@gtrdriver Nein, was ich oben beschrieben habe, betrifft die Zielseite der Weiterleitung. Bei dir B, wie ich es verstanden habe. Ob das der Server oder der Client der VPN ist, ist nicht relevant. Es gab allerdings eine pfSense Version, bei der das nicht funktioniert hatte. Die CE 2.5.1, wenn ich das richtig im Kopf habe. Auf der A Seite ist nur eine Regel am WAN nötig, die den Zugriff auf die Ziel IP und Port erlaubt, falls nicht eine verbundene Regel im NAT verwendet wird.

Das glaube ich ja gerne aber ich habe noch keinerlei Erfahrung mit IPv6. Über kurz oder lang wird daran auch kein Weg vorbei führen.

Hallo, @darkmasta said in IPSec Site-to-Site und Fernwartung Client über IPSec: Die NAT Outbound Regeln sind auf "Automatic" gestellt, was mir das LAN Interface mit Port 500 bindet. Gebunden wird da nix. Die Regel stellt sicher, dass der Quellport von Paketen, die aus dem LAN Netz kommen und Zielport 500 haben, beim Verlassen der pfSense nicht geändert wird. Jetzt habe ich ein Gerät wo der Hersteller eine IPSec Verbindung von seinem Gerät zu sich aufbauen möchte (IPSec UDP 500 und IPSec+NAT UDP 4500). Wie ist dieses Gerät mit der pfSense verbunden? Wenn es im LAN angeschlossen ist, sollte es mit der automatischen Outbound NAT Regel funktionieren. Kann ich die Firewall auf NAT Outbound "Manual" stellen und spezifisch für das Gerät den Port 500 und 4500 auf die WAN Adresse des Herstellers binden oder breakt danach alles? Du meinst, die IP des Geräts als Quelle und die öffentliche IP der Gegenstelle als Ziel angeben? Ja, kann man machen, aber wofür? Von außen erreichbar muss das Gerät nicht sein? D.h. es baut selbst die Verbindung auf, so wie ich es verstanden habe?

@micneu Zunächst dachte ich, mein Mailserver hat was. Denn der Webmailer hat von extern ewig gedauert, bis sie geladen wurde. Dann habe ich am Desktop-PC einen Download angeschmissen und bin auf "nur" 200kbit gekommen. Ein Test über alle WANs hinweg hat ungefähr dieses Ergebnis gebracht, jedoch nicht mehr. Manchmal ist auch kein Traffic möglich. Ich komme übrigens auch in der Praxis auf 40 Mbit/s (im Telekom-Netz zuverlässig), da ich auf bis zu 47 Mbit/s komme.

@n300 Hatte da irgendwie ein Video zu gefunden mit VLAN setup für Container/Docker etc. auf der CLI, dort wurde das ganz gut abgehandelt, dass die UI da einfach Murks macht und die Dinge, die man braucht nicht zulässt und wie derjenige es dann auf der Console hinkonfiguriert. Vielleicht findest du das auch - war eigentlich recht gut gemacht, kam aber erst so bei ca. 2/3 des Videos.

@nonick bei mir funktioniert das auch nicht. Daher würde mich dein Script sehr interessieren. Würdest du das teilen?

@kall32 said in Zugriff von Drittnetz auf VPN Gegenseite: Hab ich bei der NAT Regel was falsch eingestellt oder gibt es noch eine andere Möglichkeit? Klappt bei IPsec nicht, da das nicht hinhaut. NAT muss da in der Phase definiert werden. Aber du könntest versuchen eine zweite Phase 2 zu definieren, in der du als local NetzC einträgst, als NAT dann eine IP aus NetzA und als remote das NetzB. Je nachdem wie mäkelig die remote Seite ist, sollte die P2 dann trotzdem hochgehen, da die andere Seite nichts anderes sieht als bislang auch A->B da C durch das NAT nicht auftaucht. Aber das musst du ausprobieren :)

@loni7878 said in HA Cluster VPN: Wireguard wird m.E. in einem HA Cluster nicht unterstützt. Korrekt weil Wireguard kein "Interface" oder keine IPs kennt, sondern im Kernel alles frisst, was Netzwerk ist. @loni7878 said in HA Cluster VPN: Was wäre Eurer Meinung nach denn eine Alternative für das o.g. Setup. Das müsstest du definieren, was genau DAS Setup ist? Die beiden Verbindungen zu Netcup? RAS? Extern VPN zu Mullvad (wofür genutzt)? Wenn du etwas genauer beschreiben kannst, was du wofür nutzt und was als Kommunikationsverbindung gehen muss, kann dir geholfen werden. Ich denke aber das OpenVPN da konkurrenzlos sein wird. @loni7878 said in HA Cluster VPN: Ich würde auch noch 2 VPN Verbindungen zur Fritz Box einrichten wollen? Zu einer? Zur gleichen Fritzbox? Wohin und was tut diese Verbindung? Bzw. was ist ihr Zweck? Das ist gerade etwas unklar. @loni7878 said in HA Cluster VPN: Bzw. gibt es im HA Cluster eine Möglichkeit Wireguard weiter zu nutzen? Mehr schlecht als recht. Das Problem ist, dass Wireguard sich aktuell noch um keinerlei Quell-IP schert. Im blödesten Fall würden dann 2 WG Instanzen versuchen sich mit dem gleichen Peer zu verbinden oder du hättest das Szenario, dass die Verbindung auf dem nicht mehr korrekt laufenden Peer (erste Firewall) kleben bleibt während die zweite eigentlich übernommen hat. Aktuell ist das eher so "meh" möglich und auch nur, wenn du stabil für Site2Site Tunnel quasi für alles was du brauchst je 2 Tunnel baust und da on top dann sowas wie OSPF o.ä. drauf flanschst. Und das wäre dann doch für den Zweck ziemlich Overkill ;) Cheers

Vielen Dank, das hat tatsächlich geholfen. Ich habe jetzt im Client das Subnetz von /32 auf /24 geändert, jetzt funktioniert es ohne Probleme.

kenne ich den provider nicht solltest du von deinem provider informationen bekommen haben wie du deinen router/firewall einrichten sollst wenn du schreibst das ist ein modem meinst du damit dann einen medien konverter von glas auf ethernet? ich habe bei meinem provider keine modem (sonder wie schon geschrieben einen medienkonverter) und habe einfach meine sense drangehängt und muss die einwahl über pppoe machen. habe mir dein angehängtes dokment ein wenig angeschaut, steht doch alles drin was du machen musst (einfach die entsprechenden bereiche der doku abarbeiten wie z.b. pppoe). alles ganz simpel. den reste findest du unzählige male behandelt im forum (wie IPv6, dualstack, telefonie was alles noch auf dich zu kommt) einfach den wizard der sense durch arbeiten dann sollte danach deine sense laufen.

@marcfunk said in IPSEC, nur eine Seite erreicht die Netze: Die FritzBoxen sind eigenständige Router mit eigenem Netz und leiten Ports weiter. Das habe ich jetzt zu Exposed Host geändert - an beiden Seiten. Vorsicht vor den Fritzboxen und Port Forwardings bzw. Exposed Host. Gerade wenn die Fritze mal wieder semi intelligent versucht für ihr Netz"Home" die Geräte automagisch zu erkennen kommt da oft Murks bei raus. Da die Fritten auch selbst IPsec können, kann es sein, dass Port Forwards nicht reichen, das gab es in der Vergangenheit bei älteren Firmwares schon, dass dann IPsec einfach nicht weitergeleitet wurde. Was für ordentlichen exposed Host oft hilft: Fritz Port Forwarding und exposed host etc. löschen In der Netzübersicht/Homeview das Device, das die pfSense ist löschen Dann fix zum Forwarding/Freigabe Screen wechseln solang sie noch kein neues Gerät angelegt hat Exposed Host anlegen nicht auf ein "vorhandenes benanntes Gerät" sondern auf "IP Adresse" und manuell die IP eingeben, die die pfSense hat (hoffentlich eine STATISCHE!) speichern Klingt doof, aber wir hatten jetzt schon mehrfach Fälle auch mit neueren FBs hinter denen eine Sense hing, dass exposed Host eben nicht sauber geklappt hat und Ports verschluckt wurden etc. oder kein Ping lief Erst löschen dieses komischen MAC/ARP/IP Gerätewirrwarrs auf der Fritz und Anlegen des Exposed Hosts mittels IP (was sie blockt wenn es schon ein bekanntes Gerät gibt mit der IP, darum vorher löschen!) hat den Knoten gelöst und innerhalb von 1-2s ging plötzlich ein Dauerping und Verbindungstest von extern, der vorher konsistent gescheitert ist. Einfach als kleiner Tipp aus der Praxis

@slu Wenn du nicht offloadest eher nicht, da dann weder HTTP Header noch sonstige Dinge unverschlüsselt zur Verfügung stehen. Das Einzige IMHO ist der SNI Header der dann noch zu lesen ist um überhaupt die Zustellung zu machen. Für alles andere müsste er die Verbindung annehmen.

@nocling Danke Dir echt, das war der gordische Knoten ;-) Ich honk hab den Gateway nicht korrekt gesetzt. Der lag noch bei der UDMPro. Manchmal sieht man den Wald vor lauter Bäumen nicht und braucht ein weiteres Paar Augen. Vielen Dank nochmal und weiter frohe Ostern !

@nocling Danke für den Hinweis. Ja so hab ich es an sich jetzt eh gemacht. Ein Switch-Uplink (ich habe 2 ubiquiti EdgeMAX Switches) für das reguläre LAN und einen extra Port für die ganzen tagged VLANs. Funktioniert soweit bis jetzt prächtig [image: 1650049452054-8608c51c-4712-4e5e-b0b8-ef964ea3a941-image.png] [image: 1650049458809-3d159b7e-17b6-436e-9f46-57f97283acb7-image.png]

Die pfSense ist der Mittelpunkt des Netzwerks, ich bevorzuge für diese die .1, da sie das Gateway bereitstellte. Clients fangen bei mir bei der .11 an, bis .199, dann folgen Reservierungen für Geräte die ich im Regelwerk gerne mit einem Alias entsprechend hinterlegen können will. Du kannst, leider nur auf dem einen managed Switch alles sauber mit VLANs voneinander trennen. Willst du den dump Switch weiter verwenden, könntest du hier das Großraumbüro anschließen und dann mit einem Link weiter auf den Managed Switch in das entsprechende VLAN ( ist dann ein Access Port). Wenn hier jedoch feste Mitarbeiter sitzen, dann würde ich das schon trennen wollen, sprich meine Angestellten sind dann im Work VLAN und die Sharing Plätze im Share VLAN, letzte brauchen ja nur Internet und keinen Zugriff auf das NAS. Wichtig ist das du dir überlegst, wer in welches VLAN soll, dann hast du erstmal eine Aufteilung. Dann kennst du die Anzahl der VLANs, dann geht es weiter. Ich habe gern, dass das 3 Oktett zur VLAN ID Passt, also das Netz dann wie folgt aussieht. VLAN 1 ist dann 10.0.1.x VLAN 2 ist dann 10.0.2.x Wenn du einen VPN Tunnel mit jemandem anderen dauerhaft aufbauen willst, dann ist jetzt der richtige Zeitpunkt gekommen mit ihm zu sprechen. Denn noch kannst du deine IP Netze festlegen wie du willst, am besten so, dass jedes Netz nur auf einer Seite besteht, das erleichtert das Routing. Haben deine Mitarbeiter oder du Selber eine FritzBox im Heimnetz, dann ist 192.168.178.0/23 für dich Tabu, ebenso wie 192.168.0.0/24, welches die ganzen Speedport Kisten haben. Also ggf. ein 10er oder ein 172.16.x Netz aus der RFC1918 wählen. Clients laufen bei mir auf DHCP, besondere mit Reservierung, Server, NAS Systeme zählen dazu, wie auch Switche sind dann mit statischer IP konfiguriert. Denn diese muss ich auch bei einem Ausfall erreichen können. Wobei das, wegen dem Management Netzwerk inkl. VLAN dann komplexer ist. Hier kannst du dir z.B. einen Port auf dem Switch für den Notfall freihalten und dieser ist dann dem Management VLAN zugehörig.

@viragomann ich bin bisher davon ausgegangen, dass es zur Wahrung der Integrität der Antwort genügt, wenn der verantwortliche autoritative Nameserver DNSSEC unterstützt, aber jetzt, wo du nachfragst, bin ich mir nicht mehr sicher, ob das stimmt.

Naja die CAM Table von einem Switch ist da schon mal sehr Echtzeit. Da schaut aber nur ein NAC wirklich gern rein.

Stimmt, dachte aber (da der Patch aktiv ist), dass es eher nicht dieser Bug ist. Edit: Teste es dann trotzdem nach Möglichkeit nochmal!