@chri5 said in pfsense mit OpenVPN funktioniert mit mobilen Daten nicht, jedoch im WLAN: ich gebe in den "Allgemeinen Einstellungen" die DNS-Server 8.8.8.8 sowie 1.1.1.1 mit und als Gateway die WAN Schnittstelle. Die Server, die hier eingetragen sind, verwendet pfSense für eigene Zwecke. Zusätzlich stellt sie standardmäßig den DNS Resolver für die internen Clients, die je nach Konfiguration eben auch diese Server verwenden (Forwarding Mode) oder Root-Server. Wenn der DNS Resolver oder der Forwarder läuft, kannst du in der OpenVPN Konfig auch die IP der pfSense selbst angeben, wenn du diese verwenden möchtest. Aber ja, du kannst da auch direkt externe Server eintragen.

@richie1985 sorry aber wenn eure user damit überfordert sind ihren benutzer namen/passwort einzugeben müsst ihr halt eure user besser schulen, das währe meine wahl. ich habe seit jahren nicht mehr viel mit windoof zu tun (war mal admin in einer windoof dominierenden umgebung ca. 100 Rechner), aber du kannst doch umgebungsvariablen nutzen (ich denke du bist ein windoof admin, dann wirst du ja schon wissen was ich meine) PS: bei uns in der firma bekommen alle neuen kollegen am ersten tag eine schullung von ca. 1,5 stunden (von den administratoren) so gehen wir sicher das die benutzer optimal in ihren teams starten können (ich bin seit ca. 7 jahren admin in einer apple umgebung)

Ich würde hier anraten die komplette Struktur noch mal zu überdenken. Statt mehrere P2s zu verwenden, kann man das mit einem gescheiten Netzkonzept erschlagen. Setzt du z.B. auf Seite A statt 192.168.10.0/24 ein 192.168.0.0/20 ein, packst das in die P2, dann hast du hier 16 Netze mit 24er Maske die du direkt im Tunnel hast und dann auf der jeweiligen Seite sauber einsetzen kannst. Reicht das nicht, dann halt ein /19 für jede Seite, das sind dann 32 Netze.

@sauerländer Statt "Permit Outbound" zum Beispiel "Alias Permit" auswählen.

Das Thema hat sich erledigt. Ich habe den Unifi Switch nochmal resettet, die gleichen Einstellungen eingetippt und nun funktioniert es wieder. Danke für die Hilfe!

@europc Mit der Präfix ID hat das ganze nichts zu tun. Trage mal unter dem WAN Interface MTU und MSS ein. Wenn Telekom dann MTU 1492, MSS 1452. Wurde gerade hier abgehandelt. https://forum.netgate.com/topic/172774/hilfegesuch-bei-telekom-vdsl-anschluss-mit-vigor167-und-pfsense/12

@jegr Vielen Dank für die hilfreiche Antwort. Sind wieder sehr gute Punkte dabei, die ich noch nicht bedacht habe. Budget ist eigentlich egal. Ich steigere mich gern rein und bin dann over the top :) aber muss Im sinnvollen Maße sein und darf nicht zu laut sein. Guter Hinweis auch nochmal mit den Atom Prozessoren und der udm pro. Fand die netgate 6100 gut, hatte letztens aber gelesen, dass die auf 2,5 gbit singlestream abgeregelt ist. Aber wenn ich Layer 2 im gleichen Netz mein 10gbit Notebook und Nas stehen habe, dann bleibt ja die pfsense eh außen vor und der Switch macht alles Auch ne super Idee mit dem aggregation Switch. Ich werd deine vorachlage mal durchdringen. UniFi finde ich vom Ansatz echt super Schade dass der Switch flex ng kein sfp+ hat. Weißt du wie laut der switch pro 24 und der Switch xg 16 ist? Erstes Gefühl ist, wenn der Switch xg 16 von der Lautstärke vertretbar ist, den zusammen mit nem Switch Enterprise 8 Poe - dann hab ich es ja eigentlich. Dann kann ich noch nen unify ap direkt über Poe versorgen, was super ist und vielleicht nochmal irgendwann eine Camera Vielen Dank!

@eyetap said in Teils lange Ladezeiten von Websites und hohe DNS Antwortzeiten: Welche Werte haltet ihr denn für die Failover-Detection für vernünftig...? Die Standardeinstellungen tun es vollkommen. @eyetap said in Teils lange Ladezeiten von Websites und hohe DNS Antwortzeiten: Für mich ist das Provider Gateway (= Provider Router) das erste Teil das dem Provider gehört und ohne das ich hier nicht ins Internet komme Niemand hindert dich daran, das so zu definieren, aber dann darfst du dich auch nicht wundern, wenn dich Texte, die von einer sinnvollen Definition ausgehen, verwirren. Im Handbuch steht jedenfalls absolut unmissverständlich, wie es gemeint ist: By default the gateway monitoring daemon will ping the gateway IP address. This is not always desirable, especially in the case where the gateway IP address is local, such as on a cable modem or fiber CPE. In those cases it makes more sense to ping something farther upstream, such as an ISP DNS server or a server on the Internet. Another case is when an ISP is prone to upstream failures, so pinging a host on the Internet is a more accurate test to determine if a WAN is usable rather than testing the link itself. Some popular choices include Google public DNS servers, or popular web sites such as Google or Yahoo. If the IP address specified in this box is not directly connected, a static route is added to ensure that traffic to the Monitor IP address leaves via the expected gateway. Each gateway must have a unique Monitor IP address. @eyetap said in Teils lange Ladezeiten von Websites und hohe DNS Antwortzeiten: ob die pfSense nicht leider doch eine Nummer zu groß/komplex für mich ist. Einfach weniger an den Standardeinstellungen rumpfuschen und nicht versuchen, alle Probleme auf einmal lösen zu wollen.

@bosco Für beste Kompatibilität würde ich versuchen eine X710 zu bekommen. 2-Port SFP+. Ist allerdings leider auch durch die aktuelle Logistiklage nicht gerade billig und ziemlich im Preis geklettert. Zudem ist das eine PCIe x8 Karte (PCIe gen3). Netgate selbst verbaut in den höheren Geräten inzwischen statt Chelsio wieder Intel X710(BM) nachdem es mit den kleinen Chelsios aber auch den mittleren Intels (5xxer) zwischendurch mal Trouble mit Treibern gab. Somit dürfte man mit den X710(BM) den sichersten Griff machen, der garantiert unterstützt und ordentlich supportet wird. Cheers

@orcape said in Hinter OpenVPN Client Geräte ansprechen: @jegr Man muss nicht alles verstehen, wobei 2 x NAT nicht sein müsste. ;-) Es geht hier nicht drum ob das gut oder schlecht ist, sondern dass ich schlicht hinterfrage, ob das Sinn macht und woher die Probleme kommen. Wenn ich nen Euro für jedes verschrobene Setup bekäme dass ich während der Woche auf Arbeit sehe wäre ich jetzt reich. Darum habe ich den OT gefragt, was ich gerne wissen würde um zu verstehen was er da tut und warum. Nicht um irgendwelches Raten und Schätzen oder Glaskugellesen zu starten. Sondern um konkret zu wissen: wie wo was, denn dann kann ich auch am Besten was zu beitragen, wie man das am Einfachsten konfigurieren kann. Nutzt keinem wenn hinterher rauskommt "oh ups, wäre auch viel einfacher gegangen". Cheers

@slu said in Neuinstallation 2.6.0 mit ZFS und einer SSD (NVMe) - TRIM aktivieren?: Hab seither noch keine Erfahrung mit ZFS, muss erstmal herausfinden wie man den Status heraus bekommt. Wenn ich diesen Thread richtig verstanden habe müsste TRIM automatisch aktiv sein: https://forum.netgate.com/topic/112410/ssd-zfs-enable-trim?_=1654852746290 [2.6.0-RELEASE][admin@pfSense.home.arpa]/root: sysctl -a | grep _trim kern.cam.nda.max_trim: 256 kstat.zfs.misc.zio_trim.failed: 0 kstat.zfs.misc.zio_trim.unsupported: 0 kstat.zfs.misc.zio_trim.success: 1312 kstat.zfs.misc.zio_trim.bytes: 35938304

@viragomann Ok, da merkt man wieder, dass man nicht zu lange auf Zahlen starren sollte. Du hast vollkommen Recht. Die .80 ist die Netzadresse und nicht das Gateway. Das hatte mir zwar Vodafone so per Telefon auf meine Anfrage mitgeteilt, konnte gerade aber anhand einer weiteren FAQ von Vodafone zu deren Netzen und deinem Hinweis daraus schliessen, dass ich hier kein Gateway unter der .80 nutzen kann. Danke dir!

@karsten said in OPENVPN kein reconnect after reboot: Ich habe das LOG-Level hochgedreht. Da kam dann auch die neue Meldung zum Vorschein :-) Ahh, alles klar.

@toddehb said in Upgrade auf APU nicht möglich: Du hast da vielleicht unwissentlich zur Lösung beigetragen ;-) Habe im Package Manager Snort geupdated. Lief einwandfrei durch. Danach konnte ich auch das Systemupdate machen. Evtl. hat das vorherige Updaten den Knoten irgendwie gelöst. Mir soll es recht sein. :-) Auf 2.6 sollte man nicht nach Möglichkeit nicht einfach "updaten" sondern neu installieren. ZFS ist jetzt das Default Filesystem und es gab etliche Änderungen und Neuerungen im Filesystem Aufbau, den Datasets und den Einstellungen dafür wie bspw. auto-Kompression bei /var/log etc. etc. Daher: 2.6 Update-installieren sonst bekommt man das neue FS Layout nicht mit.

Hallo, der Techniker war da, die Leitung hausintern hat ein Problem. Das wird noch was werden... Sei's drum, die TAE-Dose wurde wenigstens gewechselt, die Abbrüche wurden dadurch schonmal seltener. Eben war's wieder so weit, kurzer Aussetzer und nach dem gateway-change war die WebGUI nicht erreichbar. https://<meineip>/status_logs.php ist ebenfalls nicht erreichbar gewesen. Zur Hardware: CPU: Intel(R) Core(TM) i5-7200U CPU @ 2.50GHz Current: 2400 MHz, Max: 2601 MHz 4 CPUs: 1 package(s) x 2 core(s) x 2 hardware threads AES-NI CPU Crypto: Yes (active) QAT Crypto: No Version: 2.6.0-RELEASE (amd64) built on Mon Jan 31 19:57:53 UTC 2022 FreeBSD 12.3-STABLE RAM: 16 GB installierte Packages: bandwidthd openvpn-client-export RRD_Summary Status_Traffic_Totals Nach nem Gateway-Change kann es übrigens passieren, dass der DNS-Resolver nicht mehr funktioniert, das war auch bei mir der Fall. Wird in Version 2.7 gefixt sein. Hab deshalb erstmal auf den DNS-forwarder umgesattelt. Brachte aber keine Besserung bezüglich der Erreichbarkeit der WebGUI.

@enjoyit Ich setze leider keine pfsense ein, habe hier nur geschrieben, weil das Problem das Gleiche war. Betroffener Router war eine be.IP (bzw. Digitalisierungsbox Premium). Aber das was @NOCling geschrieben hat, klingt sinnvoll. Laufen denn die anderen Anschlüsse über IPv6?

@viragomann Es war ein DNS Problem. Habe ich zum Glück lösen können. Vielen Dank für die Kommentare

@adminbaun said in OpenVPN Endian Site-To-Site tls-error, reconnecting: May 19 11:09:39 openvpn 10803 Certificate does not have key usage extension Das Problem habe ich schon öfter hier gesehen, aber Lösungen eigentlich immer nur auf Serverseite. Hier ist ein Redmine Ticket dazu: https://redmine.pfsense.org/issues/13056 Auf der Seite werden zwei Patches genannt, die beide installiert werden sollen: 48cf54f850c5bf4fe26a8e33deb449807e71c204, 47f2f4060d9e5b71c5c69356b61191fd2931383c Ob das aber auch am Client hilft, weiß ich nicht. In deinem Fall beklagt sich der Client, dass im gelieferten Server-Zertifikat die "Key Usage Extension" fehlt. Die kannst du natürlich nur am Server hinzufügen. Falls das nicht möglich ist, lässt sich aber vielleicht am Client die Überprüfung deaktivieren, ev. mit diesen Patches.

Ist das alles schon gekauft und vorhanden oder ist noch Einflussnahme auf die Geräte möglich? Ich würde mir eine klare Struktur, VLAN/Netz überlegen, also sprich das 3 Oktet ist dann die VLAN ID, das vereinfach vieles später im Umgang mit den einzelnen IP Bereichen. Kommst du wirklich mit einem /24er für Mitglieder und Gäste aus? Ich meine du solltest dir das hier offen halten, eine IP Änderung ist dann einfach. Verwendest du z.B. 192.168.8.0/24 kannst du das später zu einem /21 hin umstellen, dann ist für Gäste halt die 192.168.16.0/24 das nächste Netz mit VLAN 16, welches du auch in eine /21er umstellen kannst wenn es mal zu klein wird. Heise Netzrechner Auf der pfSense legst du dann im Management, da reicht ein /24, dann Interface an und für die andere Netze dann VLANs mit Supinterfacen. Dann einfach die beiden VLANs tagged auf den Port zur pfsense zuweisen und fertig. Hast du viel Datenverkehr zwischen NAS und Clients, könnte auch ein LAG Sinn machen. Habe ich hier mit meine HPs am laufen, bin ich vor x Jahren aber mit Netgear schon mal dran gescheitert. Ich halte von dem Hersteller daher nicht mehr so viel.