Was ich noch "herausgefunden" habe, wenn von der Fritzboxseite kein Traffic zur pfSense geht, dann stirbt der Tunnel. Sobald ich dann wieder einen Ping in Richtung pfSense abgebe baut er sich wieder auf… Strange!

Hallo,

also wir kennen bisher http://www.informaticapressapochista.com/linux/interconnect-ipcop-to-pfsense-using-ipsec/ vom Jan. d.J..
Leider benutzt das weder Zertifikate, noch haben wir das bisher so zum Laufen gebracht.
Haben Sie denn inzwischen noch was herausgefunden?

Für solch ein Szenario eigentlich nur sehr schwer. NAT Reflection ist dann das andere was bleibt, hat aber den "Nachteil", dass man daran denken muss, die Regeln entsprechend passen müssen und man ggf. manchmal verwirrt ist, wenn manche Dinge nicht gleich sofort wie von extern funktionieren und man erst einen Fehler sucht bis man dran denkt, dass man ja quasi von der Firewall reflektiert wird und daher nicht direkt mit dem Server spricht. Gerade bei Endpunkten die nicht direkt, sondern dann wieder z.B. über einen Loadbalancer o.ä. erreicht werden kann das ziemliche Knoten im Weg geben, den das Paket nimmt.

Grüße

Das spannende ist einfach ich bekomme seitdem die VPN Verbindung nimmer hoch…. https://forum.pfsense.org/index.php?topic=118367.0 hatte das auch jemand von euch oder habt ihr auch noch ohne probleme site-tp-site connections offen?

Hi,

das mußt du selber wissen. Falls am Opt2 tatsächlich nur das "LAN net" hängt, dann ist es aus Sicherheitssicht korrekter die Source auch darauf zu beschränken, da ja dann auch nichts anderes kommen sollte. Hängt hier ein Router dran, der zu einem anderen Netz weiterverbindet, würdest du das damit sperren oder, besser ausgedrückt, nicht freigeben. Es ist immer alles gesperrt, was nicht freigebene wurde…

Gruß
pfadmin

Ein gelöst per se gibts nicht, aber du kannst natürlich dein Topic im OP editieren und dort [Gelöst] reinschreiben, wie es manch anderer tut. :)

Hi,

da ihr keine Änderungen vorgenommen habt, habt ihr auch keine Ports zur Telefonanlage durchgestellt. Somit läuft das Ganze vermutlich mit STUN und das ist wiederum nur eine Krücke, die selbst Probleme bereiten kann. Die Router der Telekom sind entsprechend hart vorverdrahtet, d.h. alle Ports usw. sind durchgeschalten.

Leite die Ports, die in der Anlage für SIP und RTP eingetragen sind, an der pfsense weiter, und dann sollte das Ganze funktionieren.

Gruß
pfadmin

Ich hatte irgendwie keine Lust wegen einer Portänderung wieder ein Formular auszufüllen und wieder 2-3 Wochen zu warten bis die endlich hinbekommen haben dies einzustellen.

Autsch, ja solche Firmenpolitik ist mir durchaus bekannt ;) Da arbeitet man dann gern drumherum :)

Wenns aber jetzt klappt ist ja gut :D - ich würde es allerdings trotzdem eher mit localhost bauen und den VPN Server entsprechend konfigurieren, aber das ist subjektiv :)

Super, dann werden jetzt vielleicht auch die Attacken auf Private weniger.

Ich frage mich da gerade eher, was die Failover IP soll wenn nur ein System gemietet ist (HW). Das ist doch dann relativ nutzlos. Und zwei pfSensen bedarf es dann auch nicht wirklich, wenn doch alles auf einem ESXi läuft. Es ist zwar dann schön, wenn man das intern virtuell nett HA baut, aber wozu -> ist der ESX weg ist eh alles weg. Mir ist da der Sinn und Nutzen nicht ganz klar und ob der OP die Terminologie richtig verstanden hat/nutzt. Eine Failover IP nutze ich ja nur dann wenn ich bspw. 2 Systeme anmiete, eines (auf das die IP zeigt) abschimmelt und ich dann das andere aktiv machen möchte.

Hi

Bei den Firewallregeln sehe ich mal kein Problem. Snort ist da schon etwas hungriger (selbiges gilt im übrigen auch für squid). Ob da der Doppelkerner nicht zur überhitzenden Bremse wird, halte ich für fraglich. Und bei Openvpn kommt es auf die Verschlüsselung an, und was das CPU Integrierte AES-NI zu leisten vermag. Denke mal das du bei 400 Mbit deine Anforderungen nicht zu hoch stecken solltest. Ich halte es daher für besser in den sauren Apfel zu beißen, und allenfalls die SG-4860 in Betracht zu ziehen.

Hey danke für den Link, jedoch kenne ich den. Schwerpunkt meiner Frage bezieht sich auf die Art des Load-Balancings. Session Based kombiniert alle Leitungen aber jede Session geht über eine andere IP. Das möchte ich vorerst vermeiden.

Die MAC Adresse wirst du nicht direkt in einer Regel verwenden können. Du kannst damit aber im DHCP ein statisches IP Mapping für das iPad konfigurieren und dieser IP dann in einer Firewall Regel erlauben, was immer du möchtest.

Hab es hinbekommen:

Folgendes hab ich geändert:
1.
Bei der Installation des Updates wurde auch die VHOST-Erweiterung gelöscht, ich hatte die Fehlermeldungen als Custom-Errors von der PFSense ausgeliefert, das läuft nun auf einem internen Server.
Der entsprechende Eintrag in den Squid-Settings musste angepasst werden.
2.
Auf der pFsense hab ich die /etc/inc/captiveportal.inc gegen diese getauscht: https://github.com/pfsense/pfsense/blob/master/src/etc/inc/captiveportal.inc

Als ich squid über den servicemanager starten wollte, lief es schon.  ???

logs sehen gut aus

Christian

Hallo, Vielen Dank das du mir Helfen möchtest.

Anbei die Screenshots. Falls du noch welche wünscht kein Problem.

Vielen Dank

lg Daniel

Ps: aktueller Stand der Gateway, trotzdem geht alles über die ADSL gateway. Erst wenn diese down ist wird umgeschaltet.

firewall.png
firewall.png_thumb
gateways.png
gateways.png_thumb

Hallo alle zusammen,

Ich hole das mal wieder nach oben, das ganze wird langsam ernst….. Ich habe mal Skizziert um was  es geht und wie ich das in der pfSense konfiguriert habe....
Ich muss also für den Bereich 10.33.34.50-254 ein BINAT machen auf die 10.60.62.50-254 - weil ein Serverdienst im Geschlossenem Sachsen-weitem Netzwerk mit NAT nicht umgehen kann und die Clients sonst nicht sieht. Dazu kommt noch das alle Anfragen an den zentralen Proxy über das ADSL Interface erfolgen sollen. Ohne BINAT
ist das alles kein Thema und schon einige male im Einsatz... Aber mit - da muss ich doch mal um Hilfe bitten....

Gruß
Thomas

BNAT_pfSense.PNG
BNAT_pfSense.PNG_thumb
Routing2_Leitungen.png
Routing2_Leitungen.png_thumb