@renegade:

Hast du den Traffic Shaper aktiviert?
Dann Werte aktualisieren oder ggf. den Wizard erneut durchlaufen.

Ahhh!! Ihr seid genial! Traffic Shaper wars!

Ausgeschalten, volle Leistung :)

Sollte man sowas evtl pinnen?

Anyway, many thanks!

Ceo

Hallo,

Danke für deine schnelle Antwort. Werde ich gleich mal probieren.

Gruß
Chris

Guten Tag,

kurzes Feedback: Es funktioniert seit dem Wochenende, juhu! Leider hatte ich noch keine Gelegenheit zu antworten - Es waren sehr stressige Tage.

Problem war, dass ich unter NAT noch ein 1:1 Mapping mit der IPv6 aktiv hatte. Das hatte für Fehler bei der Firewall gesorgt, weil die public IPs mit den lokalen IPs übersetzt wurden (Zumindest was ich in den logs gesehen habe). Da aber keine VM mehr die lokale IP hatte und die Firewall Regel auf die öffentliche Adresse ausgelegt war, ist nie etwas angekommen. Der traceroute6 ist beim Gateway des anbieters dann abgebrochen.

Naja, nach dem löschen der NAT 1:1 regel hatte dann alles funktioniert. Jetzt mache ich nach und nach die Server mit IPv6 ready.

Ich danke euch beiden nochmal! Großartige Arbeit. :)

Erstens das was @nobanzai schreibt, zweitens muss beim Fail die Policy ja nicht geändert werden, da man deshalb ja die GW Gruppe einträge. Es wird also nur das aktive GW der Gruppe geändert. Die Policy bzw. Regel mit dem Gruppen-GW bleibt ja so wie sie ist.

Wenn du eine Block all rule mit der option logge pakete die von dieser Regel getroffen werden aktivierst sollten die Pakete im firewall log landen.

@blex: weil du das jetzt bereits das zweite mal schreibst: das ist Standard Einstellung! Zu sehen unter "Status / System Logs / Settings": "Log packets matched from the default block rules in the ruleset"
In dem Satz stehen beide Tatsachen drin: es wird default schon alles geblockt was nicht erlaubt ist, und es wird default ebenfalls auch ins Firewall Log geloggt, wenn es gegen die default block rule verstößt (was auf dem WAN ohne Regel quasi alles ist). Es ist also keine explizite Regel notwendig. Im Gegenteil, vergisst man hier das Log schaltet man sich dabei unabsichtlich alles Logging ab. Oder legt eine Allow Regel darunter an und wundert sich warum sie nicht greift. Eine zusätzliche Block Any Regel macht in den allerwenigsten Konfigurationen daher Sinn. ;)

Dem Rest des Vorgehens stimme ich aber uneingeschränkt zu! :) Von Anfang bis Ende sauber durchgehen und analysieren! Also bspw.:

Kommt Paket überhaupt an der pfSense an? Wird es geblockt oder erlaubt? Hier ggf. auch bitte das Logging in den Pass Regeln fürs IPSec an machen, dass man sieht ob geblockt oder erlaubt! Logs von System und IPSec checken. Fehlermeldung von iPhone genau prüfen (gibts ein anderes Layer2/3 Problem)?
…

Warum überhaupt ipsec weiterleiten und nicht direkt auf der pfsense machen? Und warum unbedingt ipsec (l2tp) und nicht OpenVPN?
Weil ich nicht weiss wie es geht und weil am Iphone l2tp einfacher einzurichten ist als OpenVPN.

Entschuldige ich muss es einfach fragen: HE? L2TP einfacher als OpenVPN? :o OpenVPN App installiert, Konfiguration aus Client Export Wizard nehmen und draufklatschen und fertig? grübel Und das ist kompliziert?
Nicht böse gemeint, aber das ist das Erste was ich höre ;) Kein Kunde hat bislang je behauptet, IPSec oder L2TP wären an irgendeiner Stelle einfacher :)

Gruß Jens

Bitte schön  ;D

Hallo,

also ein MITM kannst du mit Bordmitteln nicht machen.

Einen Virenscanner kannst du auf jedem Endgerät installieren. Dort sind die Daten ja auch dann nicht mehr verschlüsselt. ;)

Was du machen kannst, wäre nach einer Anleitung eine Konfiguration mit "transparent squid".

Gruß blex

Super danke :)

Hallo,

damit CARP einen ordentlichen Master / Slave erreicht, müssen sich die beiden Interfaces sehen können. Teilweise wird hier auch die Mac von Master / Slave zwischen den Interfaces hin und her getauscht. Das macht oft bei Virtuellen Umgebungen Probleme da hier immer nur die MAC Adresse der Virtuellen Netzwerkkarte erlaubt wird. Weiterhin meine ich im Kopf zu haben das hier auch teilweise Multicast genutzt wird. Dieses wird teilweise auch gefiltert.

Also bitte prüfen ob Multicast zugelassen ist und ob weitere MAC Adressen auf dem Port erlaubt sind oder ob die weg gefiltert werden.

Hallo,

wenn der Raspberry die VPN aufbaut, muss eben auch dieser die Zugriffe aus der VPN kontrollieren, also die Protokolle und Ports, die aus der VPN erlaubt sind. Die pfSense kann so darauf keinen Einfluss nehmen.

Um Zugriffe auf interne Netze sicher zu unterbinden, erstelle ich einen Alias "RFC1918", der sämtliche RFC 1918 Netze enthält, wie auch hier beschrieben:
https://doc.pfsense.org/index.php/Prevent_RFC1918_traffic_from_leaving_pfSense_via_the_WAN_interface
Diesen verwende ich in der Block-Rule als Destination am jeweiligen Interface. Das stellt sicher, dass die Regel auch funktioniert, wenn sich ein Netz ändert oder eines hinzukommt.
Wenn du Floating Rules definiert hast, achte auch darauf, dass da nichts auf dem OPT3 Interface erlaubt ist, denn diese Regeln haben je nach Konfiguration Vorrang.

Grüße

Hallo flowers,

wir müssen noch eine Sache klären. Und zwar "wie" kommen die Netze zu dir.
In deiner Zeichnung hat du ein "Gateway" aufgemalt. Dieses hat die IP .129.

Folgende Fragen ergeben sich:

1. Hast du darüber Kontrolle?
2. Hat das Gateway eine WAN UND eine LAN IP?

Hintergrund: Die Frage ist ob ein "öffentliches" Netz zu dir geroutet wird oder kommt es aus einem Switchport raus.

Wenn du ein Geroutetes Netz hast kannst du die IP Adresse wohn das Netz geroutet wird dem pfSense WAN Interface geben und die "öffentlichen" IPs dann als Netzwerk auf dem WAN Interface definieren. Dann kannst du unter NAT ein 1:1 NAT für LAN (IP) <-> WAN (öffentliche IP) einrichten und die Rechner werden wenn Sie dann aus deinem Netz raus gehen sich mit der öffentlichen IP bewegen.

Solltest du kein Geroutetes Netzwerk haben wird es extrem aufwendig. Du musst JEDE deiner Öffentlichen IPs als ein IP Alias auf dem WAN Interface anlegen und kannst dann wieder das  1:1 NAT erstellen.

Wenn es dir nur um das "Filtern" geht kannst du auch über ein Bridge Setup nachdenken. Das ist als würdest du die pfSense in dein Uplinkkabel stecken und einfach nur kontrollieren was über dieses Kabel geht. Nicht wirklich so schön.

Gruß blex

Die Bridge war die Lösung.

Ja das ist vermutlich eine Pfusch IPv6 Lösung die sie dort anbieten.

Ja laut FAQ soll es mit diesen Befehlen funktionieren. Ich habe die von dir vorgegeben Schritte (natürlich mit den Richtigen Parametern) getestet konnte aber leider immer noch keine Verbindung nach außen aufbauen. Ich habe den Support nochmal wegen der MAC Adresse angeschrieben aber leider noch immer keine Antwort dazu bekommen.

Mir ist leider auch überhaupt nicht klar, was mit

10.155.20.1-10.155.20.248 können wir benutzen… Auf jedenfall ist NAT keine Lösung die Clients müssen alle 1:1 mit selber ip im WAN landen, bzw am Gateway...

gemeint ist. Was haben die Clients jetzt? Was können/sollen sie danach haben? Wo willst du jetzt plötzlich routen? Alles ein wenig nebulös...

Vielen Dank, dass ihr nochmal die genau Verhaltensweise der History und des "Apply Changes" Button beleuchtet habt, sehr nützliche infos!

@viragomann

vielen Dank für deine Hilfe. Ich habe gestern Abend die Netzwerkkarten umgestellt und die Einstellung aktiviert. Anschließend manuell das Backup angestoßen, welches heute Nacht auch nochmal lief. Bisher keine Probleme.

Ich werde das Problem weiterhin beobachten und mich melden, sollte es damit nicht erledigt sein.

Bis dahin erstmal ein großes Danke an euch!

Vielen Dank, ja ich sehe schon, dass es ein WebServer Problem ist… intern funktioniert, wie erwähnt alles ohne Probleme, extern mit einer NAT Weiterleitung ebenso, nur über den HA Proxy nicht. Aber habe eben die Anleitung von ownCloud zu Rate gezogen, ich müsste da den Proxy eintragen, damit das klappt:

https://doc.owncloud.org/server/9.0/ownCloud_Server_Administration_Manual.pdf
5.16.1  Defining Trusted Proxies
For security, you must explicitly define the proxy servers that ownCloud is to trust. Connections from trusted proxies
will  be  specially  treated  to  get  the  real  client  information,  for  use  in  access  control  and  logging.  Parameters  are
configured in
config/config.php
Set the
trusted_proxies
parameter as an array of IP address to define the servers ownCloud should trust as proxies.
This parameter provides protection against client spoofing, and you should secure those servers as you would your
ownCloud server.
A reverse proxy can define HTTP headers with the original client IP address, and ownCloud can use those headers
to retrieve that IP address.  ownCloud uses the de-facto standard header ‘X-Forwarded-For’ by default, but this can
be configured with the
forwarded_for_headers
parameter.  This parameter is an array of PHP lookup strings,  for
example ‘X-Forwarded-For’ becomes ‘HTTP_X_FORWARDED_FOR’. Incorrectly setting this parameter may allow
clients to spoof their IP address as visible to ownCloud, even when going through the trusted proxy! The correct value
for this parameter is dependent on your proxy software.

Momentan klappt es noch nicht, aber ich probiere noch etwas rum :)

Auf jeden Fall ist das primäre / Thread Problem gelöst, vielen herzlichen Dank an alle :D

Aber bitte beachten das der J1900 kein AES-NI kann und somit die 2.5er pfSense darauf nicht mehr laufen wird. Also genau hinschauen welche CPU drin ist.