@nocling said in Outgoing RFC1918 blocken aber 192.168.1.1 zulassen: Aber baut ruhig so Umleitungen ein Es geht doch hier um Verbindungen, die aus dem LAN Netz heraus in ein WAN seitiges RFC1918 Netz aufgebaut werden und nicht um den umgekehrten Fall. Welche Rolle soll da bitte der Haken bei Block private networks and loopback addresses auf dem WAN Interface spielen? Statt sich mit Floating Regeln ins Knie zu schießen, wäre es vielleicht sinnvoller, bei den Pass Regeln auf den jeweiligen LAN Netzwerken (HERDE, GAST, IOT) einfach mit Destination = !RFC1918 zu arbeiten und Zugriffe auf 192.168.1.1 nur vom (Management) LAN aus zu erlauben. Ich sag nur KISS.

@scxma said in externe mDNS Request nach Update auf 2.6.0: Ich habe jetzt sogar Netscans von der Firewall auf andere Ports. Kann es sein, dass meine Firewall während des Updates kompromittiert wurde? Kann ich mir, ehrlich gesagt, schwer vorstellen. Dennoch hätte mich die Ratlosigkeit an deiner Stelle schon zu einer Neuinstallation bewegt. Das Ganze sieht doch sehr suspekt aus. @nocling said in externe mDNS Request nach Update auf 2.6.0: Wenn es von der WAN IP der Sense ausgeht, kann es auch ein System dahinter sein was per NAT auf die WAN IP der Sense umgesetzt wird. Das passt jedenfalls für die mDNS Pakete nicht zu dem Log Eintrag "let out anything from firewall host itself". @scxma Zumindest Port 22 könntest du ja noch blockieren, wenn du weiter forschen möchtest, und überprüfen, ob hier ebenfalls die Firewall selbst die Quelle ist. Eine Erklärung für dieses Phänomen fällt mir aber nicht ein.

@jegr said in weieter Schutzmaßnahmen. Login-Versuche, IDS?: Extern nicht Port 22, sondern ggf. sowas wie 8022 oder 4022 o.ä. nutzen. Im Gegensatz zu "RDP o.ä. auf fremden Ports verstecken" ist das in dem Fall kein Security through Obscurity - es geht nicht um das stumpfe Verstecken des Ports in der Hoffnung dass es keiner findet - sondern darum die Standard Scanner, Bots und Trojaner die alle via tcp/22 rumkreiseln abzufischen. Ok, klingt logisch. Je mehr ich darüber nachdenke - was ja oft hilft - desto klarer wird mir dass ich SSH eigentlich nicht benötige. Ich bin in 99,99999% der Fälle mit einem meiner Linux-Laptops unterwegs und darauf ist die OpenVPN-Verbindung eingerichtet. Ich lasse 22 einfach zu. @jegr said in weieter Schutzmaßnahmen. Login-Versuche, IDS?: Sinnvoll bei egal welchem VPN wäre saubere User-Auth. Und das eher nicht mit dem integrierten Local UserDB, sondern schöner mit bspw. dem FreeRadius Package. Dann packt man die User, die sich per VPN anmelden dürfen via FreeRadius3 ins System Das werde ich mir definitiv anschauen. Das mit dem Radius-Server habe ich schon oft gelesen. Im Moment habe ich pfSense an den im LAN vorhanden ADS/LDAP angebunden. @jegr said in weieter Schutzmaßnahmen. Login-Versuche, IDS?: und schon kann man nicht "aus Versehen" einen User anlegen der Zugriff auf die Firewall/Dashboard hat. Geht recht flott das sowas passiert Das passiert mit an Sicherheit grenzender Wahrscheinlichkeit hier nicht. Wenn ich irgend etwas teste habe ich fast die gesamte Umgebung innerhalb einer virtuellen Umgebung lokal auf einem Rechner. @jegr said in weieter Schutzmaßnahmen. Login-Versuche, IDS?: Da bin ich gerade nicht up2date aber IMHO konnte das nach letztem Stand IPsec nicht auswerten. Selbst wenn doch - da will ich nichts unterstellen - halte ich IPsec für Client VPN für die denkbar schlechtere Wahl. Unflexibel, störrisch einzurichten gerade in hybriden Umgebungen, die nicht "nur Windows" o.ä. sind, Debugging und Fehlersuche sind ein Albtraum - sorry keine 10 Pferde bringen mich dazu ;) Das kann ich technisch nicht beurteilen aber bei OpenVPN will ich bleiben. Das nutze ich schon lange und funktioniert hier auf allen Plattformen (Linux, Windows, Apfel) ohne Probleme. @jegr said in weieter Schutzmaßnahmen. Login-Versuche, IDS?: Zusätzlich zu User-Auth per Radius würde ich noch Zertifikate mit rein nehmen und den Server+Clients mit Zertifikaten bespaßen. Wer dann noch eins draufsetzen will kann sein FreeRadius Password ersetzen durch PIN+TOTP mit ner App oder nem TOTP Token Generator, das kann man in FreeRadius auch recht einfach einrichten. Das werde ich mir anschauen. Gerade bei den Zertifikaten habe ich noch beträchtliche Wissenslücken :-( Ich kann mich nur ein weiteres mal für deine ausführliche Erläuterung bedanken!!!!! Beste Grüße und ein schönes Wochenende

HA! Ich habs gelöst und wenn man sich das so anschaut ist es mega easy und macht total Sinn. :-) Hier also meine Config für die Nachwelt und alle die das vielleicht mal suchen. Daten vom VoiP Anbieter: [image: 1647634661283-f2bf3e61-b920-4f32-81e0-2546890982dc-image.png] Alias-Einträge anlegen: [image: 1647634698289-2b381f89-b1a2-435a-b35a-3c1fa6c24053-image.png] Eingehend: [image: 1647634722186-c14f98c4-4fc4-40c3-9f66-bdd57eb079d6-image.png] Details SIP: [image: 1647634739370-4fc0a206-c252-4895-b00b-71d4827d17d9-image.png] Details RTP: [image: 1647634749816-f2e2ab59-0734-492a-bbab-31a48595f092-image.png] Regeln: [image: 1647634813115-6027a4d9-11ad-4ed9-be26-cd922a4dcc9a-image.png] Details SIP Regel: [image: 1647634828819-c72b66e4-69fe-4c78-86ff-bc6140ad9ba1-image.png] Details RTP Regel: [image: 1647634849715-355b7af5-4dfe-4e0d-bb70-ccee91305850-image.png] Ausgehend: [image: 1647634883334-0a4911d4-d0aa-44a8-8dc4-5eb357377180-image.png] Detaiils Ausgehend: [image: 1647634908590-a8cf4d32-6dac-4413-b01a-5e48d395384d-image.png] In der Fritzbox: FritzBox läuft bei mir nicht als Router sondern als ?Client? [image: 1647635234576-1e0ea746-823f-48df-a19a-6aec5fc0a22b-image.png] Rufnummer definieren: [image: 1647635059058-5f11fc76-f54a-4fb1-b635-0a36e943866b-image.png] [image: 1647635093080-8425a60d-2b27-49f2-a634-89e8c8a76563-image.png] Auf den Rest der Config in der Fritzbox gehe ich jetzt nicht näher ein. Vielen Dank für Eure Unterstützung. Ich lass es jetzt mal Klingeln. :-)

@bob-dig said in Umstieg auf IPv6: @jegr I don't get it, where is the problem JeGr? Aber hey, ich liebe meine dynamischen Prefixe und als Konsument werd' ich auch nichts andere mehr haben. Dass du NULL Kontrolle hast, was die ein komischer Provider für nen Prefix zugesteht oder nicht solang der nicht klar vertraglich statisch zugewiesen wird. Sieht/sah man allein am Desaster der FritzBoxen schon. Eigentlich müssen ISPs /56er rausgeben, dann ists oft doch nur nen /60er und die Fritzen geben dann mal je nach Firmware nen /62er oder doch nen /60er durch, das ist doch Kinderkacke. Kann doch nicht sein dass jeder einfach in die Adressvergabe von v6 reinscheißt und am Ende muss man dann mit der Grütze "leben" weil man ja eh nur Endkunde ist? Ne, sorry. Sehe ich anders. Und die abgeranzten Scheinargumente von wegen "alles nur für den Kunden, mehr Datenschutz, mehr Privacy blabla" können sie gern behalten und selbst futtern. Würden Sie aktiv was "FÜR" den Nutzer tun, hätte sie schon vor Jahr(zehn)ten der RFC Vorlage zugestimmt, in der vorgeschlagen wurde, dass man dem Kunden zwei Prefixe zur Verfügung stellt. Ein dynamischer Part und ein statischer Part. Aber letzten Endes gehts nur darum den Kunden einzuschränken und zu gängeln so gut es geht, damit man ihm genau das als teureren Tarif, Geschäftskunde oder sonstigen Murks verkaufen kann. Muss man nur mal nen Blick über die Grenzen werfen zu Providern in NL oder CH, wo nicht nur Geschwindigkeiten "normal" erhältlich sind, wo einem vor lauter Schnelligkeit schon schlecht wird, sondern auch IP4/IP6 Vergabe völlig entspannt ist. Es geht wenn man will. Solang da aber jeder seinen eigenen Murks weiterbasteln darf und jetzt noch durch Kabel und FTTH planlose Neueinsteiger in den Markt dazu kommen, die sich dann den Scheiß abschauen (blabla "Das ist doch Indusriestandard...") und dir PPPoE über ne Glasfaser mit Zwangstrennung und dynV4 und V6 verkaufen wollen, wird das weiterhin Hinterhof Niveau bleiben. Klar hast Du mehr Privatsphäre, so wie mit dynamischen IPs auch. Wer ständig die selbe IP hat, brauchst sich über die Vorratsdatenspeicherung nicht beschweren. Nonsense. Deine IP ist eines der am wenigsten aussagekräftigen Merkmale der Verbindung. Browser, Tracking Cookies und andere Merkmale sind wesentlich höher geranked. Wenn du mal mit ner Advertising Klitsche sprichst wie deren Code ackert ist ne IP Adresse pillepalle. Die wissen, dass du immer aus deinem T-Offline/whatever IP Kreis kommst, also wissen sie auch aus welcher Ecke du kommst, abgeglichen mit Zusatzmerkmalen bist du ruckizucki auf >90% Wahrscheinlichkeit der Identifikation. Der Zug dass das die Mega Idee ist für mehr Datenschutz ist schon Anfang 2000er abgefahren. NAT und dynamic IPs sind weder privacy noch Datenschutz Maßnahme. So habe fertig.

@kira12 habe mir zwar jetzt nicht den ganzen thread durchgelesen aber es ist relativ wichtig in der pfsense die duid statisch zu hinterlegen. leider hat die pfsense die angewohnheit, diese sonst bei einem neustart neu zu setzen und hier wird wohl das modem bzw vodafone dann das problem sein. gerade wenn du eine feste IP gebucht hast.

@radioman2000-radioproduktion said in Deutsche Glasfaser am pfSense: Hallo in die Runde, nächsten Monat geht es endlich los und der DG-Anschluss kommt ins Haus (mit öffentlicer und statischer IPv4-Adresse). Brauche ich dazu noch ein Modem von der DG oder kann ich direkt vom NT an den pfSense gehen? Kommt denn dort "nur" Internet oder auch Telefon? Nur Internet: Dann kann man ein Modem organisieren und dann die pfSense dahinter betreiben. Internet und Telefonie Dann sollte ein Router wie zum Beisiel eine AVM FB verbaut werden, die auch die Telefone mit bedienen kann.

Hi, meines Wissens nach wird der Port 500 und 4500 UDP verwendet, diese sind auch im Log sichtbar. Wenn diese nicht geblockt sind, sollte es funktonieren.

@enjoyit said in Seit heute keine Verbindung mehr über VPN-IPSec zu drei Fritzboxen (Telekom-Netz): Edit: Es funktioniert nun wieder bei allen drei Boxen. Habe nix geändert... Klingt tatsächlich eher nach AVM, hatten wir leider auch schon häufiger trotz keiner Änderung.

@flo-0 Vielleicht lag es auch nur an dem Neustart, keine Ahnung, aber da ist die pfSense leider etwas merkwürdig bei IPv6.

Du kannst auch in der Sense auf LAN das Default GW setzen und dann alles darüber raus jagen was nicht aus dem Segment kommt.

Hallo, Komando zurück, klappt nun ohne das ich was geändert habe... danke ré

Schau mal ob das dieses Problem ist: https://forum.netgate.com/topic/121939/verbindungsabbr%C3%BCche pfSense Logs dann entsprechend prüfen. Ist aber ein recht langer Thread. ;-) -Rico

@haithabu84 for openvpn look here: openvpn-external-crl-automatic-renewing-openvpn-restart So... you could download the CRL with Curl, transfrom it in x509 and drop it where it is needed.

Bei mir ist die pfSense als Resolver für DNS konfiguriert. Für VOIP ist nur eine Outbound NAT Rule mit Static Port definiert, keine Portweiterleitungen. Im IP-Telefon ist für die SIP-Konten DNS-NAPTR als Transport eingestellt (alternativ gibt es auch DNS-SRV), da die alte Auflösung über den A-Record von tel.t-onlne.de nicht mehr funktioniert. Keep-Alive ist bei 30 s. Bis jetzt habe ich noch keinerlei Abbrüche feststellen können.

@sub2010, stell den Limiter doch einfach mal auf 4 Mbit/s im Download und 1 Mbit/s im Upload, mach einen ganz normalen Speedtest auf speedtest.net und poste das Ergebnis hier. Sonst drehen wir uns noch zwei Wochen im Kreis.

@viragomann Das geht leider nur innerhalb einer Stunde nach dem Posting.

Ah ich war nur blind. Die Antwort steht direkt bei Reddit unter dem zitierten Beitrag, da war nur jemand zu faul zu suchen oder zu verlinken. Statement von kphilips: You know....you try to get a solid 8 hours of sleep and this is what you wake up to.....sips my cup of tea.....OK here we go: There is no super secret backdoor into your firewall and we certainly aren't going to just remote into your firewall (even if we could) without your permission, whether on pfSense CE or pfSense Plus. Anyone who has ever opened a TAC ticket that required us to remote in to take a look knows that we explicitly ask for access via a firewall rule from a specific source subnet on our network or we do a screensharing session, whichever the end user is most comfortable with. And if they're not comfortable with either, we do our best to accommodate. The point I was trying to make with the iTunes joke is that legal verbage is a funny thing. Kind of like those funny laws you hear about in a random town in Minnesota where you're not allowed to have a shark in a bathtub on your lawn after midnight or whatever. As an outsider looking in, I'd imagine being a person in legal is a lot of CYA, so what I was TRYING to say is don't mistake a random line in a EULA as maliciousness. I'm not a lawyer and nobody else that mods this subreddit from Netgate is either, to my knowledge. We're all volunteers who take time out of our day to provide answers to things like tech support questions. In fact, I'm responding to this right now outside of normal working hours for me. The reason I locked the other threads is because anyone here commenting on it, beyond what I've said, would be futile. Reddit isn't an appropriate place for these kinds of questions. If you're a Netgate customer who has questions about our products and the licensing for them, as I said, reach out to Netgate directly and ask. Our phone number and emails are right on our web site. I get it. Reddit, and the internet at large, LOVES drama and burns it like a red hot coal engine running down the tracks at 500 mph, but Netgate isn't big brother and we're not putting backdoor software into your firewall. I hope the above is enough to satisfy concerns. If it's not, I'm sorry and I encourage you to reach out via an appropriate channel. Like I said in my previous response I'm locking this thread as well (just like I said I would). Please refrain from trying to continue opening threads like this for the reasons above. I sincerely hope you all are having a wonderful weekend and a great day. Take care. Blumige Sprache beiseite gelassen, kurz zu den Punkten: ...remote into system...: Ja da hat er recht und das deckt sich mit unserer Erfahrung mit dem Netgate Team und den Supportern. Wenn die wirklich mal access anfordern (und das tun sie im Ticket gezielt nachdem sie Infos vorher anfordern etc., da wird nicht einfach gesagt ja wir machen alles selbst) dann gezielt von ihrem Support Subnetz und mit einem Extra User für sie damit es nachvollziehbar bleibt. Oder es gibt nen Screenshare mit dem Supporter. reach out to Netgate: Auch nicht falsch, wenn man eine EULA nicht abnicken will oder fragen dazu hat, dann meldet man sich eben bei der Firma. JA, natürlich kann man jetzt anführen, dass sie es doch einfach alles selbst hier posten sollen, aber ganz ehrlich, es wird gerade im Zuge der Plus Migration wieder so viel FUD und Kram betrieben, dass das mehrere Vollzeit Jobs wären, jeden Tag hier im Forum+Reddit+Twitter+whatever jede Sorge und jedes Gerücht zu entkräften. Und dann hat man noch die Aluhüte, die dann die Entkräftung nehmen um zu sagen "ja das wird jetzt aber extra hart dementiert, da MUSS dann ja was dran sein!!11elf". Ist halt wie die Covid-Diskussion, wenn jemand "seine Meinung" hat, wirst die Diskussion unsinnig, die Person findet dann immer irgendwas um sich ihren Standpunkt zu bekräftigen. Auf einen Punkt muss ich aber hinweisen: @nonick said in pfSense 2.6.0 oder pfSense+: Evaluator agrees to provide Netgate personnel full and free access to the Product, including remote access, subject to the Evaluator’s security regulations, for the purpose of observing the testing and performance of the Product. Da wird bspw. explizit genannt "Zugriff auf das Produkt - gemäß Vorgabe/Maßgabe/Security Policy des Testers! - zum Zwecke der Begutachtung des Tests und der Performance des Produkts. Gemäß den Vorgaben des Testenden ist hier im Regelfall der Knackpunkt. Wenn meine Vorgabe ist, mein Labor/Testumgebung ist heilig und da schaut keiner rein, dann schaut da keiner rein. Blöd gesagt. Der Punkt ist, es geht in dem zweiten Punkt explizit um einen "Testenden". Evaluator. Meiner Ansicht nach sichert man sich da ab, dass man ggf. mal anonyme Metriken anfrägt o.ä. wenn man von ner (großen) Firma "diverse" Testlizenzen angefragt bekommt. Ständig. Viele. Wenn mir bspw. FORD o.ä. ständig Anfragen reinschickt "need pfSense Plus testing/eval license for our new lab in Canada...", "our new lab in Germany...", "our new lab in Tokyo...", dann würde ich da auch reingrätschen und sagen Moooooment mal! 30 Labore mit CARP (x2 Lizenzen) rund um die Welt die "alle testen müssen"? Ich glaube nicht Tim! Und wie gesagt der erste Punkt mit dem Tracking/Disable Feature ist meiner Mutmaßung nach zweigeteilt. wird es um die NID und die Token Generierung gehen, was ja u.a. dann bei Paketupdates als User Agent mitgeschickt wird, damit man unterscheiden kann ob die Kiste das Plus Repo verwenden darf oder nicht. Das ist ja völlig legitim, kann aber eben getrackt werden wie ein User/Pass in der Repo URL auch geloggt werden kann. Daher muss das auch ins Legal Agreement dass man das weiß denke ich, dass es auch um zukünftige Absicherung geht, da man ja bereits (indirekt) angekündigt hat, dass es später auch Dienste geben könnte, die man noch "on top" auf die Plus zusätzlich anbietet/verkauft und diese müssen ja auch über eine Möglichkeit verfügen geprüft zu werden, ob man "noch Kunde von Plus+SuperDuperBlocklist" oder nur noch "Plus" Kunde ist. Also muss es "enable/disable" von Funktionen geben. Daher bin ich auch hier eher pragmatisch und sage "wird wieder viel Lärm gemacht um wenig Background". Ich kann das Fass gern mal versuchen über den Partner Channel/Mail aufzumachen, aber ich denke wie ausgeführt eher, dass es hier um "Legaleese" (Rechtsverdreher-Arsch-an-die-Wand-Formulierungskram) geht als um hands down Drama Facts. Cheers und take care! \jens