@be1001 said in DNS Eintrag des Clients überschreiben:

IP: 192.168.26.1

Ich vermute mal deine Sense ist normalerweise NICHT im .26.x Netz und das ist als Alias auf der Sense mit draufgeknotet damit die Clients mit ihren IP settings funktionieren?

@be1001 said in DNS Eintrag des Clients überschreiben:

DNS: 10.22.207.71

Ist das in den Geräten immer die Gleiche oder sind das verschiedene? Wenn das immer wieder andere sind, wird das ne Sisyphos Arbeit. Dann ist das einzige was Sinn macht wirklich einfach die DNS Calls einzufangen und umzuschreiben.

Wenn das nicht gehen sollte, bitte mehr Details. Logs, Port Forward / Redirect Rule zeigen, Firewall Rules zeigen etc. sonst klappt das nicht.

Ansonsten: wenn das immer Clients mit fixer IP und gleichem DNS sind, würde ich mir ein zusätzliches Test/Lab (V)LAN einrichten, das das alles schon vorkonfiguriert hat, damit ich mein normales LAN nicht verbrezeln muss. Das funktioniert dann auch wesentlich durchsichtiger und einfacher als mit mehreren IPs in der gleichen Broadcast Zone.

Cheers
\jens

@mrsunfire said in Telekom FTTH OpenVPN Packetloss:

@micneu Ich würde gerne Netgate Hardware nutzen, nur sind mir die Kisten einfach zu langsam, sorry wenn ich das so hart sagen muss. Und die Großen nehmen mir zu viel Strom. Ich war tatsächlich schon kurz davor die 6100 für den Heimbetrieb zu nehmen, da diese SFP+ kann. Allerdings wäre die CPU und RAM ein Downgrade zu meiner alten Hardware. Darum bin ich auf den neuen MiniPC. Ich nutze die Teile nun seit 5 Jahren und hatte tatsächlich noch nie Probleme. Die einzige Downtime ist der Reboot bei einem pfSense Upgrade. Zweifellos würde die 6100 sicher für meine Anwendungszwecke reichen, aber es geht gegen meine Art mich nicht "verschlechtern" zu wollen, rein Leistungstechnisch gesehen. Beruflich gibt es vielleicht bald die 7100U. Da sind Strom und Lärm zweitrangig.

➡ 🔗 HW-für-Heimgebrauch-mit-Ressourcen-für-Spieltrieb/8 und folgende...

@phoenyxrlp said in Kein Zugriff per SSH auf VM hinter PFsense:

Ich habe der Proxmox VM die Interne IP 172.21.0.1 gegeben und bekommt darauf auch zugriff per SSH vom Server aus.
Erstelle ich eine neue VM mit der internen IP 172.21.0.5 bekomme ich keinen Zugriff mehr per SSH auf diese.

leider verstehe ich deinen text nicht ganz7 und hoffe wenn du einen grafischen netzwerkplan lieferst das es dann klarer wird

als willst du von der neu erstellten VM auf die sense per ssh? wie schon die anderen gefragt haben, nutzt du den DHCP der sense? hängen beide am (Virtuellen NIC) bitte mal screenshots

@viragomann
Hat eiwandfrei funktioniert.

d12aa5c0-abd0-4e10-8b73-9bc442a1838b-image.png

Hatte noch Probleme, dass die DNS Auflösung trotz push "route 10.0.0.0 255.0.0.0" im OpenVPN nicht funktionierte.
Trotz eingetragenem DNS Server wurden die Anfragen für das 10.0.0.0 /8 von meinem lokalen DNS Zuhause entgegen genommen statt an den DNS Server im VPN Netzwerk. Zu meinem Erstaunen hat es geholfen, als ich die Einstellung "DNS Default Domain" im OpenVPN entfernt habe.

Werde das nochmals ausgiebig durchtesten.

Aber schonmal vielen Dank an alle

Gruss

Danke an alle, hat geklappt!

@pipen1976

Ich habe mir das hier mal alles durchgelesen und mir
sind da einige Punkte zu aufgefallen, muss nicht die
Lösung sein, kann aber eventuell einiges erklären
oder verdeutlichen und dem einen oder anderen helfen.

Quelle: Troubleshooting Captive Portal

Anmeldung am Captive Portal
For local users, if the option to require the Captive
Portal login privilege is enabled, ensure the users
have the privilege directly or are members of a
group with the privilege.

HTTP/HTTPS
The request must be to an HTTP site in order for
the portal to redirect the client. If HTTPS is enabled
for the portal, this may still work but it depends upon
the client browser or operating system automatic
portal detection to work. Many modern browsers
and operating systems detect portals now which
makes this less of an issue.

IPv6 basierende Probleme
Captive Portal does not currently support IPv6, so
IPv6 traffic is not able to traverse the portal interface.
If the interface has IPv6 configured and the client
attempts to use it, it may encounter network timeouts.

Probleme mit Apple Geräte
There have also been reports that on older version of
macOS, a Mac would refuse to load any HTTPS sites,
including an HTTPS portal, until it could load a CRL
and OSCP URL for the certificate. This has been fixed
in current versions of OS X.

Some users have had to add www.apple.com to their
allowed hostnames so that Apple’s call to their test page
succeeds.

Captive Portal Firewallregeln
On pfSense Plus software version 22.05 or CE version
2.7.0 or later, Captive Portal uses pf features for L2
ether processing under the hood. When having issues
with the captive portal, it is possible to inspect the
rules for debugging purposes.

To see rules for Captive Portal look in /tmp/rules.debug at the multiple sections starting with a comment # Captive Portal.

Ich hoffe auch wenn es auf englisch ist das der Eine oder Andere von Euch hier etwas findet das sein Problem besser
beschreibt oder erklärt, wenn er es damit auch noch lösen kann ist das natürlich noch besser.

@viragomann said in NAT und Portforwarding aus dem LAN auf die öffentliche IP:

"NAT + proxy"

Das hat es gelöst :-) vielen Dank für eure schnelle Hilfe!!

Hi

Asche über mein Haupt - war ne Fehlkonfiguration in den FW Regeln in Bezug auf das Gateway ...
Mann mann...

Danke dennoch und ein schönes Wochenende

@morpher Entweder den Weg den auch @micneu beschreibt: man bindet sich selbst an einen vServer oder eine VM an die man irgendwo billig mietet und wählt sich von unterwegs dann dort ein (und routet den Traffic dann nach Hause).

Oder als andere Alternative (weil gestern damit herumgespielt): du schaust dir das Tailscale Package an. Das geht genau in die Richtung die du ggf. suchst. Auf der Home-pfSense Tailscale eingerichtet als Subnet-Router (für die Heimnetze) und auf dem Laptop/Smartphone/etc. für dich dann den Tailscale Client drauf und dort dann via Tailscale nach Hause geroutet werden.

Funktioniert vom Prinzip her wie Teamviewer/Anydesk, wo sich die Geräte auch alle an einem Control Server anmelden und darüber dann miteinander verschaltet werden. Dadurch musst du beim Verbindungsaufbau nicht direkt deine pfSense anwählen, sondern kannst die über das Tailscale Netz erreichen. Ist natürlich nicht so schön als wenn man alles selbst betreibt, aber bei der Situation tatsächlich eine große Hilfe. Und wenn man es mit einem GitHub Account betreibt und dort eine Organisation erstellt oder hinterlegt, kann man bei Tailscale kostenlos auch den GitHub Community Friends&Family Plan nutzen. Ist zwar immer noch "nur" ein Subnetz Router damit erlaubt (also bspw. deine Home pfSense) aber dafür können damit mehrere User hinzugefügt werden - wenn man das möchte - und man kann noch mehr Server/Geräte anbinden.

Cheers

Note: Kurz danach kam ein Update der das Problem behob.

Sieht du denn Anfragen von der Fritz kommen?
Du kannst ja einfach ein Capture erstellen mit der IP der Fritz als Filter, dann hast du recht wenig anderes Zeugs drin.

@mucsav1977 Es gibt keine Registrierung via Konsole

Wenn es partout nicht funktioniert was mich wundern würde, dann kann man den TAC Support anschreiben und das Token händisch auf die entsprechende NDI registrieren lassen. Siehe hier:

https://docs.netgate.com/pfsense/en/latest/config/register.html

Danke, für die Antworten! 👍

Klingt ja insgesamt nicht so übel

Eine Regel von meiner Klient-IP inkl. aller Zustände hatte das Problem auch nicht gelöst. Da die Pakete in diesem Fall vom Proxy abgehen wäre es vermutlich auch Unsinn gewesen oder?

Merkwürdig finde ich, dass via Proxy (manuell auf WAN2) zwar Texte langsam laden, aber eben keine Grafiken und erst recht keine Downloads.

@slu said in WireGuard Grundsatzfragen Public Key / Ping WG Client:

Irgendwie ist das WG ja schon spannend, aber irgendwie fühlt es sich auch komisch an wenn man kein AES usw. als Cipher einstellen kann...

Ist halt alles fix hardcoded, was ja u.a. auch ein wenig kritisiert wird, dass - kleiner Code hin oder her - im Fall eines Bugs in der Security man überall das komplette Produkt austauschen/updaten muss und nicht einfach auf einen anderen Cipher wechseln kann. Genauso die Performance. Kernel ist natürlich fein und fix - wenns aber buggy und exploitable ist, kann jemand im kernelspace Code ausführen. Alles Vor- und Nachteile :)

@tpf said in IPV6 track Interface funktioniert nicht wenn WAN hinter Router:

@bob-dig Tjoar, und nun? Wie lösen das die anderen Kollegen hier? Bin ja sicher nicht der einzige, der Router hinter Router hat.

Nein sicher nicht, aber dynamische Prefixe sind eben leider der letzte Schrott. Selbst wenn sie direkt auf der Fritte laufen und ich nen Client an der Fritte habe bekommt der teils recht spät mit, dass sich ein Prefix geändert hat bzw. ist träge in der Umstellung. Das ganze Konzept "mimimi wir machen das aus Privacy Gründen" ist komplett fucked-up. Kann man nicht schönreden.

Aber soweit die Fritte richtig konfiguriert ist mit PD prefix delegation und der Anbieter - zu was er eigentlich verpflichtet ist! - mehr als 1x /64 rausgibt, kann man das nach hinten durchreichen. Ist eben nur häßlich wenn sich dann täglich das Prefix ändert. So lang das vielleicht mal alle Monate was ändert (wies bei Kabel war), lässt sich das abreiten und ertragen und dann funktioniert das dynamic prefix auch so semi-gut und halbwegs sinnvoll.

Cheers