@bitboy0 Die Routen werden nur gesetzt, wenn das irgendwo konfiguriert ist. Zumeist wird es am Server konfiguriert mit den "Local Network/s" bzw. mit "Redirect Gateway", dann bekommt der Client die Routen per push-Kommando gesetzt. Es kann aber auch unabhängig von der Server-Konfiguration direkt am Client konfiguriert werden. @flix87 Der Sinn des setzen von Routen ist, dass nicht zwangsweise der gesamte Traffic über die VPN muss sondern nur bestimmte Netzbereiche. Wenn ich mich zu Wartungszwecken in ein Netz verbinde, benötige ich die VPN nur, um dieses Netz zu erreichen und möchte nicht Audiostreams oder sonstiges Übel über die VPN schicken.

@orcape: Das hast du schon richtig erkannt, die IPs bekommen wir von der T-Com. Ich kann das irgendwie leider nicht mehr bearbeiten, bietet mir nur "Quote" an. shrug

Hallo und Danke für die Rückmeldung. Ich blocke die nun mal weg. Ja, ich habe einen "Business Tarif" und deshalb funktioniert der Bridge-Modus mit der Firtzbox. Bei mir war es übrigens so, dass ich durch die Umstellung auf Business nicht mehr bezahle. Ich musste früher 5 EUR für die ISDN Option bezahlen. Die fällt in diesem Tarif weg nun weg.

Zum Glück habe ich meinen Abteilungsleiter hinter mir, dem ich das mit " Jeder poppt mit Jedem und nachher über den Tripper heulen" übersetzt habe  :o PRUUUST Bitte nicht so nen Satz wenn ich heißen Tee im Mund hab. Mist, jetzt brauch ich ne neue Tastatur ;D Den Satz möchte ich bitte im Standard Repertoire jedes Netzwerkers haben. Den bekommt ab jetzt jeder Azubi und Kollege im Team ab :D immer noch vom Stuhl fällt Aber im Ernst: Solche Kommentare kommen eben genau von Leuten mit extrem gefährlichem Halbwissen. Denn dass dann eben auch jeder depperte (L)User mal eben hergehen kann und mit seiner Mühle einfach mal ganze Abteilungen lahmlegen (hey wir switchen mal alle IPs durch…) oder mal nen schönen Broadcaststurm anfachen... das geht natürlich niemand in Kopp. Spätestens wenn man sich dann mal fragt, wie Info X außerhalb von Team Y bei Firma Z aufgetaucht sein kann... aber dann ist eben schon Aua. Gruß

Nur VPN ist bei Auswall des grade benutzen WAN erst mal weg … ist ja aber auch logisch. Dann muss man die IP des anderen WAN ansprechen. Lässt sich aber auch einfach lösen, indem du einfach VPN Client Configs erzeugst, in denen beide Server IPs nacheinander drinstehen. Erreicht er dann die erste nicht, wählt er automatisch die zweite. Auch bei einer Zwangstrennung durch Verbindungsverlust. Kann man - wenn man Last verteilen möchte - auch RoundRobin eintragen, so dass mal die eine mal die andere gewählt wird, aber in deinem Fall ist nacheinander wahrscheinlich der gewünschte Zustand ;)

Ich nehme an, das einige die LAN->WAN allow(any) Regel entfernen und dann nur Portweise irgendwas ausgehendes erlauben… Mache ich auf unserer großen DC Firewall auch. Natürlich. Aber das hat eben zur Folge, dass ich den Kunden erklären muss, warum von ihrem Server XY nicht einfach mal eben so geht. Sobald man das erklärt ist das auch selten ein Problem. In Unternehmen ist das aber oft schwierig, denn wenn Chef A seine Lieblingsseite B nicht mehr aufmachen kann, gibts schnell mal Streß ;)

Was mache ich falsch? Mache ich einen Denkfehler??? Funktioniert IPv6 noch gar nicht eigenständig???? Doch, eigenständig schon. Mit allen Anbietern, die v6 Adressen für ihre Systeme nutzen. Da gibt es leider noch nicht so viele, wie mir lieb wäre. Deshalb raten da viele auch zu anfänglichem DualStack Betrieb (v4/v6) oder/und dazu, entsprechende Dienste extern via Proxies verfügbar zu machen (also quasi selbst ein v4->v6 Gateway zu bauen). Hierfür geht Squid sicher für die meisten Web-Dienste, sollte allerdings was anderes als HTTP/HTTPS benötigt werden, wirst du entsprechend andere Proxies oder Connectoren brauchen (SOCKS fällt da ins Auge). IPv6 only zu nutzen ist daher momentan nur mit etwas Aufwand möglich, da man abwägen muss, was die User benötigen um das bereitstellen zu können. Wenn du v4 am Client komplett abschaltest, muss natürlich der Proxy auch via v6 erreichbar sein und funktionieren, ansonsten wirst du nur bspw. Google oder Facebook über deren v6 Adressen aufrufen können. Gruß

Fehler gefunden! Der DNS Eintrag im DHCP Server sollte der IP des PFSense Servers enstrpechen…  :-[ Gruß Lothar

Neues Problem: snort Also ich bin mir nicht sicher ob es an snort liegt aber das ist wohl naheliegend. Gestern lief noch rdp, ssh und ftp ohne Probleme. Danach habe ich Snort nach Anleitung instaliert Einstellungen gesichert und bin ins Bett. Jetzt von der Arbeit versuchte ich mich per rdp auf den Server einzuloggen. Der Start lief problemlos, ich wurde aufgefordert die Daten einzugeben. Nach Eingabe der Daten wurde die Leitung gekappt und alle Ports zur PFsense geblockt. Es wurden ssh, ftp, rdp usw. gekappt. Auch der Versuch von anderen IPs zeigte das die Ports dicht sind. Ist das ein Fehler meinerseits, habe ich bei Snort etwas nicht verstanden? Order muss ich noch ne whitelist für Ports etc. erstellen? Eigentlich habe ich auf dem Server schon eine Software die genau das gleiche bei ausgewählten Ports wie Snort macht. Ist dann snort dann noch notwendig oder kann ich drauf verzichten? Update: Nach Neustart von pfsense ging der FTP, leider habe ich den Fehler gemacht das ich wieder versucht habe mit rdp auf den Server zu kommen. Und wieder das gleiche Muster, nach Eingabe der Anmeldedaten, sind sofort wieder alle Ports dicht.

OK, hab mich wieder erinnert wie es geht. Erkannt werden nur Wechseldatenträger. Für alle die ähnliche Probleme haben folgende vorgehensweise: 1. PC herunterfahren, SSD Karte auf MiniPCI Adapter stecken, am PC Daten + Strom anschließen und formatieren. Ggf. in der Datenträgerverwaltung eine Laufwerkszuordnung vorher machen. 2. PC herunterfahren, Adapter und Datenkabel entfernen. 3. SATA auf USB Adapter von z.B. USB Festplatte aufstecken und per USB an PC anschließen 4. Win32 Disk Imager starten, jetzt wird das Laufwerk erkannt, und Image auf SSD schreiben. Gruß Andreas

Moin, der Lancom kann/benötigt die Ports: 500  IP Sec   4500 NAT Transversal Es ist aber (je nach Konfiguration des LC) auch ein IP Sec via SSL Port 443 möglich. Gruß hornetx11

Tja, den Punkt hab ich gesucht … aber eher bei den Interfaces oder gateways, nicht DA wo er ist ;) Danke!

Problem gelöst, hing damit zusammen dass Opt1 und LAN im gleichen Subnetz lagen. Gruß Andreas

Arrr. kleiner Fehler große Wirkung. Hab aus Versehen LAN und Opt1 im gleichen Subnetz liegen gehabt mit unterschiedlichen Ranges. Opt1 in anderes Subnetz geschoben und schon klapps. Gruß Andreas

hi Guido42, in der Phase 2 bei der IPSec Konfiguration gibt es ganz unten den Punkt "Automatically ping host", dass sollte deine Frage beantworten ^^

Ja es muss ein anderes Netz sein. Wenn du z.b. ein 192.168.0.0/24 hast, dann kannst du ja dem Gastnetz z.b. ein 192.168.5.0/24 geben. Das ist wichtig, da du, wenn du alle über ein Netz lösen wolltest, den Gast nicht aussperren kannst. Wenn alle im gleichen Netz sind, dann kann sich jeder über Layer 2 anpingen und das geht dann nur über die Switch und nicht über die PFSense die für das routing und die entsprechenden Firewall regeln zuständig ist. Was weiterhin zu empfehlen ist, ist es in separierten VLANs aufzutrennen, damit ein Angreifer nicht einfach sich selber eine IP in deinem Netz gibt um dann in dem Privaten Bereich mit zu surfen.