Das bedeutet 3478 TCP handhabe ich mittels Proxy damit er auf der 192.168.24.6 landet:
ca84e889-cc0c-4002-8c95-2f41cfbcbca7-grafik.png
87a33898-06fd-45e6-8c15-4236ae750014-grafik.png
dc24f810-d56d-4c7e-a0f8-57baea46d513-grafik.png
403e6e4c-f933-49d2-a23d-17c3f640818c-grafik.png
28213c01-710a-4ade-a1f5-9424b8fc2690-grafik.png

Damit ich den Turn-Server 3478 TCP aus dem LAN unter turn.externaldomain.de erreiche:

4abe43c1-8ed2-46ac-a5b5-3510b8b14ebe-grafik.png

Einen Alias für die UDP-Ports:

6e2357b8-36c0-445f-9b73-43fd2c5d5a1f-grafik.png

Diese per Port-Forwarding auf den lokalen Server:

dcc25821-b295-43ce-981c-804cfab628de-grafik.png

Und ausgehend:

3a47f2c1-2012-4dba-89f6-9e766e4178da-grafik.png

Ja genau, und so soll es sein.
Daher, wie bekommt man die Schriftgröße geregelt?

@prof-hase said in Nach Update auf aktuellste Version: Kein Start mehr möglich:

@jegr Sorry, wollte die Daten gerade noch nachliefern - inzwischen hat die PFSense wieder gebootet und es scheint alles wieder OK zu sein.

Für die Nachwelt, es wurde nichts verändert, die FW startete von alleine wieder durch.

Aber was war es denn nun für eine? ;) Stable 2.4.5 oder hast du auf 2.5 Snapshots geupdated?

Mehr zum Test hier https://forum.netgate.com/topic/160001/public-ipv4-ipv6-via-vpn-tunnel

Da es schon am mehreren Stellen am grundlegenden Verständnis des Anfragers und des übergeordneten Entscheiders scheitert kann ich ihm nur anraten so etwas nicht selber umzusetzen. Das geht nicht nur schief und kostet Zeit, die Wahrscheinlichkeit die Sicherheit nicht nur nicht zu erhöhen sondern andere eklatante Fehler zu machen ist sehr hoch.

Wenn ich von Berufs wegen her Buchhalter bin, bisher nur Autos gefahren habe und noch nie etwas mit dem Bau eines solchen zu tun hatte baue ja auch nicht mal eben mein Auto grundlegend um geschweige denn ich baue mir mein eigenes Auto nur weil ich besser oder gar sicherer damit unterwegs sein will. Mich zu belesen, andere - z.B. auch einen Ingenieur und Konstrukteur der Automobilbranche der das tagtäglich tut - danach zu befragen wird mir auch nichts nutzen.

Sehe ich auch so. Bei uns haben die pfSense zw. 2 und knapp 20 interne Netzwerke und zw. 1 und 7 physische NIC, mehr haben wir noch nie gebraucht. Der Rest läuft alles per VLAN sofern die Bandbreite reicht.

Es gab / gibt hier und da Bedarf nach einer extra NIC, dann haben wir immer zwei USB Adapter für besondere Fälle und den schnellen Einsatz: einen JUE-130 von J5 Create und einen USB2-1000 von irgendwoher. Entscheidend ist immer der Chipsatz und die Treiberunterstützung - aber dauerhaft setzen wir so etwas nie ein. Die werden i.d.R. beim Start immer erkannt und funktionieren sofort - aber eben nicht dauerhaft. Irgendwann geben die einfach so auf und die Firewall bedarf eines Neustarts. Die Adapter sind gut um mal eben ein Test- oder weiteres Managementinterface zu haben aber dauerhaft nicht.

Kommt drauf an wer den VPN Dienst betreibt.

Ggf. ist das ja wie JeGr sagte, eine Tochter, der Tochter des Neffen der Cousine des Schwagers der NSA oder GVU.
Dann lieferst du denen deinen Kopf frei Haus😂

Ich nutze die DNS die ich von meinem Provider erhalte.

Google weiß ja schon was ich wann gesucht habe, die brauchen dann nicht auch noch jede einzelne DNS Abfrage von mir Archivieren.
Wobei das ggf. praktisch ist, wenn ich die voll indiziert durchsuchen könnte, sollte ich mal wieder ein Lesezeichen vergessen haben zu setzen.

Oder ich vor lauter Taps den richtigen nicht mehr wieder finde.

Hinterfrage einfach, warum jemand für 3-5€ im Monat deinen ganzen Datenverkehr bei sich durch ein Monster AES Device jagen sollte ohne dann daran ein Interesse zu haben.
In Zeiten von Big Data?
Der dann ggf. noch im Ausland sitzt und unter Recht von Staat xyz steht?

Da vertraue ich lieber meinem Provider der sich an die DSGVO halten muss.

@rentos said in pfSense [VM] hinter FritzBox 7590:

Kann ich das Regelwerk denn über die Shell prüfen? Bin was pfSense angeht total neu und so..

Prüfen - indirekt. Du kannst dir die running config von pf anschauen (/tmp/rules.debug) und die das Livelog anschauen, was geblockt wird (console option 10: filter logs). Dann siehst du in Echtzeit was gegen den Filter ballert (soweits geloggt wird).

Da kann dir jedoch JeGr sehr gut weiter helfen, der schraub auf dem Wegen gern mal an einer Sense rum ohne sie zu killen!

Oft ;) Aber immer klappts auch nicht 😬 Und in dem Fall würde ich das auch nicht empfehlen. Nur gucken. Nicht anfassen^^

Aber ich würde auch erstmal mit nem TCPDump noch VOR dem Filter einfach mal schauen, ob der Kram überhaupt korrekt ankommt, sprich im richtigen VLAN richtig getaggt etc. etc.

Wenn alle VLANs auf em0 laufen, kann man den tcpdump auch promisc auf em0 machen und sieht dann alle VLANs gleichzeitig - also den kompletten Traffic. Dann hat mans etwas einfacher. Muss dann nur schauen, ob wie gesagt die Pakete vom VLAN 14 bspw. auch aus VLAN14 kommen und nicht auf em0 übern Trunk o.ä. falsch laufen.

@tom-3 said in IPSEC mit einer statischen und einer dynamischen IP:

Kein dynamisches DNS, ist ja Drama wenn man alternativen hat.

Sowas kann halt nur von Leuten kommen, die die Technik nicht verstehen. Dynamische IP heißt dynDNS Adresse. Ob das ne eigene via RFC2136 gepushte ist oder ein DynDNS Service ist egal. Kann man auch mit 0.0.0.0 wie die Fritte hinfriemeln sicher, aber die gegenseitige ID ist halt quark. Warum macht man sich also mit solchen Vorgaben die Standardmöglichkeit kaputt, sowas sauber einzurichten?

Ich weiß ja nicht was auf beiden Seiten steht, daher kann man auch nicht sagen, wie man das irgendwie tricksen könnte. Oder man machts eben gleich via OpenVPN zur statischen IP als Server und fertig. Aber IPsec hat eben gewisse Voraussetzungen. Und das 0.0.0.0 bezieht sich ja lediglich auf die eine Seite, die andere muss ja trotzdem für sich was als ID angeben/ausgeben, um die P1 auszuhandeln.

@tom-3 Prima, dass es dann gleich geklappt hat :) 👍

@viragomann said in Frage zu High Avail Sync:

Du kannst Status > CARP > Enter Persistent CARP Maintenance Mode auf der primären Box verwenden, um den Master für einige Zeit an die zweite zu übergeben. Bspw. für ein System-Upgrade. Da kannst du die erste auch mehrmalig neu starten. Den Master übernimmt sie erst wieder, wenn du den Maintenance Mode wieder abschaltest.

Ich muss da was ergänzen / korrigieren:
Voraussetzung ist, dass am Secundary nicht auch "Enter Persistent CARP Maintenance Mode" aktiviert ist. Falls doch, bleibt der Primary Master, ausgenommen er geht tatsächlich down, dann erst wird der Secundary Master.

Habe peinlicherweise eben diese Erfahrung machen müssen, weil ich das am Secundary irrtümlich mal gesetzt hatte oder irgendwann vergessen hatte, es wieder zu deaktivieren. 🙄

Ja da bin ich ganz deiner Meinung @Exordium , Eine Übersicht würde viel mehr Komfort für nicht so versierte Anwender von PFsense bringen und die Lernkurve deutlich erhöhen.

@jegr said in Routing? Oder was anderes?:

Berufsschulen und deren Lehrer sind da auch noch im Zeitalter Pre-1993 - und schreiben darüber dann sogar Prüfungen wo der komische Murks abgefragt wird in komplett weirden Szenarien die komplett Praxisfern sind :)

Was meinst du was in DE passieren würde, wenn das auf einmal anders wäre.
Da würden wir alle die Welt nicht mehr verstehen!
OMG praxis bezogene Ausbildung, wo kommen wir denn da hin!?!

@sascha.salentin
Bist noch mit dem Netzkonzept beschäftigt oder haben wir dich so verschreckt das du jetzt verschwunden bis?

@bonedaddy höchstens nachschauen ob beim 2. WAN da auch Prefix Schnittstelle WAN2 drinsteht. Mehr wüsste ich jetzt nicht.

@jegr
Gute Idee, probier ich mal.
Danke!

@viragomann
Danke, werde ich mir Montag einmal anschauen.

Das ist das lokale Netzt hinter der pfSense im RZ.

@bon-go said in Wie konfiguriere ich hinter einem PPPOE ein IPv4er Netz richtig?:

Genau das schreibe ich doch die ganze Zeit, s.o.. Damit wäre bei seinem /30er Netz nur eine IP nutzbar. Wenn nun sein ISP direkt nur die IP des /30 Netzes vergibt ohne Standardgateway für dieses Netz (so wie er es grad eben noch geschrieben hat) dann geht halt darüber nie etwas raus ausser Antworten auf eingehende Pakete von irgendwoher. Ja, auch das ist möglich.

Wenn der ISP aber wie schon mehrfach von ihm geschrieben ein /30 delegiert hat - also routet - dann ist da nix Gateway drin, sondern das komplette /30 mit zwei Adressen weitergeroutet auf die Adresse, die die Sende bei PPPoE Einwahl eh bekommt. Standard Routing und gut.

@filontheroad said in Wie konfiguriere ich hinter einem PPPOE ein IPv4er Netz richtig?:

Meine anderen Vlan Clients kriegen aus allen anderen VLAN Netzten auch eine IP durch ihren DHCP Server ;-) nur bei diesem war es nicht der Fall und da bin ich noch am recherchieren wieso.

Kannst du dazu bitte nochmal aufdröseln, ggf. mit Screenshots, was du wo wie warum konfiguriert hattest und was dann ging und was nicht?

Ansonsten verstehe ich beim Drüberlesen gerade nicht , wo du da wie ein VLAN im Spiel hast und welche Adressen da vergeben oder nicht vergeben werden :)