@noltec Möglich wäre auch der FritzBox den DNS des Providers als weiteren DNS einzutragen. Dann macht diese selbst ihre Anfragen.

Ich habe sowohl diese Lösung, als auch den Domain-Override im DNS-Resolver für ebendiese Thematik genutzt. Geht beides.

Servus @motivio ,
Das ist Grafana - ein externes Tool mit ner InfluxDB im Hintergrund, welche die auszuwertenden Daten hält.
Das einzige Modul auf der netgate ist "Telegraf". Das ist praktisch die Influx Datenkralle, welche im Interval von 10sec alle möglichen Metriken aus der pfsense abzieht und an den influxdb-Server sendet.

Ok die Phase 2 passt bei beiden exakt überein oder sind da andere Netze/Objekte drin?

Hast du auch die Patche für 2.6 alle installiert?

Gibt ja Gegenstellen die können jeweils nur eine P2.
Der eine Tunnel geht ja raus und der andere kommt rein.

Ich finde das für kleine Umgebungen cool, so hast du einen vlan fähigen Switch gleich mit dabei und bei meiner hängt an einem Port ein weiterer 8 Port Managed Switch dran und gibt dann die VLANs weiter an den AP und das default an die Clients.

Also in der pfSense einfach mit VLANs arbeiten, die kannst du dann tagged oder untagged auf den 4 Ports einsetzten.

@slu said in DH Parameters - habt ihr eigene erzeugt?:

DH Paramerter Length 4096Bit + ECDH Curve secp521r1

es ist entweder oder. Wenn DH Params auf 4096 steht, wird auch RSA 4096 genutzt soweit ich noch im Kopf habe.

@chris1284

Ich fahre schon länger mit den China-Teilen. J4125 mit 4x Intel I225. Läuft sensationell gut und kühl. Stromaufnahme um 6 Watt.

Bin absolut happy damit.

@be1001 said in DNS Eintrag des Clients überschreiben:

IP: 192.168.26.1

Ich vermute mal deine Sense ist normalerweise NICHT im .26.x Netz und das ist als Alias auf der Sense mit draufgeknotet damit die Clients mit ihren IP settings funktionieren?

@be1001 said in DNS Eintrag des Clients überschreiben:

DNS: 10.22.207.71

Ist das in den Geräten immer die Gleiche oder sind das verschiedene? Wenn das immer wieder andere sind, wird das ne Sisyphos Arbeit. Dann ist das einzige was Sinn macht wirklich einfach die DNS Calls einzufangen und umzuschreiben.

Wenn das nicht gehen sollte, bitte mehr Details. Logs, Port Forward / Redirect Rule zeigen, Firewall Rules zeigen etc. sonst klappt das nicht.

Ansonsten: wenn das immer Clients mit fixer IP und gleichem DNS sind, würde ich mir ein zusätzliches Test/Lab (V)LAN einrichten, das das alles schon vorkonfiguriert hat, damit ich mein normales LAN nicht verbrezeln muss. Das funktioniert dann auch wesentlich durchsichtiger und einfacher als mit mehreren IPs in der gleichen Broadcast Zone.

Cheers
\jens

@mrsunfire said in Telekom FTTH OpenVPN Packetloss:

@micneu Ich würde gerne Netgate Hardware nutzen, nur sind mir die Kisten einfach zu langsam, sorry wenn ich das so hart sagen muss. Und die Großen nehmen mir zu viel Strom. Ich war tatsächlich schon kurz davor die 6100 für den Heimbetrieb zu nehmen, da diese SFP+ kann. Allerdings wäre die CPU und RAM ein Downgrade zu meiner alten Hardware. Darum bin ich auf den neuen MiniPC. Ich nutze die Teile nun seit 5 Jahren und hatte tatsächlich noch nie Probleme. Die einzige Downtime ist der Reboot bei einem pfSense Upgrade. Zweifellos würde die 6100 sicher für meine Anwendungszwecke reichen, aber es geht gegen meine Art mich nicht "verschlechtern" zu wollen, rein Leistungstechnisch gesehen. Beruflich gibt es vielleicht bald die 7100U. Da sind Strom und Lärm zweitrangig.

➡ 🔗 HW-für-Heimgebrauch-mit-Ressourcen-für-Spieltrieb/8 und folgende...

@phoenyxrlp said in Kein Zugriff per SSH auf VM hinter PFsense:

Ich habe der Proxmox VM die Interne IP 172.21.0.1 gegeben und bekommt darauf auch zugriff per SSH vom Server aus.
Erstelle ich eine neue VM mit der internen IP 172.21.0.5 bekomme ich keinen Zugriff mehr per SSH auf diese.

leider verstehe ich deinen text nicht ganz7 und hoffe wenn du einen grafischen netzwerkplan lieferst das es dann klarer wird

als willst du von der neu erstellten VM auf die sense per ssh? wie schon die anderen gefragt haben, nutzt du den DHCP der sense? hängen beide am (Virtuellen NIC) bitte mal screenshots

@viragomann
Hat eiwandfrei funktioniert.

d12aa5c0-abd0-4e10-8b73-9bc442a1838b-image.png

Hatte noch Probleme, dass die DNS Auflösung trotz push "route 10.0.0.0 255.0.0.0" im OpenVPN nicht funktionierte.
Trotz eingetragenem DNS Server wurden die Anfragen für das 10.0.0.0 /8 von meinem lokalen DNS Zuhause entgegen genommen statt an den DNS Server im VPN Netzwerk. Zu meinem Erstaunen hat es geholfen, als ich die Einstellung "DNS Default Domain" im OpenVPN entfernt habe.

Werde das nochmals ausgiebig durchtesten.

Aber schonmal vielen Dank an alle

Gruss

Danke an alle, hat geklappt!

@pipen1976

Ich habe mir das hier mal alles durchgelesen und mir
sind da einige Punkte zu aufgefallen, muss nicht die
Lösung sein, kann aber eventuell einiges erklären
oder verdeutlichen und dem einen oder anderen helfen.

Quelle: Troubleshooting Captive Portal

Anmeldung am Captive Portal
For local users, if the option to require the Captive
Portal login privilege is enabled, ensure the users
have the privilege directly or are members of a
group with the privilege.

HTTP/HTTPS
The request must be to an HTTP site in order for
the portal to redirect the client. If HTTPS is enabled
for the portal, this may still work but it depends upon
the client browser or operating system automatic
portal detection to work. Many modern browsers
and operating systems detect portals now which
makes this less of an issue.

IPv6 basierende Probleme
Captive Portal does not currently support IPv6, so
IPv6 traffic is not able to traverse the portal interface.
If the interface has IPv6 configured and the client
attempts to use it, it may encounter network timeouts.

Probleme mit Apple Geräte
There have also been reports that on older version of
macOS, a Mac would refuse to load any HTTPS sites,
including an HTTPS portal, until it could load a CRL
and OSCP URL for the certificate. This has been fixed
in current versions of OS X.

Some users have had to add www.apple.com to their
allowed hostnames so that Apple’s call to their test page
succeeds.

Captive Portal Firewallregeln
On pfSense Plus software version 22.05 or CE version
2.7.0 or later, Captive Portal uses pf features for L2
ether processing under the hood. When having issues
with the captive portal, it is possible to inspect the
rules for debugging purposes.

To see rules for Captive Portal look in /tmp/rules.debug at the multiple sections starting with a comment # Captive Portal.

Ich hoffe auch wenn es auf englisch ist das der Eine oder Andere von Euch hier etwas findet das sein Problem besser
beschreibt oder erklärt, wenn er es damit auch noch lösen kann ist das natürlich noch besser.

@viragomann said in NAT und Portforwarding aus dem LAN auf die öffentliche IP:

"NAT + proxy"

Das hat es gelöst :-) vielen Dank für eure schnelle Hilfe!!

Hi

Asche über mein Haupt - war ne Fehlkonfiguration in den FW Regeln in Bezug auf das Gateway ...
Mann mann...

Danke dennoch und ein schönes Wochenende

@morpher Entweder den Weg den auch @micneu beschreibt: man bindet sich selbst an einen vServer oder eine VM an die man irgendwo billig mietet und wählt sich von unterwegs dann dort ein (und routet den Traffic dann nach Hause).

Oder als andere Alternative (weil gestern damit herumgespielt): du schaust dir das Tailscale Package an. Das geht genau in die Richtung die du ggf. suchst. Auf der Home-pfSense Tailscale eingerichtet als Subnet-Router (für die Heimnetze) und auf dem Laptop/Smartphone/etc. für dich dann den Tailscale Client drauf und dort dann via Tailscale nach Hause geroutet werden.

Funktioniert vom Prinzip her wie Teamviewer/Anydesk, wo sich die Geräte auch alle an einem Control Server anmelden und darüber dann miteinander verschaltet werden. Dadurch musst du beim Verbindungsaufbau nicht direkt deine pfSense anwählen, sondern kannst die über das Tailscale Netz erreichen. Ist natürlich nicht so schön als wenn man alles selbst betreibt, aber bei der Situation tatsächlich eine große Hilfe. Und wenn man es mit einem GitHub Account betreibt und dort eine Organisation erstellt oder hinterlegt, kann man bei Tailscale kostenlos auch den GitHub Community Friends&Family Plan nutzen. Ist zwar immer noch "nur" ein Subnetz Router damit erlaubt (also bspw. deine Home pfSense) aber dafür können damit mehrere User hinzugefügt werden - wenn man das möchte - und man kann noch mehr Server/Geräte anbinden.

Cheers