Also so:
7b94aea2-e221-451f-bc11-9dc064de88d7-image.png

@tanjix Mahlzeit,

ich versuche mich ja bei einem Tunnel als Man in the Middle um CG-Nat zu umgehen.

eine zweite pfSense ist auf einem VPS, die soll die entsprechenden Anfragen entgegen nehmen und diese über den Tunnel zu mir leiten. So die Theorie.

Bei mir geht auch pingen in alle Richtungen, aber kein Portforward.
Darf ich mich hier mit meinen Screenshots anhängen um eventuell mit Eurer Hilfe zur Lösung zu kommen??

@p54 said in [solved] Windows Domain PFSense LAN-rules werden nicht angewendet:

Naja, dann muss ich mein VLAN für die Clients zum Abschluss bringen

Ein kluger Schritt, einen entsprechenden Switch vorausgesetzt. :-)

@nocling said in Provider/ Anschlusswechsel - etwas ändern?:

Ich denke nicht das hier IPv4 und IPv6 einen Unterschied machen was die States der Firewall angeht.

Das hängt davon ab, welche Funktion die Fritze wirklich macht. Ist sie die Komponente die die Verbindung aufbaut, so wird die FW der Fritze aktiv und dann kommt die von Dir genannte Einschränkung zum Tragen (war mir nicht so klar, da ich nicht auf die Idee kam, dass es in dieser Hinsicht so schnell als Bremse agieren kann). Ist die nicht die Komponenten die die Verbindung aufbaut - s.g IP Klient (ist wohl auch der Modus was Du favorisierst) wird die FW deaktiviert, weil nichts zu tun.
Gut das ich gefragt habe.

@noplan said in Open VPN Verbindungen pro User limitieren:

funktioniert alles nicht wenn du mittels cso dem user eine definierte IP mitgibst so wie bei uns hier

Die IP im CSO weglassen?? Diesen Gedanken hatte ich noch gar nicht gesponnen.

Der muss extra aktiviert werden, ist halt der neue und viel effektivere Modus.
Aber da Dev und neu schaltet den wohl nicht jeder ein.

Läuft aber wirklich gut und viel effektiver als der normale Mode vom Unbound.

@noplan
Moin :) also die Firewall läufz, hab alles nochmal neu installiert. ping geht auch zu google. Internet ist da. Erstmal nur ein Wan

Lan geht auch.
Was ich nicht hin bekomm ist das Routing. Hast du einen tipp für mich? Ich hab keine Idee wie ichs mach.

Unifi controller hat die 192.168.0.1
PFsense 192.168.0.160
Rechner hat 192.168.2.38

wenn ich am rechner das gateway auf 192.168.0.160 statt 0.1 ändern habe ich kein internet.

auf der pfsense habe ich bei lan & Wan Firewall rules erstmal allow any eingestellt

Ja wir haben das im talk in der user group durchgeplaudert... (also vorteile u handling, u wie man's angehen könnte.. Also @JeGr hat mal den Abriss gemacht... Ich finds geil)

Ich glaub wir sollten netgate eine crowdfunding
Für das Portal vorschlagen... PfS braucht sowas

@m0nji
👏 👍

Browser Cache?
Den hattest du nicht gelöscht oder es mal mit einem anderen angeschaut.

@knausepeter Klar, dann werden alle Pakete von der Remote Seite auf die Tunnel IP umgeschrieben. Vielleicht kommt da auch einfach der PC nicht mit klar oder blockt dieses Tunnel Netz. Oder das Netz ist doppelt in Verwendung - das kann vieles sein. :)

Ich bedanke mich trotzdem für die schnelle Hilfe und vielleicht hilft das hier ja in Zukunft auch nochmal jemand anderem. 😊

Definitiv, daher ist es immer wichtig, sowas offen zu lassen und die Lösung/den Weg zu kennen :)

Es geht hier um RA Setup oder?

Da muss das Cert in den passenden Store am Client, sonst wird das nix, kann auch nicht funktionieren.
Vermutlich hast du das Client Cert nie überprüft und daher hat es funktioniert.

Denn genau das ist ja der Sinn von CA Auth, das nur Kiste die ein von deiner PKI ausgestelltes Cert haben überhaupt rein dürfen.

Dazu ist auch eine static IP notwendig, die ist vorhanden?

So paar Details zu den P1 P2 Settings sind auch ganz hilfreich bei der Hilfe.

Und dann muss der Client auch das passende Cert vorziegen, wenn keine Auswahl kommt, dann wurde hier ggf. was falsches voreingestellt.
Das also auch unbedingt mal prüfen.

@luigim81 Und wenn die dann gespeichert wurden - kann man dann E-Mail wieder ausmachen und sie bleiben drin? Wenn nicht, hängt da irgendeine Dependency in der UI falsch, dann darf man das auch melden und muss nicht nur drunter leiden oder sich drüber aufregen :)

Also wäre schön wenn du nochmal schauen könntest, dann kann man das auch reporten, damit das behoben wird. Pushover funktioniert nämlich definitiv ohne E-Mail, somit kann das bei Telegram eigentlich nur ein Versehen und somit Bug sein. Kein "sollte gehen, geht aber anders" :D

@tomnick Kommt drauf an. Manchmal ist es einfacher sich in beide Locations einfach direkt einzuwählen (weil vllt. schneller), manchmal will man nur eine Verbindung haben und darüber alles - das ist ganz eigenes Gusto. Gehen tu beides. Oder sogar #3 - ein RAS Style Server auf beiden Seiten und der pusht dem Client wenn er verbunden ist beide Netze .10.x und .20.y jeweils als Routen, so dass man egal wo man sich einwählt auf beide Seiten kann. Wie gesagt, ist rein die Frage was man möchte. :)

@crouchy @viragomann du darfst gerne mal mit auf meine Konfiguration mitschauen wenn du willst

@jegr

Genau so hatte ich es vor. CHACHA20-POLY1305 serverseitig als Alternative, nicht als Standard.

Habe mich schon vorher informiert. 🤓

LG
Gladius

@simpsonetti wenn man Konsole angeschlossen hat und ein Internet Backup, damit man weiter arbeiten kann wenn die 7100 down ist - klar. Stick mit 21.06 reinstecken lassen, durchbooten via konsole und update übern Installer starten, config recovery einstellen, fertig.

In nem Cluster keine große Aktion, wenn man nen Sprungziel/-host hat mit Konsole dran.

@digitalcomposer said in IPSEC Performance:

Momentan bin ich froh, dass es mit Wireguard sehr gut funktioniert und müde um OpenVPN zu Testen, da alles in Production ist, heißt nur nach 20:00 Uhr und vor 06:00 Uhr.

Ich meinte damit auch nicht den produktiven Tunnel offline zu nehmen, aber vielleicht kann man einen OVPN Tunnel zusätzlich aufbauen und dort dann bspw eine Art Testnetz drüberrouten - oder einfach nur von Punkt zu Punkt mit IPerf durchtesten via policy rules. Aber klar, dass man die Produktion nicht abschalten will und keine Lust darauf hat, ständig herumzuschrauben :)