@tsag said in Truenas (Nextcloud) -> Pfsense -> Cloudflare 522 (timeout):

Gibt es eine Möglichkeit, dass PFSense/HAProxy das Lokal löst?
Ich könnte es zwar über den LAN DNS Server über den Hostname erreichen, allerdings kann dieser keine Ports auflösen. Mein Nextcloud läuft bspw. auf 192.168.1.2:1337, was in HAProxy auch eingetragen ist, sodass ich direkt über meine Domain (ohne Port) darauf zugreifen kann. Beim Hostname muss ich immer den Port mit angeben.

Verstehe das Problem nicht ganz. Warum sollte dein interner Traffic extern über Cloudflare laufen (müssen)?
Trag doch einfach als IP in DNS der Sense die IP des HAproxys ein - der schickt das doch dann auf :1337 weiter ohne dass du mit Ports rumbasteln musst genauso wie von extern auch?

@dobby_ said in Hardware Empfehlung Backup:

Bei einer 1 GBit/s Verbindung würde ich entweder auf die APU7 warten wollen was dann aber auch mit 2,5 GBit/s Ports daher kommt! Oder aber eventuell auf OpenWRT umsteigen

Auch eine APU7 wird eine APU bleiben. Egal welche APU (2-6), es ist bei allen exakt der gleiche inzwischen steinalte AMD Jaguar SOC drunter und der ist eben weit entfernt von up2date wenn es um Performance geht. Das Gigabit ist auch etwas Augenwischerei, denn da gehts um Gigabit routed. Sobald da Regelwerk reinkommt und da System oder Userland die Performance abgreifen, wird die APU deutlich langsamer und es gibt inzwischen einfach wesentlich bessere Geräte wenn es direkt nur um Einsatz für pfSense geht. Wenn ich flexibel bleiben möchte um ggf. noch WRTs oder andere Distros zu verwenden und günstig bleiben muss - klar, OK. Aber rein für Routereinsatz mit Performance ist die APU für mehr als ~500 Mbps eher ein Klotz am Bein. Sobald da Dinge wie Verschlüsselung oder intensiveres Scanning passieren soll wird es recht schnell eng :)

@dobby_ ich hab das mal abgespalten in einen eigenen Eintrag. Einen 7Jahre(!) alten Eintrag sollte man schon da lassen wo er war, in der Versenkung, zumal es da noch um APU1 ging.

Die verschiedenen APUs ab 2 sind auch was den SOC angeht ja gleich geblieben, vllt vom verlöteten RAM abgesehen, aber alles der gleiche SOC, so dass ich hier nicht viel Änderung an Performance zwischen den Geräten erwarten würde. Der Vergleich aber mit Linux/TNSR oder WRTs ist interessant. Durchaus witzig :)

@nocling hab mal opnsense installiert und mit der getestet selbes verhalten.

dann hab ich mal die nats gelegt 1:1 Nats

damit scheint es nu zu laufen.

komm aufs gui und die phones registrieren sich

danke für die hilfe

Den Nachteil des doppelten NAT akzeptiere ich
"zähneknirschend". ;-)

Man kann auch den einen Port an dem die pfSense "hängt"
bzw. angeschlossen ist in der AVM FB als "Exposed Host"
hinterlegen dann kann man direkt aus dem Internet an
die pfSense heran gehen, wie gesagt bitte nur den einen
Port und nicht die gesamte AVM FB.

Die mailreport Package habe ich installiert, mal schauen
ob ich da etwas sinnvolles machen kann.

Paket deinstallieren und dann noch einmal installieren und
die Einstellungen dann abspeichern funktioniert nicht?

Danke für die Antworten, ich werde mir das noch einmal anschauen.

Danke - hatte ich noch nicht entdeckt! 🙈

@ileonard und bitte einen grafischen netzwerkplan, das hilft allen (die helfen wollen und neue nutzer die später den beitrag lesen)

Als Transfernetz reicht ein kleines Netz aus wo z.B. 6 IPs rein passen, eine HA und 2 Device IPs pro Seite.

Aber wenn das Kabel dein Grundstück verlässt und durch unbekannte Gefilde läuft, hier Daten im Bereich der DSGVO drüber laufen, solltest du das verschlüsseln.

Das muss ja nicht über die pfSense sein, einige Switche können so etwas auch und das mit Line Speed.

Und wenn du das alles noch nicht gemacht hast, packe dir einen Dienstleister ins Boot der unterstütz und weiß was er da tut.
Der Schulungen anbietet und dann mehr und mehr in den Hintergrund tritt aber wenn es brennt zum löschen bereit steht.
Denn so einen braucht es immer mal in der Hinterhand.

Aber ja man kann sich mit dem nötigem Vorwissen auch so in ne Firewall einarbeiten, aber das scheint hier nicht vorhanden.
Sonst würde gezielt Fragen aus dem HA Bereich kommen, nicht zum grundsätzlichem Design einer Standortkopplung.
Also schaue mal bei Jens rum, da gibts von Einsteiger bis zum Hardcore User seit pfSense 1.0 noch was zu lernen.

https://forum.netgate.com/topic/174335/pfsense-workshops

Für deine beiden Standorte schaue mal mit einem Netzrechner nach /19 oder kleiner.
Ich habe hier ein /59 für IPv6 und da passt ein /19 v4 perfekt dazu, beides sind 32 Netze.

Reicht das nicht kannst auch 10.1.0.0/16 und 10.2.0.0/16 einsetzen.
Im 10er Bereich hast auch genug Platz für Transfernetze.

Aber auch hier gehts wieder mit NAT los wenn du dich mit anderen Firmen per S2S verbinden willst.
Da braucht dann ggf. jeder ein NAT Netz auf seiner Seite.

Hallo micneu,
danke für Antwort. Ich wollte ungern die geforderten Informationen zusammentragen, da kein Konfigurationsproblem vorliegt und das Erstellen von Netzwerkplan wäre bei mir in der Tat etwas komplizierter.
Mir war aufgefallen, dass die Firewall teilweise Pakete abweist. Lt Log schlägt die Standard Deny Regel zu. Das hätte nicht passieren dürfen, da ich testweise alles erlaubt habe.
Ich habe mittlerweile pfsense neuinstalliert, Ordner mit Zertifikaten überschrieben und die Config neu eingespielt, jetzt läuft alles.
Es kann sein, dass Suricata dazwischen gefunkt hatte. Das hatte ich mal installiert, konfiguriert, aber wieder entfernt. Das wäre meine Erklärung.

Liebe Grüße

@jegr
Du meinst wir schaffen es in die Rente und dann wird dieses wegen so etwas ungültig 😦
"Laut System bekommen sie keine Rente, die ist schon abgelaufen" 😁

@jegr Hey, danke für dein schnelles Feedback!

Ja, richtig. Ich habe zwei pfSense-VMs als HA-Cluster laufen. Auf der WAN-Schnittstelle sind bei beiden Maschinen die PPPoE-Zugangsdaten hinterlegt, jedoch ist logischerweise - und wie du auch richtig erkannt hast - immer nur eine aktiv eingewählt.

Jedoch ist die IGMP-Proxy-Konfiguration nicht geclustert. Dafür gibt es ja in der Software unter "System" -> "High Availibility Sync" -> "Select options to sync" auch gar keine Möglichkeit. Oder sehe ich das falsch?

@sandfurz Das klingt eher nach Monitoring als Firewall Problem. Da die Firewall selbst den Traffic nicht über Zeit misst - kann sie (aktuell) nicht - kannst du hieraus kein Event ableiten, nach dem sich filtern lassen kann. Das wäre auch out of scope für den Paketfilter. Denkbar wäre so eine Funktion eher in einer neueren Art IDS/IPS das auf Ereignissen basiert statt auf stumpfen Entities wie es aktuell Snort/Surricata tun.

Aktuell lässt sich das aber in der Firewall selbst ohne Hilfe von außen nicht erledigen. Man müsste hier eher den Traffic überwachen durch Monitoring und dort definieren, dass alles was > X an Bandbreite über Zeit Y ist ein Problem darstellt. Dann könnte man den Ball wieder an die Firewall zurückspielen und sagen "aktiviere Regel X" oder "Blocke IP Y".

Cheers

Regelwerk für DNS hast du aber auf dem IPsec Interface oder der Gruppe?

Dann musst wohl nen Mitschnitt anfertigen und schauen ob Anfragen rein kommen, wenn nicht dann halt deinen angebissenen Apfel mal auf weitere Bisspuren untersuchen.

Mein angebissenes Obst funktioniert hier tagellos.

@nobanzai
Ich antworte mir dann nochmals selber.
Für wireguard war weder pfSense noch die MTU das Problem, sondern ein fehlender PeristentKeepalive, der nötig ist, weil alle Geräte hinter mindestens einem NAT-Router hängen.
Für openvpn konnte ich den Grund noch immer nicht rausfinden. Das Phänomen ist, dass im Regelfall alles funmktioniert. Erst wenn man die Master-pfSense rebootet, kriegt er danach keine Verbindung mehr. Rebootet man dann nochmals beide pfSensen, dann klappt wieder alles. Ist zwar eigentlich nicht der Sinn einer HA-Lösung, aber was Anderes konnte ich bisher nicht als Lösung finden.

@daxerr hab’s rausgefunden!
Musste nur am Smartphone meine APN ändern damit ich eine dynamische IP Adresse bekam!😉
Lg.

@toddehb said in IGMP Proxy und FritzBox Cable DVB-C streaming:

@micneu

Nix treffendes gefunden

ich war mir schon ziemlich sicher das es da was gab, aber der @Bob-Dig kann warscheinlich besser mit der suchfunktion umgehen

PS: habe einfach mal nur den begriff "dvb-c" eingegeben, sofort 2 treffer

Nochmals vielen Dank für deine Antworten @JeGr. Es hat alles wunderbar geklappt.

@viragomann said in Drei Interface bridgen, problematisch?:

Die Quelle ist aber any

Hatte da 0.0.0.0 stehen, aber any hatte ich ja eh alles erlaubt.

@NOCling Static route filtering hatte ich nicht aktiviert, aber es liest sich auch nicht so, dass das gebraucht würde.
Ich habe ja nur der Bridge selbst eine IP gegeben, was eigentlich auch das einfachste sein sollte, sofern ich es richtig verstanden habe. Das ursprüngliche LAN existiert weiterhin außerhalb der Bridge. Mag sein, dass es an Hyper-V liegt bzw. dem internen VSwitch, welcher ein Interface der Bridge ist.

@viragomann
Besten Dank die Lösung kann so simpel sein.

Funktioniert einwandfrei.