@noplan Ich bin inzwischen ein bisschen weiter. Das Problem eskaliert augenscheinlich dahingehend, dass unter bestimmten Umständen extreme Schreiblasten auf den SD-Karten entstehen. Ich habe das mit einer 32GB SD-Karte nachstellen können - neu ausgepackt und getestet krakelt die pfSense solange in den LOG-Dateien, bis die Karte kaputt ist. Auf dem APU-Board dauert so etwas knapp 2 Tage. Ich habe die Firewall inzwischen virtualisiert - ist halt 'ne Notlösung und ohne Budget letztendlich eh' die einzige Option. Zumal der Server ja eh' 24/7/365 läuft.

Ich versuche beides mal umzusetzen :-). Was mit dann besser gefällt behalte ich bei. Ich melde mich nochmal sobald ich vor der Kiste sitze :-).

Moin, erstmal vielen Dank für die Antworten. Ich probiere das Mal aus. Wird aber ein wenig dauern, weil momentan kann ich an dem Ding nicht arbeiten. Viele Grüße Sven

@jegr Ja, hat gut funktioniert. Ich habe mir aber auch den Zwischenschritt zur 22.05 gespart und bin dann direkt von 22.01 zur 23.01 gewechselt. Aber ich denke, dass hat, zumindest hier, funktioniert. :) Dank Dir, für Deine schnelle Antworten!

Ah ja ok stimmt, die DNS Regel auf Localhost mache ja Sinn, aber nur wenn das Ziel !This Firewall ist.

@martin35394 Leider sind die Bilder wohl nicht sauber hochgeladen worden, ich kann sie leider nicht im Topic sehen (oder mein Netz spinnt grad wieder). Aber je nach Gegenstelle unterstützen manche Geräte es in P2 mehrere Netze zu bündeln und über eine gemeinsame Phase2 zu managen (man definiert bspw. 3 aber es wird effektiv nur eine aufgebaut mit mehreren Routen, der Tunnel also gemerged), andere können das gar nicht ab. Es könnte also sein, dass du beim Tunnel in Phase 1 "Split Tunneling" anmachen musst (oder wenn es an ist, aus, da die andere Seite vllt. genau das machen möchte). Vielleicht ist das schon der Knackpunkt, gerade wenn sonst alles stimmt aber nur eine von X Phasen aufgebaut wird, lag es oft genug schon an sowas. Cheers Edit: Achso die Bilder sind via Onedrive verlinkt. Ungünstig :/ Aber gut, per copy&paste hier einfügen wäre einfacher gewesen :) Im Bild sieht man auf deiner Seite "Multiple" also wie oben vermutet mehrere Phasen zusammengesetzt. Ggf. braucht die Sonicwall als Gegenstelle aber Split Tunneling, daher einfach mal mit dem Haken in P1 nochmal testen und bei Test die P1 komplett trennen und neu aufbauen. Hatten wir bei Kunden schon häufiger das Problem :)

@viragomann said in pfsense HAproxy HTTPS frontend to HTTP backend (Server hat kein SSL laufen): Wenn es zu dem Hostnamen keine alternativen Backends gibt, kann der Health Check auch ganz entfallen. Der macht eher bei einem Failover Sinn. Ansonsten hilft es nur, dem Client schneller eine Antwort zu liefern, falls es nicht reagiert. Das zum Einen, zum anderen hilft es aber auch gleich zu sehen ob ein Problem technisch vom Proxy oder Server stammt. Liefert der Proxy wenigstens die Seite, dass kein Backend verfügbar ist, dann weiß man wenigstens schon grob wo man suchen muss

@chris1284 Versuch das Paket neu zu installieren in System > Package Manager > Installed Packages. Grüße

@mucsav1977 said in Die Shell dauerhaft auf Deutsch umstellen: Es geht um die Tastaturbelegung. Y Z und die Sonderzeichen ist das Problem. Wenn ich dafür eine dauerhafte Lösung hätte bin ich zufrieden. Vielen Dank im voraus Moin, Packages Shellcmd installieren Menü Services / Shellcmd +Add Command: /usr/sbin/kbdcontrol -l /usr/share/vt/keymaps/de.kbd Shellcmd Type: shellcmd Description: deutsches Tastaturlayout Save Danach unter Diagnostics / Reboot die Kiste neu starten und testen - danach sollte das Tastaturlayout zumindest in den meisten Teilen auf "DE" stehen. Einige Tasten gehen dann noch nicht (ä/ö/ü), das wurde aber in der 2.7-beta wohl korrigiert oder FBSD14 kann das besser, dort sind mit den gleichen Einstellungen auch Umlaute sauber am Start. Cheers

Das müsste doch auch mit IPsec im Tunnel Mode gehen, wenn man Mobike einsetzt. Dann müssen, so wie ich das verstanden habe auf die WAN GW Group und man müsste diese mit der richtigen Stickyness einsetzen. Aber ja viele Wege führen nach Rom, aber muss man da unbedingt hin?

@orcape Wenn die Knifte mit OpenWRT policy based routing drauf hat - klar, wäre ein Versuch. Ansonsten sollte(!) die NAT Methode eigentlich auch gehen, OVPN lässt sich dank GW und Co ja NATten im Gegensatz zu dem ganzen IPsec Kernel dark-magic-Matsch ;)

@tpf Sorry, leider gerade wenig Zeit, sonst hätte ichs mir mal angesehen, aber da bietet sich eh an, auf den Release der 2.7/23.01 zu warten, da sich damit nochmal einiges verändert bzw. neu dazu kommt. Allein der ganze IPFW Kram im Hintergrund fliegt ja raus der stellenweise noch für Limiter und Co gebraucht wird. Cheers

@solomajestiks said in IPV6 mit LTE: Es müsste aber doch möglich sein das auch die Clients hinter der pfSense vom DHCPv6 der Fritzbox eine IP zugewiesen bekommt, bzw. sich die IP aus dem von der Fritzbox bekannt gegebenen Präfix eine erstellt. Also das wirst du nicht hinbekommen. Die Geräte hinter einer *sense kommen mit Anfragen zu RA oder IPv6 DHCP nicht bis zum FB DHCP6 durch, daher wird das nichts. Das ist auch gar nicht vorgesehen, da hier mehrere Subnetze überschritten werden und ein Prefix nicht außerhalb des Subnets genutzt werden soll. Was aber gehen sollte ist, dass man intern an die Geräte ein fdxx:yy... Prefix für intern/privat ausgibt (random ausgewürfelt wie es sich gehört) und dieses dann per NPt ggf. nach außen hin auf das Subnetz mappt, dass die LTE Fritze der pfS zuweist. Das sollte theoretisch inzwischen sogar semi-automatisch gehen, da gab es mal Änderungen für, dass ein getracktes IPv6 Prefix auch im NPt auto-ausgefüllt werden kann und der hintere 64bit Host-Anteil dann vom FDxx einfach auf das public 2a01:xy:: draufgemappt wird. Ansonsten könnte man natürlich auch (wenns nur ausgehend gebraucht wird) hart auf die IP6 der pfSense ummappen, aber das widerspricht so völlig dem Sinn von IPv6 wo NAT ja endlich weg soll. Cheers

@tomnick Hallo, also das liegt meist entweder an falscher Netzwerkkonfiguration des Geräts oder an dessen Firewall (wenn nicht an den pfSense Regeln). Falsche Netzwerkkonfig.: Gateway des Servers überprüfen, dass es die pfSense VLAN35 IP ist. Netzwerkmaske ok? Firewall: Proxmox hat standardmäßig keine Firewall aktiver, soweit ich weiß. Aber falls doch, erlaubt sie den Zugriff aus anderen Subnetzen? Ggf. Firewall deaktivieren.

@wkn Kurzes Feedback, wenn auch verspätet: Der Hinweis war korrekt. Natürlich darf ich nicht das PPPoE Interface wählen für die Virtuelle IP (zumal die ja per VLAN7 getagged ist). Das physikalische Interface war der korrekte Ansatz.

@samgoesnetwork said in Meine selfmade Firewall crasht regelmäßig: Link handelt ja von einem ähnlichen Fehlerbild, das durch austauschen der Karte behoben wurde. Allerdings geht es da um eine andere CPU Serie. Die GX wird da nicht erwähnt, auch nicht im Reddit Thread. Aber ja, könnte sein, dass diese auch betroffen ist. Ich denke mir bleibt nicht viel übrig, als einen anderen Tiny zu kaufen oder eine andere NIC zu testen. Du kannst ja mal zum Testen der übrigen Hardware die Netzerkkarte rausschmeißen, die Onboard wieder aktivieren und pfSense damit als "Router on a Stick" konfigurieren. Der Prozessor taugt leider nicht mal zum Virtualisieren, sonst könntest du ein Linux darauf fahren und pfSense in einer VM betreiben. Läuft bei mir zuhause schon seit 5 Jahren so.

@cptcowboy said in VPN Client killt LAN Funktion: Problem ist, dass sobald sich der VPN-Client verbindet alle(!) Geräte in allen VLANs bis auf PfSense selbst weder pingen, noch irgendwelche Seiten im Internet öffnen können. Wie @viragomann schon schreibt: wenn du nen OVPN Client anlegst, dann bekommt der meistens vom Server die Route als Default gepusht und überschreibt dann für deine Kiste die Routing Table und pusht alles via VPN raus. Da du das aber wahrscheinlich noch nichts als Interface angelegt und noch kein Outbound NAT für angelegt hast, läuft der Traffic nicht sauber drüber. Da du das aber eh nicht willst, musst beim OVPN Client die Option angehakt werden, dass keine Routen gepullt werden und gepushte Routen ignoriert werden. Dann eben VPN als Interface zuweisen, damit man das GW in Regeln nutzen kann, und dann für die 2 IPs/Geräte eine Regel anlegen, die deren Traffic via VPN raushaut. Cheers :)

@slu said in Wo kommt der DNS Server her? - Status/Interfaces: @micneu ja hab ich: System / General Setup Allow DNS server list to be overridden by DHCP/PPP on WAN or remote OpenVPN server Nur warum sieht man den DNS auf dem VLAN Parant und nicht dem eigentlichen VLAN Interface? Sobald ich das DHCP Lease vom LTEWAN löse verschwindet auch der DNS Server am OPT1. Wenn der Override in General an ist, dann werden DNS Server die via DHCP auf nem WAN gepusht werden automatisch ins System/General DNS übernommen, dann bekommt auch jedes Interface was keinen anderen DNS konfiguriert hat, den via DHCP rausgepusht. Vermutlich kommt es daher. Siehe DHCP Server bei den DNS Settings: Leave blank to use the system default DNS servers: this interface's IP if DNS Forwarder or Resolver is enabled, otherwise the servers configured on the System / General Setup page. Cheers

Ja, SIP-Konto auf dem IP-Phone. Das weiß ich eben noch nicht. Denke, ich muss mal den Wireshark anwerfen und schauen, was da eigentlich genau passiert.