedded system entwicklung ... Viele verschiedene Geräte die Namen haben und somit einfacher zu erreichen sind als mit IP... muss ich nicht 5 mal am Tag die IP raussuchen.

BG

@fireodo said in NAT Probleme nach Update:

https://redmine.pfsense.org/issues/11805

fireodo, Danke das wars....

Das Problem hat sich gelöst. Habe auf 2.5.0 downgegradet und nun funktioniert das System wieder. Werde zukünftig etwas zuwarten, bevor ich Updates installiere.

@wkn danke für die fotos! Ich werde es irgendwann, sobald ich wieder Zeit habe, probieren. :)

@jegr

Unbound im Resolver-Modus:

dig +short flickr.com @pfsense.home.arpa 13.225.37.234 host 13.225.37.234 234.37.225.13.in-addr.arpa domain name pointer server-13-225-37-234.cdg3.r.cloudfront.net.

Telekom DNS:

dig +short flickr.com @speedport.ip 13.224.190.234 host 13.224.190.234 234.190.224.13.in-addr.arpa domain name pointer server-13-224-190-234.fra2.r.cloudfront.net.

Google DNS:

dig +short flickr.com @8.8.8.8 13.225.37.234 host 13.225.37.234 234.37.225.13.in-addr.arpa domain name pointer server-13-225-37-234.cdg3.r.cloudfront.net.

Cloudflare DNS:

dig +short flickr.com @1.1.1.1 13.249.14.162 host 13.249.14.162 162.14.249.13.in-addr.arpa domain name pointer server-13-249-14-162.cdg53.r.cloudfront.net.

Ich versuch mein Glück mal mit folgender Ausnahmeregel:

forward-zone: name: "flickr.com" forward-addr: 192.168.2.1

@jegr Danke Dir, dann werde ich noch etwas geduldig sein, macht sicher sehr viel Sinn! Das mit dem persistent CARP maintenance mode kenne ich noch nicht, werde ich mir ansehen! Also nochmals danke für die Tips!

@bubbler Genau das - richtiger Weg und dann klappt das auch mit dem Routing. :)

Allerdings demnächst dann erstmal wieder ohne Wireguard, denn das wird erstmal wieder rausgepatcht bis es dann mal wieder offiziell in den Kernel reinkommt. Daher würde ich da jetzt erstmal OpenVPN alternativ einrichten damit man das nutzen kann.

@nocling said in Barracuda F100 Rev B.:

Aber du kannst es versuchen, wenn Bock auf ein wenig basteln hast. Ist bestimmt nicht langweilig das mal zu probieren.

Nope kann er nicht. KEINE 64bit CPU! Also wird 2.4 und höher NICHT mehr drauf laufen. VIA Eden oder der ganze VIA Kram war 32bit und hatte nen eigenen Crypto Bastelspaß mit on board. Der wird inzwischen auch nicht mehr supported.

Wenn du basteln möchtest, dann entweder Linux oder wenn hartgesotten dann entweder die Verwandten bei OPNsense mal ausprobieren (die unterstützen aktuell noch 32bit Archs), wird aber dort auch schwer was zu reißen weil Treiber technisch wird das dünn aussehen.

Ansonsten für die ganz harten einfach free- oder gleich openBSD draufhauen 😁

Musste leider feststellen, dass "meine" Lösung wohl nur eine gewisse Zeit funktioniert. Irgendwann scheint es so, dass Windows den "ersten" DNS-Server nicht mehr nutzt und daher interne Namen nicht mehr auflöst.
Habe daher vorerst auf IPs umgestellt.

@mabinogion said in Systeminformation BUG:

@fireodo
Siehe Edit von meinem Post 😖

Kann jedem passieren ...

Danke läuft!!

Prima!

Ebenfalls einen schönen Abend und fettes DANKE

Gerngeschehen!

PS: Wenn du in deinen Firewallregeln Aliase nutzt solltest auch diesen Patch einspielen:
https://github.com/pfsense/pfsense/commit/585e7567d0e308ce440ff1b0651976c97fe58115.patch

@nsuttner
Freut mich, dass es reibungslos geklappt hat.
Danke für die Rückmeldung.

@viragomann Danke Dir, hatte ich doch noch einen Denkfehler!

@hec said in Mehrere pfSensen über ein Tool managen?:

Ich müsste mal nachschauen was Ansible bei pfSense mittlerweile kann.

Nichts, weil Ansible kein Modul für die pfSense hat. Du kannst dich natürlich per SSH via Ansible verbinden, aber dann wirds auch schon recht dünn, wenn du nicht händisch einige Funktionen programmieren oder einen kompletten XML Parser bauen möchtest.

Nachdem es anscheinend mittlerweile eine API dafür gibt sollte das eigentlich lösbar sein.

Es gibt keine API!

Wäre interessant sowas mal zu entwickeln. Müsste da mal mit einem Programmierer reden was er dazu meint.

Also entweder gibt es was oder nicht ;) Und nein, es gibt noch nichts. Und alles was es aktuell gibt, sind irgendwelchen selbergebauten Halb-Lösungen, die nur via SSH das XML manipulieren und umschreiben. Nicht gerade etwas, was ich "API" oder "sauber" nennen würde. Es macht auch eher aktuell in der Umbruchsphase mit 2.5 und dem ganzen "Plus" Kram gerade IMHO keinen Sinn, jetzt was loszutreten, ohne zu wissen

wann die Business Funktionen von Plus kommen wann der Rewrite des Base WebStacks kommt bzw. ob er auch für die OSS Version kommt wie die geplante RESTCONF API dann angesprochen wird ob Netgate nicht selbst (wie angekündigt) für die Plus Version ein Control Center für mehrere Devices bringt (was angesprochen war neben einem Business Dashboard mit mehr Reporting, der API und dem neuen Stack mit RESTCONF API, Go CLI und Co) wieviel die Plus Version dann kosten soll bzw. wie es lizensiert wird

Das sollten wir aber spätestens bis zur 2.6/21.10 die in den Herbst angekündigt war wissen, denn mit 2.6 soll es ja dann die Möglichkeit geben, von der OSS 2.x Version in die Plus Versionsschiene wechseln zu können.

Somit würde ich da momentan keine gößeren Ressourcen verschwenden wenn diese Sachen noch nicht klar ausdefiniert sind, sonst ist das lediglich vergebene Liebesmüh' wenn hinterher bspw. der Core Stack Rewrite auch für die OSS Version kommt und man jetzt Kram für die XML Geschichte baut.

Cheers

@bob-dig said in NICs wechseln, wie die Konfig retten...:

Bin nun mutig geworden und am Überlegen, durch eine weitere "Umschreib-Aktion" LAN nun von dem fünften auf den ersten Platz zu schieben.

Auch das hat funktioniert, musste aber LAN dann auch tatsächlich mit der "ersten" NIC verbinden und weil die dann nicht trunk war in Hyper-V, musste ich tatsächlich erst alle anderen NICs aus der VM löschen, bis die Trunk-NIC an erster Stelle war. Dabei kam mir dann zu gute, dass pfSense sich nicht für MAC-Adressen interessiert, da die ganzen anderen NICs nun neue MAC-Adressen haben. 😌