Kannst du mal Bilder der Seiten Routing, Gateways, Regeln usw. posten?

Paket Capture vom WAN…

Mein Schreiber himself?

https://forum.pfsense.org/index.php?board=70.0

Gruß
pfadmin

Hallo zusammen,

ich wollte nur mal ein kurzes Feedback geben.

Das Problem ist gelöst, es lag am Server.

Eigentlich dachte ich, das "AUS" auch "AUS" bedeutet, was allerdings in meinem Falle nicht zutraf.
Auf dem Zielserver (ein Windows Server 2012 R2) ist eigentlich die Firewall aus.
Siehe Anhang.
Allerdings war sie wohl doch nicht ganz aus  :o
Am Wochenende habe ich testweise mal den Port 80 in der Windows-Firewall-Config freigegeben und siehe da, der Zugriff klappt.

Da die Firewall eigentlich auf "AUS" steht, habe ich an dieser Stelle nicht wirklich weitergesucht.
Nunja, egal. Wieder eine Erfahrung reicher  :D

Gruß Sebastian

08-08-2017.png
08-08-2017.png_thumb

@-flo-:

Frage: Was betriebst Du denn auf der anderen Seite des Tunnels, auch eine pfSense oder ein VPN-Client, ggf. welchen?

-flo-

Hallo,

auf der anderen Seite läuft auch eine pfSense (gleiche Version) aber als VM (unter KVM). Die HW die die
VM treibt ist so dick, dass es da keine Performance Probleme gibt…

@magicteddy:

Für einen Kumpel habe ich eine andere Variante gewählt da VPN nicht möglich aber blankes ins Netz stellen des Servers nicht in Frage kam (vorgehensweise war sogar mit der GL seiner Firma abgestimmt, "so lange wir nix ändern müssen und Sie es nicht übertreiben…")

@Home externer Port 443 --> Server Port 22 SSH mit Key auth aus der Ferne vom Windows Rechner mit Putty
      in Putty sind dann halt die Portweiterleitungen auf die einzelnen Dienste seines Servers eingerichtet, siehe http://www.netzmafia.de/skripten/internet/putty-tunnel.html

Die Nutzung ist dann einfach: Verbindung mit Putty herstellen (2 Mausklicks ggf Passphrase eingeben, geht aber auch ohne)
im Browser des Notebooks dann einfach https://localhost:8443  –> Unifi Controller oder http://localhost:8083  --> FHEM

Nur so als Gedanke... ;)

-teddy

Die Idee ist auch nicht schlecht. Damit blockiere ich mir aber auch wieder den Port 443 für FHEM Geofancing.

Sonst jemand Erfahrung mit HAProxy?

@magicteddy:

Moin,

ich hatte das dort verlinkte Modul in einer Testumgebung mal aktiv, funktionierte. Keine Ahnung ob es im Hintergrund irgendwelche Schweinereien getrieben hat ???
Einige Sachen scheinen den Devs am Allerwertesten vorbei zu gehen. :'(

-teddy

Wenn das Teil bei mir zuhause rumstehen würde, dann würde ich auch das Binary installieren. Aber wie du sagst, weiß man ja nie was da sonst noch alles passiert und in einer produktiven Umgebung ist das ned sooo toll :)
Besser abwarten .. hilft nix.

Hi pfadmin,

doch, der Wlan Abschluss vom Provider erwartet die PPPoe Daten im Vlan144 getaggt.
Das kommt auch an, ich sehe im tcpdump -n -i igb0_vlan144 auch die NAS vom Provider, bzw. anderen Kundenrouter, die CDP Broadcasts versenden. Und die CDP Daten sind andere als am nativen Interface igb0

Wenn ich auf ibg_vlan144 eine IP lege kann ich auch den NetworkAccessServer vom Provider pingen (haben wir gemeinsam mit dem Anbieter getestet -> Vlan Tagging wird durchgereicht und fkt.)

Zudem haengt derzeit ein Rechner mit Linux dran, der das genauso macht, d.h. die PPPoe Daten werden via eth5.144 abgeschickt und unter Linux fkt.
Nun soll die Aufgabe vom 40Watt Rechner auf eine 6Watt APU2 Board verschoben werden.

vg
stegbth

@gtrdriver:

kann mir irgendwer einen tipp geben was das sein kann ?

Ich habe die Vermutung dass UDP nicht durch den Tunnel geht  - ich habe in der Firewall bei Regeln für den OpenVPN bei protokoll "ANY" drin

Habe ich sonst irgendwas übersehen ?

Fehlt ein Routing oder ein Gateway?
Gehen anderen Verbindungen durch den Tunnel?

Mal mit Wireshark schauen was los ist?

Die einzelnen Netzsegmente bekommen alle ein /64 ! Du kannst dem Netz zwischen Digibox und pfsense keine /56 IP geben, weil dann alle Netze dahinter für die diese IP im selben Layer 2 Netz wären. Du willst aber routen.

Deine Digibox muß alle anderen Subnetze per PD weiterreichen, die pfsense muß PD anfordern und dann entsprechend auf die Interface umsetzen. Ein IPv6 Netz muß dem WAN der pfsense zugewiesen werden, diese erhält sie per RA, DHCP6 oder statisch.

Prüfe per Paket capturing, was davon alles ankommt und was nicht und suche dort weiter. Ich tippe auf das unvermögen der Digibox, PD zu ermöglichen.

Gruß pfadmin

Das das ganze über WLan läuft erwähnst du zum ersten mal, höchstwahrscheinlich übliche Wlan Probleme. Da wird der Qos am Switch nichts nutzen, wenn irgendetwas dein WLAn stört. Am besten du ziehst provisorisch mal Kabel und testest dann nochmal.

Ja in der Regel ist das Default VLAN1 das Managemnt VLAN.

Moin,

klar das geht auch als Mausschubser  ;) der Cisco tut es.
Es ist ein Layer 2 Switch, der kann kein Routing, DNS  u.s.w das bleibt weiterhin an der pfSense hängen.

-teddy, selber Mausschubser

Hallo,

habe die pfsense neu von USB aufgespielt und Backup eingespielt. Sie läuft wieder. Werde mich mit den Herrsteller wegen der Frwstplatte kurzschliesen.

Ja gleich wie bei mir. Auch ich hab mich anhand mehrerer Anleitungen orientiert. Wobei ganz Ahnungslos bin/war ich dann doch auch nicht.
So wurde schnell klar das sich Global Logging auf die System Logs bezieht -> Hab ich drin, und würde dies auch so empfehlen. CIDR Aggregation ist eine Technik die -so wie ich das verstehe- die Nutzung des Internets im fortlaufenden beschleunigen und stabileren kann, im ersten Moment aber verlangsamt. Diese Verlangsamung ist mit unter der Hardware und der Lange der Listen(n) geschuldet. Leider ist nirgends genauer kommentiert was zu Leistungsschwach oder eine zu "lange" Liste bedeuten. Es wäre gut hier mehr Anhaltspunkte zu haben, beispielsweise um zu evaluieren ab wann diese Funktion Sinnvoll uze Sinnfrei wird. Ganz anders bei De-Duplication und Suppression. Bei den beiden Funktionen tappe ich beinahe ganz im Nebel. Nicht nur wegen der Beschreibung auch weil nicht klar ist ob die Funktionen bei der ausschließlichen Verwendung von DNSBL überhaupt noch greiffen. Es wäre genau so gut möglich das sie sich Komplet auf Firewall>pfBlockerNG>IPv4 fokussiert sind, und für alles andere komplet nutzlos oder gar hinderlich sind.
Viel könnte wäre wenn. Schön wäre eine manpage oder ein maunal.

Ach, .. Kill States finde ich auch so schleierhaft. Mein Kopf sagt das es eigentlich ganz sinnvoll wäre da den Hacken zu setzen. Schliesslich sind ja zufiele States auch nicht gut. Andererseits könnte es auch auf die Performance schlage, und sich als innfrei erweise solange nicht eine gewisse marke erreicht wurde. Auch hier also die Frage, ab wann…?

Hallo David127

Als ich den post schrieb hatte ich beide Domain* "von Hand" unter Firewall>pfBlocker>NGDNSBL # Custom Domain Whitelist eingetragen. Mittlerweile habe ich diese jedoch wieder entfernen, so dass ich die von Google unter Firewall>pfBlocker>NGDNSBL # TLD Whitelist und die andere mittels Alerts Tab '+' in die Custom Domain Whitelist eintragen konnte. Das scheint etwas besser zu funktionieren. Wobei ich auch gestehen muss dass mir der Unterschied zwischen Custom Domain Whitelist, TLD Whitelist und TLD Exclusion List bezüglich der Funktionsweise wohl noch nicht ganz verstanden habe. So möchte ich beispielsweise verschieden Subdomains wie hbbtv. eintragen, bin mir aber nicht sicher ob die -wie derzeit- in der TLD Exclusion List richtig platziert sind.

beide Domain meint in diesem Zusammenhang

Unglaublich.  :o

Ob das Passwort bereits gespeichert ist oder nicht oder ob man bereits auf "nie speichern für diese Webseite" geklickt hat, hat nicht den geringsten Einfluss darauf, was FF an den Webserver schickt.
::)

Grüße

Servus zusammen,

das Problem ist - vorerst? - gelöst.

Ich war dabei eure Tipps abzuarbeiten. Angefangen habe ich mit dem Post von jahonix, der das Failover zwischen LTE und DSL als Problem vermutet. Die einfachste Möglichkeit dies auszuschließen ist, die entsprechenden Firewall-Rules auf der Schnittstelle 10_100_MBit zu deaktivieren.

Nach Deaktivierung der Firewall-Rules "FAIL_OVER_DSL_LTE" und "FAIl_OVER_LTE_DSL" auf der Schnittstelle 10_100_MBit konnte ich auf die FRITZBox 7270 (IP 192.168.1.1) von einem Client hinter der FRITZBox 7270 (IP 192.168.2.2) zugreifen.

Auch nach der Gegenprobe - Aktivierung der oben genannten Firewall-Rules - konnte ich immer noch auf die FRITZBox 7070 (IP 192.168.1.1) zugreifen.

Ich kann es mir nicht erklären. Vielleicht weiss von euch jemand eine Erklärung?

Ich danke euch herzlich für die Diskussion zu meinem Problem und speziell jahonix. Danke.

Grüsse

Ralf

Das ist ein altes (und nicht mehr ganz aktuelles) Tutorial wie man normales WAN Failover einrichtet. Ich sehe nicht, wie das in dem Fall jetzt genau angewendet werden sollte auf deinem Fall, eine VM redundant verfügbar zu machen?