@viragomann Danke Dir, hatte ich doch noch einen Denkfehler!

@hec said in Mehrere pfSensen über ein Tool managen?: Ich müsste mal nachschauen was Ansible bei pfSense mittlerweile kann. Nichts, weil Ansible kein Modul für die pfSense hat. Du kannst dich natürlich per SSH via Ansible verbinden, aber dann wirds auch schon recht dünn, wenn du nicht händisch einige Funktionen programmieren oder einen kompletten XML Parser bauen möchtest. Nachdem es anscheinend mittlerweile eine API dafür gibt sollte das eigentlich lösbar sein. Es gibt keine API! Wäre interessant sowas mal zu entwickeln. Müsste da mal mit einem Programmierer reden was er dazu meint. Also entweder gibt es was oder nicht ;) Und nein, es gibt noch nichts. Und alles was es aktuell gibt, sind irgendwelchen selbergebauten Halb-Lösungen, die nur via SSH das XML manipulieren und umschreiben. Nicht gerade etwas, was ich "API" oder "sauber" nennen würde. Es macht auch eher aktuell in der Umbruchsphase mit 2.5 und dem ganzen "Plus" Kram gerade IMHO keinen Sinn, jetzt was loszutreten, ohne zu wissen wann die Business Funktionen von Plus kommen wann der Rewrite des Base WebStacks kommt bzw. ob er auch für die OSS Version kommt wie die geplante RESTCONF API dann angesprochen wird ob Netgate nicht selbst (wie angekündigt) für die Plus Version ein Control Center für mehrere Devices bringt (was angesprochen war neben einem Business Dashboard mit mehr Reporting, der API und dem neuen Stack mit RESTCONF API, Go CLI und Co) wieviel die Plus Version dann kosten soll bzw. wie es lizensiert wird Das sollten wir aber spätestens bis zur 2.6/21.10 die in den Herbst angekündigt war wissen, denn mit 2.6 soll es ja dann die Möglichkeit geben, von der OSS 2.x Version in die Plus Versionsschiene wechseln zu können. Somit würde ich da momentan keine gößeren Ressourcen verschwenden wenn diese Sachen noch nicht klar ausdefiniert sind, sonst ist das lediglich vergebene Liebesmüh' wenn hinterher bspw. der Core Stack Rewrite auch für die OSS Version kommt und man jetzt Kram für die XML Geschichte baut. Cheers

@bob-dig said in NICs wechseln, wie die Konfig retten...: Bin nun mutig geworden und am Überlegen, durch eine weitere "Umschreib-Aktion" LAN nun von dem fünften auf den ersten Platz zu schieben. Auch das hat funktioniert, musste aber LAN dann auch tatsächlich mit der "ersten" NIC verbinden und weil die dann nicht trunk war in Hyper-V, musste ich tatsächlich erst alle anderen NICs aus der VM löschen, bis die Trunk-NIC an erster Stelle war. Dabei kam mir dann zu gute, dass pfSense sich nicht für MAC-Adressen interessiert, da die ganzen anderen NICs nun neue MAC-Adressen haben.

@jegr Ah, ich bin blöd! Die mail kommt von meiner pfsense zu hause (SG-1100) die bereits auf 21.02 ist und nicht der in der Firma, die ich die ganze Zeit untersuche. Sorry, mein Fehler und danke, dass Du mich darauf gestoßen hast. Die beiden Geräte heissen fast gleich, daher hab ich das nicht gecheckt. Jetzt wird mir einiges klar. Danke!!

@oktech Vielleicht musst du PPPoE auf dem VLAN machen?

@nocling Hab ja jetzt nen 10G Switch, ich denke also, das wird nicht nötig sein. Könnte auch an Hyper-V gelegen haben.

@nocling Ja, wir mir wohl nichts anderes als neuaufsetzen bleiben... Wieder ein Samstag Nee, es ist leider die Version mit 3 LAN-Ports, weil wir damals a) ein WLAN-Modul wollten und b) noch ein LTE-Fallback. Das war zu der Zeit, als 2 ADSL-Leitungen zusammen nur 20Mbit/s gebracht haben und diese dann immer mal gleichzeitig ausgefallen sind...

@mdn Es kommt nur das, was auch quasi in der UI benachrichtig werden würde plus ggf. mal ein Gateway Fail/Switch wenn das genutzt wird, ansonsten bekommt man recht wenig zugespammt. Also von wegen "eine Menge" - ich bekomme täglich morgens die Dyndns Meldung vom DSL IF und ansonsten übern Tag die Vodafone fuckups wenn die Verbindung wieder auf DSL switcht weil Kabel nicht zu gebrauchen ist. Ansonsten wird man nicht einfach zugespammt. Sieht anders aus, wenn man da im Cluster mit CARP arbeitet etc.

@m0nji said in PFSense eingehende Anfragen auf 2. WAN Interface: https://redmine.pfsense.org/issues/11436 Hi m0nji, danke für deinen Link.. ich sehe darin zumindest eine Bestätigung von recht vielen die das Problem reproduzieren können. Die Firewall Logs deuten bei mir auch auf eine Default Deny Rule und den Syn State Hast du schon weitere Informationen gesehen?

Habe das Problem auch nicht mit einer neuen pfSense 2.5. Im Server steht allow-compression no und beim client export ist es gar nicht enthalten.

@mansior Toll, das es bei Dir funktioniert. Könntest du mir mal deine komplette Konfiguration für das Magenta schicken? Ich wäre für jeden Tipp dankbar.

@jegr jaaaa... nehme ich... auch beide... sind die "19 Zoll-Winkel" für's Rack dabei? Wo machen wir die "Preisverhandlungen"? Nicht hier im Forum, oder?

@markus4210 Aber nicht vergessen, die interne Netze auch in die Ausnahme reinzunehmen, damit sie nicht zum VPN Server geroutet werden. Also am besten alles in einen Alias packen und diesen als Ausnahme-Ziel setzen. Grüße

@m0nji Bei VMware: Veeam checken. Ist eine der besten Lösungen. Ansonsten: Automatisierung! Das Gros meiner Proxmox Container sind Kisten, die man relativ einfach neu aufsetzen oder automatisieren kann. Bspw.: 2x PiHole. Die brauch ich nicht wirklich sichern, das Basis-Containerfile hat schon alles wichtige installiert, dann noch PiHole Installer automatisch ausführen lassen und mein Ansible Playbook für PiHole damit die ganzen Domains mit Forwardern woandershin eingetragen werden. Also nichts wirklich drauf was ich sichern müsste. Einfach neu aufsetzen und gut. Also: Erst Automatisierung, Konsolidierung und was dann über bleibt ggf. als Daten dann ab in ein Backup (extern via NAS oder rsync o.ä.) oder Backup/Snapshots vom ZFS des Proxmox auf den anderen Host des Clusters.

@johndo da mobil nur kurz: Nein du musst Zertifikate nicht auf der pfSense verwalten. Das entsprechend zu bauen für größere Rollouts ist auch nicht schwer, extern MS Kram machen lassen geht :) Nur als kurzer Anstoß: die CA kann egal wo sein, die muss nicht auf der Sense sein, zumindest nicht ausstellend. Die Sense braucht für den Betrieb nur die CA lesend (cert) und ein Server Cert von ihr. That's it. Alles andere kann auch extern über build Prozesse, Ansible, Puppet, MS Deployment oder whatever gelöst werden. Und wir haben da durchaus Kunden, die 200+ User ausgerollt haben. User+PW via AD/LDAP und Zert via Microsoft. Beim Anmelden an der Domain bekommen die ihren Client installiert, Konfig gepusht und Zert eingespielt. Könnte man sicher auch anpassen dass die Certs in den Trusted Keystore kommen dann wäre es schwerer das einfach auf die Privatkiste zu kopieren. Aber ganz ausschließen ist immer schwer. Solche großen Setups fahren dann aber statt irgendwelchen VPN Verbiegungen meist ein Login Control System. Dann wird per Rechnername/ID/MAC or whatever geprüft, ob das ein gültiger PC ist und wenn nicht, wird er geblockt. Das kann ggf auch per VPN klappen wenn es am AD Login hängt. :)

@jegr hach, wenn du antwortest ist das immer schön Danke für die Aufklärung. Ich werde dann erstmal nur die Pakete updaten und später die Base.