@bob-dig said in Wireguard Newbee Fragen:

@toddehb said in Wireguard Newbee Fragen:

Yo, das ist mir durchgerutscht. Mist. So klappt es jetzt auch :-)

Na supi, dann waren ja die Mühen auf allen Seiten nicht umsonst.

:-) Dir besten Dank für die Unterstützung 👍

@bingo600 Removing is not an option - Nein, ist natürlich nicht ideal, aber warum nicht? Die Regeln gehen nicht verloren sondern bleiben vorhanden auch wenn das Interface temporär weg ist. Ist ja bei 2.4.x auch so dass das Ruleset nicht gelöscht wird. :)

Aber ja, scheint so, dass das schon gefixt wurde, ich kanns zumindest nicht konkret nachvollziehen.

@megalukas Aah jetzt :) Ich dachte jetzt du meinst Ports in der pfSense selbst (was bei bspw. der 2100 möglich gewesen wäre) aber klar, dann war das wohl ein Layer2 Problem :)

@unbekannt3 said in LWLcom DSL IPv6 über DHCP kein renewal:

Die Sense bekommt eine Adresse aus einem /64er Subnetz am WAN Interface zugewiesen und darauf dann mein /60er Subnetz geroutet, beides mit einer lifetime von 300.

Warum? 300er Lifetime hört sich für mich nach Quatsch an und viel zu kurz. Wenn ich da auf bspw. einer Fritzbox nachsehe, was da das Default Verhalten ist bei DHCP6 dann sehe ich da Zeiten in der Größenordnung 48h als Lease Time runtertickern. Zumindest wesentlich mehr als 300s. Das hört sich da schon entweder nach einer seltsamen/falschen Konfiguration an oder dass der ISP da Murks macht.

Da würde ich nochmal beim ISP selbst versuchen jemand technischeren an die Strippe zu bekommen, denn das klingt nicht gerade sinnvoll.

Cheers
\jens

@bob-dig das hat schon mal geholfen :) Die OpenVPN Server laufen wieder. Clients verbinden sich auch. Komm bloss noch nicht drauf. (Komm wieder drauf)

@gtrdriver said in Pfsense mit mehreren WAN´s /öffentlichen Ip´s - wie ausgehende "route" definieren:

Aber was ist mit Traffic der "nur raus geht" - also der Client im LAN möchte ohne dass er angerufen werde raus telefonieren - dann weiß er doch aber (sofern er in einem LAN hängt an dem mehrere externe IP´s hängen) nicht über welches er raus gehen soll

Telefonie ist zusätzlich nochmal ein ganz anderes Thema weil hier sehr oft andere Punkte noch mit reinspielen:

VoIP ist sehr oft Line-gebunden weil bspw. Telekom keine VoIP Anfragen via anderer Leitung annimmt, sondern nur aus dem gleichen Netz VoIP nicht einfach "so raustelefoniert", sondern es eine SIP Anmeldung gibt und dann logisch auch der Anruf über die gleiche Line wie der Login laufen muss

etc .etc.

Das ist ein extrem unpraktisches Beispiel, denn gerade bei SIP/VoIP gibt es oft kein Möglichkeit da ein Failover zu bauen aus den Restriktionen und Eigenheiten des Protokolls.

Wenns um Surfen o.ä. geht also die Verbindung von innen aufgebaut wird und es keine policy-based rules gibt, die irgendetwas anderes sagen, wird die Verbindung immer über das Default GW aufgebaut. Man kann aber als Default GW auch ein Failover GW (KEIN! Loadbalancing GW) hinterlegen, dann wird ein Fall wie "Line 1 down" eben problemlos abgefangen ohne dass man PBR rulesets bauen muss.

Wenn man ein (V)LAN spezifisch auf ein LAN mappen will, dann packt man hier beim entsprechenden LAN die Regeln mit definiertem Gateway rein und schon läuft auch ausgehend alles über bspw. WAN2. Wenn man das wirklich hart trennen möchte, passt man entsprechend die outbound NAT auf manuell an, damit dann gar keine Verbindung über WAN1 läuft.

Das ist aber alles eine Definitionsfrage, was genau wie laufen soll.

Cheers

@francoblanco
meinst du das ernst?
so wi ich es verstanden habe:

nutzt du die fritzbox als modem willst die webgui der fritzbox trotzdem aufrufen? macht ein vpn auf die fritzbox (geht das wenn die fritzbox ein modem ist)? hier im forum haben wir schon unzählige male das thema behandelt das man auf die webgui eines modems will, einfach mal die forum suche nutzen aber bitte erkläre mir das noch mal warum und wieso du die ports der fritzbox weiterleitest oder hast du einen expose-client eingetragen?

Bitte beschreibe mal genau was dein ziel ist

Und nochmals guten Abend in die Runde...

Da mir das ganze keine Ruhe mehr gelassen hat warum das mit PFSENSE nicht geht habe ich heute mit 2 Hardware PFSense Firewalls in einem kleinen Testaufbau den versuch widerholt und siehe da - da klappt das layer2 over OpenVPN...

Ich hatte die Config noch in einem Versuchsaufbau auf 2 Servern im RZ gespeichert -also hier exakt die gleiche Situation nachgestellt - geht nicht ...

Wollte fast schon wieder aufgeben und stoße zufälligerweise in einem anderen Zusammenhang (da ging es um OpenWRT auf ESXI) auf Mac Spoofing und das das auf ESXI per Default abgeschaltet ist.

Ok - also Mac Sppfing auf den beiden virtuellen NIC´s eingeschaltet und siehe da - LÄUFT !
Ohne Probleme - sofort auf Anhieb - auch DCHP via Bridge läuft sofort ohne mucken...

Also mal schnell ein paar Performance Tests gemacht und auch hier - Beigeisterung - ca. 30% niedriger als mit einer Layer3 S2S Bridge.

Da sich die Bridge in Pfasense als Interface integriert sind hier exakt die gleichen FW Regeln möglich - man kann also ganz wunderbar definieren wer mit wem und wer nicht ...

Nochmals zur Klarstellung - ich würde niemals auf die idee kommen eine klassische S2S Layer3 Verbindung damit zu ersetzten - darum geht es auch nicht - aber für unser Szenario - 3 Server an einem anderen standort zu betreiben -- mit quasi transparenter Netzwerk Bridge ist das jetzt optimal

Wenn jemand hier mal Bedarf hat - gerne melden.

Ansonsten - allen einen schönen Abend

@chri5 said in pfsense mit OpenVPN funktioniert mit mobilen Daten nicht, jedoch im WLAN:

ich gebe in den "Allgemeinen Einstellungen" die DNS-Server 8.8.8.8 sowie 1.1.1.1 mit und als Gateway die WAN Schnittstelle.

Die Server, die hier eingetragen sind, verwendet pfSense für eigene Zwecke. Zusätzlich stellt sie standardmäßig den DNS Resolver für die internen Clients, die je nach Konfiguration eben auch diese Server verwenden (Forwarding Mode) oder Root-Server.

Wenn der DNS Resolver oder der Forwarder läuft, kannst du in der OpenVPN Konfig auch die IP der pfSense selbst angeben, wenn du diese verwenden möchtest. Aber ja, du kannst da auch direkt externe Server eintragen.

@richie1985 sorry aber wenn eure user damit überfordert sind ihren benutzer namen/passwort einzugeben müsst ihr halt eure user besser schulen, das währe meine wahl. ich habe seit jahren nicht mehr viel mit windoof zu tun (war mal admin in einer windoof dominierenden umgebung ca. 100 Rechner), aber du kannst doch umgebungsvariablen nutzen (ich denke du bist ein windoof admin, dann wirst du ja schon wissen was ich meine)

PS: bei uns in der firma bekommen alle neuen kollegen am ersten tag eine schullung von ca. 1,5 stunden (von den administratoren) so gehen wir sicher das die benutzer optimal in ihren teams starten können (ich bin seit ca. 7 jahren admin in einer apple umgebung)

Ich würde hier anraten die komplette Struktur noch mal zu überdenken.

Statt mehrere P2s zu verwenden, kann man das mit einem gescheiten Netzkonzept erschlagen.

Setzt du z.B. auf Seite A statt 192.168.10.0/24 ein 192.168.0.0/20 ein, packst das in die P2, dann hast du hier 16 Netze mit 24er Maske die du direkt im Tunnel hast und dann auf der jeweiligen Seite sauber einsetzen kannst.
Reicht das nicht, dann halt ein /19 für jede Seite, das sind dann 32 Netze.

@sauerländer Statt "Permit Outbound" zum Beispiel "Alias Permit" auswählen.

Das Thema hat sich erledigt. Ich habe den Unifi Switch nochmal resettet, die gleichen Einstellungen eingetippt und nun funktioniert es wieder.

Danke für die Hilfe!

@europc Mit der Präfix ID hat das ganze nichts zu tun.
Trage mal unter dem WAN Interface MTU und MSS ein. Wenn Telekom dann MTU 1492, MSS 1452.

Wurde gerade hier abgehandelt.
https://forum.netgate.com/topic/172774/hilfegesuch-bei-telekom-vdsl-anschluss-mit-vigor167-und-pfsense/12

@jegr

Vielen Dank für die hilfreiche Antwort. Sind wieder sehr gute Punkte dabei, die ich noch nicht bedacht habe.

Budget ist eigentlich egal. Ich steigere mich gern rein und bin dann over the top :) aber muss Im sinnvollen Maße sein und darf nicht zu laut sein.

Guter Hinweis auch nochmal mit den Atom Prozessoren und der udm pro.
Fand die netgate 6100 gut, hatte letztens aber gelesen, dass die auf 2,5 gbit singlestream abgeregelt ist. Aber wenn ich Layer 2 im gleichen Netz mein 10gbit Notebook und Nas stehen habe, dann bleibt ja die pfsense eh außen vor und der Switch macht alles

Auch ne super Idee mit dem aggregation Switch. Ich werd deine vorachlage mal durchdringen. UniFi finde ich vom Ansatz echt super

Schade dass der Switch flex ng kein sfp+ hat.
Weißt du wie laut der switch pro 24 und der Switch xg 16 ist?
Erstes Gefühl ist, wenn der Switch xg 16 von der Lautstärke vertretbar ist, den zusammen mit nem Switch Enterprise 8 Poe - dann hab ich es ja eigentlich. Dann kann ich noch nen unify ap direkt über Poe versorgen, was super ist und vielleicht nochmal irgendwann eine Camera

Vielen Dank!

@eyetap said in Teils lange Ladezeiten von Websites und hohe DNS Antwortzeiten:

Welche Werte haltet ihr denn für die Failover-Detection für vernünftig...?

Die Standardeinstellungen tun es vollkommen.

@eyetap said in Teils lange Ladezeiten von Websites und hohe DNS Antwortzeiten:

Für mich ist das Provider Gateway (= Provider Router) das erste Teil das dem Provider gehört und ohne das ich hier nicht ins Internet komme

Niemand hindert dich daran, das so zu definieren, aber dann darfst du dich auch nicht wundern, wenn dich Texte, die von einer sinnvollen Definition ausgehen, verwirren. Im Handbuch steht jedenfalls absolut unmissverständlich, wie es gemeint ist:

By default the gateway monitoring daemon will ping the gateway IP address. This is not always desirable, especially in the case where the gateway IP address is local, such as on a cable modem or fiber CPE. In those cases it makes more sense to ping something farther upstream, such as an ISP DNS server or a server on the Internet. Another case is when an ISP is prone to upstream failures, so pinging a host on the Internet is a more accurate test to determine if a WAN is usable rather than testing the link itself. Some popular choices include Google public DNS servers, or popular web sites such as Google or Yahoo. If the IP address specified in this box is not directly connected, a static route is added to ensure that traffic to the Monitor IP address leaves via the expected gateway. Each gateway must have a unique Monitor IP address.

@eyetap said in Teils lange Ladezeiten von Websites und hohe DNS Antwortzeiten:

ob die pfSense nicht leider doch eine Nummer zu groß/komplex für mich ist.

Einfach weniger an den Standardeinstellungen rumpfuschen und nicht versuchen, alle Probleme auf einmal lösen zu wollen.

@bosco Für beste Kompatibilität würde ich versuchen eine X710 zu bekommen. 2-Port SFP+. Ist allerdings leider auch durch die aktuelle Logistiklage nicht gerade billig und ziemlich im Preis geklettert. Zudem ist das eine PCIe x8 Karte (PCIe gen3).

Netgate selbst verbaut in den höheren Geräten inzwischen statt Chelsio wieder Intel X710(BM) nachdem es mit den kleinen Chelsios aber auch den mittleren Intels (5xxer) zwischendurch mal Trouble mit Treibern gab. Somit dürfte man mit den X710(BM) den sichersten Griff machen, der garantiert unterstützt und ordentlich supportet wird.

Cheers

@orcape said in Hinter OpenVPN Client Geräte ansprechen:

@jegr Man muss nicht alles verstehen, wobei 2 x NAT nicht sein müsste. ;-)

Es geht hier nicht drum ob das gut oder schlecht ist, sondern dass ich schlicht hinterfrage, ob das Sinn macht und woher die Probleme kommen. Wenn ich nen Euro für jedes verschrobene Setup bekäme dass ich während der Woche auf Arbeit sehe wäre ich jetzt reich.

Darum habe ich den OT gefragt, was ich gerne wissen würde um zu verstehen was er da tut und warum. Nicht um irgendwelches Raten und Schätzen oder Glaskugellesen zu starten. Sondern um konkret zu wissen: wie wo was, denn dann kann ich auch am Besten was zu beitragen, wie man das am Einfachsten konfigurieren kann. Nutzt keinem wenn hinterher rauskommt "oh ups, wäre auch viel einfacher gegangen".

Cheers

@slu said in Neuinstallation 2.6.0 mit ZFS und einer SSD (NVMe) - TRIM aktivieren?:

Hab seither noch keine Erfahrung mit ZFS, muss erstmal herausfinden wie man den Status heraus bekommt.

Wenn ich diesen Thread richtig verstanden habe müsste TRIM automatisch aktiv sein:
https://forum.netgate.com/topic/112410/ssd-zfs-enable-trim?_=1654852746290

[2.6.0-RELEASE][admin@pfSense.home.arpa]/root: sysctl -a | grep _trim kern.cam.nda.max_trim: 256 kstat.zfs.misc.zio_trim.failed: 0 kstat.zfs.misc.zio_trim.unsupported: 0 kstat.zfs.misc.zio_trim.success: 1312 kstat.zfs.misc.zio_trim.bytes: 35938304

@viragomann
Ok, da merkt man wieder, dass man nicht zu lange auf Zahlen starren sollte. Du hast vollkommen Recht. Die .80 ist die Netzadresse und nicht das Gateway. Das hatte mir zwar Vodafone so per Telefon auf meine Anfrage mitgeteilt, konnte gerade aber anhand einer weiteren FAQ von Vodafone zu deren Netzen und deinem Hinweis daraus schliessen, dass ich hier kein Gateway unter der .80 nutzen kann. Danke dir!