@tutanchamun Um @viragomann da kurz zu ergänzen:

502a5dc0-e81f-4b52-84da-b386e664e8af-grafik.png

Die orangenen Punkte wird wahrscheinlich deine AdGuard Home Installation schon abfangen? Eventuell nachschauen wäre da vielleicht nicht schlecht, wenn man ohnehin "diverse Seiten" für Kinder filtert, wäre SafeSearch auch noch ein Punkt.

Anyway im DNSBL Part von pfBlockerNG dann DNSBL SafeSearch anklicken, im unteren Bereich ist dann der Block mit DoH/DoT/DoQ beheimatet, der hier dann die bekannteren (alle natürlich nicht, wie auch) DNS Services listet. Dort kann man dann diese wegblocken. Allerdings müsste der AdGuardHome dann auch die pfSense als Upstream DNS verwenden, damit das funktioniert. Wenn AGH das schon selbst kann und übernimmt, nevermind, dann muss man hier an der Stelle nichts ergänzen.

Wichtig wäre dann ausgehend noch TCP 853 wie gesagt zu blocken, DoH/DoQ kann man sonst nur via DNS Blocking abfangen, das das via TCP/UDP 443 läuft und sich als Web Traffic tarnt.

Ansonsten was den Redirect angeht:

6d136adc-2ef4-4f3b-a7db-a9d47fd6ac85-grafik.png

Beispiel: LAN mit 192.168.1.0/24 und AdGuardHome (AGH) mit 192.168.1.23
Port Forwarding erstellen auf dem LAN (wir wollen ja internen Traffic umschreiben) zu "any" DNS Server (also egal welchem public DNS) soll umgeschrieben werden auf die IP des AGH aber nur wenn der Traffic nicht vom AGH selbst kommt. Also alles außer AGH DNS Traffic bitte auf den AGH schicken.

Das erzeugt dann auch eine Regel auf dem LAN, die man mit einigen anderen noch ergänzt um die Sache abzurunden:

6b9cb85c-4ab6-42d5-ab6f-fb335cdaa17b-grafik.png

So was passiert da?

erlaube den AGH auf jeden DNS (im Falle, dass der AGH als Resolver agiert und die DNS Anfragen sauber via ROOT Zone etc. auflöst - wäre SEHR zu empfehlen!). erlaube den AGH auf jeden DNS via DoT (DNS over TLS, TCP Port 853 - hat aber zur Folge, dass jeder DNS Traffic an einen einzelnen Forwarder geschickt wird. Das ist zwar verschlüsselt, aber aus mehreren Gründen eigentlich nicht zu empfehlen). das ist die Regel, die vom Port Forwarding angelegt wird. An dieser Stelle theoretisch "nutzlos", da LAN->LAN Kommunikation nicht über die pfSense läuft und daher hier gar nicht aufschlägt, wir behalten sie aber hier für den Fall, dass hinter dem LAN bspw. noch weitere Netze über einen internen Switch/Core Router angeschlossen sind. Wir blocken via Reject (intern ist reject block vorzuziehen, da schneller) alle Anfragen nach draußen via Port 53 - sicherheitshalber. Sollte jemand an unserer Port Forward Regel herumspielen und sie versehentlich ausschalten geht dann kein DNS mehr für die Clients aber das ist dann reparierbar. Ansonsten könnten Sie währenddessen wieder frei auf jeden DNS zugreifen Dito für DoT - interne Clients sollen kein DoT benutzen, daher hier blocken via reject. Hier würden jetzt sonstige Regeln kommen, in unserem Beispiel ist nur noch die default "allow any" Regel jetzt übrig.

Das sollte das Szenario eigentlich ganz gut abdecken, wenn mir kein Fehler reingerutscht ist.

Cheers

@jegr Japp, wir reden über genau den.

Vielleicht wurde der Port irgendwo "hardcodiert"? Wenn ich z.B. ein Binary aus einer älteren pfSense Version nehme und drüberkopiere, funktioniert es.

Ebenso mit einem selbstcompilierten Binary.

@mercyful So ein ähnliches Ding habe ich mit einem Firmenkunden auch, der da einen Telekom Cloud PBX Dienst nutzt aber noch in alter Version. Da debuggt die Telekom auch schon ewig rum und macht keine Fortschritte außer "ja da müssen sie in den CloudService 2.0 migrieren, der arbeitet dann gar nicht mehr mit SIP/VoIP sondern basiert wohl auf irgendwas Cisco WebEx SaaS mäßigem..." - ja cool, wenn meine Cloud PBX nicht geht, einfach das Telefon abschaffen (und durch ne hosted Videokonferenz Lösung ersetzen). Klingt nach nem Plan 😂

Hallo,

Dein Budget wäre auch gut zu wissen, ich habe einmal
alles quer "durch die Bank" nachgeschaut, was bei
anderen Leuten gut rennt und keine Probleme macht.

Budget 170 € all in mit Gehäuse
Nichts zum basteln, aber fix und fertig

Etwas teurer und nur Board, CPU und RAM
Passt ganz gut zu Eurem nur Gehäuse denke ich

Teuer, und falls Dein Gehäuse 4U hat aber damit geht alles
VM, bare metal oder......

Supermicro:
Intel Atom C3558, C3758, C3858 und 3958
gibt es gleich mit vielen extras und Ports.

Intel QuickAssist AES-NI Slot für SSD Slot für WLAN Karte Slot für eine oder zwei PCIe Karte(n) 2x SFP+ Ports 2x 10 GBe Ports 4x 1 GBit/s Ports IPMI Port

Intel Xeon D-2100 und Xeon D-2700
Falls Du solch ein System (Board) in Betracht ziehst würde
ich immer darauf achten wollen das dort ein N oder NT im
Namen der CPU mit dabei ist, das steht für Network
und man weiß dann dass Intel QuickAssist mit an Board ist.
Beispiel: Supermicro Xeon D-2146NT

@intrabit

http://dsi.ut-capitole.fr/blacklists/index_en.php

In den Browser kopieren und dann schaust Du was Dir zusagt
und "klickst" (Rechtsklick) auf den Link und wählst dann "Link kopieren aus und fügst Ihn in Deinen SquidGuard ein."

ftp://ftp.ut-capitole.fr/pub/reseau/cache/squidguard_contrib/blacklists.tar.gz

Oder einfach alle Listen zusammen (komplett) unter diesem Link hier.

Man kann auch hinter der pfSense einen kleinen MikroTik
Router benutzen und der macht dann eben kein NAT.

Oder gar einen kleinen Cisco GS300 oder SG350 Switch
und der routet dann das LAN bzw. den Verkehr dort.

@beerman

Danke hier ist die Antwort (Lösung) dazu;

---> Putty
---> Console
---> Shell Menüpunkt (8)

Eingabe:

fetch https://redmine.pfsense.org/attachments/download/4714/igmpproxy-0.3_1.pkg pkg add -f igmpproxy-0.3_1.pkg

oder

pkg upgrade igmpproxy

Für ARM aarch64 basierende Geräte von Netgate;

https://redmine.pfsense.org/attachments/download/4733/igmpproxy-aarch64-0.3,1.pkg

Allgemein und Architektur übergreifend kann man auch
folgendes eingeben;

pkg upgrade igmpproxy

Um zu prüfen ob man die alte Version aus Januar 2023 hat oder aber die neue von Februar 2023 kann man folgendes eingeben;

pkg info igmpproxy

Hallo zusammen,

hat etwas gedauert aber ich konnte das Problem finden bzw. beheben. Ein falscher Eintrag im HA-Proxy, den ich mal zum testen erzeugt hatte, war dafür verantwortlich.

Ich habe es dadurch gemerkt das ich die Zertifikatswarnung am PC / Webbrowser genauer angeschaut habe.

Somit war Eure Vermutung richtig :-)

Beste Grüße

@decidable3195 Ich würde dir ja wirklich gerne helfen, aber ohne zu verstehen, was ihr da wo tut, kann ich es schlicht nicht. Du sprichst von ACME und dann von DNS, jetzt hast du irgendwo irgendwas umgestellt aber postest nicht was. Woher soll man denn wissen, was du jetzt wie verstellt hast? Dass die Seite nicht mehr geht wundert nicht, da viele entsprechend intern mit Umleitungen auf HTTPS etc. arbeiten, dann funktioniert der Login nicht mehr.
Da ihr aber anscheinend keinen Proxy einsetzt kann es auch nicht wirklich was auf der Sense gewesen sein, was das Problem jetzt verursacht?

Also wäre es schön wenn wir mal einen Schritt zurück gehen und wir mal komplett aufdröseln um hier überhaupt Sinn reinzubekommen:

Um welche Dienste geht es hier konkret? Wo laufen diese und mit welcher internen IP? Wie greift man von wo darauf zu? Welche internen Netze (wenn mehrere) sind involviert? Was hat die Sense damit zu tun? Bei welchem Zugriff ist die überhaupt involviert?

Am Einfachsten wäre natürlich ein kleiner Plan oder Skizze aber wenn dus mal etwas weitergehend niederschreiben würdest, wäre das auch schon eine große Hilfe. So verstehe ich wie gesagt überhaupt nicht was wo wie läuft und warum die Sense da involviert sein soll.

Cheers
\jens

@slu Nicht ganz:

c5b0f7ed-c544-4957-b646-05a6b7541379-image.png

Es gibt eine eigene Security/Patch/Errata Kategorie. Wenn du noch eine alte Newsletter Mail hast, gibts unten ja den Link für die "Email preferences", dort kann man auch einzelne Listen/Kategorien einstellen und hinzufügen.

dc1b3e92-b195-4126-bcfa-b79f7a2984e1-image.png

Cheers :)

Guter Tipp, Danke. Das funzt.

@viragomann

Danke das war die Lösung......

Ich sollte evtl noch eine Info dazu schreiben:
Habe bei Vodafone ein 29er Subnetz wovon der Gateway die Fritzbox ist und (1. Nutzbare ip) und die pfSense auch eine Öffentliche hat.
Die fritzbox hat ja eine private ip bei mir 10.0.0.0/24er netz und die frotzbox hat die 10.0.0.1 worauf die Fritz tv Geschichte über dem fritzb8x wlan ohne Probleme läuft.
Kann evtl auch daran liegen weil die Netze getrennt sind.
Wäre super wenn mir jemand dabei helfen könnte.
Möchte nicht extra ein 2. WAN port vom 10.0.0.0/24 er netz an die pfSense anlegen.

Vielen dank

@noplan Ich bin inzwischen ein bisschen weiter.

Das Problem eskaliert augenscheinlich dahingehend, dass unter bestimmten Umständen extreme Schreiblasten auf den SD-Karten entstehen.

Ich habe das mit einer 32GB SD-Karte nachstellen können - neu ausgepackt und getestet krakelt die pfSense solange in den LOG-Dateien, bis die Karte kaputt ist. Auf dem APU-Board dauert so etwas knapp 2 Tage.

Ich habe die Firewall inzwischen virtualisiert - ist halt 'ne Notlösung und ohne Budget letztendlich eh' die einzige Option. Zumal der Server ja eh' 24/7/365 läuft.

Ich versuche beides mal umzusetzen :-). Was mit dann besser gefällt behalte ich bei.

Ich melde mich nochmal sobald ich vor der Kiste sitze :-).

Moin,

erstmal vielen Dank für die Antworten. Ich probiere das Mal aus.
Wird aber ein wenig dauern, weil momentan kann ich an dem Ding nicht arbeiten.

Viele Grüße Sven

@jegr

Ja, hat gut funktioniert.

Ich habe mir aber auch den Zwischenschritt zur 22.05 gespart und bin dann direkt von 22.01 zur 23.01 gewechselt. Aber ich denke, dass hat, zumindest hier, funktioniert. :)

Dank Dir, für Deine schnelle Antworten! 👍

Ah ja ok stimmt, die DNS Regel auf Localhost mache ja Sinn, aber nur wenn das Ziel !This Firewall ist.

@martin35394 Leider sind die Bilder wohl nicht sauber hochgeladen worden, ich kann sie leider nicht im Topic sehen (oder mein Netz spinnt grad wieder).

Aber je nach Gegenstelle unterstützen manche Geräte es in P2 mehrere Netze zu bündeln und über eine gemeinsame Phase2 zu managen (man definiert bspw. 3 aber es wird effektiv nur eine aufgebaut mit mehreren Routen, der Tunnel also gemerged), andere können das gar nicht ab. Es könnte also sein, dass du beim Tunnel in Phase 1 "Split Tunneling" anmachen musst (oder wenn es an ist, aus, da die andere Seite vllt. genau das machen möchte).

Vielleicht ist das schon der Knackpunkt, gerade wenn sonst alles stimmt aber nur eine von X Phasen aufgebaut wird, lag es oft genug schon an sowas.

Cheers

Edit: Achso die Bilder sind via Onedrive verlinkt. Ungünstig :/ Aber gut, per copy&paste hier einfügen wäre einfacher gewesen :)

Im Bild sieht man auf deiner Seite "Multiple" also wie oben vermutet mehrere Phasen zusammengesetzt. Ggf. braucht die Sonicwall als Gegenstelle aber Split Tunneling, daher einfach mal mit dem Haken in P1 nochmal testen und bei Test die P1 komplett trennen und neu aufbauen.

Hatten wir bei Kunden schon häufiger das Problem :)