Die NAT-Regeln hast du ja vermutlich am WAN Interface definiert. Für die Anfragen aus dem LAN sind diese dann eben wirkungslos.

Hier ist das Problem beschrieben: https://doc.pfsense.org/index.php/Why_can%27t_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networks

Du kannst es demnach mit NAT Reflection versuchen. Das kannst du, wie da beschrieben, global einstellen oder auch für jede NAT Regel gesondert, Option "NAT Reflection" unten. Beachte aber die Einschränkungen bezüglich der Protokolle.
Split DNS ist die bessere aber auch aufwändigere Lösung.

Moin,

@monstermania:

… Der G3900 ist mit einer TDP von 51 Watt veranschlagt. ...

Das bedeutet aber nur das die CPU unter bestimmten Bedingungen diese Leistung aufnimmt. Es dient als Berechnungsgrundlage für die Kühlung.
Wenn die CPU nichts zu tun hat ist der Wert deutlich niedriger und das dürfte der Normalzustand sein.
Mein E3-1225 v3 hat eine TDP von 84W, der komplette Rechner lag bei gemessenen 37W mit 2 HD, SSD und DVB-S Karte wenn er nur so gelangweilt vor sich hin schnurrt. 8)

-teddy

@arnog:

Ich weiß nicht, ob das hilft, aber bei mir läuft VoIP an einem Telekom AllIP-Anschluss ohne manuell geöffnete Ports. Einzig am Telefon ist STUN deaktiviert (!) und ich habe darauf geachtet, dass die NAT-Refreshzeit am Telefon niedrig genug ist. Seitdem keine Probleme. Das Stichwort scheint "Symmetrisches RTP" zu sein.

https://forum.pfsense.org/index.php?topic=122596.msg677512#msg677512

Bei mir ist es derzeit wie im Screenshot konfiguriert.
Es gibt da auf der Anlage noch diese Static Option, die beschrieben wird seitens Agfeo mit
"Beim Static Mode erfolgt KEINE Registrierung der Telefonanlage beim SIP-Provider.
Dem SIP-Provider muss in diesem Fall die externe IP-Adresse der Telefonanlage bekannt sein.
Bitte nur aktivieren, wenn diese Betriebsart von Ihrem SIP-Provider explizit gewünscht wird."

Ist das für die Telekom nötig?

Beste Grüsse,

SnakeZZ

Capture1.JPG
Capture1.JPG_thumb

@slu:

Was würde passieren wenn man einfach die feste WAN IP als Monitor IP angibt, funktioniert das?

Habe ich noch nie probiert, teste es einfach.
Dass die meisten Hosts der Telekom nicht pingbar sind ist leider korrekt.

Du kannst natürlich einfach 8.8.8.8 und 8.8.4.4 nutzen, wobei ich mit denen bisher nur mäßigen Erfolg hatte. Je nach Peering der Telekom funktioniert das oder ist nicht zuverlässig.
Eine Aussage der Vergangenheit war einmal, einfach heise.de zu nutzen, denn "die sind nie down". Seit den letzten DDoS Angriffen stimmt das auch nicht mehr (und einige Leute haben sich arg gewundert, als deren Systeme plötzlich Unsinn angezeigt haben…).
Suche Dir einen großen Hoster und pinge den einfach.
Es kommt dabei auch nicht auf möglichst geringe ping-Zeiten an sondern auf Konstanz.

Weiß ich, aber wie geschrieben geht es mit Avahi leider nicht richtig :(

Moin,

der ACME Dienst wird benötigt um ein Zertifikat für die pf oder einem weiterem Dienst z.B. HAProxy zu erzeugen.

Dafür gehrt man nach meiner Meinung am einfachsten wie folgt vor:

NATe den Port 80 vom WAN auf den localhost Port 8082 (oder anderen freien Port).
Lasse die passende WAN Regel automatisch erzeugen.
Trage im öffentlichen DNS bei deinem Provider die (Sub)Domain auf die IP der WAN Schnittstelle der pf ein (A oder AAAA Eintrag).

Lege im ACME erst einen neuen Schlüssel für dich an (direkt im endgültigen Production Modus)
Registriere diesen Schlüssel und SPEICHER diese Einstellungen.

Lege nun über den Certificates Punkt einen neuen Request an.

Key Sise 2048
Domain SAN:
Lege hier die Zertifikats Domain fest und wähle standalone HTTP Server auf Port 8082

In der Actions List definiere den Neustart des Dienstes welcher das Zertifikat nutzt.
Trage ein nach wievielten Tage das Zertifikat erneuert werden soll.

Speichern

Nun beherzt auf den Issue/Renew Buton klicken.
Nach einiger Zeit sollte eine grüne Seite mit einem Success am Ende erscheinen.

Der ACME hat nun eine neue CA importiert und dein Zertifikat im internen Speicher der pf abgelegt (System Cert.Manager Certificates) welches Du nun in den internen Diensten nutzen kannst.

Als letztes mach noch einen Haken bei Service ACME Settings damit das nun alles automatisch passiert.

Natürlich kann man den ACME Port 80 auch durch den HAProxy laufen lassen. Hier einfach den Path beginnend auf /.well-known/acme-challenge/ abfragen.

HornetX11 mobil

Ist eher ein generelles Verhalten (als Problem würde ich das nicht bezeichnen) von Statefull Inspection Firewalls. Diese Firewalls achten peinlichst darauf, dass der "State" stimmt, ehe sie ein Paket weiterleitchen. D.h. dass bei TCP genau das erwartete Paket passieren muss, ansonsten werden weitere blockiert, und erwartet wird das eben auch das Antwortpaket.
https://de.wikipedia.org/wiki/Transmission_Control_Protocol#Daten.C3.BCbertragung

Bei deiner weiteren Frage kann ich dir leider nicht helfen, da hab ich nicht die Erfahrung. Allerdings denke ich schon, dass das auch problemlos mit Loadbalancing läuft, hier werden ja die beiden Übertragungskanäle von einem Router verwaltet und dem wird es egal sein, aus welchem Tunnel das erwartete Paket raus kullert.

Ich habe seltsamerweise das gleiche Problem.

Es tritt anscheinend nur von Telekomanschlüssen auf, wenn die mich anrufen und dort immer bei den gleichen Leuten.
Es tritt auch auf, wenn ich mich selbst anrufe über meinen eigenen Anschluss.

Meine Einstellungen entsprechen dem angepinnten Thread, wenn der Ruf nicht durchgeht sehe ich folgende Einträge im Log
Apr 21 16:47:52 WANP0   <extip>  <meineöffentilicheip>UDP
Apr 21 16:47:52 WANP0   <extip>:5060   <meineöffentilicheip>:5060 UDP

Wenn ich kurz vorher raus telefoniere, würde ich vermuten, dass die Connection ja auch noch  besteht.
Aber irgendwo scheint es zu haken, beim Anschluss handelt es sich um einen privaten FTTH-Anschluss ohne statische IP.
Telekom Glasfasermodem => Pfsense 2.3 => Fritzbox 7490 mit aktuellster Firmware

Hatte sonst vielleicht noch jemand das Problem und eine Lösung dafür?</meineöffentilicheip></extip></meineöffentilicheip></extip>

Vielen Dank für die Antwort.

Ich habe jetzt die Einstellung getestet er downloadet zwar länger ohne Fehler aber er kommt dann trotzdem irgendwann.

Mir kommt es so vor das pfSense dann nur über die eine Verbindung Traffic verursacht auch mit anderen Diensten gleichzeitig. Habe neben dem Download einen Twitch Stream mehrmals geöffnet der dann aber auch über das zweite WAN geht wie der Download.

LG
Jiao

Moin,

mach doch erstmal eine Baustelle fertig  ;), der AP kann doch auch VLans, also schnell ein zusätzliches Vlan als Wlan Gastnetz angelegt, Interface daraus gebaut  und mit der Gast- SSID der APs verknüpfen, eigenen DHCP für dieses Interface einrichten, somit hast du schon mal ein abgetrenntes Gastnetz. Oder habe ich dich falsch verstanden?

Oder Du schnupperst mal hier rein: https://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mit-einem-captive-portal-hotspot-funktion-91413.html

-teddy

Hallo,

also ich bin dann ein Stück weiter :). Jetzt bekommt pfSense zwar was es soll (Präfix - lag daran dass ich bei dem WAN Interface den Hacken bei "Request a IPv6 prefix/information through the IPv4 connectivity link" an hatte)
ABER so richtig scheint es mir nicht zu sein. Ich habe APU2 bei dem an LAN1 zusätzlich 3 VLANS definiert sind.  Jetzt ist doch so, dass die 4 Interfaces gleiches Präfix haben. Das ist denke ich nicht im Sinne des Erfinders oder?

Interfaces.jpg
Interfaces.jpg_thumb
pfSense.jpg
pfSense.jpg_thumb

Hallo,
das Problem ist gelöst, es waren veraltete einträge in der ARP Tabelle nach dem löschen der Einträge und Neustart der betroffenen PfSense funktioniert alles perfekt

Danke

Hallo Forumsleser,

habe nun soweit noch ein Update:
Habe mit dem Hersteller Support der anderen Seite gesprochen:
Netzbeziehungen von deren Seite korrekt ausgehandelt, welches sich zumindest auch mit den Einträgen in der Rubrik "SPDs" wiederspiegelt.
Dort habe ich bei der PFSense (Community Edition) sowohl Inbound und Outbound zeigt Einträge für alle 4 Netze.
Für die Child SA's habe ich nun feststellen können das bei geringerer Phase 2 Gültigkeitsdauer verspätet einige Child SA's eingetragen werden. Aber leider nicht alle.

Was wir noch feststellen durften: Die PFSense scheint noch Meldungen über den Tunnel zu schicken "Payload malformed"
Sagt das jemanden von euch etwas?
Grüße Marcel

Erstmal besten Dank für Eure Antworten.

Die Aktivierung der Option "redirect gateway" hat zum gewünschten Ergebnis geführt.

Manchmal sieht man den Wald vor lauter Bäumen nicht… 🙂

Der Thread wurde vom TO als Solved gekennzeichnet. Kommt selten vor, ist aber so….

Ja, danke, hilft mir schon mal weiter.

Auch danke für die Verlinkung der Befehle (nopull habe ich heute tatsächlich aber auch gefunden, hätte gar nicht danach fragen brauchen, wenn ich mir die Einstellungen angeschaut hätte :-[).

@jahonix:

Oh man, und ich habe gerade "Landkarte" gelesen.  :)…

Vorsicht, wenn sich das häuft wirds Zeit für den Augendoc, bin jetzt bei Gleitsichtgläsern angelangt  8)

-teddy