@viragomann Ja genau ich meine das 192.168.10.0/24 er Netz. In diesem subnetz befinde ich mich und von dort aus klappt alles. Ich habe mir gerade die statischen Routen der fritzboxen angeschaut, daran lag es. Dort war ein falscher Gateway drin. Nachdem ich die Route gelöscht habe, funktioniert alles reibungslos. In der anderen fritzbox bei der alles von Anfang an ging ist auch keine statische Route eingetragen. Vielen Dank für den Tipp  :)

@m0nji: Ich würde nicht alle DNS Anfragen zum DC in der AWS weiterleiten. Nur ein Domain Override einstellen für deine Domäne zum AWS DC. Ansonsten dauern jegliche DNS Anfragen länger als notwendig, weil du ja noch die Latenz zur AWS mit einberechnen musst. Jeb, hab das ganze jetzt mit Domain Overrides gelöst. Damit das ganze funktioniert musste ich allerdings noch unter DNS Resolver die Outgoing Network Interfaces von ALL auf LAN + Localhost umstellen. Das ist wohl ein seit Jahren bekannter Fehler, so funktionierts aber.

Hallo Leute, auch bei mir Schwierigkeiten mit RADIUS nach dem Update. Der Radius Server startet nicht und squid geht auch down wenn ich Radius starte. Bin am verzweifeln, läuft einfach nicht. Wie kann man denn den Debug modus starten??? Es wurde geschrieben, "rein in die shell, debug modus starten, Kiste neu starten, läuft". Wie verd… nochmal mache ich das, den Debug-Modus aus der Shell starten? Und was für eine shell, die aus der GUI heraus oder von der Konsole (die beim starten der VM zu sehen ist)? Vielen Dank im Voraus

Den Punkt "Default Gateway Switching" benötigst du dann, wenn du kein  Standardgateway definierst in den ausgehenden LAN Firewall Rules. In deinem Fall benötigst du es nicht zwingend, da du unter den IPSEC Verbindungen die GatewayGroup als Interface auswählen kannst. Bedenke aber noch z.B., dass du zusätzlich dieses Interface ebenfalls unter DynamicDNS einstellen musst, falls du keine statische IP besitzt.

Moin, Habe die RTP Ports freigeben und mir nochmal die Firewalllogs angeschaut und siehe da es wird der Port von PhonerLite noch geblockt. Funktioniert nun!

Moin, diese Overrides sind sind nur in Deinem LAN gültig, d.h. Du kannst die Namensauflösung benutzen um Clients in Deinem Netz bzw. Hosts im Internet unter  dem von Dir gewünschten Namen zu erreichen.. Was Du beschrieben hast, für Zugriffe aus dem Internet, ist eher DynDNS: https://de.wikipedia.org/wiki/Dynamisches_DNS Einstellungen unter Services -> Dynamic DNS Eintrag bearbeiten und dann Save & Force Update. -teddy

Wenn was nicht funktioniert, ist es immer geschickt, Du sagst, was genau nicht geht. Kannst Du z.B. überhaupt auf Deine Box über das Netzwerk zugreifen? Zeig mal Deine Konfiguration (Interfaces) und schreib mal auf, wie das aktuell genau verkabelt ist.

Hey, auch wenn der thread schon eine weile alt ist vielleicht liest es ja doch noch wer :D ich hab alles so weit wie in der Anleitung eingerichtet und sehe auf dem dashboard das wan neben der ipv4 er nun auch eine ipv6 adresse genau so im lan zugriff per wan ipv6 bekomme ich nicht und sehe im firewall log Apr 28 13:30:21 lo0 [ipv6wan-adress]:443 [meine-ipv6]:59411 TCP:SA was mich wundert ist lo0 statt WAN ich habe einen extra gateway mit gateway fe80::1 wenn ich die firewall komplett deaktiviere geht auch ipv6, spezielle block regeln sind keine eingerichtet hat wer eine idee?

@genesis_mp: Nach dem ganzen Update Vorgang und der Neueinrichtung war ich wohl etwas blind. Ich muss natürlich erst noch die neue feste IP vom Rechenzentrum freigeben lassen für den Tunnel. Sonst darf die neue feste IP natürlich erst gar nicht rein  ::) Denke das ist die Lösung des Problemes. Danke euch! Manchmal sieht man das Problem nicht obwohl man direkt davor sitzt  ;D Davon kann ich auch ein Lied singen :D Gut das es jetzt funzt. Ceo

Ok danke schonmal für Eure Hilfe. Werde morgen eine Sicherung machen die beiden Interfaces mit den langsamen DSL-Leitungen löschen und die VPN auf die andere Leitung rübernehmen. Die VPN-Verbindungen laufen im Servermodus. Drei externe Mitarbeiter nutzen an ihrem PC dann Viscosity als OpenVPN Client, siehe Anhang. So wie ich das sehe muss man da nur das Interface ändern… DHCP war nur deswegen angedacht, weil eventuell später noch neue Internettelefone hinzukommen mit einem eigenen Switch und noch nicht klar ist ob die Internettelefonie hinter der Firewall auch läuft. Am besten wäre es natürlich wenn dies auch funktionieren würde, dann könnte ich problemlos die Fritzbox als Modem aktivieren und die PFSense die Internetverbindung mit PPOE aufbauen lassen. Es wird ein langes Weekend, drückt mir die Daumen Grüße [image: VPN-Server.JPG] [image: VPN-Server.JPG_thumb]

Die NAT-Regeln hast du ja vermutlich am WAN Interface definiert. Für die Anfragen aus dem LAN sind diese dann eben wirkungslos. Hier ist das Problem beschrieben: https://doc.pfsense.org/index.php/Why_can%27t_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networks Du kannst es demnach mit NAT Reflection versuchen. Das kannst du, wie da beschrieben, global einstellen oder auch für jede NAT Regel gesondert, Option "NAT Reflection" unten. Beachte aber die Einschränkungen bezüglich der Protokolle. Split DNS ist die bessere aber auch aufwändigere Lösung.

Moin, @monstermania: … Der G3900 ist mit einer TDP von 51 Watt veranschlagt. ... Das bedeutet aber nur das die CPU unter bestimmten Bedingungen diese Leistung aufnimmt. Es dient als Berechnungsgrundlage für die Kühlung. Wenn die CPU nichts zu tun hat ist der Wert deutlich niedriger und das dürfte der Normalzustand sein. Mein E3-1225 v3 hat eine TDP von 84W, der komplette Rechner lag bei gemessenen 37W mit 2 HD, SSD und DVB-S Karte wenn er nur so gelangweilt vor sich hin schnurrt. 8) -teddy

@arnog: Ich weiß nicht, ob das hilft, aber bei mir läuft VoIP an einem Telekom AllIP-Anschluss ohne manuell geöffnete Ports. Einzig am Telefon ist STUN deaktiviert (!) und ich habe darauf geachtet, dass die NAT-Refreshzeit am Telefon niedrig genug ist. Seitdem keine Probleme. Das Stichwort scheint "Symmetrisches RTP" zu sein. https://forum.pfsense.org/index.php?topic=122596.msg677512#msg677512 Bei mir ist es derzeit wie im Screenshot konfiguriert. Es gibt da auf der Anlage noch diese Static Option, die beschrieben wird seitens Agfeo mit "Beim Static Mode erfolgt KEINE Registrierung der Telefonanlage beim SIP-Provider. Dem SIP-Provider muss in diesem Fall die externe IP-Adresse der Telefonanlage bekannt sein. Bitte nur aktivieren, wenn diese Betriebsart von Ihrem SIP-Provider explizit gewünscht wird." Ist das für die Telekom nötig? Beste Grüsse, SnakeZZ [image: Capture1.JPG] [image: Capture1.JPG_thumb]

@slu: Was würde passieren wenn man einfach die feste WAN IP als Monitor IP angibt, funktioniert das? Habe ich noch nie probiert, teste es einfach. Dass die meisten Hosts der Telekom nicht pingbar sind ist leider korrekt. Du kannst natürlich einfach 8.8.8.8 und 8.8.4.4 nutzen, wobei ich mit denen bisher nur mäßigen Erfolg hatte. Je nach Peering der Telekom funktioniert das oder ist nicht zuverlässig. Eine Aussage der Vergangenheit war einmal, einfach heise.de zu nutzen, denn "die sind nie down". Seit den letzten DDoS Angriffen stimmt das auch nicht mehr (und einige Leute haben sich arg gewundert, als deren Systeme plötzlich Unsinn angezeigt haben…). Suche Dir einen großen Hoster und pinge den einfach. Es kommt dabei auch nicht auf möglichst geringe ping-Zeiten an sondern auf Konstanz.

Weiß ich, aber wie geschrieben geht es mit Avahi leider nicht richtig :(

Moin, der ACME Dienst wird benötigt um ein Zertifikat für die pf oder einem weiterem Dienst z.B. HAProxy zu erzeugen. Dafür gehrt man nach meiner Meinung am einfachsten wie folgt vor: NATe den Port 80 vom WAN auf den localhost Port 8082 (oder anderen freien Port). Lasse die passende WAN Regel automatisch erzeugen. Trage im öffentlichen DNS bei deinem Provider die (Sub)Domain auf die IP der WAN Schnittstelle der pf ein (A oder AAAA Eintrag). Lege im ACME erst einen neuen Schlüssel für dich an (direkt im endgültigen Production Modus) Registriere diesen Schlüssel und SPEICHER diese Einstellungen. Lege nun über den Certificates Punkt einen neuen Request an. Key Sise 2048 Domain SAN: Lege hier die Zertifikats Domain fest und wähle standalone HTTP Server auf Port 8082 In der Actions List definiere den Neustart des Dienstes welcher das Zertifikat nutzt. Trage ein nach wievielten Tage das Zertifikat erneuert werden soll. Speichern Nun beherzt auf den Issue/Renew Buton klicken. Nach einiger Zeit sollte eine grüne Seite mit einem Success am Ende erscheinen. Der ACME hat nun eine neue CA importiert und dein Zertifikat im internen Speicher der pf abgelegt (System Cert.Manager Certificates) welches Du nun in den internen Diensten nutzen kannst. Als letztes mach noch einen Haken bei Service ACME Settings damit das nun alles automatisch passiert. Natürlich kann man den ACME Port 80 auch durch den HAProxy laufen lassen. Hier einfach den Path beginnend auf /.well-known/acme-challenge/ abfragen. HornetX11 mobil