Bei mir funktioniert es inzwischen auch wie beschreiben. Leitung bleibt auch beim telefonieren stabil. Ich kann von meinem VOIP Telefon hinter pfSense nach aussen Telefonieren, und theoretisch auch "rein". Allerdings ist das nur für ca. 5 Minuten möglich (nach dem letzten Telefonat nach aussen). Das gleiche passiert, wenn ich mit meinem DECT Telefon (das direkt an der FB angemeldet ist) das VOIP Telefon Intern anrufe. Ich vermute das es irgend ein NAT Timeout ist?

So verrückt wie es klingt: schuld war anscheinend der "Conservative-Mode". Auf "Normal" läuft das Fax nun wieder problemlos durch. Ich hatte beim ersten Umstellen einfach nicht ausgiebig genug getestet.

Nein. Aliase umbenennen ist eine KERNfunktion die schon seit etlichen Releases zuverlässig funktioniert. Der Eintrag in den entsprechenden Regeln wird ebenfalls automatisch korrigiert!

Und was ist falsch daran, dass mehrere Phase 2 Verbindungen existieren? Weil nur eine eingerichtet ist? Da steht etwas wenig Input in der Fragestellung? Ansonsten sieht man im Screenshot zwei Phase2 Varianten, die sich im MODP Parameter unterscheiden. Somit gehe ich davon aus, dass irgendeine Seite bei einem Rekey oder Verbindungsverlust die Verbindung falsch aufbaut bzw. einfach annimmt anstatt eine der beiden Phasen abzulehnen. Aus der Vergangenheit mit IPSec und Strongswan würde ich behaupten das ist auf Zyxel Seite. Ich würde zum Debuggen hergehen und entweder die Konfiguration der Phase 2 prüfen (denn da stimmt definitiv was nicht 100%ig, sonst wären die beiden P2s nicht minimal unterschiedlich), ansonsten mal versuchen die pfSense Seite als Initiator abzuklemmen (selbst keine Verbindung aufbauen, nur eine annehmen). Modp2048 ist DH Gruppe 14 die beim oberen Eintrag fehlt. Grüße

@Raffi said in pfSense mit 12 Lan Ports VLAN Konfiguration: Wie würdet ihr die Firewall Regeln erstellen? Als Source bzw Destination die Vlan´s, die Bridge oder acces-Port? Nein, nein, so wird das nix. a) Router-Ports sind keine Switch-Ports, daher lass das Bridgen. Es gibt von Netgate Geräte (wie SG-1100 und SG-3100), die einen managed Switch eingebaut haben. Das sind dann aber auch Switch-Ports und keine Router-Ports. b) Damit erübrigt sich dann auch die Frage nach den Regeln. Dazu müsste man sowieso noch ein paar Einstellungen anpassen, damit man auf der Bridge filtert und nicht auf jedem Interface einzeln. Letzteres würde gar keinen Sinn machen, weil es komplett unübersichtlich wird.

@unique24 said in Protokollierung: ? Er soll mir die dynamischen und statischen DHCP Zuordnungen auflösen Das sollte man überdenken. Niemand sollte(!) dynamische DHCP Zuordnungen benötigen. Beim Resolver doppelt ungeschickt: bei jedem neuen DHCP Client wird der Resolver neu geladen und der Cache geht verloren. Bei vielen lokalen DHCP Clients also sehr oft. Daher sollte man tunlichst nur statische DHCP Zuordnungen im Resolver laden wenn man diese benötigt. Es gibt eigentlich auch keinen Grund, warum man dynamische Leases rückwärts auflösen können müsste. System Domain lokaler Zonentyp: Standardeinstellung reicht hier problemlos.´ Interne Domain. company.mylocal Soll er selbst nutzen oder liegt die Domain woanders bei einem internen DNS Server? DNS Abfrage Weiterleitung: Scheinbar klappt alles, ohne dies zu aktivieren. Würde ich dies aktivieren, hätte ich wieder einen ähnlichen Forwarder Modus? Schlechte deutsche Übersetzung daher lasse ich die UI gern auf englisch. Leider wurde da oftmals etwas "zu" gut übersetzt und zu viel. Die Option heißt eigentlich "DNS Query Forwarding" und aktiviert korrekt erkannt den Forwarder Modus statt des Resolving Modus. Bei Multi-WAN kann es übrigens sein, dass man auf Forwarding wechseln muss da es bei den ausgehenden Queries sonst manchmal Probleme gibt. Dann kann man hier das Forwarding wieder aktivieren, aber zumindest dann - so man möchte - die verschlüsselte Übertragung aktivieren im Gegensatz zum Forwarder.

Hallo, danke für die Info, kläre gerade mit dem Hersteller des Webservers welche Ports ich wirklich brauche. Danke

Die Forumssoftware wurde letztes Jahr umgestellt, da sind die verknüpften Bilder und Anhänge nicht mit übernommen worden.

Hallo dahoam, hier der aktuelle Stand: WAN Regeln [image: 1553324784229-wan-regeln.png] LAN Regeln [image: 1553324821360-lan-regeln.png] Portweiterleitung [image: 1553324845452-port-forward.png] Ausgehend [image: 1553324893587-outbound.png] Bin über jeden weiteren Tipp dankbar. Gruß, Wayfarer

@viragomann said in NAS nicht erreichbar bei aktivierter VPN Verbindung: Was mir hier Sorgen bereitet, ist, dass das NAS so sämtlichen Upstream Traffic über den VPN-Server schickt. Das sollte nicht sein. Daher "–route-nopull" setzen, die Kommunikation zwischen den beiden NAS wird dennoch funktionieren. Ok, Danke Dir.

Ahoi, Sorry Glaskugel kaputt! Keine Angaben über Serial Settings, wie konfiguriert/installiert, Embedded Kernel (war bei 2.3 noch "a thing") ausgewählt, console richtig ausgewählt, etc. etc. Ohne ein paar Gramm verwertbar spaltbares Material kann man nicht wirklich arbeiten ;) Aber "kein drehender" Cursor sieht für mich aus, als hättest du nen VGA Kernel bzw. Head installiert ohne serielle Konsole. Bei 2.3 gab es bei der Installation noch die Frage nach embedded Kernel oder nicht. Wenn da falsch gewählt wurde, ist nichts mehr mit Konsolen Output :) Gruß

Naja das ist aber genau das, was es eben nicht werden soll. Das sind zwei Cases. Einmal mit IPV6, einmal ohne. Und dann sinds eben auch zwei VLANs ;) Ich gebe dir aber recht, dass es ziemlich ätzend ist, dass man nicht wenigstens statisch konfigurieren kann (auch wenn eine Alexa das wieder eh nicht könnte) und sonst assisted ausschaltet. Allerdings wäre das auch wieder ein Hack den man lassen soll. Mein letzter Stand und Konsens bei v6 war: Server statisch, Clients SLAAC mit DHCP6 als Lieferant für DNS und NTP etc. - DHCP6 Adressierung in Ausnahme- oder Spezialfällen. Gruß

Würde ich genauso verstehen. Ein mehr als 3 Jahre altes HowTo mit alter pfSense Version als Basis zu nehmen ist ein Rezept für Desaster. Andere Punkte die mir auffallen sind: Lagg Bridge manueller Eingriff in den Sync Von sowas würde ich in wichtigen Umgebungen möglichst die Finger lassen. Wir haben u.a. wegen der in 2.3 noch bestehenden Probleme (inzwischen wohl besser) gerade die LAGG Geschichte zurückgebaut, weil es eh nicht genau das bringt, was man sich vielerorts darunter vorstellt und aus 2*10G eben doch nicht (immer) 20G werden. Zumal LAGGs prinzipiell dann so ein Ding sind bezüglich MAC, Quelle, Switch Unterstützung etc. etc. Auf dem Konstrukt dann auch noch eine Bridge basteln und die dann auch noch semi-automatisch selbstgebaut via Events hoch-/runterfahren... liest sich extremst gruselig. Das sind Netzwerkkonstrukte, die ich draußen grundsätzlich hinterfrage, weil sich der Sinn meist nicht wirklich erschließt - außer "wäre cool" oder "ist doch viel einfacher als..." - was es dann meist doch nicht ist ;) Gruß

@frieseba Die meiste Zeit hast du wohl selbst investiert. Ärgerlich, passiert aber leider. Grüße

Hallo JeGr Als erstes Danke dass du dich meinem Problem annimmst! Sorry, du hast natürlich recht! ist eine APU.4C4 Sorry für meine unfachgemässe Ausdrucksweise! So ich versuche hier nochmals alles etwas besser zu Dokumentieren: Ich hoffe das vor allem das Bild RFC2136 und DNS-Weiterleitung weiterhelfen könne. mein Problem ist nun das auf dem LAN Netz die Einstellung auf dem Bild DNS-Weiterleitung nicht greift. Sondern dass dieser dort eingetragene Name mit der Öffentlichen IP aufgelöst wird. Ich hoffe dies mit dem Text / Bilder etwas verständlicher zu machen. Betreffend dem Thema Diagnose DNS bin ich noch etwas schwach auf der Brust wo kann ich da was diagnostizieren? RFC2136: [image: 1552509002353-rfc2136.png] DNS-Weiterleitung Teil 1: [image: 1552509003163-dns-weiterleitung_teil1-resized.png] DNS-Weiterleitung Teil 2: [image: 1552509002710-dns-weiterleitung_teil2-resized.png] DNS Einstellungen unter "Allgemeine Einstellungen": [image: 1552509002595-allgemeine-einstellungen-resized.png] Dashboard Ansicht: [image: 1552509002540-dashboard-dns.png] LAN DHCP Server Einstellungen Teil 1: [image: 1552509002844-dhcp-server-lan-teil1-resized.png] LAN DHCP Server Einstellungen Teil 1: [image: 1552509002977-dhcp-server_lan-teil2-resized.png]

@viragomann said in OpenVPN Client Mode Zugriff Lokaler Webserver: Nein, die Clients müssen ohne Gateway auf den Webserver kommen. Dann musst du für diese Verbindung eine eigene Regel definieren, die kein GW erzwingt. Also Quelle: LAN net, Ziel: Webserver und diese Regel oberhalb der anderen positionieren, damit sie auch angewandt wird. Grüße Genau diese Regel hat in meiner Konfiguration gefehlt. Vielen Dank nochmal an alle Beteiligten für die Lösung meines Problems.