@juliokele Du hast mit deiner präzisen Antwort mir Jahre später noch geholfen. Vielen Dank.

@Bob-Dig Bei welchen allowed IPs? Das Feld hat Wireguard dämlicherweise 2x und es bedeutet 2x was anderes. Ich vermute es its die Variante, die erlaubt, wer sich verbindet, nicht die, die bestimmt was geroutet wird. Dann müsste da kein 0 rein, sondern einfach die korrekten IP Ranges auf beiden Seiten, sonst wird natürlich der Traffic geblockt. Cheers

@Artefakt said in Gatewaygruppe, eine IP soll nur über den ersten WAN rausgehen.: Die Frage war zuletzt eigentlich nur, warum bei Hinzufügen der Policy-Regel (Standard-LAN-Regel) plötzlich eingehend nichts mehr geht. Nehm ich die Regel wieder raus, gehts sofort wieder. Irgendwas muss ich da übersehen haben. Weil da ein Gateway drinsteht und wenn da eines gesetzt ist, wird ALLES was auf die Regel zutrifft über das GW gepusht, egal ob man das möchte oder nicht. Darum muss man Sieb-weise vorselektieren, was oder was nicht über das GW soll, damit nur externer Traffic der über das IF raus soll über bleibt, der auf die GW Regel matchen kann - sonst sägt man sich die entsprechenden Funktionen ab :) Cheers

@GrilleGustav said in Ausgehender Datenverkehr zu externen IP-Adressen OpenVPN-Tap Interface scheint nicht korrekt weitergeleitet zu werden: o OpenVPN Layer 2 Tap Mode Server eingerichtet Ganz blöde gefragt: warum? Warum will ich OVPN im TAP mode auf Layer 2 wegen ner IP Adresse? Funktioniert doch alles sauber auf Layer 3, warum will man sich dann mit sowas das Leben schwer machen?

@Artefakt Hallo, das Interface hinzufügen reicht. Die bestehende Konfiguration wird dann angewandt. Das macht aber überhaupt nur Sinn, wenn du eingehende Verbindungen hast.

Damit leben oder mal nach einer Sophos SG125/135 Rev. 3 schauen. Da ist ein auf Netzwerk optimierter C3k Atom drin mit 4 Kernen und 1,6/2,2GHz. Mit der Plus hast vollen Quick Assist Support, da rennt dann im LAN das Gbit nicht nur durchs Regelwerk sonder sogar durch eine IPsec Tunnel.

@JeGr nach immer fehlt ein Hier Für die Örtlichkeit

@ShaneDeak said in OpenVPN Problem nach Update: aber der nslookup nicht. heißt was genau? Namensauflösung (die wäre doch lokal, was hat die dann mit dem VPN zu tun?) oder der Server auf der anderen Seite oder was ist da genau mit gemeint? @ShaneDeak said in OpenVPN Problem nach Update: Außerdem kann ich z.B. auf die Weboberfläche der pfSense B oder auf die von Proxmox nicht zugreifen (über die IP, welche aber eigentlich erreichbar ist). Ohne Plan was wo wie miteinander verknotet ist, ist das schwer zu überschauen, was warum wo nicht geht. Da bräuchte ich dann wirklich mal nen Plan oder ne bessere Beschreibung zu. Auf Windows-Freigaben kann ich auch nicht zugreifen. Same, das mag für dich stimmig/sinnvoll klingen, ich weiß damit aber überhaupt nichts anzufangen, weil ich jetzt keine Ahnung mehr habe, was wo wie steht, wer mit wem versucht zu sprechen, worüber, wie das miteinander verdrahtet oder verbunden ist, etc. Jetzt hast du noch irgendwie die Richtung/Server-Client umgedreht, jetzt versteh ich noch weniger. Also gern Hilfe, aber dann bitte richtig, dann brauch ich entweder nen Plan oder zumindest eine wesentlich bessere Beschreibung was wo wie steht, was miteinander reden kann und was nicht und was wo konfiguriert ist. Ansonsten ist das leider eher stochern im Nebel. Da wir gerade erst wieder einen Kunden hatten, der auf pfSense geswitcht ist und mit der aktuellen Plus 23.05.1 (also auf gleichem Stand wie 2.7) nen Office hinter einem RZ angehängt hat und dabei den Weg zwischen Office und RZ via Tunnel verbunden hat, kann ich sagen, dass das keinerlei Problem mit 2.7 ist - OpenVPN hat da problemlos gewuppt. In dem Fall sogar via MultiWAN über ne Backup Line falls die direkte Anbindung tot ist. Site2Site oder Site2Multisite ist also auch in den neuen Versionen kein Ding. Meist liegt der Fehler da im Detail: es fehlt nen CSO, es fehlt ne Route, es gibt noch irgendwo nen herumschimmelndes IPsec das die Pakete wegfrisst weil die gleiche Route wie bei OVPN eingetragen ist etc. etc. Aber was es in deinem Fall genau ist - ohne bessere Draufsicht kaum zu sagen. Cheers \jens

@sm-vm Wie gesagt, mit dieser IPSec geht wohl nix. Also entweder muss es die genannte OpenVPN im tap-Mode sein (L2) oder eine L3, der du ein Interface zuweisen kannst und dieses dann mit gewissen Relais verbindest. Bspw. UDP Broadcast Relay Ich habe das aber auch noch nicht selbst praktiziert.

@fireodo Danke für die Info. ;-) Dann schaue ich da mal vorbei. MFG Steffen

@viragomann Ja perfekt, genau das wars, mit deiner Anleitung hat es nun mit den Host Override geklappt.

@viragomann said in Noob was Packet Capture und Wireshark betrifft: Ein Paket hate eben nur eine Quell- und eine Ziel-IP. Das Gateway, wohin das Paket geht, ist als IP nicht enthalten. Danke Dir, hatte ich nicht mehr auf dem Schirm.

@Bob-Dig Daumen hoch sind schon vergeben. Mag mir mal kurz einer erklären wo ich drauf drücken muss um den Post als erledigt zu markieren.

@Trust9 mach doch einfach eine bridge. wie du eine bridge erstellst ist in der Offiziellen doku erklärt.

@viragomann Danke für den Tip! Das werde ich am Montag ausprobieren, wenn ich wieder zurück bin.