@europc Mit der Präfix ID hat das ganze nichts zu tun.
Trage mal unter dem WAN Interface MTU und MSS ein. Wenn Telekom dann MTU 1492, MSS 1452.

Wurde gerade hier abgehandelt.
https://forum.netgate.com/topic/172774/hilfegesuch-bei-telekom-vdsl-anschluss-mit-vigor167-und-pfsense/12

@jegr

Vielen Dank für die hilfreiche Antwort. Sind wieder sehr gute Punkte dabei, die ich noch nicht bedacht habe.

Budget ist eigentlich egal. Ich steigere mich gern rein und bin dann over the top :) aber muss Im sinnvollen Maße sein und darf nicht zu laut sein.

Guter Hinweis auch nochmal mit den Atom Prozessoren und der udm pro.
Fand die netgate 6100 gut, hatte letztens aber gelesen, dass die auf 2,5 gbit singlestream abgeregelt ist. Aber wenn ich Layer 2 im gleichen Netz mein 10gbit Notebook und Nas stehen habe, dann bleibt ja die pfsense eh außen vor und der Switch macht alles

Auch ne super Idee mit dem aggregation Switch. Ich werd deine vorachlage mal durchdringen. UniFi finde ich vom Ansatz echt super

Schade dass der Switch flex ng kein sfp+ hat.
Weißt du wie laut der switch pro 24 und der Switch xg 16 ist?
Erstes Gefühl ist, wenn der Switch xg 16 von der Lautstärke vertretbar ist, den zusammen mit nem Switch Enterprise 8 Poe - dann hab ich es ja eigentlich. Dann kann ich noch nen unify ap direkt über Poe versorgen, was super ist und vielleicht nochmal irgendwann eine Camera

Vielen Dank!

@eyetap said in Teils lange Ladezeiten von Websites und hohe DNS Antwortzeiten:

Welche Werte haltet ihr denn für die Failover-Detection für vernünftig...?

Die Standardeinstellungen tun es vollkommen.

@eyetap said in Teils lange Ladezeiten von Websites und hohe DNS Antwortzeiten:

Für mich ist das Provider Gateway (= Provider Router) das erste Teil das dem Provider gehört und ohne das ich hier nicht ins Internet komme

Niemand hindert dich daran, das so zu definieren, aber dann darfst du dich auch nicht wundern, wenn dich Texte, die von einer sinnvollen Definition ausgehen, verwirren. Im Handbuch steht jedenfalls absolut unmissverständlich, wie es gemeint ist:

By default the gateway monitoring daemon will ping the gateway IP address. This is not always desirable, especially in the case where the gateway IP address is local, such as on a cable modem or fiber CPE. In those cases it makes more sense to ping something farther upstream, such as an ISP DNS server or a server on the Internet. Another case is when an ISP is prone to upstream failures, so pinging a host on the Internet is a more accurate test to determine if a WAN is usable rather than testing the link itself. Some popular choices include Google public DNS servers, or popular web sites such as Google or Yahoo. If the IP address specified in this box is not directly connected, a static route is added to ensure that traffic to the Monitor IP address leaves via the expected gateway. Each gateway must have a unique Monitor IP address.

@eyetap said in Teils lange Ladezeiten von Websites und hohe DNS Antwortzeiten:

ob die pfSense nicht leider doch eine Nummer zu groß/komplex für mich ist.

Einfach weniger an den Standardeinstellungen rumpfuschen und nicht versuchen, alle Probleme auf einmal lösen zu wollen.

@bosco Für beste Kompatibilität würde ich versuchen eine X710 zu bekommen. 2-Port SFP+. Ist allerdings leider auch durch die aktuelle Logistiklage nicht gerade billig und ziemlich im Preis geklettert. Zudem ist das eine PCIe x8 Karte (PCIe gen3).

Netgate selbst verbaut in den höheren Geräten inzwischen statt Chelsio wieder Intel X710(BM) nachdem es mit den kleinen Chelsios aber auch den mittleren Intels (5xxer) zwischendurch mal Trouble mit Treibern gab. Somit dürfte man mit den X710(BM) den sichersten Griff machen, der garantiert unterstützt und ordentlich supportet wird.

Cheers

@orcape said in Hinter OpenVPN Client Geräte ansprechen:

@jegr Man muss nicht alles verstehen, wobei 2 x NAT nicht sein müsste. ;-)

Es geht hier nicht drum ob das gut oder schlecht ist, sondern dass ich schlicht hinterfrage, ob das Sinn macht und woher die Probleme kommen. Wenn ich nen Euro für jedes verschrobene Setup bekäme dass ich während der Woche auf Arbeit sehe wäre ich jetzt reich.

Darum habe ich den OT gefragt, was ich gerne wissen würde um zu verstehen was er da tut und warum. Nicht um irgendwelches Raten und Schätzen oder Glaskugellesen zu starten. Sondern um konkret zu wissen: wie wo was, denn dann kann ich auch am Besten was zu beitragen, wie man das am Einfachsten konfigurieren kann. Nutzt keinem wenn hinterher rauskommt "oh ups, wäre auch viel einfacher gegangen".

Cheers

@slu said in Neuinstallation 2.6.0 mit ZFS und einer SSD (NVMe) - TRIM aktivieren?:

Hab seither noch keine Erfahrung mit ZFS, muss erstmal herausfinden wie man den Status heraus bekommt.

Wenn ich diesen Thread richtig verstanden habe müsste TRIM automatisch aktiv sein:
https://forum.netgate.com/topic/112410/ssd-zfs-enable-trim?_=1654852746290

[2.6.0-RELEASE][admin@pfSense.home.arpa]/root: sysctl -a | grep _trim kern.cam.nda.max_trim: 256 kstat.zfs.misc.zio_trim.failed: 0 kstat.zfs.misc.zio_trim.unsupported: 0 kstat.zfs.misc.zio_trim.success: 1312 kstat.zfs.misc.zio_trim.bytes: 35938304

@viragomann
Ok, da merkt man wieder, dass man nicht zu lange auf Zahlen starren sollte. Du hast vollkommen Recht. Die .80 ist die Netzadresse und nicht das Gateway. Das hatte mir zwar Vodafone so per Telefon auf meine Anfrage mitgeteilt, konnte gerade aber anhand einer weiteren FAQ von Vodafone zu deren Netzen und deinem Hinweis daraus schliessen, dass ich hier kein Gateway unter der .80 nutzen kann. Danke dir!

@karsten said in OPENVPN kein reconnect after reboot:

Ich habe das LOG-Level hochgedreht. Da kam dann auch die neue Meldung zum Vorschein :-)

Ahh, alles klar.

@toddehb said in Upgrade auf APU nicht möglich:

Du hast da vielleicht unwissentlich zur Lösung beigetragen ;-) Habe im Package Manager Snort geupdated. Lief einwandfrei durch. Danach konnte ich auch das Systemupdate machen. Evtl. hat das vorherige Updaten den Knoten irgendwie gelöst. Mir soll es recht sein. :-)

Auf 2.6 sollte man nicht nach Möglichkeit nicht einfach "updaten" sondern neu installieren. ZFS ist jetzt das Default Filesystem und es gab etliche Änderungen und Neuerungen im Filesystem Aufbau, den Datasets und den Einstellungen dafür wie bspw. auto-Kompression bei /var/log etc. etc.

Daher: 2.6 Update-installieren sonst bekommt man das neue FS Layout nicht mit.

Hallo,
der Techniker war da, die Leitung hausintern hat ein Problem. Das wird noch was werden...
Sei's drum, die TAE-Dose wurde wenigstens gewechselt, die Abbrüche wurden dadurch schonmal seltener. Eben war's wieder so weit, kurzer Aussetzer und nach dem gateway-change war die WebGUI nicht erreichbar.
https://<meineip>/status_logs.php ist ebenfalls nicht erreichbar gewesen.

Zur Hardware:

CPU:
Intel(R) Core(TM) i5-7200U CPU @ 2.50GHz
Current: 2400 MHz, Max: 2601 MHz
4 CPUs: 1 package(s) x 2 core(s) x 2 hardware threads
AES-NI CPU Crypto: Yes (active)
QAT Crypto: No

Version:
2.6.0-RELEASE (amd64)
built on Mon Jan 31 19:57:53 UTC 2022
FreeBSD 12.3-STABLE

RAM: 16 GB

installierte Packages:
bandwidthd
openvpn-client-export
RRD_Summary
Status_Traffic_Totals

Nach nem Gateway-Change kann es übrigens passieren, dass der DNS-Resolver nicht mehr funktioniert, das war auch bei mir der Fall. Wird in Version 2.7 gefixt sein. Hab deshalb erstmal auf den DNS-forwarder umgesattelt. Brachte aber keine Besserung bezüglich der Erreichbarkeit der WebGUI.

@enjoyit Ich setze leider keine pfsense ein, habe hier nur geschrieben, weil das Problem das Gleiche war. Betroffener Router war eine be.IP (bzw. Digitalisierungsbox Premium).
Aber das was @NOCling geschrieben hat, klingt sinnvoll. Laufen denn die anderen Anschlüsse über IPv6?

@viragomann

Es war ein DNS Problem.
Habe ich zum Glück lösen können.

Vielen Dank für die Kommentare

@adminbaun said in OpenVPN Endian Site-To-Site tls-error, reconnecting:

May 19 11:09:39 openvpn 10803 Certificate does not have key usage extension

Das Problem habe ich schon öfter hier gesehen, aber Lösungen eigentlich immer nur auf Serverseite.

Hier ist ein Redmine Ticket dazu:
https://redmine.pfsense.org/issues/13056

Auf der Seite werden zwei Patches genannt, die beide installiert werden sollen: 48cf54f850c5bf4fe26a8e33deb449807e71c204, 47f2f4060d9e5b71c5c69356b61191fd2931383c

Ob das aber auch am Client hilft, weiß ich nicht.
In deinem Fall beklagt sich der Client, dass im gelieferten Server-Zertifikat die "Key Usage Extension" fehlt. Die kannst du natürlich nur am Server hinzufügen.
Falls das nicht möglich ist, lässt sich aber vielleicht am Client die Überprüfung deaktivieren, ev. mit diesen Patches.

Ist das alles schon gekauft und vorhanden oder ist noch Einflussnahme auf die Geräte möglich?

Ich würde mir eine klare Struktur, VLAN/Netz überlegen, also sprich das 3 Oktet ist dann die VLAN ID, das vereinfach vieles später im Umgang mit den einzelnen IP Bereichen.

Kommst du wirklich mit einem /24er für Mitglieder und Gäste aus?

Ich meine du solltest dir das hier offen halten, eine IP Änderung ist dann einfach.

Verwendest du z.B. 192.168.8.0/24 kannst du das später zu einem /21 hin umstellen, dann ist für Gäste halt die 192.168.16.0/24 das nächste Netz mit VLAN 16, welches du auch in eine /21er umstellen kannst wenn es mal zu klein wird.
Heise Netzrechner

Auf der pfSense legst du dann im Management, da reicht ein /24, dann Interface an und für die andere Netze dann VLANs mit Supinterfacen.
Dann einfach die beiden VLANs tagged auf den Port zur pfsense zuweisen und fertig.

Hast du viel Datenverkehr zwischen NAS und Clients, könnte auch ein LAG Sinn machen.
Habe ich hier mit meine HPs am laufen, bin ich vor x Jahren aber mit Netgear schon mal dran gescheitert.
Ich halte von dem Hersteller daher nicht mehr so viel.

@gtrdriver
Nein, was ich oben beschrieben habe, betrifft die Zielseite der Weiterleitung. Bei dir B, wie ich es verstanden habe. Ob das der Server oder der Client der VPN ist, ist nicht relevant.

Es gab allerdings eine pfSense Version, bei der das nicht funktioniert hatte. Die CE 2.5.1, wenn ich das richtig im Kopf habe.

Auf der A Seite ist nur eine Regel am WAN nötig, die den Zugriff auf die Ziel IP und Port erlaubt, falls nicht eine verbundene Regel im NAT verwendet wird.

Das glaube ich ja gerne aber ich habe noch keinerlei Erfahrung mit IPv6. Über kurz oder lang wird daran auch kein Weg vorbei führen.

Hallo,
@darkmasta said in IPSec Site-to-Site und Fernwartung Client über IPSec:

Die NAT Outbound Regeln sind auf "Automatic" gestellt, was mir das LAN Interface mit Port 500 bindet.

Gebunden wird da nix. Die Regel stellt sicher, dass der Quellport von Paketen, die aus dem LAN Netz kommen und Zielport 500 haben, beim Verlassen der pfSense nicht geändert wird.

Jetzt habe ich ein Gerät wo der Hersteller eine IPSec Verbindung von seinem Gerät zu sich aufbauen möchte (IPSec UDP 500 und IPSec+NAT UDP 4500).

Wie ist dieses Gerät mit der pfSense verbunden?
Wenn es im LAN angeschlossen ist, sollte es mit der automatischen Outbound NAT Regel funktionieren.

Kann ich die Firewall auf NAT Outbound "Manual" stellen und spezifisch für das Gerät den Port 500 und 4500 auf die WAN Adresse des Herstellers binden oder breakt danach alles?

Du meinst, die IP des Geräts als Quelle und die öffentliche IP der Gegenstelle als Ziel angeben? Ja, kann man machen, aber wofür?

Von außen erreichbar muss das Gerät nicht sein? D.h. es baut selbst die Verbindung auf, so wie ich es verstanden habe?

@micneu

Zunächst dachte ich, mein Mailserver hat was. Denn der Webmailer hat von extern ewig gedauert, bis sie geladen wurde. Dann habe ich am Desktop-PC einen Download angeschmissen und bin auf "nur" 200kbit gekommen. Ein Test über alle WANs hinweg hat ungefähr dieses Ergebnis gebracht, jedoch nicht mehr. Manchmal ist auch kein Traffic möglich.

Ich komme übrigens auch in der Praxis auf 40 Mbit/s (im Telekom-Netz zuverlässig), da ich auf bis zu 47 Mbit/s komme.

@n300 Hatte da irgendwie ein Video zu gefunden mit VLAN setup für Container/Docker etc. auf der CLI, dort wurde das ganz gut abgehandelt, dass die UI da einfach Murks macht und die Dinge, die man braucht nicht zulässt und wie derjenige es dann auf der Console hinkonfiguriert. Vielleicht findest du das auch - war eigentlich recht gut gemacht, kam aber erst so bei ca. 2/3 des Videos.