Ja daher gibt man bei so einer VM auch die MAC fest vor oder setzt diese als fix. Dann ändert die sich nicht. Musste meine Labor + auch schon mal neu machen, also VM Export wieder importiert, done. Also stelle das jetzt sauber ein im Hypervisor.

@esquire1968-0 said in pfSense 2.7 OpenVPN Problem: Ich habe jetzt tls-version-min 1.0 in die Server und alle Client Configs eingetragen, jetzt haben wieder alle Clients eine Verbingung. Tatsächlich haben wir auch noch den ein oder anderen legacy OpenVPN Client, auf dem Server hat hier aber tls-version-min 1.0 ausgereicht. Die Frage ist jetzt nur wenn der Client mehr kann ob dann auch eine höhere TLS Version verwendet wird...

@viragomann said in VLAN to LAN Interface: @verdammt Ja, wenn nur das LAN zum Switch geht und die DMZ Geräte nicht eine gemeinsame Broadcast Domain benötigen, würde ich es so machen. Das erspart die Bridge und auf der Interface Gruppe lassen sich ebenso NAT- und Firewallregeln definieren. Bietet also fast denselben Komfort bei der Konfiguration. Der DHCP muss natürlich auf beiden eingerichtet werden. Vielleicht die Subnetze so besser wählen, dass sie sich mit einem /23er zusammenfassen lassen, bspw. 192.168.100./24 u. .101./24. Danke, das ist auch eine gute Idee.

Bugfix dafür ist BTW jetzt via Pull Request gestellt - schauen wir mal :) https://github.com/pfsense/pfsense/pull/4646

@Quasimodo-0 said in Nach Upgrade von 2.6 auf 2.7 bootet pfSense in unregelmäßigen Abständen einfach neu: [05-Jul-2023 00:09:00 Europe/Berlin] PHP Fatal error: Uncaught ValueError: Path cannot be empty in /etc/inc/notices.inc:101 Diese Errors klingen nach einem zusätzlichen Package was irgendwie Terz gemacht hat und mit PHP im Clinch lag. Was genau und warum ist da unklar ohne komplette Paketliste und mehr Logs, aber da es jetzt funktioniert, ist es ggf. was gewesen, dass jetzt nicht mehr installiert ist oder was sich durch alte Konfig-Fragmente vllt. weggeschossen hatte. Cheers

@bon-go said in einfach neuen SSH Key und self signed Webserver Cert erstellen möglich?: Ja, ich weiss wie das geht. Es hätte ja sein können, es gibt für 1. eine schnellere und einfachere Möglichkeit als ein ssh-keygen auf der Shell für den ssh Server der pfSense. Die pfSense macht das ja auch wenn der SSH Server erstmalig aktiviert wird. ja die SSH HOST Keys - die du wahrscheinlich meinst - sind erst seit kurzem Bestandteil des Backups. Du kannst es einfach AUSschalten, dass diese mit exportiert werden, dann hast du den pre-2.5?2.6? Zustand wieder in welchem die Host Keys beim First Boot einfach erzeugt werden. Das Self-Signed Cert kann auf der Konsole wieder neu erstellt werden: CLI Menü Option 12 (PHP Shell / Tools) playback generateguicert exit Und dann hast du ein neues Cert, wobei das bei self-signed relativ gleichgültig ist ob das die gleichen sind oder nicht, da sie eh keine Aussagekraft haben. Bei SSH Host Keys bin ich aber bei dir, das möchte man über Restore Deployment sicher nicht mit ausrollen. Ansonsten genügt auch ein rm /etc/ssh/*key* um alle SSH Host Keys zu löschen, diese werden dann nach einem Reboot automatisch wieder erzeugt. Alles weitere zum Verständnis kann man der /etc/sshd Konfiguration entnehmen, dort werden die Keys erzeugt wenn nicht vorhanden und entsprechende Extras und Ciphers gesetzt. Herumpfuschen sollte man da allerdings nicht, höchstens sich anschauen, wie man sie bei Bedarf selbst neu erzeugt ohne löschen und reboot. Cheers

@viragomann okay. Das probiere ich mal.

@viragomann said in Individueller DNS-Server für ein Vlan festlegen: @DerTom24 Vor einigen Jahren wurde mal der Screenshot erfunden. Heute kann das jedes System. Ein nettes Werkzeug. Solltest du mal versuchen... Du pingst hier mit der Quelle von einem anderen Subnetz. Das kannst du von einem Gerät in dem Subnetz auch machen. Wäre für mich aussagekräftiger. Aber okay, wenn das nicht funktioniert, fehlt meist die Outbound NAT Regel für das Subnetz. Ist das Outbound NAT im Automatik-Modus? Wenn ja, schau, ob das Subnetz in den automatischen Regeln auftaucht. Falls nicht, musst du eine Regel für die Quelle manuell hinzufügen. @viragomann OK - vor Jahrhunderten wurde der respektvolle Umgang miteinander erfunden - solltest Du mal versuchen. Vielen Dank und eine schöne Woche!

@karl047 Hab die Frage von Beginn an verstanden, kann sie aber auch nicht beantworten, da kein Pro. Vermutlich wird ICMP für IPv6 irgendwie anders behandelt.

@JeGr Schon klar, ich verwende ein /24. Ist auch so eingestellt. Ich hatte das jetzt dreimal. Aber nachdem ich das heute nochmal ausprobiert habe, um dem weiter nachzugehen, funktioniert das plötzlich. Ich will nicht an Zufall glauben, dazu war das zeitliche Zusammentreffen einfach zu genau, aber ich kann beim besten Willen nicht mehr nachvollziehen, ob ich bei den erste drei Mal etwas anders gemacht habe und wenn ja was. Ich lege es zu den Akten. Danke trotzdem für's Lesen / Helfen!

@pixel24 vor einigen Wochen war das ganz extrem, da konnte man oft Stunden lang die IP nicht updaten.

@waeck said in pfSense interne DNS auflösen, dann zu PI Hole. Geht das?: Ist dies möglich? Ja , wenngleich es auch andersrum geht. Du kannst die PIs einfach für Upstream DNS an die pfSense verweisen und die macht dann die Auflösung nach draußen. Dann musst du nicht mit der internen Domain und DHCP und Co doppelt rumhamstern und die Daten an pfSense und Pi doppelt eintragen @waeck said in pfSense interne DNS auflösen, dann zu PI Hole. Geht das?: Ich dachte, dass ich 1.1.1.1 nehmen würde. Oder gibt es da bessere, die weniger tracken? Ja, ca. alle anderen überspitzt ausgedrückt. Nur weil die angeblich(!) nicht tracken, heißt nicht, dass es Sinn macht, ALLE DNS Abfragen aus seiner Butze an einen einzigen DNS zu ballern. Einfach den DNS Resolver der pfSense selbst auflösen und nicht weiterleiten lassen, dann fragt der jeden DNS der Welt wenns sein muss. Aber nicht immer nur einen. Sinnvollerer Weg wäre IMHO: Per DHCP die PIs (oder den PIhole) rausgeben (bei mir sinds zwei) Bei den PiHoles ist die pfSense als Upstream drin Auf pfSense macht Unbound DNS Resolving (NICHT forwarding) und löst den Kram einfach auf indem er von den ROOTs bis zu den zuständigen DNSen fragt. Ist im ersten Aufruf einen ticken langsamer, danach aber in unbound und deinem Pihole eh gecached. Fertig :) Ja man kann das auch alles via pfBlockerNG vllt nachbauen, hat aber IMHO bei DNS Blocking das Problem, dass wenn man nicht alles gleichbehandeln will es wenig Optionen gibt. PiHole kann da nicht nur UI technisch einen bessere Figur machen, sondern kann auch mehrere IP-Ranges und Gruppen verwalten auf die verschiedene Blocklisten angewendet werden können. Cheer

@dk_e said in regelmäßiger WAN ausfall. Einfach neustart hilft ABER: Aber noch ne Frage, hast du das irgendwo im Log gesehen oder wie bist du auf die Idee genommen (noch so um zu lernen:). Im Log hab ich nur gesehen dass eine Realtek zum Einsatz gekommen ist. Realtek & FreeBSD da gibt es haufenweise Foreneinträge die das Zusammenspiel von diesen Karten und dem Betriebssytem thematisieren.

@nocling Hi, sieht so aus das die Aktualisierung von die System_Packages von 2.2.1 zu 2.2.2 hat was gemacht. Plötzlich hatte ich langsam internet aber danach habe ich den PFBlockerNG deaktiviert und läuft alles gut. DNSLeak test zeigt auch meine IP als DNS Server so alles gut. DNSSec Support habe ich mit und ohne probiert hat aber nichts geändert bis ich den update gespielt habe. Ich werde noch in PFBlocker gehen und besser konfigurieren. Danke noch mal und sorry für mein Deutsch :) Schönes Wochenende!

Hallo, hast Du mal bei denen selber nachgefragt? Du bist bestimmt nicht der einzige Kunde mit einer pfSense Firewall bei denen, und die Probleme haben die dort bei dem Hoster bestimmt auch schon dreimal gehört. Wäre halt schneller am Ziel für Dich.

Bitte jetzt nicht anfangen euch gegenseitig hier anzugehen. a) ist die Intention in Textform immer schwerer zu verstehen wenn man die Person nicht hört oder sieht b) muss man da jetzt nicht auf einer Aussage herumreiten oder die in Frage stellen. Es kann nicht jeder alles wissen, dazu sind Produkte inzwischen einfach viel zu komplex und dafür gibt es Austauschplattformen wie diese, um vom Wissen Vieler zu profitieren. Ich kannte auch schon spezifische Punkte nicht, bei denen mich @viragomann, @slu oder @NOCling bspw. abgeholt haben. Wenns mit meinem Hinweis nun funktioniert - umso besser :) Cheers

@viragomann Danke Dir... es wird mir nun etwas klarer. Dass es nicht (direkt) mit ACME zu tun hat, war nicht der Grund, weshalb ich das erwähne, sondern der, dass ich nur verdeutlichen wollte an zwei Stellen ACME nutzen zu wollen, aber eben nur mit einer IP (und einmal Port 80/443). @JeGr in dem Sinne habe ich bereits zwei Frontends, korrekt. Eins, welches 80 auf 443 weiterleitet und dann eben das Shared_Frontend. Wenn ich dann so mit "Host ends" oder ähnliches arbeite, greift natürlich das ACME Zertifikat, welches hier hinterlegt ist, also von der pfsense mit Acme kommt. Dann funktioniert die "Weiterleitung" auf den 2. Nginx nicht, wie gewünscht. Werde mir Eure Infos nun mal verinnerlichen und weitertesten bei Gelegenheit. Herzlichen Dank für Eure Zeit. Cheers

System Patches Paket installiert? Alle aktuellen Patches eingespielt? DNS Problem? Gateway/IP Problem nach extern? Firewall Widget auf dem Dashboard? Möglichkeiten gibts da viele... Cheers

@m0nkey said in Ich kriege IPv6 mit Prefix Deligation nicht zum laufen..: Aber gut zu wissen, dass meine Logik nicht komplett falsch ist, nur wahrscheinlich unorthodox. Ich hab jetzt einfach das "! IPMI net" rausgenommen und löse das dann anders. Es ist eben Invertierungslogik. Wenn das IPMI net gar kein v6 hat, dann wird es schwer "nichts" zu intervieren ohne alles zu bekommen. Genau deshalb gehe ich solche Sachen mit Invertern nur höchst ungern an denn sobald es mehr als "IPMI net" wird, ist man transparenter, wenn man einfach jedes nicht gewünschte Netz rejected. Denn mehr als einmal !xy_net funktioniert nach dieser Logik eh nicht. Daher würde ich einfach von Invertierungen in der Logik mit NOTs absehen, das hat schon immer zu lustigen Fehlerbildern geführt :) Cheers