@benjsing Schön wenn ich helfen konnte :-) Bitte füg im Titel deines Ursprungspost noch (Gelöst) oder so etwas ein. Danke!

Viele Grüße

@m0nji
Ok. Danke für die Info.

@cwt Super :-) Markier am besten dann den Beitrag als gelöst. Bedanken kannst du dich über den Daumen Hoch neben den Beiträgen, die für dich hilfreich waren.

Servus,

Danke für den Tipp mit OpenVPN!
Nach Startschwierigkeiten ist nun alles soweit eingerichtet, dass ich von meinem Handy und Laptop über GSM/LTE einen Tunnel aufbauen kann.
DNS läuft auch auf beiden Geräten super!
Ich Danke mal wieder für die spitzen Hilfe, hat mir 70€ erspart :D

Wenn ein Standort dazu kommt, ist natürlich (mit Preshared Key) wieder ein zusätzlicher Server und Client nötig und die “Remote Network/s” müssen in sämtliche Konfiguration angepasst werden, damit sie auch das neue Netz erreichen.

Ist doch gut, dass es "nur" eine Einstellung ist. ☺

Das Problem wurde durch ein Update der Firewall von der Kommandozeile aus gelöst.
🙄

@pfadmin danke Dir!
Der Fehler lag vermutlich bei UniFi, und nicht bei pfSense oder meiner Konfiguration. Inzwischen habe ich die UniFi Geräte resettet und den UniFi Controller komplett neu eingerichtet; nun ging es auch mit den Einstellungen, mit denen es vorher nicht funktioniert hatte... Lag wohl daran, dass ich eine zu alte Version des Controllers als Docker Container laufen hatte. Mit einer aktuellen von linuxserver (sowieso mein Favorit, wenn es um Docker Container geht) gibt es keinerlei Probleme.

@p54

ursprünglich hatte mein User ein Zertifikat. Ich war dann davon ausgegangen, dass die exportierte Datei dieses auch beinhaltet. Aber entweder habe ich beim Erstellen des Zertifikates einen Fehler gemacht, oder es ist beim Ex-/Importieren etwas schief gelaufen.

Für den Moment lasse ich es jetzt erst einmal so; sowohl meine DDNS Adresse, als auch die Logins, habe nur ich. Da sollte auch ohne Zertifikat niemand etwas anstellen können.

Was interessant wäre, wäre die Möglichkeit, falsche openVPN Anmeldungen zu blockieren; geht das? Beispiel, IP Adresse X versucht, sich per openVPN zu verbinden. User/Password sind falsch. Zweiter Versuch innerhalb X Minuten, wieder falsch. ==> block for X days.
Da ich meine Logins so konfiguriert habe, dass ich sie sowieso aus dem verschlüsselten Passwortmanager per Copy&Paste einfügen muss, sollte eine Sperre von 2-3 fehlerhaften Loginversuchen ausreichen, um potenzielle Angreifer auszusperren, denn mein PW ist jedes Mal beim 1. Versuch richtig ^^

Perfekt. 👍

https://www.netgate.com/docs/pfsense/vpn/ipsec/configuring-a-site-to-site-ipsec-vpn.html RTFM

Hallo,
noch eine Anmerkung, der Server sollte auf der Seite sein, an der Du eine echte IP hast. Die Clients können dann immer noch durch Carrier Grade NAT (z.B. LTE) connected - z.B. wenn man mal einen Backup für eine tote Leitung braucht.
Grüße

Hallo,

dafür ist Firewall > NAT > 1:1 gedacht.

Wenn externe und interne IPs in derselben Reihenfolge sein sollen, kannst du das auch mit nur einer Regel machen.

Allerdings weist das dem WAN Interface nicht die IPs zu. D.h. wenn du die zusätzlichen IPs nicht auf die Standard-WAN-IP geroutet bekommst, musst du diese noch zusätzlich zuweisen:
Firewall > Virtual IPs
Hier alle weiteren IPs als 'IP Alias' hinzufügen.

Grüße

Hello,

das habe ich schon, ich habe auf beiden firewalls die volle bandbreite.
Das liegt nur an der Umstellung auf das CARP interface.
Sobald das aktiv ist, habe ich nur noch 100 MBit.

Hatte das Problem schon mal mit der pfSense 2.2. Da ging diese Karte nicht. Ob es jetzt funktioniert kann ich nicht sagen. Da es ein Server war, habe ich einfach ein Proxmox draufgemacht und die Netzwerkkarte auf virtio gepackt, ging auch. Allerdings hatte ich keinen 10GBit Internetanschluss um das ausnutzen zu können. War nur für das interne Netzwerk schön, obwohl da der meiste Traffic eh über die Switch geht und nicht über die Karte.

Ich vermute es geht um das "Default Gateway" über einen externen VPN Anbieter, um so Geoblocking, Netzsperren oder anderes zu umgehen. Erfahrungen habe ich nur mit Websecuritas gemacht. Da gibt das mit OpenVPN und IPSEC was beides von der pfSense unterstützt wird. Allerdings gibt es zig andere Anbieter.

Das kann ich Bestätigen. Unter einer Proxmox Virtualisierung hatte ich auch erst das Problem, dass das Routing nicht sauber funktionierte. Da gab es dann den Hinweis "Disable hardware checksum offload". Mittlerweile kann man auch die virtio Treiber nachinstallieren, da gings auch ohne die Einstellung. Bei XEN Server sind noch andere Einstellungen notwendig.