@viragomann said in Drei Interface bridgen, problematisch?: Die Quelle ist aber any Hatte da 0.0.0.0 stehen, aber any hatte ich ja eh alles erlaubt. @NOCling Static route filtering hatte ich nicht aktiviert, aber es liest sich auch nicht so, dass das gebraucht würde. Ich habe ja nur der Bridge selbst eine IP gegeben, was eigentlich auch das einfachste sein sollte, sofern ich es richtig verstanden habe. Das ursprüngliche LAN existiert weiterhin außerhalb der Bridge. Mag sein, dass es an Hyper-V liegt bzw. dem internen VSwitch, welcher ein Interface der Bridge ist.

@viragomann Besten Dank die Lösung kann so simpel sein. Funktioniert einwandfrei.

@waeck said in pfSense mit allem Traffic über VPN zu Ubiquti: Unter Schnittstelle / PPP's kann ich eine neue "Verbindung" mit L2TP einrichten. Diese kann ich danach als neue Schnittstelle hinzufügen. Mit dem iPhone klappt die Verbindung zu Ubiquiti. Mit der pfSense leider nicht... Gibt es dafür evtl einen Tip? Diese Verbindung sollt. lt. Internet auch möglich sein. Ist zwar nur für einen Weg aber dies würde mir reichen... Habe aus einem Dokument entnommen, dass die nicht für "normale" VPN ist sonder für ISPs. *Q: Can I use pfSense's WAN PPTP feature to connect to a remote PPTP VPN? A: The pfSense WAN PPTP feature is for ISPs that require you to connect using PPTP. This feature cannot be used as a PPTP client to connect to a remote PPTP server to allow pfSense to route over the PPTP connection.* Somit geht diese Idee auch nicht... Schade!

@nocling Oh sorry. Hier das Update: [image: zLKxpod4kBigip6?x=1076&y=1293&a=true&file=FirewallCluster2.drawio.png&scalingup=0] Auf den Switchen wurde wie bereits geschrieben nichts konfiguriert

Hallo zusammen, ES FUNKTIONIEEEERT! Ich möchte mich bei euch allen bedanken. Es war eine Mischung aus Firewallregeln und dem Haken im Unifi Controller bei Guest Network. Habe ich einfach übersehen. Recht herzlichen Dank für eure Hilfe. Ich bin gerade sehr glücklich, dass das endlich funktioniert.

Kein Hitzefrei morgen - selbst Stelle, selbe Welle!

@benjaminbeckcsl said in PfSense Hetzner Dedicated Proxmox: Nun habe ich eine dritte IP. welche die 66.77.88.3 ist. Wie bekomme ich die da auch noch drauf? Dadurch dass das GW von Hetzner bsp. 66.77.88.14 ist kann ich kein 32er Netz nehmen. Was hat da genau das Gateway mit zu tun? So wie du das zeigst sind alle 3 IPs aus dem gleichen Netz? Dann haben die doch keine unterschiedlichen Gateways? Ansonsten was @viragomann sagt, wenn die alle aus dem gleichen Subnetz sind, dann wird die Subnetzmaske des Netzes genommen, nicht /32. Ansonsten IP Alias und let's go. :)

hier jetzt endlich auch Spoiler [image: 1659453908073-capture.png]

@jegr Die OSFP Konfig funktioniert mit Shared Key Tunnel, ich habe jetzt vier Clients mit je zwei Tunnel verbunden und keine Probleme damit. SSL/TLS hat noch Zeit, ich habe jetzt erstmal wieder andere Baustellen

@jegr ja, das hatte ich gelesen. Mache da nach jeder Änderung der Konfiguration ein reset. ... und wenn ich mit allem zweimal durch bin auch Mal einen Reboot :-)

@pixel24 Du hast nur einen Host Override gemacht. War das beabsichtigt? Du schriebst ja dass du *.lan.blah.club auf dem UCS aufgelegt hast. Du hast jetzt aber nur lan.blub.club konfiguriert mit der internen IP. Wolltest du nicht eigentlich alles mit *.lan auf den UCS umleiten? Ansonsten ist das gerade alles etwas wirr und wir müssten mal konkret festhalten, was von wo wie aufgerufen wird oder werden soll, und wo was geht und wo nicht :) Dann sieht man vielleicht einfacher wo das Problem herrührt. Ansonsten vielleicht einfach mal zur Usergroup mit dazukommen am nächsten Freitag (5.8.)? Oder wenns gar nicht geht vielleicht mal melden, vllt. kann ich ggf. direkt mal ein paar Minuten helfen. Cheers

Wenn sich in der GUI irgendwo irgendwas nicht speichern lässt, lag das bisher zu 99,9% an irgendwelchen Browser Plugins die da reinpfuschen. Die mal deaktivieren oder anderen Browser testen. -Rico

@nocling said in WebGUI über WAN-Adresse aus dem internen Netz erreichbar: Eine in der alle Ints drin sind und die definieren was hier wie bezüglich pfSense Host Zugriffen drin ist. Vorsicht nur davor, WANs in Gruppen zu packen. DON'T! Interne Netze - klar.

Ich habe es nun doch lösen können, indem ich ein VOLLBACKUP machte und dieses zurückgespielt habe. Doch der Reihe nach für alle die von IPFire nach PFSense wechseln und ebenfalls einen Haufen DHCP-Einträge haben. Ich beschreibe einen gangbaren Weg, andere mögen hieraus eine bessere Lösung finden. Vor der Umstellung auf PFSense kopiere von der Webseite des DHCP-Servers im GUI alle Einträge füge diese in Excel ein, dadurch bekommst Du eine Tabelle. importiere diese Tabelle in Access (oder eine andere DB Deiner Wahl) entwerfe einen Bericht, welcher der Vorgabe oben entspricht... ** und beim Öffnen in der Berichtsansicht alle Einträge als vorgegebenes XML anzeigt. Das geht sicher noch einfacher mit anderen Tools, aber so habe ich es gemacht. ;-) ** Kopiere alle Einträge aus dem Bericht und füge sie in einen Editor ein. Für Windows empfehle ich Notepad++ **Suche bei Google (oder einer anderen Suchmaschine) eine XML online validierung sseite und füge Dein XML dort ein. Beseitige alle Fehler, die gefunden werden. Lege bei PFSense einen Testrechner an. Gib ihm die MAC aa:bb:cc:dd:ee:ff und nenne ihn Testrechner, so kannst Du ihn im Editor suchen. Mache ein Fullbackup Deiner PFSense-Konfiguration und lade das XML herunter. öffne es im Editor und suche nach Deinen Testrechner Lösche diesen Eintrag beginnend mit <staticmap> und endend mit </staticmap> in die entstehende Lücke fügst Du nun den XML-Part mit Deinen Rechnern ein. Abspeichern und wieder von PFSense einlesen lassen. Danach macht das System einen Neustart, der länger dauern kann. Ich schau mal, ob ich meine "Access-Datenbank" hier einfügen kann. Bleibt aber dropsdem das Problem, dass Teilbackups nicht wieder eingelesen werden. Liebe Grüße, Denise DHCP.7z PS: Wie markiert man hier als "solved"? Ich konnte den Eingangsthread nicht editieren.

@n300 said in HILFE!! Config.xml is corrupted and is 0 bytes. Could not restore a previous backup.: vielen Dank für deine Info dazu. Ich bin ja schon mal froh nicht ganz der Einzige zu sein. Bin ja wie gesagt derzeit noch noch auf der "alten" 22.01 Release. Da ich schon länger nix neues mehr an Paketen installiert habe bin ich mir auch nicht 100%ig sicher, ob das pkg Problem ursächlich mit meiner korrupten config zu tun hat. Möglicherweise geht das auch schon nicht mehr, seit die 22.05 released wurde. Also wenn du auf nem sauberen 22.01 Reinstall bist mit ZFS, dann ist das Update auf 22.05 eigentlich kein großer Step mehr. Uns ist das um die Ohren gefetzt als wir von 2.6 auf 22.01 wechseln wollten. Obwohl ich das schon mehrfach bei Kunden gemacht habe ohne Problem. Das ist auf jeden Fall kein generelles Problem, da muss irgendwo noch ein Trigger sein der das mit auslöst. Das war auch nicht nur die PKG Database, denn nach einigem Basteln waren bei uns alle Pakete weg. Es wurde kein einzig installiertes Package mehr gefunden. Da war also irgendwas mit dem Dataset auf FS Ebene. Grundsätzlich läufts jetzt ja wieder - also die Firewall. Nur das mit dem pkg manager über die UI ist jetzt etwas unschön. Dann hast du nicht neu installiert? Würde ich dann auf jeden Fall noch machen, am Besten dann gleich direkt mit dem 22.05er Image und Config rein. Das ist am schnellsten. Aber das hickhack mit den Paketen heißt dass da trotzdem noch was nicht rund ist - daher würde ich auf jeden Fall neu aufsetzen, die 10min sinds wert :) Die LEDs haben da lt. Manual kein eigenes Muster. In der Doku steht auch sonst nix dabei, wie lange man warten soll. Soweit ich mich recht entsinne steht das aber in der Doku. Ich denke es müsste die erste LED sein, die langsam rot/orange leuchten/blinken sollte. Also sehr langsam an/ausgehen nicht schnelles blinken oder dauerleuchten.

@pronet36 MagentaTV wird mittelfristig auf IPTV umgestellt: https://www.telekom.de/magenta-tv/iptv Heißt dann auch unabhängig vom Internetanbieter (schön wenn man bspw. zu Hause mehrere Internetanbieter wegen Ausfallsicherheit hat) und nicht mehr über DSL oder Kabel eingespeist, sondern einfach als IP TV Datenstrom wie Netflix, Sky o.ä. eben auch: MagentaTV via IPTV bedeutet, über das Internet fernzusehen. Hinter der Abkürzung verbirgt sich der Begriff „Internet Protocol Television“. Die Übertragung findet also nicht über eine Satelliten-, Antennen- oder Kabelverbindung statt, sondern über den Internetanschluss und das unabhängig vom Anbieter.

@achim55 Eine definierte Dauer gibts nicht, aber OpenVPN hat bereits jetzt klar angekündigt, dass S2S mit Shared Key in OpenVPN 2.6 deprecated wird (also mit Warnung noch geht aber klar ist, dass das stirbt) und mit 2.7 rausfliegt. Da wir gefühlt recht wahrscheinlich bald 2.6 sehen könnten, ist das nicht mehr weit weg. Wie lang dann 2.7 dauert kann ich nicht sagen, aber am Ende: Ja wenn es aus OVPN 2.7 rausfliegt wird es nicht mehr funktionieren. Gar nicht. Egal wie mans dreht oder wendet. Darum steht die Ankündigung im OpenVPN Unterforum hier auch als große angepinnte Nachricht drin, dass man bitte keine S2S Tunnel mehr bauen soll. Es wird eine Alternative zu S2S-SK geben, die S2S-Cert Variante wird es aber weiterhin geben und darauf sollte man wechseln wenn man jetzt was Neues baut, da die Alternative/Nachfolge für S2S-SK noch nicht 100% feststeht. Das grobe Konstrukt ist zwar klar, aber es ist noch nichts, was man testen kann.

@benjsing Ich hab das bei mir etwas anders aufgebaut und daher mehr VLANs: 1 - ist tot, gibts nicht damit keiner Blödsinn macht 99 - Management, da ist alles mit Console, Management UI etc. drin. NAS UI, Proxmox UI, etc. (würde ich heute anders nummerieren, prinzipiell aber egal) 123 - Gast/WLAN: bekommt Internet, sonst nur Minimalzugriff und DNS und für bestimmte Clients (via WPA2-Enterprise Auth) Dashboards (IoT HA). Alle anderen nur WiFi/Internet mit geblockten IPs und gefiltertem DNS (via Infra DNSen) 270 - Infrastruktur: 2x DNS, Automatisierung, Monitoring, Logging, NAS, alles was zentral gebraucht wird 271 - LAN: Clients, meistens PCs oder Laptops, ggf. auch per WiFi und WPA2Ent Laptops. 272 - IoT: Kram der hoffentlich kein Netz braucht, HomeAssistant Control, MQTT, etc. 273 - Media: Kram der ganz sicher Internet braucht. Streaming Gedöns, Sonos Boxen, AndroidTV/Chromecast und so'n Kram 274-276 - Labs / frei 277 - Work: abisoliertes Testnetz mit direkter VPN Strecke zur Firma, nur aus dem Netz erreichbar, company DNS etc. Daher keine so starre Einteilung aber durch WPA2Ent und Radius based VLANs pushe ich die Clients dahin wo ich sie haben will.

@achim55 said in Umbrel und DMZ: PfSense läuft auf einem PC Engines ALIX Board, mit drei mal LAN. ALIX? Sicher?? Die ist uralt und überfordert und kann kein 64bit. Ich zweifle das stark an :) @achim55 said in Umbrel und DMZ: Im LAN läuft ein Raspberry mit Umbrel OS der von außerhalb erreichbar ist. Wie? Portforward? @achim55 said in Umbrel und DMZ: Ich weiß jetzt nicht wie sicher diese Konstellation ist und wollte den Raspberry an die dritte, noch freie, Schnittstelle von dem ALIX Board hängen. Hier dann ein DMZ damit er vom LAN getrennt ist. Spräche nichts dagegen :) Kommt halt drauf an was/wie/wo man erreichen will. Dann Regeln entsprechend und gut :)

@nocling heute Morgen hat es wie durch ein Wunder von selbst geklappt. Ne Nacht drüber schlafen hilft also doch ;-)