@tomnick
Hallo,
also das liegt meist entweder an falscher Netzwerkkonfiguration des Geräts oder an dessen Firewall (wenn nicht an den pfSense Regeln).

Falsche Netzwerkkonfig.: Gateway des Servers überprüfen, dass es die pfSense VLAN35 IP ist. Netzwerkmaske ok?

Firewall: Proxmox hat standardmäßig keine Firewall aktiver, soweit ich weiß. Aber falls doch, erlaubt sie den Zugriff aus anderen Subnetzen?
Ggf. Firewall deaktivieren.

@wkn Kurzes Feedback, wenn auch verspätet:

Der Hinweis war korrekt. Natürlich darf ich nicht das PPPoE Interface wählen für die Virtuelle IP (zumal die ja per VLAN7 getagged ist). Das physikalische Interface war der korrekte Ansatz.

@samgoesnetwork said in Meine selfmade Firewall crasht regelmäßig:

Link handelt ja von einem ähnlichen Fehlerbild, das durch austauschen der Karte behoben wurde.

Allerdings geht es da um eine andere CPU Serie. Die GX wird da nicht erwähnt, auch nicht im Reddit Thread.
Aber ja, könnte sein, dass diese auch betroffen ist.

Ich denke mir bleibt nicht viel übrig, als einen anderen Tiny zu kaufen oder eine andere NIC zu testen.

Du kannst ja mal zum Testen der übrigen Hardware die Netzerkkarte rausschmeißen, die Onboard wieder aktivieren und pfSense damit als "Router on a Stick" konfigurieren.

Der Prozessor taugt leider nicht mal zum Virtualisieren, sonst könntest du ein Linux darauf fahren und pfSense in einer VM betreiben. Läuft bei mir zuhause schon seit 5 Jahren so.

@cptcowboy said in VPN Client killt LAN Funktion:

Problem ist, dass sobald sich der VPN-Client verbindet alle(!) Geräte in allen VLANs bis auf PfSense selbst weder pingen, noch irgendwelche Seiten im Internet öffnen können.

Wie @viragomann schon schreibt: wenn du nen OVPN Client anlegst, dann bekommt der meistens vom Server die Route als Default gepusht und überschreibt dann für deine Kiste die Routing Table und pusht alles via VPN raus. Da du das aber wahrscheinlich noch nichts als Interface angelegt und noch kein Outbound NAT für angelegt hast, läuft der Traffic nicht sauber drüber.

Da du das aber eh nicht willst, musst beim OVPN Client die Option angehakt werden, dass keine Routen gepullt werden und gepushte Routen ignoriert werden. Dann eben VPN als Interface zuweisen, damit man das GW in Regeln nutzen kann, und dann für die 2 IPs/Geräte eine Regel anlegen, die deren Traffic via VPN raushaut.

Cheers :)

@slu said in Wo kommt der DNS Server her? - Status/Interfaces:

@micneu
ja hab ich:
System / General Setup
Allow DNS server list to be overridden by DHCP/PPP on WAN or remote OpenVPN server

Nur warum sieht man den DNS auf dem VLAN Parant und nicht dem eigentlichen VLAN Interface?
Sobald ich das DHCP Lease vom LTEWAN löse verschwindet auch der DNS Server am OPT1.

Wenn der Override in General an ist, dann werden DNS Server die via DHCP auf nem WAN gepusht werden automatisch ins System/General DNS übernommen, dann bekommt auch jedes Interface was keinen anderen DNS konfiguriert hat, den via DHCP rausgepusht. Vermutlich kommt es daher.

Siehe DHCP Server bei den DNS Settings:

Leave blank to use the system default DNS servers: this interface's IP if DNS Forwarder or Resolver is enabled, otherwise the servers configured on the System / General Setup page.

Cheers

Ja, SIP-Konto auf dem IP-Phone.
Das weiß ich eben noch nicht. Denke, ich muss mal den Wireshark anwerfen und schauen, was da eigentlich genau passiert.

Btw: Läuft inzwischen

In der pfSense braucht es in meinem Szenario lediglich das siproxd Package.
Inbound Interface: LAN
Outbound Interface: WAN
Listening Port: 5060

RTP Proxy: Aktivieren
RTP Port Range (lower): 7080
RTP Port Range (upper): 7110
Das sind die offiziellen Fritz!Box RTP Ports.

Und das wars dann auch schon.
Den Zoiper auf dem PC und meinem Mobiltelefon habe ich auf UDP Transport gestellt, die pfSense LAN Adresse als Proxy in den Phones gesetzt und sich auf der Fritz!Box an zwei verschiedene IP Telefongeräte anmelden lassen.
Funktioniert jetzt in allen Richtungen wie erwartet.

Wichtig ist das man nach jeder Änderung an den siproxd Einstellungen den Proxy neu startet (Disable Save Enable Save). Sehr lästig ist aber nötig damit sich da nix verklemmt. Hatte ohne das zu tun ein sehr seltsames und intstabiles Verhalten.
Vermutlich aufgrund der verschiedenen TimeOut Einstellungen etc.
Ein Boot tut gut....
:-)
Am Ende der Ultimate Test mit Neustart aller Beteiligten.
Aktuell alles Gut.

Hallo,

gute Idee ;-) danke dir, werde ich so machen...

Gruß ré

@chrkah Ja funktionieren kann das potentiell trotzdem, man muss aber das etwas "quirky" routing von Hetzner berücksichtigen, das ist nicht einfach im Backend "geswitched", sondern da hängt ein "unsichtbarer" Router dazwischen. :)

Entschuldigung das die Rückmeldung so lange gedauert hat, aber das Umsetzen von Testaufbau zuhause zu Produktiv-System in der Firma lief nicht ganz so einfach wie gedacht, aber auf jeden fall hat sich das Problem dabei von selber gelöst, ich weis nicht, warum es im Testaufbau so ein Problem verursacht, jetzt im produktiven Einsatz, macht es alles so wie es soll ohne Störungen, das einzige ist geblieben ist, das ich beides nicht parallel pingen kann, aber das stört mich nicht wirklich, bei dem Test für die Anwendungen die da drauf zugreifen, lief das mit nahezu gleichzeitigen Ausführen der Anfragen.

Ist klar, weil Crypto pro Paket läuft und damit pps den Durchsatz bestimmt.
100k mit 64byte sind halt ein Unterschied zu 100k mit 9000byte.

Wird aber im WAN über x Router und dann nich CGNAT mit DSL nicht klappen.

@noltec said in DSL Informationen von Modem in pfSense anzeigen ?:

Siehe Screenshot, schalte ich die Option ein, kommen auf dem entsprechenden Interface die Broadcast Nachrichten an, die pfSense kann damit allerdings nichts anfangen... gibt es eine Konfiguration oder Plugin damit dies möglich wird.

Das bezieht sich nur auf DrayOS Geräte oder manche Linux Router/Geräte, die den Broadcast Kram kennen und anzeigen können. Es werden dann auch IMHO nur die SNR Werte angezeigt, was nicht wirklich viel ist. Aber nein, das kann wohl aktuell nicht von viel angezeigt werden.

Cheers

Ja ist wirklich so, sobald da die 1 hinten erscheint, ist der Turbotakt aktiv.
Ist halt nicht jede CPU mit Taktanzeige voll unterstützt.

Gerade bei ADM ist das oft ein Thema.

@noltec Möglich wäre auch der FritzBox den DNS des Providers als weiteren DNS einzutragen. Dann macht diese selbst ihre Anfragen.

Ich habe sowohl diese Lösung, als auch den Domain-Override im DNS-Resolver für ebendiese Thematik genutzt. Geht beides.

Servus @motivio ,
Das ist Grafana - ein externes Tool mit ner InfluxDB im Hintergrund, welche die auszuwertenden Daten hält.
Das einzige Modul auf der netgate ist "Telegraf". Das ist praktisch die Influx Datenkralle, welche im Interval von 10sec alle möglichen Metriken aus der pfsense abzieht und an den influxdb-Server sendet.

Ok die Phase 2 passt bei beiden exakt überein oder sind da andere Netze/Objekte drin?

Hast du auch die Patche für 2.6 alle installiert?

Gibt ja Gegenstellen die können jeweils nur eine P2.
Der eine Tunnel geht ja raus und der andere kommt rein.

Ich finde das für kleine Umgebungen cool, so hast du einen vlan fähigen Switch gleich mit dabei und bei meiner hängt an einem Port ein weiterer 8 Port Managed Switch dran und gibt dann die VLANs weiter an den AP und das default an die Clients.

Also in der pfSense einfach mit VLANs arbeiten, die kannst du dann tagged oder untagged auf den 4 Ports einsetzten.

@slu said in DH Parameters - habt ihr eigene erzeugt?:

DH Paramerter Length 4096Bit + ECDH Curve secp521r1

es ist entweder oder. Wenn DH Params auf 4096 steht, wird auch RSA 4096 genutzt soweit ich noch im Kopf habe.

@chris1284

Ich fahre schon länger mit den China-Teilen. J4125 mit 4x Intel I225. Läuft sensationell gut und kühl. Stromaufnahme um 6 Watt.

Bin absolut happy damit.