@jegr

Die OSFP Konfig funktioniert mit Shared Key Tunnel, ich habe jetzt vier Clients mit je zwei Tunnel verbunden und keine Probleme damit.
SSL/TLS hat noch Zeit, ich habe jetzt erstmal wieder andere Baustellen

@jegr ja, das hatte ich gelesen. Mache da nach jeder Änderung der Konfiguration ein reset.

... und wenn ich mit allem zweimal durch bin auch Mal einen Reboot :-)

@pixel24 Du hast nur einen Host Override gemacht. War das beabsichtigt? Du schriebst ja dass du *.lan.blah.club auf dem UCS aufgelegt hast. Du hast jetzt aber nur lan.blub.club konfiguriert mit der internen IP. Wolltest du nicht eigentlich alles mit *.lan auf den UCS umleiten?

Ansonsten ist das gerade alles etwas wirr und wir müssten mal konkret festhalten, was von wo wie aufgerufen wird oder werden soll, und wo was geht und wo nicht :) Dann sieht man vielleicht einfacher wo das Problem herrührt. Ansonsten vielleicht einfach mal zur Usergroup mit dazukommen am nächsten Freitag (5.8.)? Oder wenns gar nicht geht vielleicht mal melden, vllt. kann ich ggf. direkt mal ein paar Minuten helfen.

Cheers

Wenn sich in der GUI irgendwo irgendwas nicht speichern lässt, lag das bisher zu 99,9% an irgendwelchen Browser Plugins die da reinpfuschen. Die mal deaktivieren oder anderen Browser testen.

-Rico

@nocling said in WebGUI über WAN-Adresse aus dem internen Netz erreichbar:

Eine in der alle Ints drin sind und die definieren was hier wie bezüglich pfSense Host Zugriffen drin ist.

Vorsicht nur davor, WANs in Gruppen zu packen. DON'T! Interne Netze - klar.

Ich habe es nun doch lösen können, indem ich ein VOLLBACKUP machte und dieses zurückgespielt habe.

Doch der Reihe nach für alle die von IPFire nach PFSense wechseln und ebenfalls einen Haufen DHCP-Einträge haben. Ich beschreibe einen gangbaren Weg, andere mögen hieraus eine bessere Lösung finden.

Vor der Umstellung auf PFSense

kopiere von der Webseite des DHCP-Servers im GUI alle Einträge

füge diese in Excel ein, dadurch bekommst Du eine Tabelle.

importiere diese Tabelle in Access (oder eine andere DB Deiner Wahl)

entwerfe einen Bericht, welcher der Vorgabe oben entspricht...
** und beim Öffnen in der Berichtsansicht alle Einträge als vorgegebenes XML anzeigt. Das geht sicher noch einfacher mit anderen Tools, aber so habe ich es gemacht. ;-)
** Kopiere alle Einträge aus dem Bericht und füge sie in einen Editor ein. Für Windows empfehle ich Notepad++
**Suche bei Google (oder einer anderen Suchmaschine) eine XML online validierung sseite und füge Dein XML dort ein. Beseitige alle Fehler, die gefunden werden.

Lege bei PFSense einen Testrechner an. Gib ihm die MAC aa:bb:cc:dd:ee:ff und nenne ihn Testrechner, so kannst Du ihn im Editor suchen.

Mache ein Fullbackup Deiner PFSense-Konfiguration und lade das XML herunter.

öffne es im Editor und suche nach Deinen Testrechner

Lösche diesen Eintrag beginnend mit

<staticmap>

und endend mit

</staticmap> in die entstehende Lücke fügst Du nun den XML-Part mit Deinen Rechnern ein. Abspeichern und wieder von PFSense einlesen lassen.

Danach macht das System einen Neustart, der länger dauern kann.

Ich schau mal, ob ich meine "Access-Datenbank" hier einfügen kann.

Bleibt aber dropsdem das Problem, dass Teilbackups nicht wieder eingelesen werden.

Liebe Grüße,

Denise

DHCP.7z

PS: Wie markiert man hier als "solved"? Ich konnte den Eingangsthread nicht editieren.

@n300 said in HILFE!! Config.xml is corrupted and is 0 bytes. Could not restore a previous backup.:

vielen Dank für deine Info dazu. Ich bin ja schon mal froh nicht ganz der Einzige zu sein. Bin ja wie gesagt derzeit noch noch auf der "alten" 22.01 Release. Da ich schon länger nix neues mehr an Paketen installiert habe bin ich mir auch nicht 100%ig sicher, ob das pkg Problem ursächlich mit meiner korrupten config zu tun hat. Möglicherweise geht das auch schon nicht mehr, seit die 22.05 released wurde.

Also wenn du auf nem sauberen 22.01 Reinstall bist mit ZFS, dann ist das Update auf 22.05 eigentlich kein großer Step mehr. Uns ist das um die Ohren gefetzt als wir von 2.6 auf 22.01 wechseln wollten. Obwohl ich das schon mehrfach bei Kunden gemacht habe ohne Problem. Das ist auf jeden Fall kein generelles Problem, da muss irgendwo noch ein Trigger sein der das mit auslöst.
Das war auch nicht nur die PKG Database, denn nach einigem Basteln waren bei uns alle Pakete weg. Es wurde kein einzig installiertes Package mehr gefunden. Da war also irgendwas mit dem Dataset auf FS Ebene.

Grundsätzlich läufts jetzt ja wieder - also die Firewall. Nur das mit dem pkg manager über die UI ist jetzt etwas unschön.

Dann hast du nicht neu installiert? Würde ich dann auf jeden Fall noch machen, am Besten dann gleich direkt mit dem 22.05er Image und Config rein. Das ist am schnellsten. Aber das hickhack mit den Paketen heißt dass da trotzdem noch was nicht rund ist - daher würde ich auf jeden Fall neu aufsetzen, die 10min sinds wert :)

Die LEDs haben da lt. Manual kein eigenes Muster. In der Doku steht auch sonst nix dabei, wie lange man warten soll.

Soweit ich mich recht entsinne steht das aber in der Doku. Ich denke es müsste die erste LED sein, die langsam rot/orange leuchten/blinken sollte. Also sehr langsam an/ausgehen nicht schnelles blinken oder dauerleuchten.

@pronet36 MagentaTV wird mittelfristig auf IPTV umgestellt:

https://www.telekom.de/magenta-tv/iptv

Heißt dann auch unabhängig vom Internetanbieter (schön wenn man bspw. zu Hause mehrere Internetanbieter wegen Ausfallsicherheit hat) und nicht mehr über DSL oder Kabel eingespeist, sondern einfach als IP TV Datenstrom wie Netflix, Sky o.ä. eben auch:

MagentaTV via IPTV bedeutet, über das Internet fernzusehen. Hinter der Abkürzung verbirgt sich der Begriff „Internet Protocol Television“. Die Übertragung findet also nicht über eine Satelliten-, Antennen- oder Kabelverbindung statt, sondern über den Internetanschluss und das unabhängig vom Anbieter.

@achim55 Eine definierte Dauer gibts nicht, aber OpenVPN hat bereits jetzt klar angekündigt, dass S2S mit Shared Key in OpenVPN 2.6 deprecated wird (also mit Warnung noch geht aber klar ist, dass das stirbt) und mit 2.7 rausfliegt. Da wir gefühlt recht wahrscheinlich bald 2.6 sehen könnten, ist das nicht mehr weit weg. Wie lang dann 2.7 dauert kann ich nicht sagen, aber am Ende: Ja wenn es aus OVPN 2.7 rausfliegt wird es nicht mehr funktionieren. Gar nicht. Egal wie mans dreht oder wendet. Darum steht die Ankündigung im OpenVPN Unterforum hier auch als große angepinnte Nachricht drin, dass man bitte keine S2S Tunnel mehr bauen soll.

Es wird eine Alternative zu S2S-SK geben, die S2S-Cert Variante wird es aber weiterhin geben und darauf sollte man wechseln wenn man jetzt was Neues baut, da die Alternative/Nachfolge für S2S-SK noch nicht 100% feststeht. Das grobe Konstrukt ist zwar klar, aber es ist noch nichts, was man testen kann.

@benjsing Ich hab das bei mir etwas anders aufgebaut und daher mehr VLANs:

1 - ist tot, gibts nicht damit keiner Blödsinn macht 99 - Management, da ist alles mit Console, Management UI etc. drin. NAS UI, Proxmox UI, etc. (würde ich heute anders nummerieren, prinzipiell aber egal) 123 - Gast/WLAN: bekommt Internet, sonst nur Minimalzugriff und DNS und für bestimmte Clients (via WPA2-Enterprise Auth) Dashboards (IoT HA). Alle anderen nur WiFi/Internet mit geblockten IPs und gefiltertem DNS (via Infra DNSen) 270 - Infrastruktur: 2x DNS, Automatisierung, Monitoring, Logging, NAS, alles was zentral gebraucht wird 271 - LAN: Clients, meistens PCs oder Laptops, ggf. auch per WiFi und WPA2Ent Laptops. 272 - IoT: Kram der hoffentlich kein Netz braucht, HomeAssistant Control, MQTT, etc. 273 - Media: Kram der ganz sicher Internet braucht. Streaming Gedöns, Sonos Boxen, AndroidTV/Chromecast und so'n Kram 274-276 - Labs / frei 277 - Work: abisoliertes Testnetz mit direkter VPN Strecke zur Firma, nur aus dem Netz erreichbar, company DNS etc.

Daher keine so starre Einteilung aber durch WPA2Ent und Radius based VLANs pushe ich die Clients dahin wo ich sie haben will.

@achim55 said in Umbrel und DMZ:

PfSense läuft auf einem PC Engines ALIX Board, mit drei mal LAN.

ALIX? Sicher?? Die ist uralt und überfordert und kann kein 64bit. Ich zweifle das stark an :)

@achim55 said in Umbrel und DMZ:

Im LAN läuft ein Raspberry mit Umbrel OS der von außerhalb erreichbar ist.

Wie? Portforward?

@achim55 said in Umbrel und DMZ:

Ich weiß jetzt nicht wie sicher diese Konstellation ist und wollte den Raspberry an die dritte, noch freie, Schnittstelle von dem ALIX Board hängen. Hier dann ein DMZ damit er vom LAN getrennt ist.

Spräche nichts dagegen :)
Kommt halt drauf an was/wie/wo man erreichen will. Dann Regeln entsprechend und gut :)

@nocling

heute Morgen hat es wie durch ein Wunder von selbst geklappt. Ne Nacht drüber schlafen hilft also doch ;-)

@fireodo said in PFsense auf ZBOX CI625 nano?:

@slu said in PFsense auf ZBOX CI625 nano?:

@toddehb said in PFsense auf ZBOX CI625 nano?:

Diese Kisten sind geil. Pfsense ist sogar in der Version 2.6 vorinstalliert.

Und das macht dir keine Sorgen?
Das Teil kommt aus CN und pfSense darf überhaupt nicht vorinstalliert verkauft werden.

Würde ich auch nicht trauen - pfsense ist das Kernstück eines Netzwerks, da sollte man schon achten dass nur die richtige Installation in Frage kommt. (SHA256 Checksum usw.) Ich würde von Grund auf neu installieren.

Meine 2 Cents,
fireodo

Habe die Kiste mit dem offiziellen Image neu aufgesetzt. War mir dann doch zu unheimlich ;-)

@micneu said in Pfsense mit OpenVPN Client. Alles wird über den Tunnel geroutet, soll aber nicht:

@viragomann nach welcher anleitung hast du es denn gemacht, ich hatte auch mal nordvpn, ich glaueb irgend wo mal gelesen zu haben das die das so konfigurieren, wenn du weist was du tust kannst du an dem enstprechenden punkt einfach anders machen.

Sehr wahrscheinlich mit der Anleitung von NordVPN.

Dazu muss ich leider sagen: ich hatte mir die angeschaut. Bitte baut das NICHT nach der Anleitung von NordVPN - das ist eine einzige Katastrophe. Wer auch immer die zusammengeklickt hat(te), hat keinerlei Lust oder Ahnung von *sensen gehabt. Alleine was nach "deren Definition" alles in die Adv. Options rein muss, ist kompletter Nonsense. Plus ihre Doku macht genau das: den kompletten Traffic via NordVPN raushauen obwohl das Dokument eigentlich NUR heißt "NordVPN mit pfSense einrichten" (oder so ähnlich). Hatte das vor einem halben Jahr o.ä. mal geprüft weil ständig seltsame Berichte kamen und das ist eine einzige Vollkatastrophe gewesen. So macht man das leider nicht :/

Cheers

@swk said in Über OpenVPN sind Clients ohne Standard Gateway nicht erreichbar:

Der springende Punkt ist jetzt nur, dass man solch eine Kundenmaschine (zB 192.168.0.251) im internen Netzwerk erreichen kann und über das VPN nicht. (unsere Firewall==VPN Server) Sobald die Kundenmaschine aber dann mal zum Test temp. einen 2. Gateway (zB 192.168.0.1) auf der 2. Karte eigentragen bekommen, dann kann ich diese Maschinen auch aus dem VPN erreichen.

Soweit ich das gerade ohne groben Netzplan vom Flow verstanden habe und @viragomann auch schon schrieb ist das alles lediglich eine etwas verkorkste Design/Architekturfrage und ein Routingproblem Wie schon gesagt ist das VPN Subnetz von der Einwahl den Maschinen nicht bekannt, sie schickens über das Default GW raus und das wars dann.

Wenn ihr dann nochmal davor eine (andere) Firewall habt, könnt ihr das entweder ausgleichen, indem ihr dort direkt eine Route nach innen macht (wenn die externe FW mit euren internen Netzen irgendwie verbastelt ist), oder ihr müsstet - was unschön ist - die ganzen Kundenkisten mit ner zusätzlichen Route ausstatten.

Alternative: Ihr NATtet die OpenVPN ausgehend zu den Kundenmaschinen auf eine andere IP der pfSense, die von den Kundenkisten aus gesehen/erreicht werden kann (ohne extra Route). Dann seht ihr zwar auf den IIS Mühlen nicht mehr direkt welche VPN IP ankommt, sondern nur noch die NAT IP, aber dann sollte es auch ohne zusätzliche Route klappen.
Wie gesagt das ist nur "der Normalfall", wie das in eurem spezifischen Netzaufbau aussieht kann ich nicht 100% sagen, da ich die Architektur nicht ganz durchschaue.

Es klingt aber auch so, als ob eure IIS Kisten dann via 2. Interface eure Firewall unterlaufen indem sie "hinten raus" zu euch direkte Verbindungen aufbauen. Das kann man machen, aber aus einem Security Sichtpunkt ist das nicht sehr schön, da ihr hier ein Breakout baut der nicht durch die Firewall davor geschützt ist und dem explizit vertraut wird. Zudem sehen sich je nach Setup die Kisten dann über dieses Interface auch oder können Verbindungen aufbauen die sie nicht sollten.

Da würde ich ggf. nochmal eine Runde mit einem Netzplan drehen und mit den Kollegen oder ggf. auch mit "Sicht von außen" das einfach mal durchgehen, ob man das nicht optimieren könnte oder ggf. sinnvoller aufbauen. :)
Machen wir/ich z.B. relativ häufig für Kunden.

Cheers
\jens

@pixel24 Mal ganz ohne doofe Antwort zu

Hat das irgend eine Bewandtnis?

Das eine ist die Ausgabe mit erfolgter Reverse DNS Auflösung, bei der anderen fehlt das. Das kann jetzt 2 Möglichkeiten haben, entweder hat der zweite Host keine rDNS Einträge oder sie konnten ggf. nicht geladen werden (oder es gab dabei Probleme). Zumindest wurden Sie dann eben nicht dargestellt.

@pixel24 said in Ping "von" manchmal IP, machmal Host:

Wenn ich von meinem Clinet (Linux-Mint 20)

Gerade bei einem Linux wird inzwischen ja gerne nicht mehr nur DNS gemacht, sondern lokal noch ein DNS Agent entweder mitinstalliert, oder man hat eh schon systemd und den ganzen Geraffelbaum an Spaß mit dabei. Dann läuft meist auf der Kiste noch ein eigener Resolver/Forwarder/Cache, der die Einträge cached und/oder auflöst. Das kann dann in diesem Szenario auch mit reinspielen.
Ohne ein wenig tiefer da reinzugehen würde ich jetzt erstmal sagen ist kein großes Problem, ping macht man beim Debugging eh gerne mit -n für unterdrückte Namensauflösung damit man ggf. keine Wartezeiten auf DNS hat - oder ne Ausgabe bekommt wenn der DNS down ist.

Wenn du mehr Phänomene hast, dass dein DNS vllt. nicht so will wie du möchtest, dann müsste man das ggf. auf der Sense - wenn sie dein DNS ist - näher beleuchten und schauen was läuft und ob es Probleme, Aussetzer, Neustarts o.ä. gibt.

Cheers

Keine Ahnung wo da der Bug ist. Vielleicht hat ja
jemand noch nen schlauen Tipp.

|=Also es verhält sich meiner Meinung nach so, dass zwischen der Sophos Firewall und der pfSense sich die DMZ befindet.

Und dort sollten dann die Server stehen die die einen permanenten Kontakt zum Internet haben und hinter
der pfSense sollte dann eigentlich das sichere LAN sein.=|

Dobby

So Teil 1 abgeschlossen :)
Internet geht ohne Fritze. Teil 2 mit Portierung der Rufnummern in 3 Wochen (ob das aus so einfach wird.....)

Vielen Dank für euren Input!

Scheint ja jetzt wirklich eher ein kosmetisches Thema und kein Problem zu sein.
Ich werde das bei Gelegenheit einfach mal über die GUI über zusätzliche DNS Server Einträge versuchen, bzw. wenn das nichts bringt dann aus dem xml-File rauslöschen und dann so zu importieren...

Es eilt ja nicht.. 😃