@tobi Nochmal

Dein TUNNEL Netzwerk DARF sich nicht mit einem lokalen Netz überlappen. Das TUT es aber!
Nimm für dein Tunnelnetz IRGENDWAS anderes. 10.20.30.0/24 völlig egal. Das ist lediglich das Netz, was deine Clients nach der Einwahl bekommen.

Sinnvoll packt man das einfach mit dazu in den Range, den man sich definiert mit dazu, für den Fall dass man mal nen Tunnel baut und man dann eine schöne große Netzmaske macht, in der alle Netze - auch VPN - mit drin sind.

Aber es dürfen keine Netze doppelt vergeben sein! Schon gar nicht wenn da Tunnelnetz mit Uplink zur Fritze kollidiert. Das ist mal ganz mies. Das "funktioniert" aktuell gerade so mal eben weil deine Fritze nicht auf .1 oder .254 liegt sondern auf irgendeiner komisch krummen IP .118 und .10 die Sense ist. Da hast du einfach nur Glück gehabt, weil OpenVPN sich dann automatisch .1 und .2 vom Tunnelnetz klaut und es deshalb zu keiner IP Kollision kommt.

In jedem normalen Netz was .1 oder .254 als Gateways nutzt wäre dir die Konfiguration schon beim Einrichten mit Anlauf um die Ohren geflogen 😁

@papa_joe said in Konfiguration sichern/rückspielen und/oder Festplatte klonen ?:

Ich habe keine Ahnung was da im Hintergrund passiert, bzw. auf was da so ewig gewartet wird. Über Hinweise - vielleicht auch zum ganzen Verfahren - bin ich dankbar.

Kann man ohne Diagnose bei dir im speziellen Fall nicht sagen.

Das ist nicht das normale Verhalten und passiert so auch nicht. Was bei einem Full Restore natürlich passiert ist, dass sämtliche Config wieder hergestellt wird und damit auch Fehler die ggf. im laufenden Betrieb nicht aufgefallen sind sondern erst bei einem Neustart. Also ggf. sowas wie fehlerhafte DNS Konfiguration o.ä.

Ansonsten wird im Anschluß an die Installation darauf vertraut(!), dass man Internet sauber anliegen hat, damit etwaige installierte Pakete in der Config wieder geladen, installiert und konfiguriert werden können. Wer also einen full restore macht ohne Internet wird da potentiell weniger Spaß haben, weil die Installation dann im Limbo hängt weil sie kein Netz findet und keine Pakete nachladen kann.

Mehr bekommt man aber nur via Console und Logfiles raus, alles andere wäre Raten oder Astrologie ;)

@viragomann

Ja das Problem sitzt ja immer vor dem Bildschirm ;-)
Der Fehler war das umbennen.. keine Ahnung warum ich das vor Jahren gemacht hatte.
Danke dir!

@ihaveastream
🙄
Das erste, das der first level Support einem User empfiehlt. 😜

@eyespeak
Du wirst natürlich nach einer Umsetzungsmöglichkeit für Nginx suchen müssen. Ich habe mal eine solche gesehen und sie sieht ganz ähnlich aus.

Ich habe bei Apache die Module proxy und proxy_http installiert.
Die Konfig für meinen Photovoltaik Wechselrichter sieht dann so aus:

# Photovoltaik Proxy <VirtualHost *:80> ServerName pv-meine.domain.eu ProxyPass / http://10.50.10.6/ retry=1 timeout=50 ProxyPassReverse / http://10.50.10.6/ </VirtualHost>

Auf ProxyPass folgt das virtuelle Verzeichnis des VHosts (/), das auf den Proxy geleitet werden soll und dahinter die Ziel-Adresse. Hier kann auch ein spezieller Port mitgegeben werden. retry und timeout sind optional. Mein Wechselrichter schaltet aber nachts ab und ist damit nicht mehr erreichbar, daher sind diese Angaben hier ganz sinnvoll.

TLS Offloading mache ich nicht, sollte aber auf gleiche Weise funktionieren, nur dass dem VHost noch eine Zertifikatskette zugewiesen werden muss.

Nutzt du zufällig Collabora Online oder ein anderes Plugin in Dokker in Nextcloud?
Das wird nämlich auch über ein Proxy ungebunden. Die Konfiguration dafür habe ich mir im Netz gesucht. Diese hat mich für die Einrichtung der weiteren Proxys inspiriert.
Und eben genau in diesem Zusammenhang bin ich auf Nginx-Konfigurationen gestoßen.

Wenn du aber nach einer Lösung für HAproxy suchst, könntest du bei der Nextcloud Community eher Erfolg haben als hier.

IPv4 oder auch IPv6?

Für erstes reicht ein Alias in den alle RFC1918 Netze rein kommen.
Dann kommt ein Deny auf diesen Alias in das LAN Netz.
Netz zu Netz Zugriff musst du dann davor regeln, also freigeben.

Unter die RFC1918 Regel dann eine Regel die IP auf any erlaubt im LAN für Internetzugriff.

IPv6 wird ein wenig komplexer.
Weil Clients hier 3 IPs gleichzeitig haben.

Danke erstmal @JeGr !

Funktioniert seit gestern problemlos. Ich habe sogar das Gefühl, dass die Browser auf dem Handy schneller laufen.

Ich beobachte gerade noch, ob so auch die Fritz Geräte endlich mit Ihrem NTP arbeiten können, ohne dass dies immer extra freigegeben sein muss wie bisher.

@dogfight76 und zu deinem problem mit nordvpn.
ich hatte 3 jahre lang nordvpn am laufen, lief ohne probleme nutze es aber nicht mehr deshalb keine möglichkeit mehr wie ich es konfiguriert hatte.

PS: du solltest deinen grafischen netzwerkplan nochmal anpassen (wirst du hier öfter brauchen). denn wenn die fritzbox dein modem ist gehört es vor dein internet und dann erst die sense oder nicht?

hier nochmal für dich als einsteiger wie du ordentlich fragen stellst :)
https://forum.netgate.com/topic/154920/wie-stelle-ich-fragen-damit-man-mir-helfen-kann/1

@jegr said in mDSN/ avahi/IGMP - ich verstehe nur Bahnhof :( (Sky Q über VLAN Grenzen erreichen):

Wenn ich einen Dienst habe der potentiell die Möglichkeit hat, Netzgrenzen zu überwinden, die man extra geschaffen hat, sollte man ggf. zweimal drüber nachdenken, was man wo wie korrekt konfiguriert hat.

Ja und da meine Konfiguration eh viel Blödsinn hat (Unwissenheit, keine Idee wie es anders/ besser umgesetzt werden kann), werde ich es wohl zumindest vorerst nicht installieren. Vielleicht wenn ich irgendwann in naher Zukunft meine Konfiguration nach und nach von Blödsinn bereinige.

26ca4843-4c0a-4a93-8a6e-0043406696be-image.png

Nach Neustart :
9bbaee5d-a18a-4427-ae33-8e2634b5b41b-image.png

Am Switch etc. kann es auch nicht liegen da ich mit dem Speedtest den Switch überspringe da das WAN Interface direkt mit dem Modem verbunden ist.

BTW für später: Solche Tests sind etwas sinnbefreit, wenn sie nicht gegen die selbe Gegenstelle gehen, denn so kann niemand feststellen, ob die Leitungsgeschwindigkeit von der Gegenstelle oder von dir gedrosselt wird. In diesem Fall waren die Package Loss Angaben schon ein Indikator, dass da was mit der Leitung nicht stimmt. Aber man kann bei Speedtests auch manuell den Server einstellen - bei Vergleichen dann immer den gleichen nehmen, sonst hat man keine verwendbaren Daten :)

Cheers

@noplan Soweit ich bei Exchange so grob noch weiß läuft deren RPC via HTTP/S also sollte das schon laufen wenn Front- und Backends halbwegs sauber sind. Ansonsten müssen sich die GruschelKasper aussprechen und klar sagen, was für Ports der RPC Rempel läuft :)

@theonlyone-0 Es gibt aber auch problemlos Modems wie das Vigor 165 dass VLAN7 ggf schon selbst übernimmt und dann einfach auf einem default untagged Port wie jedes andere Gerät auch ansprechbar ist und die PPPoE Verbindung angefordert bekommt.

@sebden Was @NOCling sagt.

Leider nur mit (überholtem) Aggressive Mode (🤢), SHA-512 und DH2 (völlig wilde Zusammenmischung als hätte jemand gewürfelt) sinnvoll nutzbar.

IKE v1 Aggressive Mode AES-256 (CBC) SHA-512 DH Group 2

Zusätzlich sinnvoll:

pfSense als: "Responder only" - FB Verbindung aufbauen lassen Wenn es Probleme gibt, dass alle Stunde die Verbindungen abreißen: DPD ausmachen, dead peer detection ist wohl ziemlich guffelig auf der Fritte.

Mit Responder und ohne DPD liefen die eigentlich halbwegs gerade, alles andere liegt eher an der Rumpelkammer von AVM.

@marcm said in Dedizierter Server mit Proxmox > pfSense VM > Webserver VM:

Ja, wenn ich von außen auf die IP gehe, kommt die Meldung.
pd-admin bringt leider alles bei der Installation mit. Apache, Phython, bla bla bla...

Was aber nicht heißt, dass man die Konfiguration nicht anpassen könnte.

Leider ist immer noch die Frage offen, woher die Meldung kommt. Wenn sie vom Webserver selbst kommt, sollte man das entsprechend anders konfigurieren können, dass der Zugriff akzeptiert wird.
Was ist der Webserver Antwortcode zu dieser Meldung?

@silas21 said in Pfsense + OpenVPN Zugriffe auf ein zweites Subnetz:

oder ist es möglich der VPN-Verbindung noch eine 2 Adresse (IPv4 Local networks) hinzuzufügen?

Du meinst, ein zweites Subnetz? Entweder das oder ein Haken bei Redirect Gateway für den Fall, dass auch der Internettraffic über die VPN gehen soll, sind Voraussetzung, dass du auf den Drucker kommst.
Nachdem letzteres nicht interessant sein dürfte, sollte das "Local Networks" Feld so aussehen:

192.168.100.0/24,192.168.10.0/24

Du könntest die Route auch nur auf den Drucker beschränken, indem du als zweites Netz 192.168.10.155/32 angibst.

Zusätzlich braucht es noch eine Outbound NAT-Regel, falls die nicht automatisch erstellt wurde.
Es sollte eine Regel für WAN und die Quelle 192.168.101.0/24 aufscheinen, anderenfalls, musst du in den Hybridmode wechseln und die Regel manuell erstellen.

So, Zwischenstand nach drei Tagen Betrieb:
Hatte dann in den States in der Tat Auffälligkeiten gefunden...über die Schnittstellen Filterung war da ein Rechner mit falscher IP unterwegs...nach Korrektur der Verkabelung stehen in den Fehlern überall freundliche Nullen, da bin ich mal froh! Die States Ansichten haben mich dann also dahin gebracht...danke für die Anregungen.

@johndo Probiere doch mal testhalber, ob die Verbindung besser läuft, indem du am Klienten mal von UDP auf TCP wechselst für die SIP-Verbindung. Wirkt wahre Wunder in manchen Szenarien ✊

@tobi said in Neue Hardware alte Konfig übernehmen:

Da sagte die Fritze wohl "hier passt was nicht". Ich musste also die alte Sense als Gerät in der Frizte löschen und dann die neue Hardware kam sofort ohne Probleme rein.

Nettes Teil. Ich mag solche Geräte gar nicht, die von selbst solche Aktionen setzen. Ich habe aber auch noch nie eine FB besessen. 😉

@tobi
Meine Heim-pfSense läuft virtualisiert auf der Box. Daneben beherbergt sie noch meine Nextcloud, einen Musikserver und einen DLNA Server.
Mir war es wichtig, alles möglichst kompakt und ohne viele Kabeln zu haben.

Vielleicht wäre das auch für dich interessant, bspw. einen Video Überwachungsserver zusätzlich darauf laufen zu lassen.
Das setzt allerdings ein gewisses Vertrauen in die Technik voraus.

@viragomann Dachte ich mir schon, ist aber ist trotzdem schade. Irgendwas ist immer, vor allem wenn etwas einfach umzusetzen ist. Das ganze funktioniert ja überraschend gut, nur das die IP-Adressen von der anfragenden Quelle nicht an den HAProxy weitergereicht werden.