@be1001 said in OpenVPN von pfsene to Mikrotik Version 6 bzw. Version 7: Nach dem Update auf 2.7.1 bzw. mittlerweile 2.7.2 bekomme ich kein OpenVPn mehr zum laufen. Was sagt denn die Log? Ist es das Problem? https://forum.netgate.com/topic/185282/openssl-error-0a000076-ssl-routines-no-suitable-signature-algorithm

Mittlerweile habe ich das Problem finden können. Und es lag tatsächlich nicht an der Telefonanlage. Es betraf auch nicht nur die OpenVPN-Roadwarrior, sondern auch die per WireGuard eingewählten. Zusätzlich betraf es auch mehrere VoIP-Softwares wie Phoner und MicroSIP. Ich musste unter Firewall -> NAT -> Ausgehend jeweils für jedes VPN und jedes Lokale Netz noch eine Regel erstellen. Etwa so: Schnittstelle: OpenVPN1 Quelle: LAN subnets * * * Adresse: OpenVPN1 address Warum es vorher ewig (bis Update auf 2.7.0) ohne diese Regel(n) ging verstehe ich nicht ganz. Aktuell läuft schon die 2.7.2 und alles läuft tadellos. @JeGr Danke erstmal für die Rückmeldung. Leider lässt die Telefonanlage bezüglich Fragmentierung, MTU usw. keinerlei Änderungen zu. Gerade mal den RTP-Portbereich kann man hier variieren. Daher habe ich die Fehlersuche auf die pf begrenzen müssen.

@micneu Das Problem hat sich "gelöst": Ich habe von der Telekom die neue Magenta Box One bekommen. Diese ähnelt dem Apple Tv. Es läuft jetzt einwandfrei. Die Magenta Box 401 so die Aussage wird verschwinden, somit auch die Problematik mit dem Multicast in pfSense. Danke für die Hilfe bis hier her! Kurioser Fakt am Rande, die Fernbedienung der Magenta One schaltet auch eine PS5 ein.

Ich habe hier 13 VLANs und alle laufen als 802.1ad, QinQ ist schon speziell und hat seine Anwendungsfälle aber das per default zu setzten ist schon stark. Bei der pfSense ist QinQ ein eigener Bereich, VLANs werden in einem anderen Reiter angelegt und sind immer 802.ad. Aber, eine SPI Firewall, egal welcher Hersteller, hat immer Probleme mit asymmetrischem Routing. Aus dem Grund wird ja auch immer ein Transfernetz empfehlen, über dieses redet dann die Firewall mit allem auf der Gegenstelle. In dem Fall würde das bei dir so aussehen, eine Default Route auf dem Switch mit 0.0.0.0 0.0.0.0 auf die IP der FW im Transfernetz. Von der FW aus das CIRD Netz auf Switch Seite zu ihm routen, also so was wie 192.168.0.0 255.255.0.0 auf die IP vom Switch im Transfernetz. Dann ist aber nix mit VLAN Sup Interfaces auf der Firewall, wenn du das machst, dann hat du keine saubere Netzstruktur mehr und Pakete vom Client laufen über den Switch zur FW, dann ins Internet und wieder zurück. Jetzt aber von der FW direkt zum Client, da gibt es aber keinen State Eintrag und damit wird das Paket verworfen. Kann man über eine Regel erlauben, dann wird ein neuer State aufgebaut, aber dann kannst du die Firewall gleich abschalten, denn du müsstest any ip permit auf dein LAN vom WAN aus zulassen. Ja kann man machen, wenn man einen großen Honigtop aufstellen will, dann kannst aber auch gleich den Switch ins WAN hängen und brauchst die FW nicht mehr. Du kannst das so aufbauen, wenn alles hinter dem Switch das gleiche Vertrauen genießt, dann kann man hier einfach routen, doch dann hast du keine Firewall mehr dazwischen. Ist ja auch so gewollt, soll mit max Linespeed zwischen den VLANs geroutet werden, das macht dann der Core auch, dafür ist er da. Doch will man hier was aufteilen, bist du bei Switch ACLs, die nur selten Statefull arbeiten, gibt es auch, aber das mit vollem Backplane Speed wird zum Teil teuer. Also entweder volle Power beim Routing oder Firewalling mit dem Speed den die Kiste halt hin bekommt, dazwischen gibt es nix. Aber das hatte dir Patrick ja drüben schon erklärt. Wenn irgendwelche anderen Kisten das machen, würde ich mir über die SPI Firewall Funktion in den Kisten ernsthaft Gedanken machen, ob ich denen noch trauen würde, vermutlich nur so weit wie ich die werfen könnte.

@JonathanLee Thanks a lot Jonathan for this examples! I will study them thoroughly in the next days. I wish You a nice Christmas!

@viragomann said in Firewall Destination | "VDSL address" (PPPoE WAN down): Sollte ja kein Problem sein, oder? Wenn ich dich richtig verstehe wir die Rule dann erzeugt sobald das WAN online geht, dann wäre es kein Problem. /tmp/rules.debug kann ich noch gar nicht, danke für den Hinweis!

Und Du hast direkt am WAN eine öffentliche IP-Adresse und keinen Router davor? Ich würde alles abreißen und komplett von vorne beginnen, dabei einen anderen Port wählen...

Hallo, @esquire1968-0 said in Benutzer mit SSH Zugriff: Auf einer VM läuft "apcupsd" und soll im Falle eine Stromausfalls folgenden Befehl an die pfSenses schicken: /usr/bin/plink username@pfsenseIP -pw password -P 12122"/sbin/shutdown -h" Läuft da nicht auch ein NIS Server, von dem sich ein apcupsd auf der pfSense die Info selbst holen könnte? Du kannst zwar einem User ausschließlich SSH-Zugriff geben, aber damit hat er auch root-Rechte und darf in der Shell alles. Das Privileg wäre "User - System: Shell account access".

@bahsig Konfigs prüfen hab ich schon in alle Richtungen durch :-) Zumal es aus meiner Sicht auch nicht an der Konfig liegen kann, da es ja (mit gleicher Konfig) auf den früheren pfSense-Versionen (bei mir alles < 23.09) geht.

Noch sind beide gleich, aber das Dev Paket wird irgendwann für den Test neuer Updates herhalten. Da beide gleich sind kannst jetzt einfach wechseln, das wird dann später unter Umständen nix mehr.

@bahsig said in Zugriff auf Modem: Also bei mir ist das Modeminterface VLAN-tagged und ich komme aufs Vigor. Ja, natürlich, wenn es an Vigor auch entsprechend konfiguriert ist. Und ich meine nicht VLAN7 für pppeo ;-). Ich in diesem Kontext schon.

i solved thanks

Habe die Config mit Vigor166 und O2. Und die läuft. Falls noch Bedarf besteht, kann ich gerne mal meine Config posten.

@viragomann Zu deinen Punkten: Ja auch aus anderen Segmenten ist der Zugriff möglich. Der HTTPS Port sowie auch die SSL Zertifikate sollten richtig eingestellt sein. (Scheint ja auch aktuell mit den Ports zu laufen.) Ja ich gehe auch Intern per HTTPS drauf. Im Frontend kann man auch im Browser sehen, das richtige Zertifikat hinterlegt. Der Fehler tritt auch auf, wenn ich von außen über den Port 80 also HTTP zugreife... Die Nextcloud läuft in einem Container auf einem Proxmox Server hinter der PFsense VM Die Firewall im Backend ist deaktiviert.

Soll das Netz nicht an die pf Gui, muss am besten über eine Int Grupe ein Reject auf this Firewall und alle Ports rein. Davor NTP, DNS usw. erlauben, fertig.

Ich habs! Nach manuellem Löschen der /var/etc/radvd.conf und einem Reboot geht SLAAC wieder. Leider hat mir der Reboot meine/var/etc/radvd.conf.backup gelöscht, sodass ich den Unterschied nicht mehr nachvollziehen kann. Weiterhin spannend: der Fehler hat sich über Installationen hinweg gezogen und ist wohl bereits in der config.xml vorhanden.