@jegr Jau, die Site von FreeBDS scheint da nicht sonderlich aktuell zu sein. Ich habe jetzt auf eine 10G-NIC gewechselt, weil diese besser läuft. Und bei diesem Wechsel ist mir die VM irgendwie kaputt gegangen und ich bin nun ausschließlich auf einer frischen 2.5 unterwegs. Bis auf IPv6 hab ich inzwischen fast alles per Hand wieder eingerichtet, sofern mich meine Erinnerungen nicht trügen. [solved]: IPv6 Port Forwarding ist tatsächlich möglich und wird genauso wie bei IPv4 gemacht.

@slu said in 2.5.0 | tcpdump Terminal zeigt nichts | Diagnostics - Packet Capture schon: interessant ist das ein tcpdump auch Ausgaben macht, ich bin leichtgläubig davon ausgegangen das dann immer alle Interfaces kommen. Eigentlich kommt dann lediglich das erste oder das default Interface. Aber alle kommen eigentlich nie. Bei mir ist es meistens das erste (igb0 o.ä.). Auch promisc. wird gern verwechselt. Das ist im Prinzip nur sinnvoll auf VLAN Trunks, dann kannst du im promisc mode auf das parent IF lauschen und bekommst alle Pakete aller VLANs angezeigt statt nur untagged oder genau mit dem angegebenen Tag.

@thiasaef Der Haken schaltet nicht "IPv6" magisch ab, sondern blockt einfach silent allen IPv6 Verkehr. Heißt aber auch, dass dann eine Einstellung wie "Track Interface" für IPv6 nicht funktioniert oder funktionieren kann. Wenn dann das Tracking Amok läuft, weil ggf. eben keine RAs raus oder reingehen weil alles v6 geblockt wird, dann kann das für die Sense wie ein dauerndes Neuverbinden sein (Interface hat neue IP, alle Dienste durchtreten die davon abhängig sind). Wenn also kein v6 verwendet wird oder werden soll, nicht einfach den Default Allow IPv6 Schalter sinnlos ausmachen, sondern einfach KEIN Interface mit v6 bestücken und auch kein v6 default GW verwenden. Dann bindet sich auch nichts aus Versehen auf IPv6 Adressen :)

Ich hab das mit unterschiedlichen DNS Einstellungen probiert, hat alles nichts genützt. Am iPhone hatte ich immer irgendwelche DNS (Anm. vom Provider). Wenn ich aber in der Phase 2 das lokal Subnet von 10.0.0.0/24 auf 0.0.0.0/0 ändere, klapp es. Das iPhone hat dann alle eingetragenen DNS. Verstehe es zwar nicht, läuft aber.

...unter meiner SG-1100 sind inzwischen 4 Klebefüße. Die original Silikonstumpen sind zwar schön weich, nur das verwendete Material hält halt nicht im Loch. Besonders dann nicht, wenn das Ding in einem Toolcase herumfliegt...

@jegr said in [2.5] Neues aus den Snapshots: neuer Tab: VxLAN Generell erst vor kurzem da eingeschlagen. VxLAN sind nicht gerade einfach zu erklären und ich muss mich da auch noch ziemlich einlesen. Falls jemand mehr zu VXLANs wissen möchte kann ich das Erklär-Video von Kevin Wallace empfehlen.

Edit Fehler gefunden: Unter General Setup -> DNS Resolution Behavior angepasst und nun ist alles wieder geschmeidig.

@bob-dig Ich meine, die Fritzboxen lassen sich nicht wirklich als "Reines" Modem einstellen, sondern bieten nur so einen PPPoE-Passthrough, wo sie sich selbst verbinden und auch weiteren Geräten eine Verbindung über PPPoE ermöglichen. Geht aber wiederum so bei der Telekom nicht. Die Speedports können Nur-Modem oder auch z.B. ein Vigor165 (nutze ich vor der pfsense).

Ich mache das DYNDNS-Update auch mit einem kleinen Script per cron - im vorliegenden Fall alle vier Stunden, aber das Script kann prinzipiell auch minütlich aufgerufen werden. Die Logdatei wird - ebenfalls per Script und cron - automatisch auf eine bestimmte Zahl an Einträgen gekürzt. Gruß Jürgen <?php $timestamp = time(); $datum = date("d.m.Y",$timestamp); $uhrzeit = date("H:i",$timestamp); $Host = "xyz.nsupdate.info"; $IP_Abfrage = "https://ipv4.nsupdate.info/myip"; $IP1 = file_get_contents($IP_Abfrage); $IP2 = gethostbyname($Host); $check1 = ip2long($IP1); $check2 = ip2long($IP2); if ($check1 == -1 || $check1 === FALSE) { $resonse = "IP konnte nicht ermittelt werden"; } elseif ($check2 == -1 || $check2 === FALSE) { $response = "Service nicht erreichbar"; } else { if ($IP1 == $IP2) { $response = "IP noch aktuell"; } else { $response = file_get_contents('https://xyz.nsupdate.info:xxxxxxx@ipv4.nsupdate.info/nic/update'); if (strpos($response,"good") !== FALSE || strpos($response,"nochg") !== FALSE) { $response = "IP aktualisiert - " . $response; } else { $response = "Update fehlgeschlagen"; } } }; $info = $datum . " " . $uhrzeit . " - " . $response; $URL = 'https://user:pass@meinedomain.tld/verzeichnis/nsupdate_log.php?response='.urlencode($info); $handle = fopen($URL, "r"); ?> <?php $Log = $_GET['response']; $logfile = "nsupdate.log"; $zeilen = 60; $handle = fopen($logfile, "a+") or die('Datei kann nicht zum Schreiben geöffnet werden'); fwrite($handle, $Log . "\n"); fclose($handle); file_put_contents($logfile, implode("\n", array_slice(explode("\n", file_get_contents($logfile)), -($zeilen+1)))); ?>

Hallo @jegr ich hatte einen Gedankenfehler. Und verführerisch, wie ich bin, habe ich dich mit auf die Reise genommen :-) Ich blicke aus Richtung WAN auf die pfSense und sehe dahinter zwei Netze. Das verleitet dazu, WAN als „Hauptschnittstelle“ anzusehen. Die wesentliche Schnittstelle ist jedoch LAN, an die sich letztendlich auch der bind mit den Hostnamen klammert. Also: Hostname auf pfsense.test.links Overwrite pfsense.test.mitte auf die WAN IP Overwrite pfsense.rest.rechts auf die OPT1 IP Dann habe ich genau das Wunschszenario: Ich schaue auf test.mitte und sehe dahinter test.links bzw. test.rechts Für mich ist das intuitiv :-) Gruß, Jörg

@jegr sehr gefinkelt .... :-)

@jegr Sorry! Mein Fehler. Hat sich erledigt. Kann man löschen!

Genau das Selbe hatte ich doch auch schon geschrieben. @hsrtreml said in 2 WAN - 2 LAN Gatewayrouting: ... der Logik folgend, muß ich dann natürlich für alle weiteren internen Segmente die gleiche Regel in A machen Du kannst einen RFC1918 Alias anlegen der alle privaten Netzbereiche enthält und den dann in der Firewall Regel als Destination benutzen. -Rico

Hallo, danke erst mal für die Infos. Ich habe jetzt noch mal etwas rumprobiert und Teilerfolge erreicht. @viragomann said in Internetzugriff durch VPN Tunnel: @zickzack2021 said in Internetzugriff durch VPN Tunnel: Dazu habe ich auf der Pfsense ein Interfaces für die OpenVPN Verbindung angelegt und dazu ein Gateway. Dieses wird mir allerdings immer als Offline im Dasboard angezeigt. Der Gateway wird mir immer noch als Offline angezeigt. Das heißt erst mal nichts weiter, als dass die Gegenseite nicht auf Pings antwortet. Damit das funktionieren kann, müssen die Pings erlaubt sein. Auch funktionieren sie nicht, wenn das Tunnel nicht eine /30er Maske hat, was bei einem Peer-to-Peer sein sollte. Der Ping auf die PFsensen hat nicht funktioniert, obwohl dieser erlaubt war. Nachdem ich das Transfernetz auf die /30er Maske umgestellt habe ging der PIng und auch das Internet über den Tunnel. @zickzack2021 said in Internetzugriff durch VPN Tunnel: Ich habe bereits die DNS Einstellungen für beide Interfaces angepasst Was genau? und auch auf der Gegenseite das NAT auf Hybrid gestellt und das Remote Netz eingetragen Am WAN? Können die Clients noch auf das Remote-Netz zugreifen? Können die betroffenen Clients Internet-Hostnamen auflösen? Die Auflösung über DNS hatte immer funktioniert. Als DNS Server habe ich für das Openvpn Gateway mal die Google DNS Server und die remote Firewall eingetragen und in der Remote PFs das lokale Lan über Hybrid NAT zum Wan maskiert (Wan Interface). Das läuft jetzt alles genau so wie gewollt bis auf die Offline Anzeige bei den Gateways. Jetzt wollte ich ganze final dann mit einem Routed IPSEC VPN realisieren, was auch alles soweit fuktioniert. Das Gateway wird mir hier als Online angezeigt, ich kann die Webseiten und Hosts mit DNS Auflösen und machmal öffnet sich die eine oder andere Seite sehr sehr langsam am Client, meistens allerdings kommt ein Serverfehler. Der Normale IPSec Datenfluss über den Tunnel ist völlig in Ordnung. Ist hier bei IPSEC noch was spezielles beim Datenfluss oder der Firewall einzustellen? Etwas unsicher bin ich mir auch noch bei den Firewall Regeln, müssen diese auf dem IPSEC oder dem zusätzlichen Interface des Gateway definiert werden, oder auf beiden? Was hat da denn denn Vorrang? Derzeit habe ich mal eine Allow All auf beiden angelegt. Viele Grüße Marco

Ich hatte jetzt mal versucht eine Gen2 VM anzulegen und da die intel-NICs durchzureichen mittels DDA. Aber pfSense 2.5 kommt damit nicht klar. Spoiler [image: 1613842500441-fehler.png] Mit Gen1 scheint es nach wie vor zu gehen.

@tom-3 Hi, schuss ins blaue... Hast du pfSense auch so konfiguriert das TCP States repliziert werden UND die Konfig. Für die TCP Session states muss du pfSEsen Sync protokoll zwischen den beiden pfSense freigeben.

@viragomann said in Hetznerserver - Konfiguration Zusatzip für zweiten Rechner in DMZ: Vielleicht wäre es zielführender im Hetzner-Forum nach Hilfe zu suchen. ja, da hast du vermutlich recht. Das ist sicher kein pfsense - Problem. Eher ein Konfigurationsproblem. Ich werd mir das alles nochmal genauestens anschauen und nach einer Lösung suchen. Melde mich jedenfalls wieder, wenn ich die Lösung habe. @viragomann said in Hetznerserver - Konfiguration Zusatzip für zweiten Rechner in DMZ: Da fehlt mir jetzt aber die Bindung zum Netzwerkport. Oder ist die anderswo schon für vmbr4 definiert? Nein, mein Fehler!

Update: nachdem nun beide WAN Links aktiv sind habe ich ein wenig getestet: Egal welcher Link ausfällt, nach kurzer Zeit (ca. 1-2min) ist eine VPN Verbindung über den verbleibenden Link wieder möglich, aber nur, wenn die pseudo-tunnels aktiv sind. Ohne diese Tunnels wird IPsec wohl nicht vollständig neu gestartet. Meiner Meinung nach ist das ein Bug in der pfSense Software. Und nach allem, was ich dazu gefunden habe, sogar ein sehr alter!? Da bin ich gespannt, ob v2.5 eine Besserung bringt. Gruss