@TheDAG:

Jepp  >:(

https://forum.pfsense.org/index.php?topic=120063.msg695828#msg695828

bzw.

https://redmine.pfsense.org/issues/4674

Zum Einen, das was Dirk schreibt.

Ich denke aber einige lassen ihr PF-Sense auf "älterer" Hardware laufen wie es auch mein plan gewesen ist. Durch diese Entwicklung muss ich mir tatsächlich ansehen ob sich der Einsatz eines PF Sense für mich noch lohnt. Wenn ich neue Hardware anschaffen und konfigurieren muss liege ich da bei "Gigabit" Wunsch auch in einem Preisrahmen wo ich eine fertige Appliance nehmen kann. Also werde ich nochmal drüber nachdenken müssen.

Zum Anderen und diesem Absatz: zeige mir bitte die "ältere" Hardware, die kein AES-NI Befehlssatz hat und deren Vorteil. Das mag ja alles im kleinsten Kleinbetrieb im Heimischen LAN so sein, aber sorry, wenn es um zu Hause geht ist meist auch Power Usage ein Thema - und dann würde sich eher mal die Neuinvestition in neuere sparsamere Hardware lohnen, als ewig alte Wattschleudern einzusetzen. Der Befehlssatz stammt aus März 2008(!), wenn man dann 10 Jahre später mal ansagt, dass man nur noch CPUs unterstützt, die diesen implementiert haben - und das nicht nur wegen VPN oder anderer Spielereien, sondern wegen generellem Sicherheitsgewinn, dann finde ich das kein KO Kriterium, sondern ggf. eher ein Punkt an dem ich meine Kriterien ggf. mal überdenken muss. Und das heißt dann eben auch mal steinalte Hardware alt sein zu lassen und sich was anderes zu schnappen - es beißt sich einfach, wenn man einerseits Performance Ansprüche hat (multi Gigabit Routing) und gleichzeitig aber zu Hause (verständlich) sparen möchte und Hardware Recycling spielt.

Und wie Dirk schon sagte, das wird 2.5 wohl mit 2018 oder 2019 betreffen. Dann sind 10+ Jahre rum für betroffene Hardware. Irgendwann muss man auch mal nen Schnitt machen dürfen, sonst kann man alte Zöpfe nie abschneiden. :)

Grüße

Aah, zweiter Standort! Now we're talking :)

Eigentlich recht einfach. Je nachdem wie du die Anbindung machst (mit 2x PPPoE oder mit 2 vorgeschalteten Routern), hast du ja zwei Gateways für DSL1/DSL2. LoadBalancing (in Maßen) erreichst du durch eine Gateway Gruppe über beide DSL Gateways mit gleichem Tier (Tier 1). Failover über eine Gruppe bei der einer Tier1 und einer Tier 2 ist.

Erstellst du jetzt Regeln auf dem LAN (bzw. passt die allow any Regel an), kannst du via "Advanced" Button auch das Gateway von "Default" ändern auf das gewünschte. Entweder dein LB oder Failover Gateway über beide Leitungen ODER - im Fall von VoIP - eben gezielt DSL1 auswählen. Wenn du noch dazu das VoIP enabled Gateway als Default einrichtest (also als WAN/DSL1) dann sollte mit dem VoIP eigentlich kaum was schiefgehen.

Lediglich auf static Port NATting und Co acht geben. :)

Bevor ich gesteinigt werde ;)

aber für den Betrieb nehmt euch bitte einfach einen alten Rechner (PF ist recht genügsam) und fahrt eure Firewall da drauf.

oder haut die VM auf nen extra Server o.ä. rauf, aber doch nicht auf dem gleichen System, dass sie eigentlich schützen soll. Das ist irgendwie schon verdreht. Wenns wirklich was kleines Streichholzschachtel ähnliches sein soll, schaut euch die SG1000 an :)

Gruß

So richtig verstand was nun anders sein soll habe ich nicht, aber der umstieg auf den resolver hats gebracht, und deine regeln funktionieren für LAN auch deutlich besser. Vielen dank.  ;D

Moin zusammen,

für mich klingt das, als wolltest Du die PF als Reverse Proxy verwenden.
Dann macht diese nach außen den HTTPS-Traffic inkl der Zertifikate und intern machst Du HTTP oder Self-Signed-HTTPS …

hab ich Dich da richtig verstanden ?

Kleine Skizze wäre hilfreich JeGr hat im Forum sogar muster bereit gestellt ;)

Naja super laufen ist relativ. Was sagt denn, dass es Probleme gibt? Dass die Switche langsam sind? Oder welches Fehlerbild gibt es noch?
Andere Frage: Können die Switche überhaupt ein LAG über zwei Units verkraften? Viele Switche können das per se nämlich nicht, da gibt es Probleme oder Fehler, dort funktionieren nur Bonds auf der gleichen Backplane sauber! Da du hier aber über 2 Switche gestreut hast, würde ich ggf. da ansetzen.

Gruß

Der AP soll DHCP etc. übernehmen.

Der AP ist ein Layer2 Gerät und von daher würde ich mal sagen dass die pfSense einen DHCP Server für Dein LAN
stellen sollte und einen weiteren für Dein WLAN, damit ist dann alles abgedeckt und man kann auch für das WLAN
auch einen eigenen IP Adressbereich vergeben. Sollte er Meraki AP auch noch Multi-SSID und VLAN fähig sein
könnte man sogar noch über ein WLAN Gastnetz nachdenken, dass dann in seinem eigenen VLAN läuft.

Ich bin jetzt einen kleinen Schritt weitergekommen, nachdem ich die Route in der gegenüberliegenden Fritzbox eingetragen habe.
Inzwischen habe ich das Netzwerk noch ein wenig umgebaut (Fritzbox 7430 als WLAN Hotspot  und DECT Repeater), kämpfe aber weiterhin mit einer kuriosen Angelegenheit.
Die 192.168.1.1 kann ich jetzt per WLAN aus dem Netz 10.170.1.0/24 erreichen, nicht aber aus dem LAN 10.168.1.0/24.

Wenn ich von der Pfsense aus pinge, ergibt sich das gleiche Bild. WLAN Interface erreicht die 192.168.1.1, das LAN Interface nicht.

Ich habe die Routen und die FW Rules in einem Bild angegeben.

Hat jemand eine Idee, was ich falsch mache?

Netzwerkk.jpg
Netzwerkk.jpg_thumb

Also wenn die Router via privatem Netz vorgeschaltet sind, solltest du auf den WANs das Block Private Network unbedingt ausmachen. Ansonsten müssen die Router davor natürlich wissen, wo sie den Kram zurück senden sollen, also entweder muss dein LAN ausgehend für das Transfernetz 1&2 genattet werden oder du richtest auf der FB und dem Gigacube jeweils eine Route ein für dein internes Netz zurück auf die pfSense. Dann sollte es klappen :)

Ich denke meine Frage wurde mehr oder weniger beantwortet. ::)

Super :) Pros und Contras sind denke ich immer wichtig :D

Haben wir genau so im Einsatz  ;)
Zwei dedizierte Server…

Ich darf zwar noch nichts Offizielles verlauten lassen, aber ich habe läuten hören, dass es an so einer Front (also Hardware mit Mini/Mikro-HV-Schicht) und mit *Sense und anderen Lösungen ggf. im Laufe des Jahres noch ein paar spannende Lösungen und News gibt ;)

Hängt von deiner Definition von "versenden" ab. Versenden assoziiere ich mit Mail und das ist eher unsicher und wird noch dazu dann gern vergessen oder übersehen bzw. wo werden dann die Mails gesichert ;) Bei einem Pull von außen via SFTP bspw. kommt der meistens schon vom Backup Server selbst und legt das File dann da ab, wo es archiviert werden soll. Der Datenkanal ist gesichert, alles ist gut :) Im schönsten Fall checkt man das File dann gleich noch in ein Versionssystem ein, da nur Text, und hat dann noch eine Ansicht was geändert wurde. ;)

Moin,

doch, es geht genauso, habe ich aktiv im Einsatz.
Im Gegensatz zum LAN Interface musst Du allerdings die Firewallregeln komplett selber definieren und zwar für die Mitglieder der Bridge, nicht für die Bridge selber. Siehe auch https://doc.pfsense.org/index.php/Interface_Bridges

-teddy

Habe den betroffenen Rechner mit einem Backup von vor 4 Tagen zurückgesetzt.
Nun kann ich mich mit dem auch wieder anmelden. Habe echt keine Idee, was wohl der Fehler war.
Trotzdem danke für eure Vorschläge.

@orxolot:

Hallo Nindac

In diesem Fall würde ich mittels IIS die Remotedesktopdienste ins Web setzen, dies kann mittels eines Zertifikats und Benutzerdaten, also Benutzername und Passwort realisiert werden. In der PfSense würde sich der Aufwand wohl um eine Portregel beschränken.

Serverseitig allerdings ist dies ein eher komplexer Aufbau, was eine menge know-how und Lizenzen nach sich ziehen wird. Ich hatte zumindest bei meinem ersten Aufbau meine Schwierigkeiten dies umzusetzen und würde dir raten (falls du dies Privat benötigst) eine einfach DynDNS einzurichten und eine RDP Session mittels der DynDNS zu starten.

Grüsse
Orxolot

Hi Orxolot,

danke für die Informationen und die Mühe. Ich schaue mir das mal an. :)

Gruß,
Nindac

@Parsec:

Nur aus Interesse: Warum verwendest du NPT?

Ich habe drei Internetanschlüsse.

Anschluss 1: Eine statische IPv4 Adresse und ein statisches /56 IPv6 Netz
Anschluss 2: Eine statische IPv4, ein /29 IPv4 Netz und ein statisches /48 IPv6 Netz
Anschluss 3: Eine dynamische IPv4 und ein statisches /48 IPv6 Netz per HE.net Tunnel

Mometan bin ich dabei Load Balancing und Failover einzurichten.
Um IPv6 verwenden zu können muss ich also NPt einsetzen.

Öffentliche IP Adressen möchte ich im LAN nicht verwenden um Fehlkonfigurationen und Softwarefehlern vorzubeugen.
Wenn ein Anschluss wegfallen sollte oder sich das zugewiesene IPv6 Netz ändern sollte müsste ich das Netzwerk umkonfigurieren.

Sehr geil, eine localhost-IP. Logisch, naheliegend, einfachste Lösung. Aber auf die Idee muss man erst-mal kommen.  8)

Vielen dank. Schätze mal dass es bei meinem anderen Problem wohl auch eine ähnlich simple Lösung gibt, ich jedoch vor lauter Bäumen den Wald nicht sehe.  ???

Guten Morgen Bouven

Ich habe eben was zusammengeschustert, ich hoffe es ist verständlich. Wenn nötig mache ich auch eine Umfangreichere Skizze.

Grüsse
Orxolot

Edit:

Ich glaube langsam, dass da etwas wesentliches nicht stimmen kann. Keine meiner Port Forward Regeln werden angewendet.

Port Forward:

Rules:

Äh das ist jetzt peinlich….
AEG angewendet und jetzt funktioniert es.  :-[
Grüsse
Orxolot  :o

Danke!

Grüsse aus Uzbekistan zurück