@markus4210 Aber nicht vergessen, die interne Netze auch in die Ausnahme reinzunehmen, damit sie nicht zum VPN Server geroutet werden. Also am besten alles in einen Alias packen und diesen als Ausnahme-Ziel setzen. Grüße

@m0nji Bei VMware: Veeam checken. Ist eine der besten Lösungen. Ansonsten: Automatisierung! Das Gros meiner Proxmox Container sind Kisten, die man relativ einfach neu aufsetzen oder automatisieren kann. Bspw.: 2x PiHole. Die brauch ich nicht wirklich sichern, das Basis-Containerfile hat schon alles wichtige installiert, dann noch PiHole Installer automatisch ausführen lassen und mein Ansible Playbook für PiHole damit die ganzen Domains mit Forwardern woandershin eingetragen werden. Also nichts wirklich drauf was ich sichern müsste. Einfach neu aufsetzen und gut. Also: Erst Automatisierung, Konsolidierung und was dann über bleibt ggf. als Daten dann ab in ein Backup (extern via NAS oder rsync o.ä.) oder Backup/Snapshots vom ZFS des Proxmox auf den anderen Host des Clusters.

@johndo da mobil nur kurz: Nein du musst Zertifikate nicht auf der pfSense verwalten. Das entsprechend zu bauen für größere Rollouts ist auch nicht schwer, extern MS Kram machen lassen geht :) Nur als kurzer Anstoß: die CA kann egal wo sein, die muss nicht auf der Sense sein, zumindest nicht ausstellend. Die Sense braucht für den Betrieb nur die CA lesend (cert) und ein Server Cert von ihr. That's it. Alles andere kann auch extern über build Prozesse, Ansible, Puppet, MS Deployment oder whatever gelöst werden. Und wir haben da durchaus Kunden, die 200+ User ausgerollt haben. User+PW via AD/LDAP und Zert via Microsoft. Beim Anmelden an der Domain bekommen die ihren Client installiert, Konfig gepusht und Zert eingespielt. Könnte man sicher auch anpassen dass die Certs in den Trusted Keystore kommen dann wäre es schwerer das einfach auf die Privatkiste zu kopieren. Aber ganz ausschließen ist immer schwer. Solche großen Setups fahren dann aber statt irgendwelchen VPN Verbiegungen meist ein Login Control System. Dann wird per Rechnername/ID/MAC or whatever geprüft, ob das ein gültiger PC ist und wenn nicht, wird er geblockt. Das kann ggf auch per VPN klappen wenn es am AD Login hängt. :)

@jegr hach, wenn du antwortest ist das immer schön Danke für die Aufklärung. Ich werde dann erstmal nur die Pakete updaten und später die Base.

mhm das hat sich dann wohl erst mal erledigt: https://www.netgate.com/blog/wireguard-removed-from-pfsense-ce-and-pfsense-plus-software.html

@viragomann Wenn die erste Antwort bzw. der erste Hop von Traceroute schon * * * zurückgegeben hatte, dann stimmte zu dem Zeitpunkt was mit dem Routing nicht wirklich. Wäre dann eher interessant gewesen, was beim traceroute blubb dann tatsächlich der volle Output war. Wäre es pfBNG gewesen, dann hätte die Auflösung von awsh.de schon 0.0.0.0 oder 127.1.1.7 ergeben und wäre ins "nichts" gelaufen. Wenn die aber sauber zur IP aufgelöst wurde und der Trace dann nicht ging, dann war das kein pfSense, sondern eine Routing/Proxmox Problem.

@viragomann said in Dynamic DNS aktualisiert nicht mehr: Aber soweit ich mich erinnere, ist @JeGr ein vehementer Gegner dieser Funktion. Er sollte wohl beantworten können, warum. seufzt Ich bin kein "vehementer Gegner dieser Funktion", sondern habe schlicht mehrfach zitiert und darauf hingewiesen, dass bei aktivem Haken von "Register DHCP Leases" es zu einem ständigen Neustart von Unbound kommt, weil jedes Gerät mit dynamischer IP sobald es per DHCP nen neues Lease bekommt oder aktualisiert eine Rückmeldung an Unbound gibt und der dann NEU STARTET um die aktuelle Liste an Clients zu kennen. Zudem gibt es keinen sinnvollen Grund einen rando dynamischen Client mit rando Name einfach in den DNS zu pumpen. Weshalb sollte ich den Namen von der Kiste brauchen? Und wenn jetzt einer sagt, weil er da mit RDP, SMB, CIFS oder sonstwas drauf muss, dann ist das kein "Client" Job, sondern ein Server/Service Job. Und dann bekommt sowas ne statische oder zumindest reservierte (semi statische) IP (via DHCP/MAC) und die werden einmalig beim Starten eingelesen und benötigen logisch keinen ständigen Neustart von Unbound. Bei genug Clients und vielen Änderungen im DHCP hat man Unbound dann ständig am Neustarten weil es alle paar Sekunden/Minuten nen Client gibt, der das Ding zum Neustarten bringt. Darum macht man es aus. Es sollte mal via Reload gelöst und angesteuert werden, da gab es aber einen Regression Bug und ein Problem mit Unbounds neuer Python Module Integration. Daher ist das in 2.5 immer noch drin. https://redmine.pfsense.org/issues/5413 tl;dr: DNS Resolver: disable DHCP Registration von irgendwelchen rando Clients disable DHCP Registration von irgendwelchen rando OpenVPN Clients wenn notwendig: enable DHCP static lease Integration ins DNS. Da wird nur ein Neustart fällig wenn man neue DHCP Mappings erzeugt.

@markus4210 servus markus, ist zwar lange her aber kannst du mal sagen was dein backend WS ist? leitet das weiter?

@cyruz wäre nicht verkehrt zumal der maintainer von snort und ich glaube auch surricata bmeeks ist. Und Bill ist wirklich ne sehr freundliche Tüpe der einiges auf dem Kasten hat

@marcelbk said in NordVPN Verbindung mit Playstation4: Überprüfe ich aber den Standort auf meiner PS4 steht dort weiterhin DE Das hat aber normalerweise nichts mit IP oder VPN zu tun. Wo prüfst du das? Dein Account im PSN wird einem Land zugeordnet und das behältst du egal was du für IPs hast.

@jegr Verteile die ULA fest mit DHCP6, genauso wie mit IPv4. Ich mach es quasi 1:1 so wie bei IPv4, nur dass ich halt Outbound NAT selbst einstellen musste. [solved]: per Regeln und wenn man IPv6 nur für einen Rechner ausrollen will, dann geht es nur über ein eigenes Interface bzw. vlan.

@sense_noop Seinerzeit als ich nach einer Hardware gesucht hatte, gab es keine Zotak mit 4 NICs, was meine Mindestanforderung war. Das schränkte die Auswahl erheblich ein. Vielleicht ist das heute schon anders.

@jahonix mach dir nix draus ... ich hab vom @JeGr ein eigenes script bekommen für die Termine #justsaying .....

Ich musste meine Fritz mit LAN 1 (192.168.15.11) ins Internet lassen, über ein VLAN welches als DMZ Netz auf der Sense angelegt ist. Dann hängt diese mit fester IP im normalen LAN (192.168.10.21), darüber kann sich dann die Fon App verbinden. Mache ich das nicht, komme ich auf meinem VPN Client Netz (192.168.33.0/24) nicht mit der App an die Fritz ran und auch nicht vom Netz meiner Elter welche über S2S angebunden sind (192.168.166.0/24). Ich musste das Teil also austricksen, denn gehe ich über LAN 1 shared ins Internet und verwende das Netz als internes LAN gleichzeitig, dann springt hier die Firewall an und lässt nur 192.168.10.0/24 zu. Alles andere ist dann WAN und damit böse. Ich kann in der FuBox nix einstellen, sonst könnte ich ja 192.168.0.0/16 als internes LAN definieren, aber nix da. Multihomed, kann ich im Handy VPN anwerfen und bekomme auf der Arbeiten Anrufe rein, die bei uns zu hause rein laufen. Vor paar Wochen war das witzig, hatte kurz VPN ein geschaltet weil ich was im NAS nachsehen wollte, dann vergessen den Tunnel aus zu machen und 1h später klingelt die App. Auch witzig, sind zu Besuch bei meinen Eltern, die drückt irgendwas an ihrem Handy und ruft bei uns das Festnetz an, ich sitze 2m entfernt und konnte das Gespräch annehmen und Fragen was sie denn möchte. Dann lagen wir vor lachen neben dem Sofa.

@richie1985 Super freut mich! :)

sorry, hab mich nicht deutlich ausgedrückt. ich war auf dem 2.4.5er branch unterwegs, dort hatte ich einige pakete installiert über die letzten monate. sonntag habe ich dann direkt das update auf 2.5.0 gemacht, die pakete habe ich vorher nicht angefasst. im installationslog gab es allerdings einige fehermeldungen, unter anderem erinnere ich mich an php-pear. aber wie auch immer: ich werde nun warten, bis ein erstes minor update existiert und dann nochmal hochgehen. wenn das wieder fehlschlägt, werde ich die logs rausziehen und bereitstellen. gruß, und danke für die hilfe. schönen abend, andre

@jegr soo cooooool !

@viragomann ich kanns ja nachvollziehen, die jungs sind so stolz auf ihre procedures das die das einfach runterhacken, ohne nachdenken zu müssen und sie wissen halt einfach wenn sie sich an denablauf halten dann passt es und die quali sicherung ist auch erledig. tja ...für einen Montag in der Technik ... ggg haben die bis Ende des Monats gnug von mir