Wurdest Du eventuell auf DS-Lite umgestellt? Nutzt Du ein richtiges Modem, oder nur einen Kabelrouter auf Bridge? Welches Bundesland? SIP Daten vom ISP bekommen?

Ich habe APU‘s seit bald 10 Jahren im Einsatz und kenne keine Probleme. Ich würde wenn auch eher aufs Netzteil tippen.

@Mäggo said in pfSense mit EWE Glasfaser: Die Fritze ist privat gekauft und nicht von der EWE. Also können die die MAC Adresse gar nicht wissen. Doch, das wissen die. Wenn das Problem dann gelöst ist, ruhig eine Info ins Forum, damit jemand mit den gleichen Problemen ein Lösungsansatz hat. Gruß, Mike

Ich nutze den DNS Resolver. Als Default gateway habe ich allerdings eine Gateway Gruppe angegeben. Funktioniert bei mir aber auch wenn ich per Policy Routing eine andere Gateway Gruppe als das Default gw verwende. -Rico

@TomNick Damit wäre nun die Gateway-Frage geklärt.

Danke für die Hints, Problem gelöst, war ein kaputtes Kabel....

Problem scheint gelöst... Mein Fehler... Um im Forum schreiben zu können - der Windows-PC hängt eigentlich an einem ganz anderen Netz und wird noch auf die neue Struktur gebracht - war für die im pfSense-Netz konfigurierte Netzwerkkarte nur die IP und die Maske definiert. In dem Moment, in dem ich die andere Netzwerkkarte deaktiviert hatte und mir per dhcp die IP von den jeweiligen dhcp-Servern in den beiden vlans habe geben lassen, waren auch die jeweiligen Clients erreichbar...

@mbrabetz Hi there, I don't know if you are still there guys (the topic is quite old)... I hope this finds you ALL - well (and healthy...) We have reached Version 2.4.5-RELEASE-p1 (amd64) built on Tue Jun 02 17:51:54 EDT 2020 FreeBSD 11.3-STABLE Our systems are on the latest version. Version information updated at Thu Jul 23 2:57:02 +03 2020 The problem related to CARP sync for a new created administrator... is still there. I just wanted to disable the default admin on the Netgate/pfSense cluster firewalls and use new created individual profiles for audit/accountant and transability reasons. I just wanted also to thank you very much for pin pointing the problem with admin privileges that had to be specifically added for HA System - HA node sync to work. There were a bunch of other privileges existing on that page, that I didn't yet manually added to the group administrators. I wonder if with the new created user admin, I will be able to perform all the usual administration tasks on the Netgate/pfSense cluster... Best regards to all.

Du musst bei privaten Netzbereichen keine Beispiele posten bzw. deine Netze verfremden (vor allem wenn dann die Syntax nicht stimmt). Auch darauf wurde schon mehrfach hingewiesen in der Vergangenheit. Man sieht doch dass es deshalb immer wieder zu Verwirrung und Rückfragen kommt, völlig unnötig. -Rico

Nichts desto trotz: einfach alles auf -GCM konfigurieren immer und ohne NCP Kram, dann hat man vor sowas Ruhe :) Ja sobald ich die Geräte in die Hände bekomme. Ihr hatte recht, es wird AES256-GCM verwendet auch wenn das Smartphone meckert. Das bedeutet erstmal ich kann am Server den Cipher hoch schrauben ohne bei den Smartphones Probleme zu bekommen. Jul 20 13:25:24 openvpn 65019 xxx.xxx.xxx.xxx:5041 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 4096 bit RSA Jul 20 13:25:24 openvpn 65019 xxx.xxx.xxx.xxx:5041 WARNING: 'auth' is used inconsistently, local='auth [null-digest]', remote='auth SHA512' Jul 20 13:25:24 openvpn 65019 xxx.xxx.xxx.xxx:5041 WARNING: 'cipher' is used inconsistently, local='cipher AES-256-GCM', remote='cipher AES-256-CBC'

Schade.. Ich bastel trotzdem mal weiter dran, sollte ich's schaffen, poste ich hier meine Erkenntnisse

Ahso, du blockst gezielt Apps indem du sagst "darf nicht via VPN kommunizieren". I see :) Joa machen ja inzwischen viele non-root apps über den Hook als VPN weil sich anderweitig sonst kein DNS oder sonstwas reinziehen lässt. Blokada und Co agieren da ja ähnlich. Das ist aber mit ein Grund, warum ich gern noch ein ordentlich fastboot-fähiges Gerät mag, bei dem ich einfach rooten kann :D

Hallo, schau mal ob das Modem nach dem Fehler unter /dev/cuaU1.0 zu finden ist bzw. funktioniert. Falls ja, hilft dir das pfSense Paket cellular, damit ist das Modem immer unter /dev/cuaZ99.0erreichbar/verfügbar. BTW. chat würde ich auf /dev/cuaU0.2 machen, das ist die serielle Konsole des Modems.

Hey, ich habs jetzt hinbekommen, also nicht selber :/. Mein Freund hat mir geholfen und es geht jetzt. Vielen dank für die ganze Hilfe. LG Mathias

@mike69 said in Was ist der beste ISP für die Nutzung eines pfSense Routers?: Hallo slu. Auch ein Dorfkind? Ja und ich fühle mich pudelwohl :) Wir haben die ganze Steigerung in den letzten 12 Jahren mitgemacht, DSL 1000, 6000, 16000, 25000, 50000 und jetzt VDSL100 ;) Inzwischen haben wir zwei VDSL100 und feste IPs, als Backup haben wir noch eine LTE Flat die auch so um die 80/30 bringt, kann man nicht meckern. Seit ein paar Tagen habe ich als LTE Modem den Huawei irgendwas gegen eine Fritzbox LTE 6890 ersetzt, die ist wirklich jeden Cent wert. Fritzbox hängt natürlich als WAN an der pfSense und macht nur LTE Modem. Kabel hätte ich gerne als Redundanz, leider wurde es hier nie ausgebaut.

Ah es funzt u sieht schon viel besser aus :)

@Bob-Dig said in Wie mittels OVPN IPv6 ausleiten: Anstandslos vielleicht, aber netcup möchte 1€ pro Monat dafür. Sollte man sie mal daran erinnern, dass laut RIPE einem Kunden für sein(e) Netze ein /60 bzw. /56 zur Verfügung zu stellen ist. Finde das schon ein wenig frech.

@JeGr gerne. Dafür habe ich das Posting ja gemacht das man aktuelle Informationen findet.

Was @chpalmer schreibt. Es wurde schon mehrfach auch öffentlich hier oder auf der Netgate Seite publiziert, dass wenn die neue API implementiert wird (damals mit 2.5 geplant), AES-NI ein MUSS wird. Da die API aber bereits seit Mitte letzten Jahres für die 2.5 nicht angekündigt wurde weil sie sich verschiebt, wurde klar kommuniziert, dass 2.5 nun erst einmal kein AES-NI voraussetzen wird. Es macht allerdings nach wie vor keinerlei Sinn heute noch Hardware (auch gebraucht, sei sie noch so billig) zu kaufen, die kein AES-NI kann, aus genau dem Grunde, dass in Zukunft sehr viel nur noch damit laufen wird. Selbst die letzten kleinen Kisten wie APU2 (3 & 4 sind auch nur 2er Boards mit Änderungen) haben das schon vor Jahren verstanden und laufen bereits so lange mit AES-NI Support. :) Auch wenn ihr noch so günstig an irgendwelche alten verramschten Watchguard oder sonstwelche Boxen rankommt, die kein AES-NI haben, lasst sie doch einfach sein und organisiert euch was anderes, was wenigstens halbwegs modern ist ;) 2008 kam AES-NI in die CPUs. 12 Jahre später sollte man schon davon ausgehen können, dass man das als Requirement nutzen darf :) Grüße \jens