@m0nji

Browser Cache? Den hattest du nicht gelöscht oder es mal mit einem anderen angeschaut.

@knausepeter Klar, dann werden alle Pakete von der Remote Seite auf die Tunnel IP umgeschrieben. Vielleicht kommt da auch einfach der PC nicht mit klar oder blockt dieses Tunnel Netz. Oder das Netz ist doppelt in Verwendung - das kann vieles sein. :) Ich bedanke mich trotzdem für die schnelle Hilfe und vielleicht hilft das hier ja in Zukunft auch nochmal jemand anderem. Definitiv, daher ist es immer wichtig, sowas offen zu lassen und die Lösung/den Weg zu kennen :)

Es geht hier um RA Setup oder? Da muss das Cert in den passenden Store am Client, sonst wird das nix, kann auch nicht funktionieren. Vermutlich hast du das Client Cert nie überprüft und daher hat es funktioniert. Denn genau das ist ja der Sinn von CA Auth, das nur Kiste die ein von deiner PKI ausgestelltes Cert haben überhaupt rein dürfen. Dazu ist auch eine static IP notwendig, die ist vorhanden? So paar Details zu den P1 P2 Settings sind auch ganz hilfreich bei der Hilfe. Und dann muss der Client auch das passende Cert vorziegen, wenn keine Auswahl kommt, dann wurde hier ggf. was falsches voreingestellt. Das also auch unbedingt mal prüfen.

@luigim81 Und wenn die dann gespeichert wurden - kann man dann E-Mail wieder ausmachen und sie bleiben drin? Wenn nicht, hängt da irgendeine Dependency in der UI falsch, dann darf man das auch melden und muss nicht nur drunter leiden oder sich drüber aufregen :) Also wäre schön wenn du nochmal schauen könntest, dann kann man das auch reporten, damit das behoben wird. Pushover funktioniert nämlich definitiv ohne E-Mail, somit kann das bei Telegram eigentlich nur ein Versehen und somit Bug sein. Kein "sollte gehen, geht aber anders" :D

@tomnick Kommt drauf an. Manchmal ist es einfacher sich in beide Locations einfach direkt einzuwählen (weil vllt. schneller), manchmal will man nur eine Verbindung haben und darüber alles - das ist ganz eigenes Gusto. Gehen tu beides. Oder sogar #3 - ein RAS Style Server auf beiden Seiten und der pusht dem Client wenn er verbunden ist beide Netze .10.x und .20.y jeweils als Routen, so dass man egal wo man sich einwählt auf beide Seiten kann. Wie gesagt, ist rein die Frage was man möchte. :)

@crouchy @viragomann du darfst gerne mal mit auf meine Konfiguration mitschauen wenn du willst

@jegr Genau so hatte ich es vor. CHACHA20-POLY1305 serverseitig als Alternative, nicht als Standard. Habe mich schon vorher informiert. LG Gladius

@simpsonetti wenn man Konsole angeschlossen hat und ein Internet Backup, damit man weiter arbeiten kann wenn die 7100 down ist - klar. Stick mit 21.06 reinstecken lassen, durchbooten via konsole und update übern Installer starten, config recovery einstellen, fertig. In nem Cluster keine große Aktion, wenn man nen Sprungziel/-host hat mit Konsole dran.

@digitalcomposer said in IPSEC Performance: Momentan bin ich froh, dass es mit Wireguard sehr gut funktioniert und müde um OpenVPN zu Testen, da alles in Production ist, heißt nur nach 20:00 Uhr und vor 06:00 Uhr. Ich meinte damit auch nicht den produktiven Tunnel offline zu nehmen, aber vielleicht kann man einen OVPN Tunnel zusätzlich aufbauen und dort dann bspw eine Art Testnetz drüberrouten - oder einfach nur von Punkt zu Punkt mit IPerf durchtesten via policy rules. Aber klar, dass man die Produktion nicht abschalten will und keine Lust darauf hat, ständig herumzuschrauben :)

@bob-dig Danke für dir rasche und hilfreiche Antwort!

@knausepeter Der OpenVPN Tab gilt als Gruppe, zugewiesene Interfaces sind wie andere Interfaces behandelt. Da die Reihenfolge ist: Floating > Gruppen > Interfaces greift die OpenVPN Gruppe (bzw. Floatings) vor den Regeln des Interfaces. Daher aufpassen, wo man die Regeln erstellt und ob die sich ggf. beißen könnten :)

Guten Abend zusammen Ihr habt ja vollkommen recht, ich hatte hier einen Denkfehler Ich bin aus irgend einem Grund davon ausgegangen das der gesamte Trafik die Netzwerkkarte verlässt, was er ja eigentlich nicht tut. Zumindest nicht unter den Servern. Es läuft jetzt auch ohne Pfsense Schönen Abend euch noch

@viragomann Hallo, vielen Dank für den Hinweis. Das war des Rätsel's Lösung und hat funktioniert.

@ihaveastream ist schade aber schön dass ich weiterhelfen konnte.

@esquire1968-0 said in Einstellungen: MDS Mode - Was ist die optimale Einstellung? Da gibts keine optimale Einstellung. Das war für deine CPU/SOC/Mikroarchitektur passt bzw. erkannt wird. Auf default lassen um es zu aktivieren. Wenn man sich bewusst ist was man tut, warum und welche Auswirkungen kann ggf. was Anderes oder disabled ausgewählt werden. Zu PowerD kommt es darauf an ob deine HW da mitspielt, es braucht/nutzt (BIOS/UEFI konfiguriert) und was die SysInfo anzeigt. Wenn die Krypto Leistung bspw. unter aller Kanone ist oder kein wirklicher Durchsatz kommt wäre es vllt sinnvoll das mal einzuschalten. Wenn es im Syslog danach aber spammend Nachrichten gibt, dass die CPU nicht in State XY gesetzt werden kann etc. bringts nichts :) Kommt eben immer auf die HW an. Nur von der CPU oder irgendwelchem Gerät kann man das nicht ablesen, ich weiß ja ggf. nicht was da als SOC oder MB verbaut ist und wie das eingestellt ist. Cheers

Danke! Funktioniert jetzt! K. A. Wo der Fehler lag.

@viragomann Super Danke für den Tip, jetzt kann ich die Geräte pingen und deren GUIs aufrufen. Werde heute Abend explizit ein Bier auf Dich trinken. Auch den anderen im Forum vielen Dank hab wieder was gelernt. Euch ein schönes WE. Gruß Peter