@Satras: Natürlich, das "Können" war gar nicht in Abrede gestellt. Nur die Konfiguration wird entsprechend (vllt. unnötig) komplex, vor allem wenn man anfängt dann einzelne Hosts auf einzelne Leitungen zu drapieren denn abgehendes LoadBalancing bei Servern könnte sehr häßlich werden. Zudem kommen die einzelnen WANs ja mit eingenen externen IPs und können nicht mit einer Public IP über alle 6 Leitungen dienen, womit das ganze Konstrukt nochmals komplexer wird. Und bei 100+ Servern über 6 Adern mit IPs zu jonglieren ist schon abenteuerlich. Bei der Anzahl Servern sind wir eigentlich schon im (semi)pro Bereich und reden eigentlich schon von Serverraum oder kleinen RZ Strukturen ;) Und da klingt eben 6 WANs ein wenig schräg, aber vielleicht bekommen wir da ja noch ein wenig mehr Hintergrund :)

Ah sehr schön, da bin ich gespannt.

Nicht? ;) Bei mir schon :D Aber ich muss es auch testen ;)

also nochmals danke. bin jetzt auf openvpn umgestiegen. damit funktioniert jetzt auch wieder dns auf ios geräten.

Offen gestanden kann ich auch nur raten. In Deinem Trace sind tatsächlich sehr große Frames. Das geht nur, wenn alle Komponenten mitmachen, also insb. alle (virtuellen) Netzwerkadapter. Ich kenne mich mit Hyper-V aber auch nicht aus.

Von so großen Frames habe ich auch noch nie gehört, aber TCP erlaubt m.W. ein theoretisches Maximum von 64K.

Moin,

hab es mit dem pfsense-user-xml-generator in XAMPP hinbekommen. Ausgabe sieht dann so aus:

[font][size] <user><scope>user</scope> <password>$1$M4MeQe5P$9GGNOC2f2pUoH0lDGt2IO/</password> <md5-hash>79f26294a2f86770e1381a08ad390b90</md5-hash> <nt-hash>3031326363663366333730663639633162363532393736303432373739373165</nt-hash> <name>gast1</name> <expires><authorizedkeys><ipsecpsk><uid>2002</uid></ipsecpsk></authorizedkeys></expires></user> <user><scope>user</scope> <password>$1$ZsMysqFh$W1NkZ1ZG7g0ruy20GdL3R/</password> <md5-hash>7dfcd58351a03cb764920ed16da14cc8</md5-hash> <nt-hash>3432646462366335633130666266333334643363366165376633623932313330</nt-hash> <name>gast2</name> <expires><authorizedkeys><ipsecpsk><uid>2003</uid></ipsecpsk></authorizedkeys></expires></user> [/size][/font]

Kann dann in das Backup eingefügt werden, bis auf das Passwort, bzw den <bcrypt-hash></bcrypt-hash>und das scheint ja das PW zu sein, dass im Usermanager bei der Eingabe des Users generiert wird.

Also werde ich wohl jedes einzelne Passwort der User in BCrypt umwandeln müssen, oder hat jemand noch eine Idee?
Leider ist das Tool wohl nicht angepasst worden.  :-\

Hallo JeGr,

upnp-natpnp ist bei mir aktiv, exclusiv für die IP der PS4. Da ich mangels hinreichenden Kenntnissen zu den Konfigurationsmöglichkeiten nicht einschätzen kann,  welche Auswirkungen die von mir vogenommenen Einstellungen auf die Sicherheit der pfSense bzw. des Netzwerks haben, frage ich nach.

Gibt es außer dem von heise.de angebotenen

https://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1

Gibts es weitere Test, die auf offene Ports etc. prüfen? Bzw. wie kann die Sicherheit der pfSense-Konfiguration geprüft werden (Stresstest)? Wie geht man dabei vor?

Grüsse

Ralf

wenn es ausserdem "nur" um einen teamspeak server geht, würde ich dir empfehlen, nur die teamspeak-ports per port forward freizugeben. das ist sicherer, als sich zb auf eine windows-firewall zu verlassen.

Der Satz alleine ist so ja nicht richtig. Zum NAT gehört immer eine Firewall Regel. 1:1 NATs erstellen deshalb absichtlich KEINE Regel automatisch, sondern man muss händisch eine erstellen - und diese kann wiederum nur TS3 Traffic erlauben, trotzdem ist dann der Host/Server 1:1 verbunden und mann muss nicht umständlich Port Forwards & Outbound NAT separat erstellen, damit der Host nach draußen auch mit der richtigen IP seine Verbindung aufbaut (sofern das relevant ist). Das ist durchaus nicht unwichtig :)

Gruß

@krischeu:

Hi,
wo hast du denn das genau im IIS eingestellt?

Hi,
ich habe die Einstellung im Internetinformationsdienste(IIS)-Manager gefunden.
Dort auf deine Site und die Kachel FTP-Firewallunterstützung anklicken, da kann man die Portrange einstellen. Wichtig ist, dass du den Dienst dann neu startest, sonst wird sie nicht übernommen, zumindest war das bei mir so.

Hallo Heinz,

Reicht dann 1025 –> 5000 ??

Warum denn 5000? Und warum 1025? Mit >1024 sind ALLE Ports ab 1024 gemeint. Also 1024-65535.
FTP Läuft auf Control Port 21 und Data Port 20. Du hast anscheinend mit einem umkonfigurierten Control Port (auf 12365) zu tun? Ist der Data Port dann auch umkonfiguriert worden? (und warum überhaupt)

Server01 soll nicht in das Internet in der Zeit von 8:00 - ... Uhr (ist nur ein Linux-Fileserver)

Ah und Server01 steht im internen Netz? Deshalb meine Verwirrung :)

Das Gateway Telekom ist ein DSL-Modem der Telekom

Aber steht das im internen Netz? Ansonsten wäre das als Source an der Stelle völlig unklar?

Diese Überzeugungsarbeit mute ich mir bei einem großen schwäbischen Autohersteller nicht zu.

Gut, das kann ich mir vorstellen, allerdings müssen auch die Jungs da ordentliche Richtlinien haben ;) Aber wer weß :D

Gern und Gruß

Das war ein Rechtschreibfehler. Natürlich meinte ich 192.168.1.102  8)

Klappte jetzt mit dem Eintrag der WAN Adresse.

thanks

Der Anschluss selber kostet auch nur 65 CHF im Monat und das ist für die Geschwindigkeit sehr günstig und Preis/Leistungsmässig das beste was man in der Schweiz bekommen kann.

Ach seufz, die Schweiz - an der Stelle wirklich ein Schlaraffenland :)
Und Cablecom ist mir auch schon negativ zu Ohren gekommen von Schweizer Kunden - scheint ja wirklich nicht gerade ein guter Anbieter zu sein.

Weder die Installationsroutine noch die fertige Installation wollen automatisch booten.

Von welcher Version reden wir da? Die neue 2.4? Schon mit der älteren 2.3er probiert?`Wenn die geht, hast du eines der typischen UEFI Problemchen.

Ein wenig stören die 40 Watt schon.

Dann würde ich entweder (minimum) eine APU2 oder die größere NCA-1020 nehmen. Kostet mehr, kann aber auch mehr. Und wenn ich nicht ganz schief liege, war die 1010 und 1020 mit <10W Dauerleistung angegeben, dann hättest du deine 40 Watt abgespeckt :)
Bei APU2 bist du aber - um grobe Hausnummern zu sagen - mit ~200€ dabei, bei einer NCA-1020 bist du dann auch bei ~450€. Beide brauchen dafür wenig Strom und haben trotzdem noch Power um einige Pakete zusätzlich zu bedienen. Aber wie ich an anderer Stelle schon gesagt hatte, wenn man die vollen Gigabit bspw. verschlüsseln ;) oder mit einem IDS durchkontrollieren will, wirds mit jeder kleinpreisigen Hardware eng ;) Aber für Routing, normales Paketfiltern und vielleicht noch ein wenig Magie via pfBlockerNG und Co. haben die mehr als genug Reserven. :)

Grüße

@pc-dok:

sagen wir mal so, wenn ich bei Azure eine zusätzliche Local Network Gateway mit dem Range 192.168.100.0/24

Zu Azure kann ich nichts sagen, ich kenne es nicht so weit.
Doch "Local Network" klingt für mich nicht logisch, wenn dieses Netz an der anderen Seite liegt, also Remote.

Sollte bei Azure nur ein Tunnel möglich sein, kannst du ja auch diesen einen so konfigurieren, dass er alle benötigen Remote-Netze mit einschließt, bspw. 192.168.0.0/17. Solange da keine weiteren Verbindung aufgebaut werden, stört das ja nicht. Oder du legst den OpenVPN-Tunnel näher zu deinem Heimnetz und kannst dann den IPSec-Tunnel enger machen.
Wichtig ist, dass die Einstellungen immer an beiden Seiten des Tunnels gegengleich sind.

@JeGr:

Ein anderer Punkt ist der, dass du mit unterschiedlichen IPs unterwegs bist. Wechselst du die Verbindung zwischen WAN1 und 2 ändert sich auch deine externe IP. Das mögen bspw. Shops mit Sessions gar nicht. Da kann es dann schonmal sein, dass plötzlich der Warenkorb leer ist oder man sich neu einloggen soll, weil man plötzlich von einer anderen IP kommt. Darum muss man hier abwägen, was man erreichen möchte und sich dann eine Weg suchen, das optimal umzusetzen.

An der Stelle kann man den Punkt Use sticky connections unter System => Misc => Load Balancing nutzen. Solange ein State aktiv ist, wird die Verbindung immer über dasselbe Gateway aufgebaut.

ok habe etwas rumprobiert und es nicht hinbekommen. Weiß auch nicht ob ich es mit der Bridge richtig Verstanden habe. Reicht pfsense dann die daten einfach weiter?  Den ich müßte den Wanport praktisch brücken und die Fritzbox den Vlan Tag für die Internettelefonie senden lassen. Dann meldet sie sich auch an

Also Wan nic und den VoiP Nic in eine Bridge packen und es läuft? Oder muß ich noch was beachten.

Sorry bin noch recht neu in der Materie ^^

Hi,

was hast Du denn auf der pfSense alles laufen, wenn viele Verbindungen schon zu solchen Phänomenen führen? (Was sind bei euch viele Verbindungen?)
Ist tatsächlich die CPU-Auslastung am Anschlag? Oder liegt es eher an der Anzahl der States?

Wenn man die Anzahl der HTTP/HTTPS-Verbindungen verringern will, könntest du auch über einen Proxy (z.B. Squid) nachdenken. Das könnte aber auch an der möglichen CPU-Auslastung scheitern.

Ansonsten wären ein paar mehr Infos zur Hardware (vor allem CPU und Netzwerkkarte/Chip) und pfSense-Konfig sinnvoll, vielleicht fehlt bei Dir nur ein hardwarespezifischer Eintrag in der loader.conf.local.

MfG
Birke

Danke für alle Antworten!

Das Kastl ist mittlerweile auf dem Versandweg zu uns…

Luggi

Da wäre interessant zu wissen, was PIA auf Ihrer Seite für OpenVPN Versionen einsetzt. In 2.4.x ist m.W. mit obiger Fehlermeldung ein Bug bekannt der sich auf den Keysize Parameter bezieht. Evtl. könnte es das sein. Oder die Einstellungen sind fehlerhaft/weichen ab.

https://community.openvpn.net/openvpn/ticket/924

Da pfSense 2.4 auch OpenVPN 2.4 mitbringt wäre es interessant, ob es daran liegt dass PIA ggf. 2.4 jetzt zwingend voraussetzt? Als andere Option?

Jeder bekommt was er verdient. Und das ist nicht negativ gemeint. Wenn man sich allerdings aufregt, dass man kritikunfähig wäre und unfähig ihn zu verstehen, der möge mir bitte erläutern, wie ich einen Absatz wie diesen zu verstehen habe (Moderator können wir streichen, denn wenn man auf der Ebene und mit CAPS diskutiert, ist eh schon alles zu spät). Aber kann mir jemand überhaupt diese Absätze erläutern?

Über Standart Einstellung von OpenVPN, möchte ich auch nicht mehr mit dem Moderator JeGr diskutieren, WEIL, und EINFACH zu verstehen, TUTORIAL lesen wie du die ganze ZEIT gesprochen hast, LESEN UND LERNEN, ich rede über eine Funktion ifconfig-pool, genauso ein DHCP Server auf einem normalen Interface, Ok, bitte einfach sagen: OpenVPN auf Pfsense erlaubt diese Funktion nicht, weil es nach Standard eingestellt ist (als Server mit vollem Subnet), Punkt aus. Ich kritisiere nicht, ich habe eine Frage gestellt und ein paar Punkte zu diskutieren, und danach kam das Attack von jeder Ecke, echt lächerlich. Und bitte, bilde zunächst dein Interface ohne DHCP Server, und stell die Frage nicht, warum braucht man ifconfig-pool in der Einstellung von OpenVPN, TUTORIAL BITTE LESEN.

Native IPV6 oder Dual-Stack??? BITTE: UND MIT CAPSLOCK, OFFENE DISKUSSION SPÄTER IN PFSENSE FORUM.
wir sprechen über "Ipv6 prefix über Ipv4 ziehen", es steht in der Dokumentation von pfsense: SUPPORT FOR NATIV IPV6, sehr schön bis jetzt, dann bitte, erkläre mir bitte den Punkt Herr Moderator, ist Dual-Stack genauso nativ IPV6??? es bringt auch nicht zu diskutieren darüber. Wenn das echt native IPV6 ist, soll pfsense von allein den Prefix von ipv6  definieren ob es 56 oder 60 oder 62, und nicht manuell einstellen, ohne click hin und her, oder??????????????????? lieber probieren und nachgucken… wir warten zusammen bis ISP aufhört, IPV4 zu verteilen, und weiter mit nur IPV6 zu arbeiten, und schauen wir später was es passieren würde...

Außer einem Rage-Quit kann ich das Geschriebene wirklich leider gar nicht verstehen. Und ja, wir sind hier weder bei pfSense, Netgate oder sonstwem angestellt, sind keine bezahlten Supportkräfte oder sonstwas, sondern einfach nur normale Menschen, die hier im Forum helfen. Allerdings kann man nicht helfen, wenn man nicht verstehen kann, was gefragt wird. Der Text im Zitat springt zwischen Frage und Aussage (und Schreikrampf) hin und her, dass ich trotzdem leider überhaupt nicht verstehe, was überhaupt das Problem ist. Weder mit OpenVPN, noch mit IPv6.

Tut mir leid, aber wie ich früher schon geschrieben habe: entweder ist der OP kein nativ deutsch-schreibender - dann frage ich mich, warum er seine Fragen nicht im Forum seiner Sprache gestellt hat - oder er hat eine Schreibschwäche. Das tut mir natürlich leid, aber wenn man seine Frage nicht in einer Art stellen und diskutieren kann, die nicht mehr Fragen aufwerfen als sie lösen sollen, dann ist das Ganze zum Scheitern verurteilt. Und damit lassen wir es wohl gut sein. Keiner hat es hier nötig, dass man ihn persönlich beleidigt oder über einen fiktiven Posten (wie Moderator) definiert. Nur weil man Beiträge editieren und verschieben kann, macht das niemand zu einem Überwesen. Genauso wenig müssen sich andere Schreiber für ihre Hilfe maßregeln lassen.

Es gibt einen Grund dafür, dass es verschiedene Projekte und single-Click Tools gibt. Jedem das Seine.

Was heißt totkontrollieren…

Damit war überspitzt ausgedrückt die immer größere Neigung gemeint, Traffic immer mehr durch Proxies und Co durchzupipen und totzufiltern - die Annahme war gegeben durch die Erwähnung von Squid+Squidguard etc. An der Stelle filtere ich lieber auf Layer 3 als auf 7, vor allem weil ich (subjektiv, persönlich) keine Lust habe TLS aufzubrechen an einem Proxy um irgendwas zu filtern.

Ich bin nicht dagegen, gerade im WLAN die Sicherheit zu erhöhen ;)