@NOCling Ergänzung da die Kiste 4 NICs hat: wenn man sie als transparente Bridge reinhängen will, geht das auch. ETH0 als LAN/MGMT konfigurieren auf eine 192er IP aus dem LAN. An den Switch anklemmen ganz normal. ETH 2+3 als Bridge konfigurieren, zwischen Switch und Router hängen und auf der Bridge dann filtern.

Allerdings ist Bridge setup hochgradig advanced was das Setup und die Regeln angeht, da wird der OP kaum Spaß dran haben wenn man nicht aus dem Netzwerk kommt weil das ziemlich schwer verständlich ist und es kein gutes "in/out" gibt was man unterscheiden kann (außer man ändert noch weitere sysctl Einstellungen um auf den Bridge Members zu filtern...)

Daher würde ich stark abraten da als Anfänger im Heimnetz zu bridgen und filtern.
Lieber den Router davor ändern von der IP, pfSense übernimmt dann die alte Rolle des bisherigen Routers und fein.

Cheers 🥂

@Benno72
Überprüfe diese Punkte:

In der Serverkonfiguration muss das Client-Netzwerk in "Remote Networks" eingetragen sein.

Im CSO nochmals dasselbe.
Der Commonname muss zu den im Client- Zertifikat oassen
Eventuell braucht es noch eine Tunnel IP. Eine aus dem Tunnel -Netzwerk mit der richtigen Subnetzmaske

@kira12 Ohne Details oder Screenshots schlecht nachvollziehbar, da man nicht weiß was er macht.

In die Logs schauen bei Verbindungsversuch, nach LAN und Port 22 filtern und schauen was aufschlägt. Wenns über die Sense nicht rausgeht wirds ja offenbar dort auf dem LAN geblockt - also schauen in die Logs, schauen wie es ankommt (falsche Adresse, falscher Prefix, whatever). Tracking Regeln und das ganze IP6 dynamische Geraffel sind da aber auch prädestiniert für Quark zu machen, weswegen man eigentlich feste Prefixe will, aber die bekommt man ja leider nicht ran.

@gtrdriver said in erstmalig 2.7.er Installation - ist da ein Bug im Webinterface ?:

Hallo zusammen

ja - das ist ein Browser Problem ..
Ich hab Cache etc. schon gelöst .. - aber keine besserung
Das verrückte ist - sobald ich im Browser den Inkognito Modus nutze gehts ...

Seltsam ...

Dann ist es kein Cache, sondern das komische "Daten Einfügen" Kram des Browsers. Mit ein Grund, warum wir empfehlen, im Browser keine PWs und keine Daten wie Adressen oder Kreditkarten zu speichern. Das läuft dann über Formulardaten die er sich merkt und da dann entsprechend manchmal Quark einfügt. Im Inkognito Mode ist das Formfelder einfügen dann aus.

Würde empfehlen das generell einfach abzustellen und die Formdaten zu löschen, dann solltest du das Problem hoffentlich los sein. Ansonsten hilft manchmal auch (generell) ein zweiter Browser der solchen Kram nicht speichert oder entsprechend konfiguriert ist und den man dann nur für sowas nimmt (wenn man Daten im Browser speichern als Komfortfeature nicht abschalten will).

Cheers :)

Ja das sieht gut aus.
Dann besser noch mal den Browser Cache löschen, Anzeigefehler sind einen klick später ggf. fatale Konfigurationsfehler.

@Tobias-Kal Ansonsten die Einstellungen (wenn managebar) des Switches mal sichern und zurücksetzen / rebooten.

Hast du denn mal verschiedene Speedtests von unterschiedlichen Anbietern genutzt?
Evtl. die NICs mal mit iperf durchtesten ob da Auffälligkeiten zu beobachten sind.

Die Netzwerkkarte ist jetzt seit einer Woche getauscht und das Problem ist nicht mehr aufgetreten.
Vermutlich hatte die Broadcom vor allem unter Last ein Problem was zu einem PCIe Fehler geführt hat...

@Micki said in Regelsets gesucht:

4.1. Über die Zielkonfiguration die Weboberfläche der Fritzbox zu erreichen.

Wäre interessant, ob du das natten oder routen möchtest.
Für diesen Zweck sollte NAT okay sein. Wenn du am WAN Interface der pfSense die interne IP der FB als Gateway gesetzt hast, sollte das eigentlich schon funktionieren.

4.2. Einen Regelsatz für einen Webserver im 192er Netz zu erstellen (in der momentanen Konfiguration ist er erreichbar).

Hier würde ich routen.
Dann erst mal eine statische Route für das 192er Netz einrichten und auf das Sec Gateway zeigen. System > Routing
Das Sec GW muss erst als Gateway angelegt werden.

Dann sollte es mit eine normalen Port Forwarding Regel (mit assoziierter FW-Regel) schon klappen.

Auch ein Regelsatz Port 80 und 443 Fritzbox Lan auf PfS Lan hat nicht geholfen. Bitte nicht auf DMZ varianten verweisen, das ist derzeit noch nicht realisierebar.

Dass der Traffic von der FB auf die pfSense weitergeleitet wird, ist nun mal Voraussetzung. Ob das als DMZ oder durch Weiterleitungen einzelner Ports geschieht, ist nicht ausschlaggebend.

@viragomann

Danke für die ausführliche Antwort. Das hilft mir schon sehr weiter.

OK, dann muss ich mich noch etwas damit spielen, denn den DNS Resolver habe ich mit dem Server noch nicht zum laufen bekommen.

"...das ist echt cool wenn man den sauber mit Main Mode zum laufen bringen könnte...."
Das ist doch mit Strongswan problemlos und ohne großen Aufwand möglich:
FritzBox-Strongswan mit IPsec Main Mode

Was die Kopplung zur pfSense/OPNsense anbetrifft muss man die Schlüsselalgorithmen von AVM beachten
AVM Schlüsselalgorithmen

Ja so triviale Probleme sind manchmal die man zuletzt sucht.

Appliances mögen es halt einfach und gerade Firewalls stehen auf Kabel 😁

Bei der Anzahl der Geräte, drehe die Leastime hoch, die default ist bei dir sonst mit hohem Broadcast Aufkommen verbunden.

@holger852 Wenn du tatsächlich noch mehr und größere Zonen erstellen und verwalten willst, kannst du am Ende immer noch hergehen, und das Bind Package auf der Sense installieren - dann kannst du da deine kompletten Zonen mit verwalten wie du möchtest :) Dann muss man natürlich sehen, ob und wie man das zusammen mit dem Resolver o.ä. betreibt (andere Ports etc.) aber gehen tut es :)

@magicteddy it is probably this:

https://forum.netgate.com/topic/181594/restore-missing-freeradius-config

https://redmine.pfsense.org/issues/14596

It apparently will affect everyone who has not yet clicked Save on the main settings screen.

Danke für die schnelle Antwort.

Ich habe das Backend wieder auf ISC DHCP umgestellt. Mal schauen, was passiert.

Dankeschö.

@JeGr Danke für dein Feedback :)
Ich hab generell vor, mir in Zukunft ein kleines Modem zu kaufen und die FritzBox komplett zu ersetzen.

Problem scheint sich irgendwie von selbst gelöst zu haben. Keine Ahnung woran es lag...

@JeGr

Ok, danke wieder viel Input für mich aber ich habs mir gerne durchgelesen um das ganze Thema etwas besser zu verstehen ;)

Dann lass ich alles mal so! Tatsächlich habe ich immens viele DHCP Clients aufgrund vieler Smarter Geräte wie Shellys für alle Lampen und Rollläden etc. Das würde tatsächlich dann Probleme bereiten.

Danke nochmal für die ausführliche Erklärung! 😀

LG

@tpf said in Squid fliegt raus? Und nun?:

@JeGr
Ja, ist auch wieder richtig... Kennst du zufällig ein brauchbares Projekt mit Squid als z.B. Docker? Die Konfigmöglichkeit über GUI wäre wichtig...

Hmm da gibt es sicher Rezepte oder Docker Compose Ansätze, die Squid, Squid Proxy, Dansguardian und Co dann als Container rufen und spawnen, da ist dann die typische Squid GUI ja wieder mit bei.

Ansonsten gäbe es ggf. mit https://trafficserver.apache.org/ eine andere Möglichkeit sich sowas aufzusetzen, den kenne ich allerdings nicht wahnsinnig tiefgreifend.
Als Docker sieht das offizielle Ubuntu Image vielversprechend aus: https://hub.docker.com/r/ubuntu/squid
Oder vielleicht wenn Caching eh kein Thema ist https://www.privoxy.org/

Cheers

Ich konnte es wie von @viragomann schon vorgeschlagen mit DNAT auf dem Teltonika lösen.

Es hat jetzt wirklich eine Weile gedauert (und viele EMails mit dem Hersteller) bis ich von diesem "Net Device2" alle Informationen zusammen hatte, dass war eine ziemliche Blackbox (war mir vorher nicht bekannt/klar).

Vielen Dank an die Beiträge und eure Hilfe.

@viragomann top, danke, läuft