@drakrochma said in Fragensammlung eines Unschlüssigen: Da ich die Übersicht des Netzplans immer noch schuldig bin, hier ein grober Entwurf. Ich hoffe man kann halbwegs erkennen wie der Aufbau ist. Nicht wirklich, da Du munter physikalisches und logisches Layout vermengst. Überlege Dir, wie es einmal logisch aufgebaut sein soll und daraus ergibt sich dann das physikalische Layout, also das Zusammenstecken der Komponenten und die Konfiguration der VLANs etc. Zum Verständnis ist dieser Blog sehr hilfreich! https://packetpushers.net/network-documentation-series-preamble/ und auch: https://packetpushers.net/how-to-draw-clear-l3-logical-network-diagrams/ Ein logisches Netzwerk-Layout könnte dann zB so aussehen: ps1-1 L3 Logical network diagram.gif

@codec said in 2 x pfSense in HA als exposed Host hinter Fritz!Box 7590 mit shared IP: Hallo JeGr vielen Dank für Deine ausführliche Antwort, die mich in mehrfacher Hinsicht ins Grübeln gebracht hat. Nachdenken ist immer gut, selbst wenn das hinterher dazu führt, dass man trotzdem wie gewünscht verfährt und die anderen Punkte verwirft - man hat evaluiert und entschieden. :) Wenn ich die FritzBox weg haben möchte, was habe ich dann als Modem? Was auch immer dein Provider benötigt. DSL-Modem, Kabel-Modem, whatever. Durch Gerätefreiheit müssten dir die meisten Provider auf Wunsch die Möglichkeit geben, eigene Geräte einzusetzen, allerdings mal mehr oder weniger gut unterstützt. Es irritierte mich da eher, dass VoIP auf der FB genutzt werden soll aber trotzdem dahinter noch eine PBX die sich dann mit der FB verbindet und die nutzt - den Case verstehe ich nicht ganz. Dann könnte die PBX ja direkt die Nummern vom Provider verbinden und managen, anstatt das über 2-Ecken zu machen? Dann würde sich auch das Setup der FB vereinfachen und im Falle eines Austauschs muss man lediglich exposed Host und Routing kurz einstellen, fertig, läuft wieder :) Wenn ich eine zweite Leitung bestellen würde, dann hätte ich den SPoF nur zu dieser Box verschoben. Oder denke ich da falsch? Wenn ihr nur ADSL über diesen Provider und die Box bekommt, dann ja. Auf der anderen Seite ist der SPoF dann im Spielfeld des Providers - gegenüber dem man normalerweise ja diverse Verträge hat mit Vertragsstrafen und Regressmöglichkeit. Wenn einem die einzige Fritzbox stirbt oder die Mucken macht, dann bekommt man erstmal (vielleicht auf Verdacht) eine Neue. Je nachdem wie der Provider das aber dreht, hängt man bis dahin auf dem Trockenen und er leugnet erstmal Probleme bei sich (und schiebt es auf Mißkonfiguration der Box). Ist nur ein Gedankenanstoß. Sinnvoller wäre natürlich eine zweite Leitung über ein anderes Medium. Sei es Kabel, anderes DSL etc. Das war die eigentliche Intention. Wenn das nicht möglich ist, kann das auch einfach so sein, dann ist einfach die Frage, wie gut kann ich den Provider in die Finger kriegen, wenn was mit der Box oder dem Anschluß nicht geht und mein eigenes Netz so gut es geht ausfallsicher ist. Unsere ESXi Hosts laufen nicht im Cluster also bringt der Ausfall eines Hosts immer größere Probleme, da die Kapazitäten des jeweils anderen Hosts nicht reichen alle VM's zu betreiben. Das hatte ich aus dem Text vermutet, aber es war nicht klar, daher die Frage. Gut, dann ist der CARP Cluster auf pfSense Ebene durchaus berechtigt, wenn es unbedingt virtuell laufen soll :) Das ist aber bekannt und akzeptiert. Bei einem Ausfall des einen Hosts, der z.B. auch die Windows VM mit dem DHCP Server hat, gibt es dann aber schon bald Probleme bei neu startenden PC's. Deshalb wäre z.B. ein redundanter DHCP und DNS Server schon wichtig. Sollte die pfSense dann (zumindest für Clients) DHCP und DNS übernehmen? Würde sich in diesem Szenario empfehlen. Mit Domain Override für die AD Domain (sofern vorhanden) auf den Windows DNS. Wenn ich nun das Risiko eines FB Ausfalls eingehe (eine Ersatz-FritzBox ist hier in der Stadt schnell besorgt, die Konfig wird nach jeder Änderung gesichert), Das meinte ich mit Gefahrenabwägung, so gehen wir das mit unseren Kunden auch immer Schrittweise durch. Es nutzt der schönste Cluster nichts wenn vorne alles durch einen 5€ Router durch muss der durchschmort ;) Aber dann ist das soweit sinnvoll abgedeckt, richtig. sollte ich dann einen CARP Cluster aufbauen in Hardware oder als VM, das muss ich noch überlegen, und dessen virtuelle IP dann als Exposed Host in der FB eintragen oder gibt es eine bessere Technik? Meine Empfehlung wäre bei der Firewall eigentlich schon dedizierte Hardware um die Problempunkte zu minimieren. Wenn du schon beschreibst, dass die beiden VM Hosts overcomitted sind (zumindest aus Clustersicht), würde mir das zu denken geben und ich würde an der Stelle eher dazu neigen, die Firewalls dann als Cluster in (angepasster) Hardware abzubilden, um bei Ausfall oder Fehlverhalten oder auch Fehlkonfiguration des Hypervisors nicht plötzlich ganz ohne Netz dazustehen (leider schon bei einigen Kunden in virtuellen Umgebungen erlebt). Wenn euer Hausanbieter euch intern (A)DSL via FB zur Verfügung stellt (PPPoE vermutlich?), dann käme es drauf an, ob die FB noch was anderes als Verbindungsaufbau macht. Wenn man bspw. auf der FB keinerlei WLAN, NAS oder sonstiges braucht und das VoIP Thema komplett auf die Asterisk verlagert, macht die Box eigentlich nur noch Einwahl. Sofern der Anbieter da nichts geblockt hat an der Box (oder das eure ist?) könntet ihr die auch in Modem-only schalten (oder ein anderes ADSL Modem nutzen) und die pfSense selbst die Einwahl machen lassen. Das geht seit 2.4.4, dass man auf dem CARP Interface nun PPPoE konfigurieren kann um die Einwahl nur auf dem aktiven Knoten zu machen. Ich würde tatsächlich aber die Box als Router mit Exposed Host vorne stehen lassen, ihr default 192.168.178.x Netz nutzen und die .2 als CARP IP und die .251 und .252 als Adressen der beiden pfSensen des Clusters nutzen. Exposed Host Target wäre dann die CARP IP .2 und die aktive bekäme dann auch alles eingehend was reinkommt. Vorteil davon: Beide Knoten kommen jederzeit über das Routing der Box ins Internet, nicht nur der aktive der die PPPoE Verbindung aufbaut. Daher wird es bei Cluster Setups auch so empfohlen :) Wenn ich die pfSense in Hardware betreiben möchte, dann brauche ich dafür Hardware mit redundanter Stromversorgung, denn wir haben 2 USVen und schon erlebt, dass eine davon den Geist aufgegeben hat. Jein, das würde der Cluster ja problemlos abfangen. Je einen Cluster Node an eine USV hängen und gut. Schön wäre natürlich zwei Netzteile, aber das findet man in kleinen bis mittleren Appliances eher selten und nur dafür würde ich keine großen Mehrkosten in Angriff nehmen! Oder ich muss einen CARP Cluster in HW aufbauen Richtig, ist aber der korrekte Weg. Bei VMs wolltet ihr auch Redundanz, warum dann bei extra Hardware sparen - auch wenn sie gut läuft kann sie immer mal ausfallen und einmal völlig(!) unabhängig von der Hardware: was passiert bei Updates? Es kommt immer mal wieder obgleich selten vor, dass ein Update schief geht. Dann ist schonmal 30-60min das Internet weg - kein Telefon, keine Cloud Anwendungen etc. - ist das in eurem Fall OK? Wir haben Kunden, da ist ein Tag offline ein Schulterzucken. Und andere, da sind 10min bereits kritisch. Im ersten Fall reicht eine Appliance mit ordentlichem HW-Support-Vertrag dicke. Im zweiten Fall muss da ein Cluster hin und ebenfalls entsprechender HW-Support damit auch das Ersatzgerät für das ausgefallene nicht erst nach ner Woche wieder zur Verfügung steht. Daher: Abwägungssache und Business-Entscheidung. Wie kritisch ist ordentliche Funktion vom Internet? Oder kann man vielleicht einen CARP Cluster so aufbauen, dass normalerweise die HW pfSense aktiv ist und eine passive pfSense VM einspringt, falls die HW stirbt? Man könnte es sich so "hinbasteln". Empfohlen und sehr supportet ist die Konfiguration nicht, zudem massiv fehleranfällig und benötigt unterschiedliche Konfigurationen an vielen Ecken. Das würde ich so nie supporten wollen ;) Aber nochmals kurz zu dem Satz: Oder ich muss einen CARP Cluster in HW aufbauen, was dann schon gleich teuer wird. Dies war auch ein Grund für den Gedanken die pfSense als VM's zu betreiben. Gut ausgewählte Hardware ist für Firmen normalerweise für 3 oder ggf. auch mal 5 Jahre im Voraus angedacht. Je nach Bandbreite, Pakete, Use Cases etc. kann man sich da die richtige Appliance/Hardware für den Job aussuchen. Mal zwei. Plus Garantie oder next-business-day replacement o.ä. Wird bei den VM Hardware Knoten oder sonstigen Servern meist ähnlich sein. Warum also für die Firewalls nicht? Selbst wenn wir (ohne dass ich deine Anforderungen an Hardware gerade kenne) davon ausgehen, dass jede Kiste ~1000€ kosten (der Einfachheit halber). Dann sinds mit zwei 2k. Und mit Supportverträgen wahrscheinlich knapp 3k. Auf 3 oder gar 5 Jahre. Also grob 1k pro Jahr. ~83€ im Monat. Viele Firmen machen das ja ggf. als Leasing oder sonstwas. Aber ~83€ im Monat für 2 saubere Hardware Firewalls im active standby Cluster um sauber durchgehende Erreichbarkeit zu haben (zumindest was euren Teil angeht, am Provider seid ihr ja nicht schuld). Die meisten Firmen, die sich die Rechnung so stellen und die ich frage: "Was kostet es euch, einen Tag ohne Internet? Zwei Tage? Eine Woche?" geben da wesentlich größere Zahlen an (gerade weil inzwischen auch Telefonie etc. mit dranhängt), was sie an Einbußen, Verluste oder Ausfälle haben. Und plötzlich rechnet sich das dann doch ganz schnell Grüße Jens

@pfsense-newbie88 said in LAN / em1 ist nicht gelistet: oder so! Kannst du mir einen empfehlen? Link gerne hier oder per PM! Dank dir! Ich kann dir gerne was in der Preisklasse ab 500 € aufwärts empfehlen. Ich hatte mal jeweils einen GS108e und GS105e von Netgear hier, von der Firmware her waren die in Ordnung und konnten VLANs ohne Probleme, allerdings waren die von der Verarbeitungsqualität her natürlich nicht vergleichbar mit echter Enterprise Hardware.

Vielen Dank an alle! Ich habe mich für die Lösung von -Rico entschieden. Zwar ist die Lösung von Jens mit dem FreeRadius Server die "saubere" Lösung, aber da die Firewallregeln den Zugriff auf das Webinterface sperren und die Anzahl der User überschaubar ist, war das mit dem CSO die schnellste Umsetzung. Werde das mit dem FreeRadius aber im Hinterkopf behalten. Gruß Micha

Ok, also abwarten. An sich finde ich es nicht soo wirklich schlimm oder gar Realtek anzulasten, mit dem Treiber in pfS nicht zurecht gekommen zu sein. Immerhin gibt es einen funktionierenden Treiber, wenngleich dieser auch selbst kompilliert werden muss. Unter Windows und Linux ist das auch öfters der Fall. Da macht ein Treiber schon mal 300MB/sek Unterschied im RAID.

@wonko2k said in Ein Netzwerkkarten Setup für Netzwerkdienste: Es gibt jedoch diverse Nachteil an dem Szenario, die ich nicht mehr eingehen möchte. Die da wären? Erschließt sich mir aus deinem initialen Posting jetzt nicht, daher die Frage. Vielleicht geht es mit pfsense auch einfach nicht und einer NIC. Das wäre doch schon mal eine klare Aussage. Das hängt klar davon ab, WAS funktionieren soll. Wenn du pfSense mit einem NIC einfach ins Netz hängst, dann ist sie nicht im Routing Modus und hat PF abgeschaltet. Dienste wie DHCP und Co sollten aber trotzdem funktionieren. NAT brauchst du gar nicht, da wie gesagt Routing off ist. Unter System/Adv. sollte zudem der Haken bei "disable all filtering" aktiv sein, wenn du den Assistenten genutzt hast. Firewall ist wie gesagt irrelevant, Rules sollten hier generell keine Rolle spielen. Dein Routing muss stimmen - also interne IP und Gateway (die Fritzbox), zudem in General Setup DNS Server fürs Forwarding wenn du das schon aktivierst. Ansonsten sollte erstmal ein normaler Ping Test auf 1.1.1.1 funktionieren, ansonten ist was grundlegend falsch. Hyper-V Guests sind aber auch nicht meine Stärke, es könnte aber sein, dass hier noch was konfiguriert werden muss. https://docs.netgate.com/pfsense/en/latest/virtualization/virtualizing-pfsense-with-hyper-v.html Beim durchfliegen ist mir aber nichts abgefahrenes aufgefallen. Ad-Blocker wirst du aber nur mit DNS Blacklisting hinbekommen, ein IP filtern ist nicht möglich, wenn du pfSense nicht mit 2 Interfaces betreibst.

Bei der NAT Regel könntest du statt tcp/udp/* gleich ganz "*" any Protocol nehmen. Wird mit Sicherheit einfacher sein. Aber im Prinzip hat sich diese Lösung - durchaus korrekt - schon beim Lesen deines ersten Posts angedeutet, wenn du schriebst, dass du 403 Forbidden oder Logins wie von extern bekommst. Viele IoT oder andere Lösungen erkennen ihr eigenes Netz/LAN und nehmen für alles andere dann an, dass hier entfernter Zugriff bzw. Logins der Fall ist. Hier müsstest du case-by-case nachsehen, wo du ggf. zusätzliche interne Netze definieren kannst, damit die Anwendung/Lösung das VPN Netz als lokal/LAN erkennt. Mit der erstellten NAT Regel bist du aber hier noch einfacher unterwegs und wirst einfach mit der IP der pfSense intern gemappt, was die Geräte dann zufriedenstellen wird (wenn du eine besser nachverfolgbare IP brauchst, ist es kein Problem eine zusätzliche Alias IP auf die Sense zu nehmen und diese als interne NAT Adresse zu nutzen). Grüße Jens

Ja die Lösung war auch den Port 4 auf Tagged zu setzen.

Hallo, was zeigt denn das System-Log zum Reconnect? Wie sieht die Routing Tabelle aus? Interessant finde ich dass ein Ping auf Google 216.58.207.35 mit einem "no route to host" quittiert wird, während ein nslookup auf 212.202.215.1 funktioniert. Das zu nutzende Gateway sollte eigentlich dasselbe sein, es sei denn, du hast für den DNS Server ein spezielles GW eingestellt. Auch finde ich als interessant, dass der nslookup im Normalfall von der pfSense selbst beantwortet wird, während er im Fehlerfall vom externen Server beantwortet wird. Ich weiß aber im Augenblick nicht, was mir das sagen soll. Grüße

Ja das stimmt und abends wenn man müde ist nicht mehr am Netzwerk herumtüfteln spart auch Zeit und Nerven ;D

Habs gewuppt. Musste das NAT anpassen.

Hallo Viragomann Es fehlte noch eine Ausgehende NAT--Regel [image: 1550695834578-nat-regel-resized.jpg] Als zusätzlicher Hinweis : Ich habe folgende Konstellation [image: 1550695870071-6e2a08f576de2908062670bf1244172c.jpg] Die Fritz-Box vor der pfSense hat den IP-Bereich 192.168.178.0/24 Das LAN hat 192.168.115.0/24 OpenVPN hat 10.8.0.0/24 Die pfSense hat eine Statische IP 172.168.178.2 mit DNS 192.168.178.1, gateway 192.168.178.1 und läuft als extendend Host in der Fritz-Box Die Fritz-Box vor der pfSense dient zusätzlich als IP-Telefonie Im LAN ist noch eine weitere FritzBox für WLAN und IP-Telefonie Danke für die Hilfe Gruß

Ok, nun habe ich auch das verstanden. Vielen Dank. Ich tendiere dann auch dazu alle VLANs getagged zu übergeben,. würde dann also die "Hardwareschnittstelle als Interface unkonfiguriert lassen... Cool, dann werde ich mal testen, falls ich diese Woche noch dazu komme:-) Gruß, Jan

@01minki said in OpenVPN von extern nicht erreichbar.: Es ist gelöst. Ursache war offensichtlich ein Gerät in meinem Netzwerk (Telekom Speed Home WiFi). Nachdem ich durch Zufall das Gerät ausgeschaltet hatte funktionierte der Zugang sofort. Da die VPN-Verbindung garnicht durch das Gerät geht verstehe ich den Zusammen hang zwar nicht aber das ist mir egal. Hab nun das Gerät einmal zurückgesetzt und jetzt klappt die Verbindung sogar wenn das Telekom Speed Home WiFi im Netzwerk hängt. Vielen Dank für Eure Hilfe.! Ist schon verrückt, oder?

@hekl Vergiß die Fritte. Stell dir ein OpenVPN Gateway als Client ins Netz und das Site2Site Szenarium steht. VPN mit einer Fritte sollte man sich nun wirklich nicht mehr antun! LG

@tomxl said in Regeln für die Nutzung eines ISDN-Adapters: ...läuft immer noch ohne Probleme. Der Adapter scheint also doch an der PFsense zu funktionieren. LG Perfekt.

@Rico Läuft alles bestens! Keine EXPIRED Einträge mehr, keine Probleme mit dem dhclient, alles unauffällig. Ich habe jetzt lediglich die folgende Zeile im Log gefunden und habe keine Ahnung, was es bedeutet: Feb 7 20:21:13 dhclient Creating resolv.conf Feb 7 20:21:13 dhclient RENEW Feb 7 20:21:11 dhclient 21193 send_packet: No buffer space available Kam jetzt, soweit ich das sehen kann, nur 1 Mal vor und gleich danach wurde die Lease ja problemlos verlängert. Hat also keine Auswirkungen auf den eigentlichen Prozess gehabt.

@bordi said in IGMP Proxy: Nein eigentlich nicht, versteh allerdings auch nicht worin die Problematik liegt. M.M.n sollte sich das mit den Mitteln die pfS bietet lösen lassen. Dann mach mal. Wäre schön wenn. Die kommunizieren über Multicast UDP 239.255.255.250:1900, eine einfache Regel funktioniert nicht. Ist auch eine andere Baustelle und werde, wenn mehr Zeit da ist, mich mal damit auseinandersetzen.

@hannes-hutmacher Hallo, ich habe den Eindruck, dass die Sache für dich privat ist und es nicht wichtig ist, auf der FritzBox den tatsächlichen Quellhost des Zugriffs zu erkennen. In diesem Fall geht das am einfachsten mit einer S-NAT Regel auf der Seite des Zielhosts. Also gehe auf der pfSense bei der FB auf Firewall > NAT > Outbound. Wenn du da bislang noch nichts geändert hast, arbeitet es im Automatik-Modus, dann schalte in den Hybrid-Modus und speichere das mal. Lege dann mit Add eine neue Regel an: Interface: LAN oder an welchem die FB hängt Source: das LAN der Gegenüberseite (192.168.2.0/?) Destination: 192.168.29.0/? oder nur die IP der FB mit /32 Translation: Interface Address Wenn die pfSense und die FB in einem gemeinsamen Netz sind, sollte das funktionieren. Grüße