Hallo,

damit CARP einen ordentlichen Master / Slave erreicht, müssen sich die beiden Interfaces sehen können. Teilweise wird hier auch die Mac von Master / Slave zwischen den Interfaces hin und her getauscht. Das macht oft bei Virtuellen Umgebungen Probleme da hier immer nur die MAC Adresse der Virtuellen Netzwerkkarte erlaubt wird. Weiterhin meine ich im Kopf zu haben das hier auch teilweise Multicast genutzt wird. Dieses wird teilweise auch gefiltert.

Also bitte prüfen ob Multicast zugelassen ist und ob weitere MAC Adressen auf dem Port erlaubt sind oder ob die weg gefiltert werden.

Hallo,

wenn der Raspberry die VPN aufbaut, muss eben auch dieser die Zugriffe aus der VPN kontrollieren, also die Protokolle und Ports, die aus der VPN erlaubt sind. Die pfSense kann so darauf keinen Einfluss nehmen.

Um Zugriffe auf interne Netze sicher zu unterbinden, erstelle ich einen Alias "RFC1918", der sämtliche RFC 1918 Netze enthält, wie auch hier beschrieben:
https://doc.pfsense.org/index.php/Prevent_RFC1918_traffic_from_leaving_pfSense_via_the_WAN_interface
Diesen verwende ich in der Block-Rule als Destination am jeweiligen Interface. Das stellt sicher, dass die Regel auch funktioniert, wenn sich ein Netz ändert oder eines hinzukommt.
Wenn du Floating Rules definiert hast, achte auch darauf, dass da nichts auf dem OPT3 Interface erlaubt ist, denn diese Regeln haben je nach Konfiguration Vorrang.

Grüße

Hallo flowers,

wir müssen noch eine Sache klären. Und zwar "wie" kommen die Netze zu dir.
In deiner Zeichnung hat du ein "Gateway" aufgemalt. Dieses hat die IP .129.

Folgende Fragen ergeben sich:

1. Hast du darüber Kontrolle?
2. Hat das Gateway eine WAN UND eine LAN IP?

Hintergrund: Die Frage ist ob ein "öffentliches" Netz zu dir geroutet wird oder kommt es aus einem Switchport raus.

Wenn du ein Geroutetes Netz hast kannst du die IP Adresse wohn das Netz geroutet wird dem pfSense WAN Interface geben und die "öffentlichen" IPs dann als Netzwerk auf dem WAN Interface definieren. Dann kannst du unter NAT ein 1:1 NAT für LAN (IP) <-> WAN (öffentliche IP) einrichten und die Rechner werden wenn Sie dann aus deinem Netz raus gehen sich mit der öffentlichen IP bewegen.

Solltest du kein Geroutetes Netzwerk haben wird es extrem aufwendig. Du musst JEDE deiner Öffentlichen IPs als ein IP Alias auf dem WAN Interface anlegen und kannst dann wieder das  1:1 NAT erstellen.

Wenn es dir nur um das "Filtern" geht kannst du auch über ein Bridge Setup nachdenken. Das ist als würdest du die pfSense in dein Uplinkkabel stecken und einfach nur kontrollieren was über dieses Kabel geht. Nicht wirklich so schön.

Gruß blex

Die Bridge war die Lösung.

Ja das ist vermutlich eine Pfusch IPv6 Lösung die sie dort anbieten.

Ja laut FAQ soll es mit diesen Befehlen funktionieren. Ich habe die von dir vorgegeben Schritte (natürlich mit den Richtigen Parametern) getestet konnte aber leider immer noch keine Verbindung nach außen aufbauen. Ich habe den Support nochmal wegen der MAC Adresse angeschrieben aber leider noch immer keine Antwort dazu bekommen.

Mir ist leider auch überhaupt nicht klar, was mit

10.155.20.1-10.155.20.248 können wir benutzen… Auf jedenfall ist NAT keine Lösung die Clients müssen alle 1:1 mit selber ip im WAN landen, bzw am Gateway...

gemeint ist. Was haben die Clients jetzt? Was können/sollen sie danach haben? Wo willst du jetzt plötzlich routen? Alles ein wenig nebulös...

Vielen Dank, dass ihr nochmal die genau Verhaltensweise der History und des "Apply Changes" Button beleuchtet habt, sehr nützliche infos!

@viragomann

vielen Dank für deine Hilfe. Ich habe gestern Abend die Netzwerkkarten umgestellt und die Einstellung aktiviert. Anschließend manuell das Backup angestoßen, welches heute Nacht auch nochmal lief. Bisher keine Probleme.

Ich werde das Problem weiterhin beobachten und mich melden, sollte es damit nicht erledigt sein.

Bis dahin erstmal ein großes Danke an euch!

Vielen Dank, ja ich sehe schon, dass es ein WebServer Problem ist… intern funktioniert, wie erwähnt alles ohne Probleme, extern mit einer NAT Weiterleitung ebenso, nur über den HA Proxy nicht. Aber habe eben die Anleitung von ownCloud zu Rate gezogen, ich müsste da den Proxy eintragen, damit das klappt:

https://doc.owncloud.org/server/9.0/ownCloud_Server_Administration_Manual.pdf
5.16.1  Defining Trusted Proxies
For security, you must explicitly define the proxy servers that ownCloud is to trust. Connections from trusted proxies
will  be  specially  treated  to  get  the  real  client  information,  for  use  in  access  control  and  logging.  Parameters  are
configured in
config/config.php
Set the
trusted_proxies
parameter as an array of IP address to define the servers ownCloud should trust as proxies.
This parameter provides protection against client spoofing, and you should secure those servers as you would your
ownCloud server.
A reverse proxy can define HTTP headers with the original client IP address, and ownCloud can use those headers
to retrieve that IP address.  ownCloud uses the de-facto standard header ‘X-Forwarded-For’ by default, but this can
be configured with the
forwarded_for_headers
parameter.  This parameter is an array of PHP lookup strings,  for
example ‘X-Forwarded-For’ becomes ‘HTTP_X_FORWARDED_FOR’. Incorrectly setting this parameter may allow
clients to spoof their IP address as visible to ownCloud, even when going through the trusted proxy! The correct value
for this parameter is dependent on your proxy software.

Momentan klappt es noch nicht, aber ich probiere noch etwas rum :)

Auf jeden Fall ist das primäre / Thread Problem gelöst, vielen herzlichen Dank an alle :D

Aber bitte beachten das der J1900 kein AES-NI kann und somit die 2.5er pfSense darauf nicht mehr laufen wird. Also genau hinschauen welche CPU drin ist.

@relaxer:

Komisch finde ich, dass die 2.4.2 auch nicht über pfsense HP gedownloaded werden kann für die APU2.

Kann sie schon, wie schon geschrieben wurde.
Vermutlich nutzt du für deine Installation (noch) ein 32bit NanoBSD (der thread heißt ja auch so…), welches mit Version 2.3.x ausgelaufen ist. 2.4 gibt es nur noch für x64 Systeme (und für spezielle ARM Boards).
Wenn du also auf v2.4 updaten möchtest, dann geht das nur noch mit 64bit Hardware und einer Vollinstallation. Meist ist da eine Neuinstallation am geschicktesten.

Greife das hier noch mal auf, habe das leider aus zeitlichen Gründen etwas aus verloren. Also ist es nicht möglich, ohne OpenVPN, eine L2TP / IPSec Verbindung zu einem Server herzustellen? Auch mit der aktuellsten pfSense Version nicht?

Bin auf ZFS umgestiegen, damit war das Problem gelöst.

Generell werden bei den WAN Interfaces auch gleich Gateways angelegt (DHCP und PPPoe) bzw. bei Static gibt man selbst das Gateway an.
Anschließend gehst du in den Firewall Rules auf dein LAN Interface. Mach ein Clone der "Default allow LAN IPv4" !!über!! der bestehenden! Dann editieren und folgende Werte ändern.

"Source": die IP deines Clients angeben
"Advanced Options - Gateway": das gewünschte WAN Gateway angeben, über welches er nach außen gehen soll

Erstmal vielen dank für deinen Antwort

Hmm.. Hab bereits befürchtet dass das nichts wird.  :-[ Muss nun sehen ob das mit dem Whitelisten noch was wird. Mein TV gibt seine Qeulle (IP) nicht an - wie so viele andere Clients in meinem Netz auch. Insofern kann ich mich zwar nach Firewall>pfBlockerNG>Alerts begeben, und zusehen was passiert, den Client jedoch nur erahnen da IF und Quelle als "Unknown" angezeigt werden. Davon abgesehen ist dieses Red Button Streaming Zeugs ohnehin heikel wie sau, und so wie es mir bisher scheint hat ProSiebenSat1 nicht bloß einen, sondern gleich ne ganze Tracking-Armee inklusive zwangs-Cookie im Aufgebot. Ziemlich hässlich das ganze.  :-\

Was wen ich gleich vorgehe wie bei der PS3/4? Stichwort NAT Mapping. Würde nichts bringen richtig?

Danke für die Hilfe. Werd ich gleich mal testen.
Ja auf der anderen Seite läuft Win openwrt gerät, dass eigentlich nicht Supportet wird.
Deshalb kann man nur beschränkt eingreifen. Und da ich in dem Thema auch nicht so fit bin,
Wollte ich das dann vermeiden.

Lg

Es ist ein reines Modem. Jedes Kabelmodem ist über die IP erreichbar. Muss es auch sein bei DOCSIS.