Ich hab das mit unterschiedlichen DNS Einstellungen probiert, hat alles nichts genützt. Am iPhone hatte ich immer irgendwelche DNS (Anm. vom Provider).

Wenn ich aber in der Phase 2 das lokal Subnet von 10.0.0.0/24 auf 0.0.0.0/0 ändere, klapp es. Das iPhone hat dann alle eingetragenen DNS.

Verstehe es zwar nicht, läuft aber.

...unter meiner SG-1100 sind inzwischen 4 Klebefüße.
Die original Silikonstumpen sind zwar schön weich, nur das verwendete Material hält halt nicht im Loch. Besonders dann nicht, wenn das Ding in einem Toolcase herumfliegt...

@jegr said in [2.5] Neues aus den Snapshots:

neuer Tab: VxLAN Generell erst vor kurzem da eingeschlagen. VxLAN sind nicht gerade einfach zu erklären und ich muss mich da auch noch ziemlich einlesen.

Falls jemand mehr zu VXLANs wissen möchte kann ich das Erklär-Video von Kevin Wallace empfehlen.

Edit
Fehler gefunden: Unter General Setup -> DNS Resolution Behavior angepasst und nun ist alles wieder geschmeidig.

@bob-dig

Ich meine, die Fritzboxen lassen sich nicht wirklich als "Reines" Modem einstellen, sondern bieten nur so einen PPPoE-Passthrough, wo sie sich selbst verbinden und auch weiteren Geräten eine Verbindung über PPPoE ermöglichen. Geht aber wiederum so bei der Telekom nicht.
Die Speedports können Nur-Modem oder auch z.B. ein Vigor165 (nutze ich vor der pfsense).

Ich mache das DYNDNS-Update auch mit einem kleinen Script per cron - im vorliegenden Fall alle vier Stunden, aber das Script kann prinzipiell auch minütlich aufgerufen werden. Die Logdatei wird - ebenfalls per Script und cron - automatisch auf eine bestimmte Zahl an Einträgen gekürzt.

Gruß Jürgen

<?php $timestamp = time(); $datum = date("d.m.Y",$timestamp); $uhrzeit = date("H:i",$timestamp); $Host = "xyz.nsupdate.info"; $IP_Abfrage = "https://ipv4.nsupdate.info/myip"; $IP1 = file_get_contents($IP_Abfrage); $IP2 = gethostbyname($Host); $check1 = ip2long($IP1); $check2 = ip2long($IP2); if ($check1 == -1 || $check1 === FALSE) { $resonse = "IP konnte nicht ermittelt werden"; } elseif ($check2 == -1 || $check2 === FALSE) { $response = "Service nicht erreichbar"; } else { if ($IP1 == $IP2) { $response = "IP noch aktuell"; } else { $response = file_get_contents('https://xyz.nsupdate.info:xxxxxxx@ipv4.nsupdate.info/nic/update'); if (strpos($response,"good") !== FALSE || strpos($response,"nochg") !== FALSE) { $response = "IP aktualisiert - " . $response; } else { $response = "Update fehlgeschlagen"; } } }; $info = $datum . " " . $uhrzeit . " - " . $response; $URL = 'https://user:pass@meinedomain.tld/verzeichnis/nsupdate_log.php?response='.urlencode($info); $handle = fopen($URL, "r"); ?> <?php $Log = $_GET['response']; $logfile = "nsupdate.log"; $zeilen = 60; $handle = fopen($logfile, "a+") or die('Datei kann nicht zum Schreiben geöffnet werden'); fwrite($handle, $Log . "\n"); fclose($handle); file_put_contents($logfile, implode("\n", array_slice(explode("\n", file_get_contents($logfile)), -($zeilen+1)))); ?>

Hallo @jegr

ich hatte einen Gedankenfehler. Und verführerisch, wie ich bin, habe ich dich mit auf die Reise genommen :-)

Ich blicke aus Richtung WAN auf die pfSense und sehe dahinter zwei Netze. Das verleitet dazu, WAN als „Hauptschnittstelle“ anzusehen.

Die wesentliche Schnittstelle ist jedoch LAN, an die sich letztendlich auch der bind mit den Hostnamen klammert.

Also:

Hostname auf pfsense.test.links Overwrite pfsense.test.mitte auf die WAN IP Overwrite pfsense.rest.rechts auf die OPT1 IP

Dann habe ich genau das Wunschszenario: Ich schaue auf test.mitte und sehe dahinter test.links bzw. test.rechts

Für mich ist das intuitiv :-)

Gruß,
Jörg

@jegr
sehr gefinkelt .... :-)

@jegr

Sorry! Mein Fehler. Hat sich erledigt. Kann man löschen!

Genau das Selbe hatte ich doch auch schon geschrieben. 😬

@hsrtreml said in 2 WAN - 2 LAN Gatewayrouting:

... der Logik folgend, muß ich dann natürlich für alle weiteren internen Segmente die gleiche Regel in A machen

Du kannst einen RFC1918 Alias anlegen der alle privaten Netzbereiche enthält und den dann in der Firewall Regel als Destination benutzen.

-Rico

Hallo,

danke erst mal für die Infos. Ich habe jetzt noch mal etwas rumprobiert und Teilerfolge erreicht.

@viragomann said in Internetzugriff durch VPN Tunnel:

@zickzack2021 said in Internetzugriff durch VPN Tunnel:

Dazu habe ich auf der Pfsense ein Interfaces für die OpenVPN Verbindung angelegt und dazu ein Gateway. Dieses wird mir allerdings immer als Offline im Dasboard angezeigt.

Der Gateway wird mir immer noch als Offline angezeigt.

Das heißt erst mal nichts weiter, als dass die Gegenseite nicht auf Pings antwortet. Damit das funktionieren kann, müssen die Pings erlaubt sein. Auch funktionieren sie nicht, wenn das Tunnel nicht eine /30er Maske hat, was bei einem Peer-to-Peer sein sollte.

Der Ping auf die PFsensen hat nicht funktioniert, obwohl dieser erlaubt war. Nachdem ich das Transfernetz auf die /30er Maske umgestellt habe ging der PIng und auch das Internet über den Tunnel.👍

@zickzack2021 said in Internetzugriff durch VPN Tunnel:

Ich habe bereits die DNS Einstellungen für beide Interfaces angepasst

Was genau?

und auch auf der Gegenseite das NAT auf Hybrid gestellt und das Remote Netz eingetragen

Am WAN?

Können die Clients noch auf das Remote-Netz zugreifen?

Können die betroffenen Clients Internet-Hostnamen auflösen?

Die Auflösung über DNS hatte immer funktioniert. Als DNS Server habe ich für das Openvpn Gateway mal die Google DNS Server und die remote Firewall eingetragen und in der Remote PFs das lokale Lan über Hybrid NAT zum Wan maskiert (Wan Interface).

Das läuft jetzt alles genau so wie gewollt bis auf die Offline Anzeige bei den Gateways. 🙄

Jetzt wollte ich ganze final dann mit einem Routed IPSEC VPN realisieren, was auch alles soweit fuktioniert. 👍
Das Gateway wird mir hier als Online angezeigt, ich kann die Webseiten und Hosts mit DNS Auflösen und machmal öffnet sich die eine oder andere Seite sehr sehr langsam am Client, meistens allerdings kommt ein Serverfehler. Der Normale IPSec Datenfluss über den Tunnel ist völlig in Ordnung. Ist hier bei IPSEC noch was spezielles beim Datenfluss oder der Firewall einzustellen?😇

Etwas unsicher bin ich mir auch noch bei den Firewall Regeln, müssen diese auf dem IPSEC oder dem zusätzlichen Interface des Gateway definiert werden, oder auf beiden? Was hat da denn denn Vorrang? Derzeit habe ich mal eine Allow All auf beiden angelegt.

Viele Grüße
Marco

Ich hatte jetzt mal versucht eine Gen2 VM anzulegen und da die intel-NICs durchzureichen mittels DDA. Aber pfSense 2.5 kommt damit nicht klar. 😕

Spoiler

fehler.PNG

Mit Gen1 scheint es nach wie vor zu gehen.

@tom-3
Hi,

schuss ins blaue...

Hast du pfSense auch so konfiguriert das TCP States repliziert werden UND die Konfig.
Für die TCP Session states muss du pfSEsen Sync protokoll zwischen den beiden pfSense freigeben.

@viragomann said in Hetznerserver - Konfiguration Zusatzip für zweiten Rechner in DMZ:

Vielleicht wäre es zielführender im Hetzner-Forum nach Hilfe zu suchen.

ja, da hast du vermutlich recht. Das ist sicher kein pfsense - Problem. Eher ein Konfigurationsproblem.

Ich werd mir das alles nochmal genauestens anschauen und nach einer Lösung suchen. Melde mich jedenfalls wieder, wenn ich die Lösung habe.

@viragomann said in Hetznerserver - Konfiguration Zusatzip für zweiten Rechner in DMZ:

Da fehlt mir jetzt aber die Bindung zum Netzwerkport. Oder ist die anderswo schon für vmbr4 definiert?

Nein, mein Fehler!

Update: nachdem nun beide WAN Links aktiv sind habe ich ein wenig getestet:
Egal welcher Link ausfällt, nach kurzer Zeit (ca. 1-2min) ist eine VPN Verbindung über den verbleibenden Link wieder möglich, aber nur, wenn die pseudo-tunnels aktiv sind.
Ohne diese Tunnels wird IPsec wohl nicht vollständig neu gestartet.

Meiner Meinung nach ist das ein Bug in der pfSense Software. Und nach allem, was ich dazu gefunden habe, sogar ein sehr alter!?
Da bin ich gespannt, ob v2.5 eine Besserung bringt.

Gruss

@bitboy0 said in CARP-DHCP Rogue DHCP?:

Also demnach ist das eine Fehlinterpretation von diesem Tool, weil das nicht den CARP-Cluster erkennt?

Ich kenne ja das Tool nicht. Kann ja sein, dass das allein schon bei 2 DHCP Servern rummeckert. Wenn dem so ist, kann man Clustering auch abschalten indem man beim DHCP einfach keinen "peer" eingibt. Dann läuft es auch nur auf einem Node.

Also IMHO kann es kein Problem mit dem DHCP oder DNS-Forwarder sein, oder?

Würde ich nach der aktuellen Faktenlage auch vertreten, ja. Wenn die Adressen vom Client entsprechend geprüft sauber aufgelöst werden (am Client dann eben mit nslookup und co nachsehen), gibts keinen Grund, warum das an der Sense liegen soll wenn sie die DNS Requests sauber weitergibt.

Ansonsten könnte man natürlich zum Test einfach den UCS als DNS ausliefern und auf dem dann die Sense als Forward eintragen. Ähnliches Resultat aber die UCS Typen können sich dann nicht mehr rausreden, wenn das Problem noch bestehen sollte.

Cheers
\jens

Wer lesen und verstehen!!! kann, ist klar im Vorteil.

https://redmine.pfsense.org/

"This site is not a discussion platform or for diagnostics and troubleshooting. For assistance with configuration or help with determining if an issue is a legitimate bug, please post on the Netgate Forum or the pfSense Subreddit before opening an issue."

https://docs.netgate.com/pfsense/en/latest/development/bug-reports.html

"After discussion and confirmation of a specific, legitimate bug report on the forum or pfSense subreddit, please open a ticket in the pfSense Redmine."

@jegr
nein das war auch nicht gemeint,
2.5 nehmen einige jetzt endlich zum Vorwand um endlich endlich upzudaten ähmmmm neuinstall durchführen zu lassen. gibt auch die Chance endlich die DInge sauber zu stellen di man so (ver)konfiguriert hat ;)

@altmetaller Welcher ISP? Ganz von alleine geht es meiner Erfahrung nach leider nicht. Vielleicht wird es mit 2.5 besser?