Danke an alle, hat geklappt!

@pipen1976 Ich habe mir das hier mal alles durchgelesen und mir sind da einige Punkte zu aufgefallen, muss nicht die Lösung sein, kann aber eventuell einiges erklären oder verdeutlichen und dem einen oder anderen helfen. Quelle: Troubleshooting Captive Portal Anmeldung am Captive Portal For local users, if the option to require the Captive Portal login privilege is enabled, ensure the users have the privilege directly or are members of a group with the privilege. HTTP/HTTPS The request must be to an HTTP site in order for the portal to redirect the client. If HTTPS is enabled for the portal, this may still work but it depends upon the client browser or operating system automatic portal detection to work. Many modern browsers and operating systems detect portals now which makes this less of an issue. IPv6 basierende Probleme Captive Portal does not currently support IPv6, so IPv6 traffic is not able to traverse the portal interface. If the interface has IPv6 configured and the client attempts to use it, it may encounter network timeouts. Probleme mit Apple Geräte There have also been reports that on older version of macOS, a Mac would refuse to load any HTTPS sites, including an HTTPS portal, until it could load a CRL and OSCP URL for the certificate. This has been fixed in current versions of OS X. Some users have had to add www.apple.com to their allowed hostnames so that Apple’s call to their test page succeeds. Captive Portal Firewallregeln On pfSense Plus software version 22.05 or CE version 2.7.0 or later, Captive Portal uses pf features for L2 ether processing under the hood. When having issues with the captive portal, it is possible to inspect the rules for debugging purposes. To see rules for Captive Portal look in /tmp/rules.debug at the multiple sections starting with a comment # Captive Portal. Ich hoffe auch wenn es auf englisch ist das der Eine oder Andere von Euch hier etwas findet das sein Problem besser beschreibt oder erklärt, wenn er es damit auch noch lösen kann ist das natürlich noch besser.

@viragomann said in NAT und Portforwarding aus dem LAN auf die öffentliche IP: "NAT + proxy" Das hat es gelöst :-) vielen Dank für eure schnelle Hilfe!!

Hi Asche über mein Haupt - war ne Fehlkonfiguration in den FW Regeln in Bezug auf das Gateway ... Mann mann... Danke dennoch und ein schönes Wochenende

@morpher Entweder den Weg den auch @micneu beschreibt: man bindet sich selbst an einen vServer oder eine VM an die man irgendwo billig mietet und wählt sich von unterwegs dann dort ein (und routet den Traffic dann nach Hause). Oder als andere Alternative (weil gestern damit herumgespielt): du schaust dir das Tailscale Package an. Das geht genau in die Richtung die du ggf. suchst. Auf der Home-pfSense Tailscale eingerichtet als Subnet-Router (für die Heimnetze) und auf dem Laptop/Smartphone/etc. für dich dann den Tailscale Client drauf und dort dann via Tailscale nach Hause geroutet werden. Funktioniert vom Prinzip her wie Teamviewer/Anydesk, wo sich die Geräte auch alle an einem Control Server anmelden und darüber dann miteinander verschaltet werden. Dadurch musst du beim Verbindungsaufbau nicht direkt deine pfSense anwählen, sondern kannst die über das Tailscale Netz erreichen. Ist natürlich nicht so schön als wenn man alles selbst betreibt, aber bei der Situation tatsächlich eine große Hilfe. Und wenn man es mit einem GitHub Account betreibt und dort eine Organisation erstellt oder hinterlegt, kann man bei Tailscale kostenlos auch den GitHub Community Friends&Family Plan nutzen. Ist zwar immer noch "nur" ein Subnetz Router damit erlaubt (also bspw. deine Home pfSense) aber dafür können damit mehrere User hinzugefügt werden - wenn man das möchte - und man kann noch mehr Server/Geräte anbinden. Cheers

Note: Kurz danach kam ein Update der das Problem behob.

Sieht du denn Anfragen von der Fritz kommen? Du kannst ja einfach ein Capture erstellen mit der IP der Fritz als Filter, dann hast du recht wenig anderes Zeugs drin.

@mucsav1977 Es gibt keine Registrierung via Konsole Wenn es partout nicht funktioniert was mich wundern würde, dann kann man den TAC Support anschreiben und das Token händisch auf die entsprechende NDI registrieren lassen. Siehe hier: https://docs.netgate.com/pfsense/en/latest/config/register.html

Danke, für die Antworten! Klingt ja insgesamt nicht so übel

Eine Regel von meiner Klient-IP inkl. aller Zustände hatte das Problem auch nicht gelöst. Da die Pakete in diesem Fall vom Proxy abgehen wäre es vermutlich auch Unsinn gewesen oder? Merkwürdig finde ich, dass via Proxy (manuell auf WAN2) zwar Texte langsam laden, aber eben keine Grafiken und erst recht keine Downloads.

@slu said in WireGuard Grundsatzfragen Public Key / Ping WG Client: Irgendwie ist das WG ja schon spannend, aber irgendwie fühlt es sich auch komisch an wenn man kein AES usw. als Cipher einstellen kann... Ist halt alles fix hardcoded, was ja u.a. auch ein wenig kritisiert wird, dass - kleiner Code hin oder her - im Fall eines Bugs in der Security man überall das komplette Produkt austauschen/updaten muss und nicht einfach auf einen anderen Cipher wechseln kann. Genauso die Performance. Kernel ist natürlich fein und fix - wenns aber buggy und exploitable ist, kann jemand im kernelspace Code ausführen. Alles Vor- und Nachteile :)

@tpf said in IPV6 track Interface funktioniert nicht wenn WAN hinter Router: @bob-dig Tjoar, und nun? Wie lösen das die anderen Kollegen hier? Bin ja sicher nicht der einzige, der Router hinter Router hat. Nein sicher nicht, aber dynamische Prefixe sind eben leider der letzte Schrott. Selbst wenn sie direkt auf der Fritte laufen und ich nen Client an der Fritte habe bekommt der teils recht spät mit, dass sich ein Prefix geändert hat bzw. ist träge in der Umstellung. Das ganze Konzept "mimimi wir machen das aus Privacy Gründen" ist komplett fucked-up. Kann man nicht schönreden. Aber soweit die Fritte richtig konfiguriert ist mit PD prefix delegation und der Anbieter - zu was er eigentlich verpflichtet ist! - mehr als 1x /64 rausgibt, kann man das nach hinten durchreichen. Ist eben nur häßlich wenn sich dann täglich das Prefix ändert. So lang das vielleicht mal alle Monate was ändert (wies bei Kabel war), lässt sich das abreiten und ertragen und dann funktioniert das dynamic prefix auch so semi-gut und halbwegs sinnvoll. Cheers

@fglaser Werde ich gerne klären

@jegr Hallo ich wollte hier nochmals kurz eine Rückmeldung geben. Wir setzten das VPN ausschließlich für RDP ein und hier ist bei 10 Arbeitsstationen ab 60MBIT VPN keine Steigerung mehr zu messen. (außer alle schauen im Vollbild Video)... - im normalen Arbeitsbetrieb wie gesagt ist bei 10 Arbeitsplätzen und selbst bei intensiver Nutzung ab 60mbit nicht mehr zu gewinnen. Interessant ist auch dass RDP hier extrem kurze Peaks hat die mit den normalen Tools aufgrund der Auflösung nicht zu sehen sind. So zieht RDP beim Browsen mal für einige ms tatsächlich 30mbit - fällt dann auf 4-5 mbit ab - schaut man hier nicht genau könnte man denken dass 5-6mbit pro Sitzung ja dann das maximum sind - stimmt im Mittel auch - aber diese kurzen Peaks machen sich unheimlich in der Haptik bemerkbar wenn das VPN oder die Leitung das nicht hergibt ... Ich habe jetzt auf der Server Seite eine Viritualisierte pfsense mit nem Xeon CPU und auf der Client seite netgate Hardware

Hallo, wollte es einfach leicht haben, alle Rules per Befehlszeile runterladen, evtl. auch speichern. Alles aus der GUI rauskopieren ist ein bisschen aufwendig.

Sollte ansonsten mal bei Zertifikaten - gerade bei aktivem HSTS - ein Zertifikat ablaufen und der Browser möchte dann die WebUI nicht mehr anzeigen (weil HSTS und abgelaufenes Zert in Chrome based Browsern bspw. nicht "weiter" geht), kann man das in Chrome(ium) Browsers "überbrücken": Zu testen: https://badssl.com/ bspw. revoked auswählen. Firefox kann man hier noch zum "weiter" überreden, Chrome/-iums nicht. [image: 1664954560041-b2b505b5-0c74-4a2d-9b71-220090a7195d-image.png] (weitermachen fehlt hier!) Die kann man dafür aber "übersteuern" indem man auf solchen Seiten einfach ohne irgendeinen Fokus zu haben (also nicht URL Zeile o.ä. markieren) einfach tippt: thisisunsafe und zack wird die Seite doch geladen: [image: 1664954624883-fc344c96-071d-4de3-9a76-1dc713e0f4d6-image.png] Hier im Beispiel mit "Chromium Edge" getestet, geht aber auch mit Brave, Chrome, etc. Das Keyword thisisunsafe ist als override für SSL fix im Browser verankert. Muss einfach in einem Wort ohne große Pause o.ä. am Stück (nur Kleinbuchstaben) im entsprechenden Tab einfach getippt werden. Einfach ausprobieren und für den Notfall im Hinterkopf haben Cheers

@micneu Nur weil der SOC 2013 erschienen ist, heißt das nicht, dass das auch 2013 raus kam. In dem Fall wars AFAIR late 2013 als die Testmuster kamen. Das ist aber irrelevant. Es ist ein C2000 SOC und die C-Atome werden mit 8-10y++ von Anfang an konstruiert. Ich hätte jetzt auch wenig Bock nach 3 Jahren privat schon wieder was Neues suchen zu müssen vor allem weil die nicht billig sind/waren. Und wenn man sie später dann ggf. günstig bekommt weil der C3000 kommt und die Kiste reicht einem, warum nicht. Konnte ja bis zum Abrauchen und Skandälchen keiner ahnen, dass statt 8-10y plötzlich wesentlich weniger auf der Agenda stehen weil Intel bei Kleinteilen Probleme hat. Hilft außerdem jetzt auch niemand rückblickend zu sagen "warum kauft man sowas". Hinterher ist man immer schlauer :) Ich hätte allerhöchstens "gemeckert" weils ein 2750 ist und der nicht für Netzwerk, sondern für kleine Server gebaut war. Die Netzwerk Kisten haben alle Achten als letzte Ziffer -> C2758. Denn nur die 8er hatten QuickAssist (QAT) mit drauf. Anyways, hoffe es ist fixbar und nicht doch ein Totalausfall!

@chriskoh Hast du es mal genau nach dieser Anleitung probiert? https://forum.netgate.com/topic/153802/howto-magentatv-mit-pfsense-2-4-5