@Beerman said in DynDNS - FreeDNS SSL Problem: Leider ist pfBlockerNG auch davon betroffen. [ EasyList ] Downloading update . cURL Error: 60 SSL certificate problem: certificate has expired Retry in 5 seconds... . cURL Error: 60 SSL certificate problem: certificate has expired Retry in 5 seconds... . cURL Error: 60 SSL certificate problem: certificate has expired Retry in 5 seconds... .. unknown http status code | 0 [ DNSBL_EasyList - EasyList ] Download FAIL [ 05/31/20 20:01:41 ] Firewall and/or IDS (Legacy mode only) are not blocking download. EasyList URL funktioniert im Browser ohne Probleme... Kannst du umgehen indem du die Easylist in pfblocker auf "Flex" stellst. So wie ich es sehe war das Stichdatum 30 Mai das Ablaufdatum für viele Zertifikate und das hat sich (nicht nur) auch bei pfsense bemerkbar gemacht. Meine 2Cents zu dem Thema, schönen Restsonntach noch ;-)

Wieder ausgehendes NAT? Wenn die MLN, die ja die IP ..50.2 hat, über die AK3 ins Internet gehen soll, braucht es auf letzterer eine ausgehende NAT Regel am WAN für diese IP.

Wirklich interessant. Ich hab mich echt bemüht im HW Lab das nachzubauen. pfBlocker ruff, Bogons an, IPv6 full scope. Alles was pfB an Listen kann angemacht, damit richtig große Tabellen zustande kommen... Ich bekomm keinen Aussetzer hin zur Reproduktion. Ist zum irre werden ;) Wollte da den Jungs helfen mit Debugging aber die Hardware (obwohls nur nen Atom C2758 ist) meckert kein Stück... Aber trifft wohl gerade in VMs mit mehreren Kernen verstärkt zu und dann - vermutlich - auf den schwächeren Plattformen da die CPU länger gelockt ist. Aber die Kerneltests sehen ja ganz gut aus :)

ok, bin durch. Zuerst die betreffenden VM's heruntergefahren und ein Image gezogen. Im Falle von pfSense noch vorher eine Datensicherung im WebUI. Habe zuerst alle UCS-System umgestellt. Bei diesen musste ich danach mit dem Rescue den Bootloader neu schreiben und die INITFS aktuallisieren. Danach starten diese Problemlos. Bei der pfSense musste ich anschließend überhaupt nichts tun. Diese hat ganz normal gestartet :-)

so ich glaub ich dreh jetzt durch !!! kurzum wenn ich: port 443 mittels [image: 1590435385093-eea4dc65-d823-4ca5-8715-1578d7cc7b36-grafik.png] and die zB 10.0.0.1 (die interne IP der Firewall weiterleite) 3 stk Frontends (1. shared mit LAN Adress IPv4 | https offloading | default backend | use forward option | dem default cert d pfsense einrichte [serverCert] | Add ACL for certificate Subject Alternative Names aktiviere.) (2. das auf das shared auf pkt 1 zeigt die ACLs für die Backends einrichte | default backend | cert = das LE widcard cert" für diese domain | Add ACL for certificate Subject Alternative Names aktiviere | Add ACL for certificate Subject Alternative Names.) (3. das auf das shared auf pkt 1 zeigt die ACLs für die Backends einrichte | default backend | cert = das LE mit dem TXT IEntrag u d _acme_challenge für diese domain | Add ACL for certificate Subject Alternative Names aktiviere | Add ACL for certificate Subject Alternative Names.) funktioniert das genau so wie gewollt .... naja .... @Bob-Dig hatte mich mit seiner Anmerkung " könnte ggf. auch deine Probleme erklären" drauf gebracht ... die frontends die auf der WAN0 laufen abgedreht .... siehe da man konnte aufgrund der port forwarding ein backend noch erreichen ..... shared frontend eingerichtet ... 2te & 3te domain fix zack bumm rennt mit ssl offloading... wieso es am WAN0 nicht geht versteh ich bis jetzt noch immer nicht .... verdacht der ISP tut was komisches trau ich der Bande zu :( ich geh jetzt staubsaugen weil ich grantig bin und morgen weitersuchen ! man liest sich!

Jetzt läuft es. Habe auf dem WAN Interface den Prefix von 64 auf 56 und den Haken bei "Only request an IPV6 prefix, do not request an IPV6 address". Danach ging es und der unbound läuft stabil. [image: 1590432090525-bildschirmfoto-2020-05-25-um-20.40.59-resized.png]

@JeGr said in Wie automatisiert (m)einen Port prüfen: Okay, wenn der Loopback klappt, super. Ansonsten würde ich ggf. (trotzdem) einfach mal reinschauen Hab's gemacht und ist wie beschrieben.

Die Geschwindigkeit ist hier nicht wirklich relevant. Das VPN wird lediglich dazu benutzt um an den ADS zwecks Anmeldung zu kommen. Aber ja, habe schon bemerkt dass das Teil nicht das Wahre ist. Schaue bei Gelegenheit mal nach einem kleinen Mini-Server auf dem ich ganz normal Linux-Server + VM's installieren kann

Ja die werden nicht ins Filesystem geschrieben, liegen nur in der config.xml -Rico

Habe jetzt: 2606:4700:4700::1001 eingetragen und jetzt ist alles grün ! Danke

Also die Performance reicht für 1Gbit. Mit Snort fällt die Performance auf etwas unter 800mbit. Das ganze versteht sich mit einem Anschluss ohne PPPoE. Gruss

jop erledigt ! neues topic (oder wieder ein anderes gekapert ösi like ) ;) NP

@JeGr said in Immer wieder Ausfälle der DNS Auflösung: Für die Zukunft würde ich ein Board wählen, welches weniger Overhead hat (du brauchst für pfSense ja keinen SoundChip etc.) aber ansonsten - schöner Einstieg :) Danke :) Und ja, du hast durchaus Recht, aber mein Großhändler hatte nicht viel anderes passendes da. Und da ich Erfahrung sammeln will, so schnell wie möglich auf dem Gebiet und wie es meine Lernkurve zulässt, musste da ein kleiner Kompromiss her. Das Gehäuse selber ist auch für C232 Chipsätze ausgelegt, also konnte ich die Connectoren gar nicht bedienen etc., es ist also ein kleines bisschen ein Behelfs-Build. Die nächsten Geräte werden dann in allem effizienter, IPMI ist definitiv auch eine Überlegung wert. Muss jetzt noch schauen, wie die pfSense arbeitet und funktioniert, ehe ich dann auch für meine Kunden die Geräte anbieten kann um etwas mehr Sicherheit ins Netz zu bringen. Habe vorwiegend kleine bis mittlere Unternehmen, die ich langsam davon überzeuge mal auf mehr als ihre FritzBox oder den Speedport zu vertrauen. Und am besten lernt man, wenn man selber anfängt mit den Sachen zu arbeiten, die man dann später auch entsprechend anbieten möchte :) Bislang ist wie gesagt alles perfekt, die Standardeinstellungen sind ja schon mal eine gute Basis. Jetzt bin ich gespannt, Ende des Monats hält Gigabit-WAN Einzug, mal schauen ob die Kiste das dann auch packt :) Macht jedenfalls Freude, und das Internet ist durch den Einsatz diverser Filterlisten nicht nur angenehmer geworden was Werbung betrifft, sondern auf manchen Seiten auch merklich flotter. Alles weitere eigne ich mir gerade Stück für Stück an, man findet durchaus brauchbares auf YouTube, teils sogar auf deutsch.

@mike69 said in Problem beim Setzen von statischer Endgeräte-IP: Wieder was gelernt. :) Zumal der "Clientbezeichner" (was für ein deutsch) bei uns leer ist. Was hat der Eintrag für einen Sinn? Was mit ein Grund ist, warum ich - trotz sonst Muttersprachenbefürworter (was ein Wort) - gegen die Nutzung von lokalisierten UIs wie bspw. der pfSense bin. Warum? Weil oftmals dt. Übersetzung wenig Sinn macht oder das Wort eh schon eingedeutscht/verdenglischt ist - siehe Proxy weil es bei manchen fixen Bezeichnungen schlicht durch Mehrdeutigkeit zu Problemen kommt und bei Community Übersetzungen oder I18N Projekten gerne fixe Strings übersetzt werden, die im Deutschen aber ggf. andere Bedeutungen haben (oder umgekehrt). Da das in der Übersetzung aber gar nicht vorgesehen ist, wird dann einfach platt das Wort überall gleich übersetzt weil es Sinn macht, die Originalen Fachbegriffe zu lernen/wissen weil es Sinn macht, da man dadurch auch besser in Suchmaschinen etc. nach dem Fehler sucht und seine Auswahl nicht allein auf deutsche Ergebnisse beschränkt. Natürlich gibt es sicher Sätze oder Begriffe die man nicht versteht - dann fragt doch hier! Reißt keiner den Kopf ab ;) Aber auch wenns für Einsteiger sicher im ersten Moment "einfacher" ist, entstehen durch falsche/überlappende Begrifflichkeiten schnell Verständigungsprobleme, weil man nicht versteht, was das Problem ist. Was hat der Eintrag für einen Sinn? Soweit ich die Syntax vom DHCP Server noch korrekt im Kopf habe, ist die Client-ID intern für die Zuweisung der fixen IP zuständig. Sprich es wird ein Eintrag erzeugt, der die MAC Adresse dieser spezifischen Client-ID zuweist und die Client-ID wird dann der IP zugewiesen. Ist keine ClientID definiert wird IMHO per default die MAC selbst genommen. Die ClientID muss deshalb eindeutig sein. Man kann im ISC DHCPD auch Spielchen machen wie Substring Matches auf die ClientID, also bspw. alle ClientIDs die mit "client-" anfangen in eine Gruppe stecken und entsprechend behandeln etc. etc. das geht aber weit über den Scope von DHCP Reservierungen raus ;) Der Hostname ist dann IMHO das, was an den DNS Resolver bzw. Forwarder weitergereicht wird zum Eintrag in deren "Hosts" Äquivalent, also zum Reservieren der DNS Namen für fixe DHCP-Reservierungen. Darum wird oft auch clientid und hostname gleich gesetzt, muss man weniger einstellen oder überlegen ;)

@Bob-Dig said in NAT Typ von STRIKT auf OPEN für mehrer Clients für COD MW: Hast Du überhaupt (...) tatsächlich sind das sogar die wichtigsten Fragen. Denn damit kann es sein, dass man 90% der Probleme schon im Keim erstickt :)

Was ist "elend langsam"? Das sagt nichts aus. "Hinbekommen" sagt auch leider nichts aus und da niemand Konfigurations-Raten spielen möchte, hilft das auch nicht, einen Fehler zu suchen. Ohne, dass du mehr Input gibst was die Konfiguration angeht, kann niemand "eine Idee haben", weil die Grundlagen fehlen :)

Entschuldige, mein Fehler, ich hatte das VPN im kleinen Zitattext nicht korrekt gelesen und dachte es scheitert schon an der IPv6 Setting der FB :(

@wkn Ich habe das mal getestet: Data-Interface gelöscht. WAN: (PPPOE auf Interface em1.10) VOIP: (VLAN 20: DHCP) Allerdings war die Internetverbindung danach weg. Beim Wiederaufruf von Interfaces war das DATA-Interface wieder da... Jetzt ist so eingestellt (Nach Nachbearbeitung, weil die Zuweisungen etwas durcheinander waren): WAN: PPPOE (Der PPPOE-Eintrag benutzt em1.10, der stand wieder auf em1) DATA: VLAN 10 auf em1 -> Interface "enabled", IP-Configuration auf "None" VOIP: VLAN 20 auf em1 -> Interface "enabled", IP-Konfiguration auf DHCP em1 ist nicht mehr zugewiesen Die Interfaces DATA und VOIP haben keine Regeln definiert. Es gibt jetzt 2 Gateways: WAN und VOIP. Alle Verbindungen funktionieren einwandfrei. Wenn das DATA-Interface wie vorher auf PPPOE stand (keine Zugangsdaten eingetragen, die pfsense hatte beim Zuweisen des DATA-PPPOE auf WAN diese Angaben rausgelöscht, im WAN waren die Zugangsdaten dafür eingetragen wie ganz zu Anfang, nur war da in den PPP-Einstellungen wieder em1 eingetragen. Ich mußte das ändern auf em1.10, damit ich wieder eine Internet-VErbindung bekam. Um in den Logs die vergeblichen Anwahlversuche des leeren PPPOE-Eintrags vom DATA-Interface wegzubekommen, habe ich diesem die IP-Konfiguration "None" zugewiesen. Alle Interfaces sind "Up", das DATA-Interface zeigt nur keine IP an, da es keine gibt. Da jetzt alle klappt, bin ich erstmal zufrieden.

Schau mal hier bitte: https://forum.netgate.com/topic/153596/ipv6-connectivity-from-lan-is-lost-after-pppoe-reconnect Da habe ich es noch einmal auf Englisch zusammengeschrieben und auch die Logs vom PPPoE Abbruch reingepackt.