Dann kannst du mit Verlaub den Preis auch vergessen. Ich kenne Jörg (von mini-itx) und die Preise sind alles mal Snapshots von anno-tuk bis ein Gerät mal wieder angefragt wird. Leider war das schon mehrfach ein Problem, dass er steinalte Preise auf der Seite hatte und dann Anfragen kamen, warum er so billig anbietet. Ist auch deshalb schon häufiger mal angesprochen worden, leider macht er das immer noch.

Da die Preise seit Anfang des Jahres durch den RAM Anstieg im letzten Jahr und im ersten Quartal immer weiter klettern (leider), bezweifle ich ob er wirklich den Preis halten will/kann wenn tatsächlich was angefragt wird. Und es gibt nicht nur "einen" official reseller :P Wir sind z.B. Landitec Silver Partner genauso aber auch pfSense Partner und ein paar andere Sachen eben auch, die für uns einfach eine Runde Sache in Punkto Angebot ergeben. Damit man Alternativen hat und nicht nur eine Antwort geben kann ;)

Grüße

Viel einfacher geht es nicht: https://doc.pfsense.org/index.php/Firewall_Rule_Processing_Order
Und: https://doc.pfsense.org/index.php/Port_Forward_Troubleshooting

Hey m0nji,

habe es durchgeführt und so wie es sich darstellt hat es geholfen! Vielen Dank für den Tip

Grüße
Frank

@viragomann:

Es kann auch sein, dass die System-Firewall der VM selbst den Zugriff aus dem anderen Netz blockiert. Ist bspw. bei Windows Standard.

Vielen Dank… Standard Image auf die VM ausgerollt und da sind iptables aktiv mit sehr restriktiven Einstellungen. Nun läuft's.

Nochmals vielen Dank und schönen Abend.

Grüße
ich

Hallo "Forum"
hallo "JeGr"
Danke für euere Hinweise. Der USB-Stick hatte das Image als ISO drauf. Nochmal das img.gz runtergeladen und jetzt läuft die pfSense.

@JeGr:

Spätestens nach

Jetzt habe ich mir von meinem Provider A1 eine fixe IP geben lassen, diese wird per DHCP zugewiesen. Nachdem ich immer wieder eine andere

sehe ich das nicht als pfSense Problem. Wenn pfSense hier lediglich DHCP machen soll um eine Adresse zu bekommen, ist sie an der Stelle komplett raus. Alles andere muss A1 bzw. dein Webcube machen, bei dem ich dir leider nicht helfen kann.

Gruß

Das habe ich absolut genauso gesehen.
Die Business Hotline hat mir aber jetzt Recht gegeben. Ihr Problem ist, das anscheinend durch ein Updater vom Netz, der APN am Cube dauernd wieder überschrieben wird.
Was die fixe IP dann aber bringen soll, ist mir nicht klar

Wie an anderer Stelle schon geschrieben, eher wohl bedingt durch falsches / dupliziertes Routing. Ein Paket wandert ja nicht aus Jux und Dollerei einfach über eine Leitung ;) Also muss es irgendwo Routen geben, entweder in Phase 2 Einträgen oder im System, die das Paket über den falschen Tunnel schicken. Ohne Details zu Routing Table und den Phase 2 Entries ist das aber alles Glaskugelleserei.

Gruß

Wäre durchaus möglich, mit auch weil ich mich nicht darum gekümmert hab. Bloß aufgeschnappt und naja.. Sollte eine Verwechslung vorliegen dann jedoch bestimmt nicht mit einem LAGG, und beim HAProxy wäre ich mir nicht-mehr so sicher. Aber nein, dann doch eher als eine der wohl verflossenen Einrichtungshilfen für Traffic Shaper, Layer7 oder so-was. Wobei ich es eigentlich schon im Sinne der Lastverteilung in Erringung habe. Und zwar in dem Sinne das Engpässe um Multi-LAN -bspw an einer Messe wo das Gäste WLAN chronisch geflutet wird- möglichst zu vermeiden, und die Bandbreite des Routers optimal zu nutzen (das stärkere LAN obsiegt den schwächeren). Das wäre sicherlich interessant zu verfolgen, jedoch nicht der wichtigste Punkt, nicht meine Frage, und insbesondere OT. Nicht war ?  ;D ;)

Mittlerweile bin ich mir sehr sicher, dass das so war. :-)

Das Aufschreiben, Reden und Nachdenken haben mir dabei geholfen, dass ich das in Zukunft wohl besser einschätzen kann.
Danke nochmal für die Reaktion und den Verweis, dass die Adresse nicht zu dem Botnetz gehören muss, sondern zu Tor.

Hallo,

die Sense leitet den IPv6 Traffic über das (definierte oder Standard) Gateway. Wenn du nur ein Gateway über IPv6 erreichst bzw. nur eines mit IPv6 hast wird sie dieses nehmen.

Mangels Dualstack kann ich es aber leider selbst nicht nachstellen sondern nur beschreiben wie ich es, in der Theorie, angehen würde.

:) freut mich

Fehler gefunden. Vor lauter Bäumen den Wald nicht mehr gesehen.

IPsec Phase 2 Eintrag für das openVPN subnet habe ich vergessen.

Fun Fact: Von mehreren Dutzend Support Anfragen von Firmen zu pfSense + IPSec (oder auch OpenVPN) waren komischerweise <10% Fehler der pfSense. Allermeistens waren es die Gegenstellen, die

falsch konfiguriert waren (einfach) andere Werte zum Verbindungsaufbau genutzt haben (mittelschwer böse) andere VPN Strecken oder Routen, an die man nicht mehr dachte, die überlappt haben und deshalb für Chaos gesorgt haben oder sich die Gegenseite fast gar nicht um Standards geschert hat.

Insofern - lieber nochmal prüfen ;)

Ich weiß nicht ob es nach der Änderung immer noch so ist, aber zu unserer Zeit hat das hier am Sinnvollsten mit ESX + Hetzner geklappt:

zusätzliche Netzwerkkarte + IP ordern, weil eigene MAC und die Ursprungskarte ja von Hetzner für das Mgmt von ESXi konfiguriert ist zusätzliches Subnetz /29 o.ä. ordern und auf die IP der zusätzlichen Karte routen lassen pfSense als Routing VM im ESXi anlegen mit WAN auf zusätzliche Netzwerkkarte, zusätzliche IP als WAN IP für die VM interne Switche für VLANs anlegen (nach Bedarf) und intern die VMs via vSwitch dann an das/die (V)LANs der pfSense ankoppeln.

Dadurch dass die eigenlichen Adressen aus dem /29 dann geroutet sind, kannst du damit dann auf der Sense machen was du willst, ggf. auch einfach direkt 1:1 NAT auf einen Host oder eben in HAProxy verbraten. Da die pfSense als zusätzlicher Hop und Gateway für die internen Netze fungiert und extern mit ihrer IP+MAX der zusätzlichen NIC agiert, gabs/gibts da mit der Hetzner MAC Geschichte kein Problem.

Müsste man aber vorher vllt vom Support nochmal bestätigen.

Auch wenns schade ist denke ich, dass das momentan einfach noch nicht geht. :) Sorry

@m0nji: deine 3 Punkte sind sicherlich richtig, wobei ich 3) ergänzen würde um "Vorsicht beim Haken, dass der Resolver/Forwarder für die FW selbst NICHT genutzt wird". Ist der aktiv, sollte natürlich noch ein DNS eingestellt sein.

Die Aussage, dass pro WAN ein DNS eingestellt werden sollte, ist übrigens in den Dokus, das schneide ich mir nicht aus den Rippen ;)

Ist das nicht im Status ersichtlich? Ansonsten sollte das Log darüber Aufschluß geben können.

Der Kunde hat bereits eine bestehende pfSense. Ich will nur eine zweite hinzufügen als failover.

Das ist aber nicht ganz so trivial wie "ich hänge noch eine dazu und dann ist gut"! Da muss die Konfiguration und die Hardware auch ordentlich passen, sonst gibts da nur Probleme.

Die fixen externen IPs sind bisher als Virtuelle IP (Typ: Alias IP) auf der pfSense eingerichtet.

Verstanden.

Wenn ich nun ein Failover mache, muss ich die bestehende Virtuellen IPS von Typ "Alias IP" in typ "Carp" umwandeln?

Nein, es genügt eine davon zum Typ CARP umzuwandeln und bei den anderen Alias IPs als Interface nicht "WAN" auszuwählen, sondern die neu umkonfigurierte CARP VIP. Dann sind die anderen IPs Aliase des CARP Interfaces und ziehen mit diesem zusammen um wenn ein F/O notwendig ist.

Grüße

Thu Apr 12 12:23:19 2018 ERROR: Windows route add command failed [adaptive]: returned error code 1
Thu Apr 12 12:23:19 2018 ROUTE: route addition failed using CreateIpForwardEntry: Zugriff verweigert  [status=5 if_index=30]

Eindeutig Rechteproblem. Für Windows 10 bitte unbedingt den aktuellsten Client von OpenVPN mit Service installieren, dann sind auch keine Adminrechte des Benutzers notwendig (einmal während der Installation des Service, ja). Das liest sich aber eher nach einer Version < 2.4 von OpenVPN, bei der es noch keinen VPN Helfer Service gab.