Ich habe keine Ahnung warum die originalPoster(in) meinte, ihren Account und ihre Posts löschen zu müssen aber ich habe sie aus Nachvollziehbarkeit wiederhergestellt. Sehe auch nicht wo hier das Problem war. @A Former User said in Site 2 Site VPN IPSEC: Das schmeckt der PFSense gar nicht. Wie kann sie das deichseln? Danke Lena Das hat primär nichts mit der Sense zu tun, sondern mit Phase-2 IPsec selbst. Wenn man von einem lokalen Netz (bspw. LAN) zu einem entfernten Netz eine Verbindung aufbaut, wird die via IPsec im Kernel geroutet (taucht auch deshalb nicht in der System Routing Table auf). Und da es nur eine Route zu einem Netz sinnvoll geben kann geht das Setup so nicht. Das hat aber der @NOCling schon korrekt wiedergegeben. Das liegt auch nicht auf Sense Seite das zu ändern, sondern auf der Remote Seite bei den Fortis. Denen muss verklickert werden, dass sie ausgehend ihr 192.168.2.x Netz NATten müssen durch den Tunnel via VPN. Wenn das korrekt aufgesetzt ist definiert man lokal nur noch 2 VPNs mit anderen Netzen (jenes auf die die jeweilige Forti ihr Netz umschreibt) und hat damit 2 saubere Site2Site Setups ohne Überschneidungen. Die Fortis sollten das können, da es keine "neue" Fragestellung ist. Jeder größere RZ Service Anbieter schreibt inzwischen vor mit welchem Netz man "ankommen" darf und überlässt es dann dem Kunden dass er sein Netz so umbiegt dass es passt. Somit muss der Sense da gar nicht viel beigebracht werden, sondern eher den Fortis auf der Gegenseite quasi "diktiert" werden, wie sie ihr Netz umschreiben müssen, dann klappt das auch. Cheers \jegr

Open VPN ist für unsere Firma die führende Lösung für Home-Office und unterwegs Arbeiten! Das funktioniert seit der Einführung bestens bei 600-800 Clients! Rund 50% davon sind täglich verbunden und geben keinen Anlass zum Klagen. Der eine Spezialfall wo es eben nicht gut funktioniert, ist nach intensiver Recherche auch nicht Open VPN direkt anzukreiden. Die Aruba Lösung ist auch toll und vor allem sehr end-user-friendly! Aber sie verursacht nicht gerade geringe Kosten, was die Hardware und Lizenzen angeht. Daher verwenden wir diese auch nur dort, wo Open VPN strauchelt. Meist liegt es dann aber an komischen IPv4/v6 Problemen, die der Provider oder deren Endgeräte verursachen.

@tsag said in Truenas (Nextcloud) -> Pfsense -> Cloudflare 522 (timeout): Gibt es eine Möglichkeit, dass PFSense/HAProxy das Lokal löst? Ich könnte es zwar über den LAN DNS Server über den Hostname erreichen, allerdings kann dieser keine Ports auflösen. Mein Nextcloud läuft bspw. auf 192.168.1.2:1337, was in HAProxy auch eingetragen ist, sodass ich direkt über meine Domain (ohne Port) darauf zugreifen kann. Beim Hostname muss ich immer den Port mit angeben. Verstehe das Problem nicht ganz. Warum sollte dein interner Traffic extern über Cloudflare laufen (müssen)? Trag doch einfach als IP in DNS der Sense die IP des HAproxys ein - der schickt das doch dann auf :1337 weiter ohne dass du mit Ports rumbasteln musst genauso wie von extern auch?

@dobby_ said in Hardware Empfehlung Backup: Bei einer 1 GBit/s Verbindung würde ich entweder auf die APU7 warten wollen was dann aber auch mit 2,5 GBit/s Ports daher kommt! Oder aber eventuell auf OpenWRT umsteigen Auch eine APU7 wird eine APU bleiben. Egal welche APU (2-6), es ist bei allen exakt der gleiche inzwischen steinalte AMD Jaguar SOC drunter und der ist eben weit entfernt von up2date wenn es um Performance geht. Das Gigabit ist auch etwas Augenwischerei, denn da gehts um Gigabit routed. Sobald da Regelwerk reinkommt und da System oder Userland die Performance abgreifen, wird die APU deutlich langsamer und es gibt inzwischen einfach wesentlich bessere Geräte wenn es direkt nur um Einsatz für pfSense geht. Wenn ich flexibel bleiben möchte um ggf. noch WRTs oder andere Distros zu verwenden und günstig bleiben muss - klar, OK. Aber rein für Routereinsatz mit Performance ist die APU für mehr als ~500 Mbps eher ein Klotz am Bein. Sobald da Dinge wie Verschlüsselung oder intensiveres Scanning passieren soll wird es recht schnell eng :)

@dobby_ ich hab das mal abgespalten in einen eigenen Eintrag. Einen 7Jahre(!) alten Eintrag sollte man schon da lassen wo er war, in der Versenkung, zumal es da noch um APU1 ging. Die verschiedenen APUs ab 2 sind auch was den SOC angeht ja gleich geblieben, vllt vom verlöteten RAM abgesehen, aber alles der gleiche SOC, so dass ich hier nicht viel Änderung an Performance zwischen den Geräten erwarten würde. Der Vergleich aber mit Linux/TNSR oder WRTs ist interessant. Durchaus witzig :)

@nocling hab mal opnsense installiert und mit der getestet selbes verhalten. dann hab ich mal die nats gelegt [image: J5gZXSLoQEbH] damit scheint es nu zu laufen. komm aufs gui und die phones registrieren sich danke für die hilfe

Den Nachteil des doppelten NAT akzeptiere ich "zähneknirschend". ;-) Man kann auch den einen Port an dem die pfSense "hängt" bzw. angeschlossen ist in der AVM FB als "Exposed Host" hinterlegen dann kann man direkt aus dem Internet an die pfSense heran gehen, wie gesagt bitte nur den einen Port und nicht die gesamte AVM FB. Die mailreport Package habe ich installiert, mal schauen ob ich da etwas sinnvolles machen kann. Paket deinstallieren und dann noch einmal installieren und die Einstellungen dann abspeichern funktioniert nicht?

Danke für die Antworten, ich werde mir das noch einmal anschauen.

Danke - hatte ich noch nicht entdeckt!

@ileonard und bitte einen grafischen netzwerkplan, das hilft allen (die helfen wollen und neue nutzer die später den beitrag lesen)

Als Transfernetz reicht ein kleines Netz aus wo z.B. 6 IPs rein passen, eine HA und 2 Device IPs pro Seite. Aber wenn das Kabel dein Grundstück verlässt und durch unbekannte Gefilde läuft, hier Daten im Bereich der DSGVO drüber laufen, solltest du das verschlüsseln. Das muss ja nicht über die pfSense sein, einige Switche können so etwas auch und das mit Line Speed. Und wenn du das alles noch nicht gemacht hast, packe dir einen Dienstleister ins Boot der unterstütz und weiß was er da tut. Der Schulungen anbietet und dann mehr und mehr in den Hintergrund tritt aber wenn es brennt zum löschen bereit steht. Denn so einen braucht es immer mal in der Hinterhand. Aber ja man kann sich mit dem nötigem Vorwissen auch so in ne Firewall einarbeiten, aber das scheint hier nicht vorhanden. Sonst würde gezielt Fragen aus dem HA Bereich kommen, nicht zum grundsätzlichem Design einer Standortkopplung. Also schaue mal bei Jens rum, da gibts von Einsteiger bis zum Hardcore User seit pfSense 1.0 noch was zu lernen. https://forum.netgate.com/topic/174335/pfsense-workshops Für deine beiden Standorte schaue mal mit einem Netzrechner nach /19 oder kleiner. Ich habe hier ein /59 für IPv6 und da passt ein /19 v4 perfekt dazu, beides sind 32 Netze. Reicht das nicht kannst auch 10.1.0.0/16 und 10.2.0.0/16 einsetzen. Im 10er Bereich hast auch genug Platz für Transfernetze. Aber auch hier gehts wieder mit NAT los wenn du dich mit anderen Firmen per S2S verbinden willst. Da braucht dann ggf. jeder ein NAT Netz auf seiner Seite.

Hallo micneu, danke für Antwort. Ich wollte ungern die geforderten Informationen zusammentragen, da kein Konfigurationsproblem vorliegt und das Erstellen von Netzwerkplan wäre bei mir in der Tat etwas komplizierter. Mir war aufgefallen, dass die Firewall teilweise Pakete abweist. Lt Log schlägt die Standard Deny Regel zu. Das hätte nicht passieren dürfen, da ich testweise alles erlaubt habe. Ich habe mittlerweile pfsense neuinstalliert, Ordner mit Zertifikaten überschrieben und die Config neu eingespielt, jetzt läuft alles. Es kann sein, dass Suricata dazwischen gefunkt hatte. Das hatte ich mal installiert, konfiguriert, aber wieder entfernt. Das wäre meine Erklärung. Liebe Grüße

@jegr Du meinst wir schaffen es in die Rente und dann wird dieses wegen so etwas ungültig "Laut System bekommen sie keine Rente, die ist schon abgelaufen"

@jegr Hey, danke für dein schnelles Feedback! Ja, richtig. Ich habe zwei pfSense-VMs als HA-Cluster laufen. Auf der WAN-Schnittstelle sind bei beiden Maschinen die PPPoE-Zugangsdaten hinterlegt, jedoch ist logischerweise - und wie du auch richtig erkannt hast - immer nur eine aktiv eingewählt. Jedoch ist die IGMP-Proxy-Konfiguration nicht geclustert. Dafür gibt es ja in der Software unter "System" -> "High Availibility Sync" -> "Select options to sync" auch gar keine Möglichkeit. Oder sehe ich das falsch?

@sandfurz Das klingt eher nach Monitoring als Firewall Problem. Da die Firewall selbst den Traffic nicht über Zeit misst - kann sie (aktuell) nicht - kannst du hieraus kein Event ableiten, nach dem sich filtern lassen kann. Das wäre auch out of scope für den Paketfilter. Denkbar wäre so eine Funktion eher in einer neueren Art IDS/IPS das auf Ereignissen basiert statt auf stumpfen Entities wie es aktuell Snort/Surricata tun. Aktuell lässt sich das aber in der Firewall selbst ohne Hilfe von außen nicht erledigen. Man müsste hier eher den Traffic überwachen durch Monitoring und dort definieren, dass alles was > X an Bandbreite über Zeit Y ist ein Problem darstellt. Dann könnte man den Ball wieder an die Firewall zurückspielen und sagen "aktiviere Regel X" oder "Blocke IP Y". Cheers

Regelwerk für DNS hast du aber auf dem IPsec Interface oder der Gruppe? Dann musst wohl nen Mitschnitt anfertigen und schauen ob Anfragen rein kommen, wenn nicht dann halt deinen angebissenen Apfel mal auf weitere Bisspuren untersuchen. Mein angebissenes Obst funktioniert hier tagellos.

@nobanzai Ich antworte mir dann nochmals selber. Für wireguard war weder pfSense noch die MTU das Problem, sondern ein fehlender PeristentKeepalive, der nötig ist, weil alle Geräte hinter mindestens einem NAT-Router hängen. Für openvpn konnte ich den Grund noch immer nicht rausfinden. Das Phänomen ist, dass im Regelfall alles funmktioniert. Erst wenn man die Master-pfSense rebootet, kriegt er danach keine Verbindung mehr. Rebootet man dann nochmals beide pfSensen, dann klappt wieder alles. Ist zwar eigentlich nicht der Sinn einer HA-Lösung, aber was Anderes konnte ich bisher nicht als Lösung finden.

@daxerr hab’s rausgefunden! Musste nur am Smartphone meine APN ändern damit ich eine dynamische IP Adresse bekam! Lg.

@toddehb said in IGMP Proxy und FritzBox Cable DVB-C streaming: @micneu Nix treffendes gefunden ich war mir schon ziemlich sicher das es da was gab, aber der @Bob-Dig kann warscheinlich besser mit der suchfunktion umgehen PS: habe einfach mal nur den begriff "dvb-c" eingegeben, sofort 2 treffer

Nochmals vielen Dank für deine Antworten @JeGr. Es hat alles wunderbar geklappt.