Sooooo…kurze Rückmeldung mal.

Tag der Umstellung von "normal" DSL auf RAM war o.k. Wurde schon vor Mittag umgeschaltet. Dann Splitter weg und den Vigor dran.  Hab ihn ersteinmal die Einwahl machen lassen um sicherzustellen das es faktisch klappen kann.
Hatte mir schon die Modem-Config File von der DrayTek Seite eingespielt.
Standardmäßig stand der DSL Mode dabei auf "Multimode" den ich als solches verstand, dass der Vigor alle Möglichekiten durchgeht und beim passenden bleibt. Aber hab ich wohl falsch verstanden?  Hab ihn zmd 20min Syncen lassen und klappte nicht.
auf ADSL2+AnnexJ ging es dann nach 10Sekunden.
Also ab den Vigor in Bridge Mode und die Sense die Einwahl erledigen lassen - klappt!

Fritzbox über LAN1 im Client Mode ans LAN dran, Telefonnummern eingegeben klappt.
ISDN Telefon direkt an FritzBox konfiguriert.

Eingehender Anruf - klappt! Ausgehender -> FAIL!

Firewallregeln von hier gecheckt, passt eigentlich...
Fehlercode der Fritz gegoogelt und dabei gefunden dass es bis 24h dauern kann bis alles korrekt portiert ist bei denen...ok, andere Baustelle verfolgt-> TK-Anlage hinterschlaten.

Also ISDN telefon ab, Fritzbox in Anlagenmodus geschaltet und probiert.
Nix geht...ok vl MSN in der Anlage anpassen...manche sagen mit Vorwahl manche ohne...keine klaren Aussagen gefunden. Probiert und gemacht....nix.

Dann wieder suche suche....und dann folgendes gefunden:
Wenn Fritz in den AnlagenModus soll, dann S0 ABKLEMMEM, dann Fritz konfigurieren, dann Neustarten, dann S0 dran - >funktioniert. MSN wie vorher, also ohne Vorwahl!

In der Fritz hab ich die Internetrufnummern MIT Vorwahl eingetragen UND bei den vier Kästchen unten für die Wählregeln die letzten beiden Aktiviert immer. Die "0" für Amt und das für die Ortsvorwahl.

Nun lief erstmal alles. Auch Ausgehende Anrufe klappten - warum auch immer - auf einmal.

Da am Netzwerk und Co noch einiges anderes an dem Tag geändert werden sollte, hab ich mich fröhlich damit beschäftigt bis ich da auf Fehler stoß die ich nicht beseitigt kriegte.

Und wie der Zufall es will flog an dem Tag (warum weiß natürlich niemand im Haus) mehrmals der FI raus.

Da noch keine USV an der Sense war, hat die sich öfter ungewollt neugestartet, währen ich CaptivePortal am einrichten war. Nachdem auf den WLAN Clients die Anmeldeseite nicht mehr klappte, hab ich mir die kiste beim rumbasteln wohl erhängt...

Die morgends ausgetauschte hatte ich aber unberührt noch dabei. Also dort die Fritzbox in die Regeln eingerichtet wie hier im Forum beigebracht bekommen und tata...alles klappt, aber keine ausgehenden Anrufe.
Also gesucht, vergleichen, neugestaret, States gelöscht und und....und kein Erfolg.

Plötzlich gings. Darum alles versucht SChrittweise rückgängig zu machen um den Fehler zu lernen...nicht gefunden.
Geht aber nicht mehr...
Lange Rede kurze Frage:

Meine Vermutung:
Kann es sein, dass es einfach einige Zeit dauert, bis ausgehende Anrufe wieder von der Telekom korrekt geroutet oder sonst was werden? Grad wenn es viele Neueinwahlen gibt in kurzer Zeit oder so ähnlich?

Denn wie am Morgen sofort nach der Umstellung, lief alles - aber halt keine ausgehenden Anrufe. Und plötzlich doch....

Mich als Vollnoob hat es zur Weißglut gebracht und im Nachhinein dachte ich mir, dass es einfach DAUERT bis es ausgehend klappt. Das würde auch den Beginn des Tages erklären.

Morgen werde ich weiter daran forschen und es dann mal in Ruhe versuchen zu reproduzieren.
Zu den verwendeten Ports gibt es ja auch leider mehrere Meinungen im Netz. Aus Angst da was zu vergessen, habe ich lieber einen zuviel eingegeben als zu wenig.

Naja.... schon toll dieses VIOP :)

Moin,

Chris, danke fürs Nachprüfen!

-teddy

Ja, das wars! :-[

Danke!!!!  ;D

Wenn pfSense, auf der der OpenVPN Server läuft, das Standard-Gateway auf dem freeNAS ist, sollte eine Regel am OpenVPN Interface, die den Zugriff erlaubt, genügen.

Hast du Zugriff auf andere Teile des Netzwerks?

Hallo
ich habe inzwischen eine Möglichkeit gefunden.

1. Eine Datei /etc/blockhosts erstellen
2. In diese Datei die zu blockenden Adressen eingeben, z. B. 0.0.0.0 www.nsa.gov
3. Unter Service - DNS Forwarder - im Feld Advanced folgendes eintragen: addn-hosts=/etc/blockhosts
4. Dienst dnsmasq neu starten.

Anmerkung:
Aus irgendwelchen Gründen kann die Datei /etc/blockhosts nicht beliebig viele Einträge enthalten.
Irgendwo zwischen 14000 und 15000 Einträge ist Schluss.
Dann wird die Datei nur noch leer abgespeichert.
Ich habe z. B. eine Sperrliste mit ca. 27000 Einträgen.
Dazu erstellte ich die folgenden 3 Dateien:
/etc/blockhosts1 mit 13000 Einträgen
/etc/blockhosts2 mit 13000 Einträgen
/etc/blockhosts3 mit  1000 Einträgen

Im Feld Advanced habe ich folgendes eingetragen:
addn-hosts=/etc/blockhosts1
addn-hosts=/etc/blockhosts2
addn-hosts=/etc/blockhosts3

Fertig.

Gruß
Peter

blockhosts.txt

@Michael_HL:

Ich sichere meine 160 GB Platte zu meiner Schande noch mit einer älteren Clonezilla Version (2.0.?), was recht flott und zuverlässig funktioniert.

160 GB in 10 min - da komm ich nie hin.

@Michael_HL:

Bei der pfSense-Installation kannst Du doch im Custom-Modus (Nicht im Quick-Modus) Partitionen erstellen und diese gezielt für pfSense benutzen

Okay, danke. Ich kann mich nur an die Meldung einer früheren Installation erinnern, wonach pfSense die gesamte Platte haben möchte. Vermutlich habe ich später nur mehr im Quick-Modus installiert, weil ich eh nie etwas zu ändern hatte.
Werde es bei der nächsten Installation versuchen.

Grüße

Danke. Ich habe zweimal (für WAN1 und WAN2) in der Normal View des Firewall Log auf das Icon "Easy Rule: Add to Block List" und (später) auf Apply geklickt, seitdem kommen keine derartige Einträge mehr. Sorry, ich war anfänglich (nach dem Update auf 2.2.4) etwas schockiert, aber nach dieser prima Hilfe bin ich sehr froh, dass ich pfSense gewählt habe.  ;)

Danke,

ich habe dieses Problem dadurch lösen können, dass ich auf 2.2.4 upgedatet habe (es gibt dazu 'was im englischen Forum: https://forum.pfsense.org/index.php?topic=98207.0)

Gruss
bakunin

@dkrizic:

was sind das für Switche? Routen die, haben die VLAN?

das steht doch oben, dass sie nicht gemanagt sind.

@dkrizic:

Oder habe ich eine Komplexität übersehen?

Scheinbar.

Was hier vorgeschlagen wird, ist ein "exposed host". Das ist so ziemlich das Gegenteil einer DMZ, wenngleich Linksys uns das immer als DMZ verkaufen wollte.
Ist es aber nicht.

Also ich würde keine Ports eines Hosts innerhalb meines LANs für die Außenwelt öffnen, nie im Leben!
Mit der Switch-Kaskade hat der/die/das Polygon aber ein Problem, denn damit funktioniert das einfach nicht.

entweder Switch gegen gemanagte Geräte tauschen und VLANs einrichten, oder Server umstellen.

Alternativ kannst Du den Server ja vielleicht über Powerlan bist zu Deinem Router durchreichen, ganz vorbei an der bestehenden Infrastruktur. ?

Vielen Dank für die hilfreichen Antworten! Das klingt alles sehr gut soweit.

@teddy: hausintere VOIP sollen her. Wlan soll nur ein Backup sein, den Großteil des Netzwerkverkehrs soll via Kabel ablaufen, sprich: Internetzugang reicht für Wlan völlig aus.

VG
Chris

Hi matzed00,
Deine Beschreibung ist schon etwas diffus, hier solltest Du noch etwas "nachlegen".
Zum einen…..

1. Server PFSENSE als Open VPN Server als Remote Access IP: 192.0.1.0

Kein privater IP-Bereich, das solltest Du ändern…
https://de.wikipedia.org/wiki/Private_IP-Adresse
Desweiteren…..

2. mehrere Router als Client 192.168.100.0, 192.168.200.0, usw.

…was Du hier beschreibst sind Netze und keine Clients, das sollte dann so ungefähr aussehen....

192.168.100.1 bzw. 192.168.200.1

..als Router-IP.

Die Open VPN Verbindung steht.

…..schön, aber mach es Dir auch für eine Fehlersuche einfacher und verwende für den Tunnel einen anderen privaten Netzbereich.
z.B. 10.8.0.0/24
So ist das ganze einfacher, auch für einen der Dir da helfen soll.

Die Definition dieser Clients erfolgt über Client Specific Override.

Bei jedem OpenVPN-Server als CCD bekannt, ist klar.
Hast Du auch an die Firewall gedacht ?
Im übrigen, um sinnvolle Hilfe leisten zu können…..

Netzaufbau mit IP-Belegung (möglichst eine kleine Zeichnung) VPN-Config von Server/Clients, verwendete Hardware der Tunnelkomponenten eventuelle Logs und Routing-Tabellen
....ist unabdingbar.
Welche Verbindungen funktionieren, wo hakt es ?
Also etwas mehr ins Detail gehen. In der Regel haben wir es alles mit privaten Adressen zu tun, die weltweit mehrfach verwendet werden.
Deine Keys und die feste IP Deines Anschlusses wollen wir ja gar nicht wissen... ;)
Gruß orcape

wenn du den lease sehen kannst könntest du ja zumindest dir eine feste IP bzw. einen festen lease geben (würde ich eh empfelen will ja wissen was meine pfsensen haben) und könntest dich freischalten und kommst so drauf.

wenn ich pfsensen so anbinde mache ich das auch gerne das ich über das wan interface mit entsprechenden regeln drauf gehe.

Danke für den Einwurf, aber VLAN-fähige Hardware ist vorhanden  ;)

Okay, nach vielen weiteren Stunden mit Snort sowie im Forum habe ich nun folgendes gemacht:
Snort deinstalliert ( wichtig dabei - haken unbedingt rausnehmen um auch alle Einstellungen bei der Deinstallation komplett zu löschen )
Danach Snort sauber neu installiert und es funktionierte wieder. Ich vermute, daß hier wohl noch irgendeine falsche Einstellung aus einer älteren Snortversion beibehalten wurde. Ich schreibe dies, damit es evtl. auch anderen Usern im Forum hilft.

Super ich danke euch werde mich mal durchlesen ;)
Schönen Sonntag noch :)

Schönes Projekt und Danke für Deine eigene Rückmeldung zur Lösung.

@Kobold: Ich sehe den Sinn für diesen ganzen ClearOS Quatsch nicht. Entweder ich schaffe alte Zöpfe ab, dann auch richtig, oder eben nicht. Warum soll ich - wenn man jetzt schon den Cisco rauswirft - auch noch irgendein altes anderes RouterOS da rumgammeln lassen. Das erschließt sich nicht.

Und über irgendwelche theoretischen SANS oder sonstwelche DMZ Niederschriebe schreibe ich eigentlich nicht. Das ist schön wenn sich da mal jemand hingesetzt und das entworfen hat. Wir haben aber 2015 und die Situation ist eine andere, wie sich jemand mal überlegt hat das zu benennen. Als das festgelegt wurde (ich habe noch Firewall und Security Lektüre aus der Zeit) wurde im DMZ Segment auch noch von echten gerouteten Adressen ausgegangen. Das ist heute nicht mehr so, weil oftmals 1:1 NAT oder sonstiges zum Einsatz kommt und Kunden nur noch kleinere - wenn überhaupt - Netze bekommen. Die dann noch extra zu segmentieren oder aufzulegen verschwendet dann Adressen. Theorie ist da schön, in der Praxis seh ich das eben anders :) Und nach meiner Erinnerung hat keiner der sich auch nur im Entferntesten Security Guy schimpft, jemals "Exposed Host" und "DMZ" im gleichen Satz in den Mund genommen. Das ist schlicht eine Verunglimpfung eines Ausdrucks, denn billig-SOHO-Router Hersteller irgendwann mal eingeführt haben, um das als tolles Feature mit einem Security Ausdruck zu bewerfen. Aber mit dem Prinzip DMZ hat das nicht mal Ansatzweise zu tun (denn DMZ impliziert einen begrenzteren/abgegrenzten Security Level der kleiner als Vollzugriff/Internet aber größer als abgeschottetes LAN ist).

Aus dem Grund sehe ich auch nicht ein, warum ich mit extra Kisten alles kompliziert machen sollte:

      WAN / Internet             :             : DialUp-/PPPoE-/Cable-/whatever-Provider             :       .-----+-----.       |  Gateway  |  (or Router, Modem, whatever)       '-----+-----'             |         WAN | PPPoE / Ethernet             |       .-----+-----.  priv. DMZ  .------------.       |  pfSense  +-------------+ DMZ-Server |       '-----+-----' 172.16.16.1 '------------'             |         LAN | 10.0.0.1/24             |       .-----+------.       | LAN-Switch |       '-----+------'             |     ...-----+------... (Clients/Servers)

Klassisches Dreibein mit DMZ Achse. Läuft. Und man muss nicht an 2-3 Kisten suchen, warum zum Geier irgendwas nicht läuft.

@Marc

2x 10Gbit/s…

Wozu? Ich sehe nirgends Anwendungsbereiche, wo du irgendwas mit 10GE bräuchtest. Finde ich dann doch recht unnötig.

Sollte ich doch noch wiedererwartend eine andere Sache dürfen, wie genau ist die vorgehensweise wenn alle Server (auch die die nicht dreigegeben werden sollen) VMs auf zwei Windows Hyper-V Servern sind?
Dann müssten die Hyper-V Server beide in die DMZ und dann ist auch das frei was nicht raus soll, oder?

Nein, deshalb wären gerade Switche gut, die eben VLANs können. Ich würde sowieso die Server NIE direkt ans Netz hängen, auch nicht via 1:1 NAT, denn das fügt keinerlei Sicherheit hinzu. Gerade Exchange (OWA) hängt dann nackt am Netz und sollte mal wieder nen Patch Day versaut sein, hast du hinterher noch Streß weil der Mailserver tot ist.

Deshalb kann man - bspw. in eine DMZ oder zum Teil auch direkt via pfSense - diverse Dienste einfach mit (reverse) Proxy betreiben. Für OWA/Exchange geht das m.W. unter anderem mit Squid und/oder HAProxy, die dann einfach die Daten initial annehmen und an Exchange weiterreichen. Wenn aber von außen jemand lustige Probes fährt um irgendwelche IIS Lücken zu finden, wird er am HAProxy oder Squid eben nicht weit kommen. Dito für deine anderen Atlassian Kisten. Da schreibt Atlassian ja sogar selbst, dass man Jira/Confluence und Co. am Besten nochmal mit einem Apache/NGinx vornedran Proxy'en sollte. Schon allein, weil du dann nicht auf krumme Ports zugreifen musst, aber auch um ggf. Caching und Security noch mit reinzubringen (und ggf. TLS hinzuzufügen bzw. Offloaden zu können).

Darum sehe ich auch keinerlei Traffic WAN<->DMZ, DMZ<->LAN oder WAN<->LAN, der jetzt >1GBit/s wäre und da ich bezweifle, dass ihr 10GBE Dark Fiber angebunden seid ;) sehe ich da nirgends einen Grund für eine pfSense mit 10G Interface.

VLANs würden sich positiv bemerkbar machen, denn du könntest damit ggf. Maschinen auf dem HyperV hochfahren und deren Interface an einem extra VLAN betreiben, das auf der pfSense eben wie eine DMZ aufliegt. Damit wäre der Hypervisor selbst nicht exponiert, und nur die VM würde dann ggf. mit einer anderen Maschine im normalen LAN reden. Diese Kommunikationsbeziehungen am Besten festhalten (aufschreiben, Netzplan) und dann die Regel genauso festzurren. Dann ist auch nicht mehr erlaubt als es sein muss und damit alles OK -> mehr Filtern geht dann nur auf Applikationsebene und das ist immer ne andere Baustelle.

Von der bisherigen Erzählung würde ich aber Frank zustimmen: ein C2758er Atom Server mit 8 Kerner Atom und 8GB RAM sollte da DICKE reichen. Wir haben auch 2 solche Kisten vor unserem Office (CARP Cluster wegen Ausfallsicherheit), sind 1HE Supermicro Superserver und funktionieren super und sind wirklich sehr fix und für den Job durchaus ausreichend,

Grüße

Grüße

Hi,

in der Squid Config einfach das Häkchen bei "Transparent proxy" entfernen. Und dann bei den Kids Deine Firewall LAN IP mit Port 3128 als Proxy eintragen.
Das können sie natürlich einfach wieder entfernen, daher solltest Du im LAN dann auch eine generelle Block Regel für die Rechner der Kids erstellen. Ausserdem musst Du ihnen vor der Block Regel noch Port 3128 zur Firewall LAN IP freigeben, damit sie auf den Squid kommen.