@ShaneDeak said in OpenVPN Problem nach Update: aber der nslookup nicht. heißt was genau? Namensauflösung (die wäre doch lokal, was hat die dann mit dem VPN zu tun?) oder der Server auf der anderen Seite oder was ist da genau mit gemeint? @ShaneDeak said in OpenVPN Problem nach Update: Außerdem kann ich z.B. auf die Weboberfläche der pfSense B oder auf die von Proxmox nicht zugreifen (über die IP, welche aber eigentlich erreichbar ist). Ohne Plan was wo wie miteinander verknotet ist, ist das schwer zu überschauen, was warum wo nicht geht. Da bräuchte ich dann wirklich mal nen Plan oder ne bessere Beschreibung zu. Auf Windows-Freigaben kann ich auch nicht zugreifen. Same, das mag für dich stimmig/sinnvoll klingen, ich weiß damit aber überhaupt nichts anzufangen, weil ich jetzt keine Ahnung mehr habe, was wo wie steht, wer mit wem versucht zu sprechen, worüber, wie das miteinander verdrahtet oder verbunden ist, etc. Jetzt hast du noch irgendwie die Richtung/Server-Client umgedreht, jetzt versteh ich noch weniger. Also gern Hilfe, aber dann bitte richtig, dann brauch ich entweder nen Plan oder zumindest eine wesentlich bessere Beschreibung was wo wie steht, was miteinander reden kann und was nicht und was wo konfiguriert ist. Ansonsten ist das leider eher stochern im Nebel. Da wir gerade erst wieder einen Kunden hatten, der auf pfSense geswitcht ist und mit der aktuellen Plus 23.05.1 (also auf gleichem Stand wie 2.7) nen Office hinter einem RZ angehängt hat und dabei den Weg zwischen Office und RZ via Tunnel verbunden hat, kann ich sagen, dass das keinerlei Problem mit 2.7 ist - OpenVPN hat da problemlos gewuppt. In dem Fall sogar via MultiWAN über ne Backup Line falls die direkte Anbindung tot ist. Site2Site oder Site2Multisite ist also auch in den neuen Versionen kein Ding. Meist liegt der Fehler da im Detail: es fehlt nen CSO, es fehlt ne Route, es gibt noch irgendwo nen herumschimmelndes IPsec das die Pakete wegfrisst weil die gleiche Route wie bei OVPN eingetragen ist etc. etc. Aber was es in deinem Fall genau ist - ohne bessere Draufsicht kaum zu sagen. Cheers \jens

@sm-vm Wie gesagt, mit dieser IPSec geht wohl nix. Also entweder muss es die genannte OpenVPN im tap-Mode sein (L2) oder eine L3, der du ein Interface zuweisen kannst und dieses dann mit gewissen Relais verbindest. Bspw. UDP Broadcast Relay Ich habe das aber auch noch nicht selbst praktiziert.

@fireodo Danke für die Info. ;-) Dann schaue ich da mal vorbei. MFG Steffen

@viragomann Ja perfekt, genau das wars, mit deiner Anleitung hat es nun mit den Host Override geklappt.

@viragomann said in Noob was Packet Capture und Wireshark betrifft: Ein Paket hate eben nur eine Quell- und eine Ziel-IP. Das Gateway, wohin das Paket geht, ist als IP nicht enthalten. Danke Dir, hatte ich nicht mehr auf dem Schirm.

@Bob-Dig Daumen hoch sind schon vergeben. Mag mir mal kurz einer erklären wo ich drauf drücken muss um den Post als erledigt zu markieren.

@Trust9 mach doch einfach eine bridge. wie du eine bridge erstellst ist in der Offiziellen doku erklärt.

@viragomann Danke für den Tip! Das werde ich am Montag ausprobieren, wenn ich wieder zurück bin.

@sub2010 said in Pfsense HA Proxy Synology: Ich habe 2x Host, diese möchte ich gerne beide Nutzen. D.h. du möchtest Load Balancing realisieren? Dann kannst du es mit einem TCP Frontend versuchen. Das sollte funktionieren, wenn es daran liegt, dass es kein HTTP Protokoll ist. Allerdings kann das nicht auch auf Port 443 lauschen, das benötigt einen eigenen.

@Bob-Dig Haste natürlich recht.

Hallo, vielen Dank für eure Antworten. Ich habe gedacht, ich hätte alle Infos geschrieben, Sorry. Ich führe es mal genauer aus. Wir werden zu Events eingeladen und stellen verschiedene Dienste zur Verfügung. Vor Ort ist meistens schon eine kleine Netzwerkstruktur vorhanden (komplett unbekannt wie aufgebaut). In dieser Struktur gibt es einen Server, auf den wir unsere Daten erhalten, die auf unseren Systemen dann angezeigt werden. In unserem Netzwerk ist ein LTE Router für die Internetverbindung, DHCP usw. also ganz einfach gehalten. Mein Gedanke war nun (zugegeben sehr naiver Gedanke :-D), eine pfSense zu haben mit der wir uns da mit "rein hängen". Das Problem an dem ganzen ist nur das alle Daten, die wir raus schicken über unser ISP laufen müssen und nicht über den ISP des Veranstalters laufen kann/darf. Danke für die Infos, damit konnte ich mir schon einiges raussuchen und mein nicht vorhandenes Wissen aufbessern :-). Zeichnung mache ich noch fertig. VG

@tux84 said in IPv6 Prefix für PfSense nach Reboot der Fritzbox weg: Scheint so als würde hier kein dringender Bedarf bestehen um das Problem zu lösen. Absolut. Die meisten Businesses haben wohl eh feste IPs und in den USA vorrangig in der vierten Version. Wirklich trivial scheint es aber auch nicht zu sein, sonst hätte die andere Sense doch längst eine Lösung parat haben müssen...

Meine 21er hatte 23.01 und 23.05. und den .1, ohne Probleme. Nur habe ich halt eben bei den gesagten Problemen das Recovery gemacht, dauert 10 Minuten mit noch mal 10 Minuten Kaffee trinken weil man wartet bis alle Pakete wieder da sind. Wir sprechen hier von einer Firewall die auch mal Dienste wie VPN oder anderes anbietet, da sollte die schon auf einem aktuellen Stand sein. Ja das ist ein wenig Arbeit bei der Pflege, aber von dem zfs Bug beim Upgrade abgesehen, hatte ich mit den Kisten bisher keine Probleme, nutz man keine Dev Version. Auch das Upgrade Problem wurde für die ARM Kisten bei zfs inzwischen gelöst, man kann die einfach gemütlich wieder per Klick auf Stand bringen. Wobei ich bei so großen Versionssprüngen dann eher ein Recovery machen würde.

Eine gebrauchte Sophos 125/135 Rev3 tut es auch, die gibts mit ein wenig Glück bei eBay für schon mal unter 100€. Das ist dann eine echte Firewall Appliance und wurde für diesen zwecke entworfen. Mit dem C Atom hast du Intel QA und damit alles an Hardware Crypto was man so braucht, dazu einen Verbrauch von unter 20W. Die Hardware muss schon rock solid sein, wenn man da eine Firewall drauf laufen lassen will, das Ding muss ja immer funktionieren, sonst ist halt gleich eine Störung da. Und im Normalfall setzt man so was ja ein, wenn man mehrere VLANs betreibt und damit auf das Gateway angewiesen ist um über diese in die anderen Netzte hinein zu routen.

Lösung gefunden, es war eine falsche netmask in der /etc/network/interfaces bei der VM die nicht erreichbar war: Falsch: netmask 255.255.255.255 Richtig: netmask 255.255.255.0 damit klappt es jetzt. Danke!

@grantorino 1. warum kaufst du dir nicht einfach ein modem (z. b. Vigor 16x) leider hast du nicht zu geschrieben bei welchem provider du bist. 2. ich habe es bei mir auch so das die Fritzbox nur als VoIP telefonanlage dient. ich hänge mal mein netzwerkplan an. ┌──────────────────────────┐ │ │ │ WAN / Internet (PPPoE) │ │ Willy.tel │ │ 1000/250Mbit/s Glasfaser │ │ │ └─────────────┬────────────┘ ─ ─ ─ ─ ─ ─ ─ ─WAN─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ┼ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ WAN ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ │ ┌────────────────┐ ┌────────────────┐ │ │ │ │ Switch │ ╔════════╩══════════════ pfSense+ 23.01 ══╗ Stand: ─ ─ ┐ │ TrueNAS ├───┤ USW-Flex-XG ├─────────╣ ║ │ │ │ │ │ ║ Intel NUC BNUC11TNHV50L00║ 29.03.2023 │ └────────────────┘ └───┬────┬───────┘ ║ LAN: 192.168.3.0/24║ │ ┌────────────────┐ │ │ ║ Gäste (W)LAN (VLAN33): 192.168.33.0/24║ ─ ─ ─ ─ ─ ─ ┘ │ UBNT │ │ │ ║ IoT WLAN (VLAN34): 192.168.34.0/24║ │UniFI AP AC Pro ├───────┘ │ ║ DynDNS über deSEC mit eigener Domain║ │ │ │ ║ VPN's:║ └────────────────┘ │ ║ 2 x Fritzbox (7490 & 6591) IPSec║ │ ║ 1 x OpenVPN Road Warrior (172.16.3.0/24)║ │ ║ 1 x WireGuard Road Warrior║ │ ║ (172.16.33.0/24)║ │ ╚═════════════════════════════════════════╝ │ ┌────────────────┐ ┌────────┴───────┐ ┌────────────────┐ ┌────────────────┐ │ Fritzbox 7490 │ │ Switch │ │ UBNT │ │ 1 x UBNT │ │ (Nur VoIP) ├───┤ USW-Flex-XG ├─┤USW-ENTERPRISE-8├─┤UniFi AP-Flex-HD│ │ │ │ │ │ -POE │ │ │ └────────────────┘ └────┬───────────┘ └──────┬─────────┘ └────────────────┘ ┌────────────────┐ │ │ │ UBNT │ │ │ ┌───────────┐ │UniFI AP AC Pro ├────────┘ │ │ │ │ │ └────┤ Clients │ └────────────────┘ │ │ └───────────┘ zu deinen APs kann ich dir nichts sagen, wie du in meinem netzwerkplan sehen kannst setze ich UBNT ein. ich denke die meisten hier im forum nutzen UBNT an der sense.