@slu said in Deutsche GigaNetz - IPv4 Routing:

Stimmen die Firewall Rules?

Also die Firewall Rules fürs LAN sind eigentlich per default richtig. Da ist ausgehend erst einmal alles erlaubt. Da die pfsense aber zuvor hinter einer Fritte war, können natürlich sowohl in den Firewall Rules wie auch an andere Stelle (Routing) noch irgendwelche Altlasten an Regeln vorhanden sein, die nun zum Problem werden, da nun unpassend.
Aber ohne weitere Infos ist das eh alles reine Spekulation.

Danke Viragoman!

Hab es eingerichtet, finde die Einrichtung allerdings nicht wirklich trivial und nicht gerade selbst erklärend.
Anbei ein paar Screenshots der Einrichtung.
Wenn ich es so einrichte, bekomme ich einen Fehler auf dem Mailgateway.
Evtl. fällt euch der Fehler auf.Mailserver.JPG Frontend2.JPG Frontend1.JPG Backend.JPG

Hallo

Nach einiger Zeit und weiteren Fortschritten wolle ich meinen Stand mitteilen.
Ich habe nun einen Tp-Link Accesspoint EAP 225 eingebunden , habe Ihm eine feste IP
zugeteilt und verwalte den AP über Omada Lokal , welches auf einem Raspberry Pi4
läuft.

MFG

@NOCling said in Gibt es bzgl. PFSense irgendwelche Besonderheiten zu beachten bei einem WLAN Call von iPhone zu Telekom Mobile?:

Dafür richtest du doch einfach mal sauber das Monitoring in der pf für das WAN GW ein.

Dann kannst du sehen ob an dem Zeitpunkt ggf. das WAN mal ein wenig lost hatte.

Und es gibt auch nur eine WAN Verbindung?
Sonst muss dich gleich um die Stickyness kümmern.

Das die Clients Netzhopping machen kannst auch ausschließen? Sprich auf bestimmten APs im falschen VLAN oder gar keinem landen?

Weil States sind jetzt swid 24.03 Int bound und nicht mehr Floating based.

Das hab ich glaube ich, muss nochmal nachsehen. Ich glaube ich hatte es mal
bei einem anderen Kunden rausgenommen, da in einer FW-Version oder am
Anschluss ein Problem war und da hatte zumindest der automatische Refresh
zu noch mehr Problemen geführt.

Ja, nur ein WAN in diesem Fall.

Nun, hopping der Clients vielleicht nicht zu absolut 100%. Aber es gibt auf allen
APs die für die Clients relevante SSID, in diversen Tests habe ich auch wunderbar
gesehen, dass die Clients von AP zu AP innerhalb des richtigen VLAN springen.
Ich sehe die Clients auch immer im richtigen VLAN, also bis auf dass es u.U.
vielleicht wirklich mal zu einem ganz seltenen Fall kurzzeitig passiert, kann ich
es ausschließen.

Wenn sie in keinem landen würden, dann würde ja auch Internet nicht mehr
funktionieren. Bisher habe ich aber immer die Meldungen gehabt, dass WhatsApp
oder E-Mails dann immer noch funktioniert hat. Nur SMS und der WLAN Call
wurde mir als Problem gemeldet. D.h. die Clients müssen noch mit dem WLAN,
dem VLAN und dem Grunde nach mit dem Internet verbunden gewesen sein.

Aktuell ist diese FireWall noch auf 24.03, hier habe ich noch kein Update auf 24.11
gemacht. Bei mir schon, aber ich betreibe aktuellste Firmware eigentlich immer
erstmal einige Wochen/Monate bei mir bevor ich Kundensysteme aktualisiere.

Ich hatte gestern nochmal die FireWall Konfig mit anderen verglichen und hatte
(warum auch immer) tatsächlich noch Unterschiede gefunden:

Advanced > FireWall & NAT > Hardware Checksum Offloading: war hier noch aktiv, ist jetzt aus (wie eigentlich in allen anderen FW) Advanced > FireWall & NAT > Firewall Optimization Options: steht jetzt wieder auf Normal + Erhöhung der UDP timeouts Advanced > FireWall & NAT > IP Do-Not-Fragment compatibility: war an, ist jetzt mal aus
Ich habe hier aktuell auch die erwähnten VPN Einstellungen hierzu nicht gesetzt, ggfls. teste ich die dann noch.

Mal sehen ob damit in den nächsten Tagen/Wochen eine Änderung feststellbar ist.

@wiliam025 said in CFA: 24.11 mit Squid?:

Users who didn’t have Squid or didn’t update from CE has not faced this issue.

We are not discussing the problem, my thread is about testing the hypothesis IF that is related to ONLY CE upgrades or if old Plus installations are also about to hit that at some point or not. :)

As I debugged that problem in the original thread I'm very aware about the problem.

@quickmo said in Wireguard Site to Site keine Verbindung vom Client:

1 <1 ms <1 ms <1 ms unifi.localdomain [192.168.2.1]
2 42 ms 26 ms 29 ms 10.0.20.1
3 * *

Die Route wäre die IP des Clients, der dann im Wireguard-Tunnel selbst die 10.0.20.2/32 erhält, dann noch den 10.0.20.1/32 erreichen (Standort A) kann.
Kann der Client dann noch den 10.0.20.5/32 anpingen?
Das 10.0.20.0 selbst ist aber ein /24?

@peacok said in pfSense PPPoE über Vigor 167 (1&1 Dual-Stack Lite):

Bist du bei 1&1? Wenn ja, wie hast du dort Dual Stack bekommen? :D

Anrufen und fragen? War eine Affäre von 10min der Dame am Telefon zu verklickern, dass ich nen technisches Anliegen habe, weitergestellt zu werden und dem Techie zu sagen "ich brauch wegen VPN ne saubere IP4 bitte DS aktivieren, danke!"

@eagle61 said in Wireguard Tunnel vom LAN nicht erreichbar:

Tja, das kann dir mit den bisher von dir gelieferten Infos niemand sagen. Hast uns ja nicht mitgeteilt, was du bisher wo und wie konfigurert hast, also z.B. Statische Routen, Firewall-Regeln, Portweiterleitungen, etc.

Eban das. Keine Config, keine Details. Immerhin ein Netzplan, großes Plus dafür, aber keinerlei Info was eigentlich wo wie nicht funktioniert mit welcher Config und was wo reinkonfiguriert ist. Wie kann man da sagen, woran es wo genau klemmt?

Cheers :)

@viragomann
Vielen Dank!
Super es funktioniert bestens.

Redirect Gateway war bei mir gesetzt. So brauchte ich im VPN-Server nichts mehr einzutragen.

Noch mal vielen Dank für die Hilfe und viele Weihnachtsgrüße an all die lieben ehrenamtlichen Helferlein!

Ich finde leider keie "gelöst"-Funktion.
Von daher gelost.

@slu Nope. Vielleicht liegt es an mangelndem IPv6 an der Fritte.

@dogfight76 kannst du doch mal bitte einen RICHTIGEN grafischen netzwerkplan posten, leider verstehe ich deine Schilderung nicht.

wie genau kommst du ins internet, nutzt du Kabelinternet, ist die 6660 deine provider box? leider verstehe ich nicht warum dein dekstop PC pfSense macht, dann hast du doch keinen Browser nmit dem du surfen kannst?

hier mal wie ich mein netzt aufgebaut habe

┌──────────────────────────┐ │ │ │ WAN / Internet (PPPoE) │ │ Willy.tel │ │ 1000/250Mbit/s Glasfaser │ │ │ └─────────────┬────────────┘ ─ ─ ─ ─ ─ ─ ─ ─WAN─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ┼ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ WAN ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ │ ┌────────────────┐ ┌────────────────┐ ╔═════════════╩═════════ pfSense+ ════════╗ │ │ │ Switch │ ║ Netgate 6100║ Stand: ─ ─ ┐ │ TrueNAS ├───┤ USW-Flex-XG ├────╣ LAN: 192.168.3.0/24║ │ │ │ │ │ ║ Gäste (W)LAN (VLAN33): 192.168.33.0/24║ 07.09.2024 │ └────────────────┘ └───┬────┬───────┘ ║ IoT WLAN (VLAN34): 192.168.34.0/24║ │ ┌────────────────┐ │ │ ║ DynDNS über deSEC.io mit eigener Domain║ ─ ─ ─ ─ ─ ─ ┘ │ UBNT │ │ │ ║ VPN's:║ │UniFI AP AC Pro ├───────┘ │ ║ 1 x Fritzbox 7490) IPSec║ │ │ │ ║ 1 x S2S WireGuard Fritz 6591║ └────────────────┘ │ ║ 1 x pfSense S2S (Netgate 6100) IPSec║ │ ║ 1 x OpenVPN Road Warrior DCO║ │ ║ (172.16.3.0/24)║ │ ║ 1 x WireGuard Road Warrior║ │ ║ (172.16.33.0/24)║ │ ║ ║ │ ╚═════════════════════════════════════════╝ │ ┌────────────────┐ ┌────────┴───────┐ ┌────────────────────┐ ┌────────────────┐ │ Fritzbox 7490 │ │ Switch │ │ UBNT │ │ 1 x UBNT │ │ IPClient ├───┤ USW-Flex-XG ├─┤USW-ENTERPRISE-8-POE├─┤UniFi AP-Flex-HD│ │ (Nur VoIP) │ │ │ │ │ │ │ └────────────────┘ └────┬───────────┘ └──────┬─────────────┘ └────────────────┘ ┌────────────────┐ │ │ ┌───────────┐ │ UBNT │ │ │ │ │ │UniFI AP AC Pro ├────────┘ └────┤ Clients │ │ │ │ │ └────────────────┘ └───────────┘

@DasBrot said in PfSense gewerblich.:

Dann die Einschränkung das damit die vorinstallierte Weitergabe gemeint ist. Das würde jedoch passieren wenn ich damit die gewünschen Standorte verbinde, da diese auf dem Papier unterschiedliche Firmen sind. Im Moment setze ich PFSense unter anderem ehrenamtlich (unendgeldlich) in zwei Schulen ein. Das ist so weit ich weis höchstens Grauzone. Ich wollte nur etwas Klarheit was die Lizensierungskosten für das geplante Projekt angeht.

Das bezieht sich konkret wenn man da weiter liest auf kommerziellen Verkauf/Vertrieb. Es ist für die Wortmarke "pfSense" nicht erlaubt, pfSense (die Software) vorinstalliert auf irgendeiner Hardware als "pfSense Firewall" an andere kommerziell weiterzuverkaufen. Das bezieht sich aber eben konkret auf den Fall "ich verkaufe Firewalls". Und nicht auf den Fall "ich hab da eine Firewall von A nach B für Firmenanbindung verschoben". Auch wenn das zwei getrennte Firmen sind, ist das nicht der konkrete Fall, dass du (in großem Stil) vorinstallierte pfSense CE Boxen an Leute verkaufst und sagst "das sind offizielle pfSense Firewalls". Gerade das "offizielle" ist der Punkt, da Netgate da das Trademark verteidigen muss, um bspw. gegen Chinaboxen klagen zu können, die auf irgendwelcher Hardware einfach die Software draufwerfen, ggf. sogar noch modifizieren oder was unterschieben und das dann als "official pfSense" verkaufen, weil sie noch nen Sticker draufgeklebt haben. Darum gehts.

Nicht dass du da irgendeine HW Box hast, wo du pfSense installierst und das an ne Tochterfirma/Schwesterfirma schiebst. Und es ist auch nicht verboten, dass man eine Box X mit Installation pfSense angibt. Nur vorinstallierte Boxen als "pfSense Firewalls" dürfen nicht kommerziell! verkauft werden.

Da gehts einfach nur um o.g. Trademark Verteidigung, daher muss das klar geregelt sein. US Trademark/Copyright Kram ist komplex und wenn dus nicht ordentlich machst, wird dir ruckizucki die Marke aberkannt weil dus ja nicht verteidigt hast. Daher müssen die da entsprechend schnell und firm hinterher sein und darum ist das auch so abgefasst. Wenn man das aber entsprechend anders deklariert/aufzieht oder das in internem Betrieb abläuft, ist das OK.

Zumal man unterscheiden muss zwischen "pfSense" der Wortmarke - also des Begriffs! - und der Software. Vor Gericht sind das 2 Dinge. Und bei den Copyright Bestimmungen geht es an vielen Stellen um die Wortmarke und das Wording, nicht um die Software.

@JeGr Hallo Jens sei mir gegrüst ...
Nachdem ich mich abgeregt habe, denn das hat mir den letzte Nerv geraubt, hab ich heute nachmal hingesehen und, nachdem nun das ganze seither Stabil lief, mich getraut den Identisch Konfigurierten CISCO CBS 350 für den bisherigen CISCOP CBS 250 getaucht .... und danach ging wieder nichts mehr.

Daraufhin habe ich afgrund der Kommentrere und Infos zu KEA den ISC wieder aktiviert rebootet mit dem Ergebniss das die Netgate wieder ausstieg.

Das kann nur eines Bedeutet .. das der CISCO CBS 350 eine gewaltige makle hat .. denn zunächst tut alles und dann wieder nicht .. dann mal wieder kurz und ... vorbei und Tod.

Ergo muss es der Scheiss Switch sein.
Sicher haben diese Dinger eine Diagnose, doch die findet nichts .. er mosser nichts an und meint alle sei gut.

Zum KEA Selber .. OK ich muss einsehen das er Alpha war ist mir entgangen .. aber ich habe auch nicht die Zeit mich so intensiev damit zu befassen das ich jeden Trick kenne.
Mein Augabenm bereich ist ...weit gefächert da ich alles mache .. entlastung sieht anders aus und es reicht mir auch .. erinert mich an Cinetic (wen nauch nciht so schlimm).
Die Frage warum eine Alpha Software zur Wahl gegeben wird nur weil ISC EOL ist muss man aber schon stellen dürfen.
Ist uncool finde ich.

Bei dem CIDR 30 würden mich aber die Detail warum das so schief geht und ein Problem ist schon jucken.

Die Idee zum CIDR 30 ist das eben keine weitere IP mehr vorhanden ist und nur der Statische Eintrag zählt .. da hab ich wohl schlicht pech gehabt ;) aufgrund der Probleme die entstehen können (sind mir aber dennoch nicht klar).

KEA hab ich deaktiviert und daher fühlte ich mich auch als Betatester was mich halt echt in Rage versetzt hat, zu dem Zeitpunkt ..muss man auch bedenken und ich bin der Meinung das ich da recht habe. Selbst wenn anderre Ihre Meinung anders vertretten .. was aber i.o ist .. man muss nicht jede Meinug teilen oder mittragen.

Nachdem ich wieder auf meine default settings ging hat auch alles funktioniert wie man es erwarten kann.

Ich nutze auf der sense IX2 (Combo Port 1 GB) und kippe da in das für TRUNK IF alle VLAN IDs rein, der Combo ist ein CISCO GBICs mit Glas der dan auf einen GBICs connectet ist, der auf einem Combo Port (GE 25) mit Glas des CISCO CBS250 switches mündet. Von dort aus werden dann die VLANS auf die einzelnen Ports GE1 - GE24 verteilt.

Das funktioniert 1A

Ich hab noch eine APU4 mit einem Glas, dort wertde ich mir das mit dem CBS350 der wohl spinnt ansehen aber entspannt.
Auf der werde ich aber die OPNSende nutzen da ich ken Aktuelles image der pfsense Community auf anhieb gefunden habe nutzen, die sind ja stark verwandt und der Grund ist schlicht, das ich einen Plan B haben will wenn mal was nciht geht.

JAP das sollrte soweit als zusammenfassung kpassen da du ja in dem Forum der Master bist ;)

Am PPKA haben di mir gesagt das du bei Qwertiko bist und die dich mal gebucht haben. BNur haben sie nciht überlegt was sie bracuehn und wollen ... habs ihnen ghesagt .. wen ner kommt macht euch vorher gedanken. Da die IT am PPKA aber eine Katastrophe ist hab ich die Reisleine gezogen und bin zurück zum KIT. Am PPKA gibts da so einen Polizisten der meint er kann IT und die Präsidentin und einen Direktor hinter sich hat darf der jeden mist machen .. das wollte ich nicht mehr mittragen unsd seinen rotz ausbaden zumal die frech Ihren Namen unter meien Konzepte geschrieben haben Fck Yu und tschüss.

Ich hoffe dir gehts soweit gut und du rockst natürlich den Laden ;) und das Forum .. FGachwissen hast du ja Eimerweise was soll da schon schief gehen ;)

Und wenn du dich entspannst ... bin ich bei STFC auch schon über dein Kürzek gestolpert ;)

Grüßel Uwe
LLaP

@do3lk
Hast du die korrekte externe Domain beim Setup angegeben?
Falls nicht, kannst du hinterher die config.php editieren und die Domain bei 'trusted_domains' hinzufügen bzw. den vorhandenen Eintrag ersetzen.

Okay, ich sehe gerade, dass du AIO verwendest.
Aber auch da müsste man die Domain im Setup angeben können.

AIO möchte standardmäßig ein Lets Encrypt Zertifikat installieren. Das wird hinter HAproxy nicht möglich sein. Macht auch nicht viel Sinn.
Da sollte es andere Optionen geben. Vielleicht kannst du TLS deaktivieren oder ein eigenes Zertifikat dafür generieren.
Das habe ich auch so laufen, allerdings hinter OPNsense. Der Backendserver hat ein Zertifikat von einer internen CA und HAproxy verwendet ein LE Zertifikat, das er vom ACME Client bekommt.

Allerdings die Konfiguration dafür müsste im AIO Setup gemacht werden. Ob es diese Option bietet, weiß ich nicht.

Hallo zusammen,

Habe es neuinstalliert und meine Config auf den USB Stick. Hat einwandfrei funktioniert. Grüße

@Beerman said in Glasfaser mit APU2E4 - welcher Durchsatz möglich?:

@ITSGS_

Danke, ich dachte aber eher an einen Ersatz, für meine bestehende Proxmox HW, welche auch schon in die Jahre gekommen ist.

Aber ich bezweifle ein wenig, dass die kleinen Boxen wirklich 24/7 durchhalten...

Also als Proxmox Kiste hab ich im Lab eine Beelink Box mit SSD, 32GB RAM und Ryzen 5 5560U laufen. Schnell, sparsam, läuft problemlos, hat nachts beim Logrotate und Backup mal gaaanz selten ein wenig den Lüfter an und man hörts leise rauschen - das wars aber. Heiß wir die nicht. Läuft jetzt schon fast 2J problemlos. Solche NUC-artigen Teile bekommt man immer wieder gut ran.

Als Firewall eher semi, da meistens Realtek NICs verbaut sind. Unter Linux/Win sind die Treiber noch halbwegs brauchbar, BSD war da in der Vergangenheit aber recht brutal, dass es immer mal wieder Zicken gab mit den Dingern. Darum würde ich da auf Realtek verzichten. Gerade die 2.5er sind da EXTREM empfindlich und haben teils "Wackelkontakt" ähnlichen Betrieb.

@Markus4210 said in HAProxy SSL Offloading, wie komme ich mit Zert auf die Server im selben Netz? DANKE!:

Puh, also mit 2 ACME´s das überstiegt meinen Horizont.
Vorallem warum?

Betrifft doch nur sein Setup, das hat keine Allgemeingültigkeit, dass du 2 Zertifikate haben MUSST. Er hat eins für die Firewall und eins für HAproxy.

Ich hab doch ein gültiges zert - es geht nur drum das ich das auch bekomme wenn ich den Dienst anspreche.

Eben.

Noch mal zum Thema in der PFSense DNS Überschreibungen auf die HA-Proxy Eingangsseite.
Also eigentlich mache ich ja dann eine DNS Überschreibung auf meine Öffentliche IP.

Nein, du machst normalerweise einen Override auf die interne Adresse. Du brauchst die externe eigentlich nicht aufrufen. Geht aber theoretisch beides.

Das passiert ja so wie so bei meinem Domain Anbieter

Dafür bräuchtest du aber kein Override. Der Override spielt nur eine Rolle, wenn du auf eine interne HAproxy Adresse gehst, nicht auf die externe. Und man geht im Normalfall auf eine interne, weil man den Paket Flow korrekt halten will. Die WAN IP hängt auf dem WAN Interface. Wenn du aber von intern das WAN aufrufst, kommst du wieder auf dem Proxy raus etc. - das ist alles mit dem Finger durch die Brust ins Auge statt einfach in den Nacken geschlagen ;)

Wenn die die Hostüberschreibung auf die Interne IP des Servers mache habe ich wieder das selbe Problem mit den Ungültigen Zert´s.

Davon redet doch hier keiner. Du sollst AUF DER pfSense im DNS Resolver (außer du nutzt den Forwarder) die aufgerufene Domain überschreiben mit der INTERNEN IP des HAproxy.

Irgendwas hab ich da nicht verstanden.......

Jep :)

HAproxy Frontend: Da gibst du nicht nur die WAN IP:443 an, sondern auch bspw. die LAN IP. DNS Resolver: <domain.arpa> als Host override eintragen und auf die LAN IP setzen. Firewall Rules: prüfen, ob du von deinem Netz/Rechner/whatever überhaupt auf die LAN IP/443 zugreifen darfst. Dann testen im Browser mit Aufruf "https://domain.arpa"

Zugriff sollte dann von

Client -> pfSense (HAproxy) LAN IP -> deinInternerDienst

laufen. So läuft/nutzen das hier die meisten würde ich behaupten und so wird das im Normalfall auch bei unseren Kunden konfiguriert.

WAN IP selbst (ohne Override die Domain) nutzt man im Normalfall eher selten, da privat es oft vorkommt, dass du noch nen Router davorstehen hast und die externe IP eben NICHT auf der pfSense hängt, sondern auf einer Fritte davor oder sonstwo. Dadurch läuft der ganze Traffic falsch und kommt nicht da an wo er soll. Umschreiben auf die interne pfSense IP und den HAproxy darauf lauschen lassen(zusätzlich) löst das Problem und alles funktioniert wie auch von extern.

Cheers :)

@JeGr

danke für die Info, es scheint etwas mit ip6 zu tun zu haben. Das letzte Update brachte keine Besserung und ich ich kann derzeit nicht auf ip6 verzichten. Ich frage mal beim pfBlocker nach.

Gruß ré

@xxlexanixx
Einen Automatismus gibt es leider noch nicht, die Config von der Box aus zu sichern ist aber nicht schwer. Und mit einer NC solltest du eh schon eine Kiste haben, wo auch SSH möglich ist, da ich kaum annehme, du hast Nextcloud unter Windows installiert ;)

Am Einfachsten ist da wirklich auf der NC schlichtweg einen User anzulegen fürs Backup, einen SSH Key zu erstellen, den auf der Sense einzuspielen und entweder von der NC->Sense aus per SFTP die config zu sichern oder per Cron auf der Sense das Ganze Sense->NC zum Backup User zu sichern. Kommt auf die Richtung an die man gehen möchte. Per SSH/SFTP die /conf/config.xml abziehen und sichern ist aber recht simpel.

Cheers