Genau das Selbe hatte ich doch auch schon geschrieben. 😬

@hsrtreml said in 2 WAN - 2 LAN Gatewayrouting:

... der Logik folgend, muß ich dann natürlich für alle weiteren internen Segmente die gleiche Regel in A machen

Du kannst einen RFC1918 Alias anlegen der alle privaten Netzbereiche enthält und den dann in der Firewall Regel als Destination benutzen.

-Rico

Hallo,

danke erst mal für die Infos. Ich habe jetzt noch mal etwas rumprobiert und Teilerfolge erreicht.

@viragomann said in Internetzugriff durch VPN Tunnel:

@zickzack2021 said in Internetzugriff durch VPN Tunnel:

Dazu habe ich auf der Pfsense ein Interfaces für die OpenVPN Verbindung angelegt und dazu ein Gateway. Dieses wird mir allerdings immer als Offline im Dasboard angezeigt.

Der Gateway wird mir immer noch als Offline angezeigt.

Das heißt erst mal nichts weiter, als dass die Gegenseite nicht auf Pings antwortet. Damit das funktionieren kann, müssen die Pings erlaubt sein. Auch funktionieren sie nicht, wenn das Tunnel nicht eine /30er Maske hat, was bei einem Peer-to-Peer sein sollte.

Der Ping auf die PFsensen hat nicht funktioniert, obwohl dieser erlaubt war. Nachdem ich das Transfernetz auf die /30er Maske umgestellt habe ging der PIng und auch das Internet über den Tunnel.👍

@zickzack2021 said in Internetzugriff durch VPN Tunnel:

Ich habe bereits die DNS Einstellungen für beide Interfaces angepasst

Was genau?

und auch auf der Gegenseite das NAT auf Hybrid gestellt und das Remote Netz eingetragen

Am WAN?

Können die Clients noch auf das Remote-Netz zugreifen?

Können die betroffenen Clients Internet-Hostnamen auflösen?

Die Auflösung über DNS hatte immer funktioniert. Als DNS Server habe ich für das Openvpn Gateway mal die Google DNS Server und die remote Firewall eingetragen und in der Remote PFs das lokale Lan über Hybrid NAT zum Wan maskiert (Wan Interface).

Das läuft jetzt alles genau so wie gewollt bis auf die Offline Anzeige bei den Gateways. 🙄

Jetzt wollte ich ganze final dann mit einem Routed IPSEC VPN realisieren, was auch alles soweit fuktioniert. 👍
Das Gateway wird mir hier als Online angezeigt, ich kann die Webseiten und Hosts mit DNS Auflösen und machmal öffnet sich die eine oder andere Seite sehr sehr langsam am Client, meistens allerdings kommt ein Serverfehler. Der Normale IPSec Datenfluss über den Tunnel ist völlig in Ordnung. Ist hier bei IPSEC noch was spezielles beim Datenfluss oder der Firewall einzustellen?😇

Etwas unsicher bin ich mir auch noch bei den Firewall Regeln, müssen diese auf dem IPSEC oder dem zusätzlichen Interface des Gateway definiert werden, oder auf beiden? Was hat da denn denn Vorrang? Derzeit habe ich mal eine Allow All auf beiden angelegt.

Viele Grüße
Marco

Ich hatte jetzt mal versucht eine Gen2 VM anzulegen und da die intel-NICs durchzureichen mittels DDA. Aber pfSense 2.5 kommt damit nicht klar. 😕

Spoiler

fehler.PNG

Mit Gen1 scheint es nach wie vor zu gehen.

@tom-3
Hi,

schuss ins blaue...

Hast du pfSense auch so konfiguriert das TCP States repliziert werden UND die Konfig.
Für die TCP Session states muss du pfSEsen Sync protokoll zwischen den beiden pfSense freigeben.

@viragomann said in Hetznerserver - Konfiguration Zusatzip für zweiten Rechner in DMZ:

Vielleicht wäre es zielführender im Hetzner-Forum nach Hilfe zu suchen.

ja, da hast du vermutlich recht. Das ist sicher kein pfsense - Problem. Eher ein Konfigurationsproblem.

Ich werd mir das alles nochmal genauestens anschauen und nach einer Lösung suchen. Melde mich jedenfalls wieder, wenn ich die Lösung habe.

@viragomann said in Hetznerserver - Konfiguration Zusatzip für zweiten Rechner in DMZ:

Da fehlt mir jetzt aber die Bindung zum Netzwerkport. Oder ist die anderswo schon für vmbr4 definiert?

Nein, mein Fehler!

Update: nachdem nun beide WAN Links aktiv sind habe ich ein wenig getestet:
Egal welcher Link ausfällt, nach kurzer Zeit (ca. 1-2min) ist eine VPN Verbindung über den verbleibenden Link wieder möglich, aber nur, wenn die pseudo-tunnels aktiv sind.
Ohne diese Tunnels wird IPsec wohl nicht vollständig neu gestartet.

Meiner Meinung nach ist das ein Bug in der pfSense Software. Und nach allem, was ich dazu gefunden habe, sogar ein sehr alter!?
Da bin ich gespannt, ob v2.5 eine Besserung bringt.

Gruss

@bitboy0 said in CARP-DHCP Rogue DHCP?:

Also demnach ist das eine Fehlinterpretation von diesem Tool, weil das nicht den CARP-Cluster erkennt?

Ich kenne ja das Tool nicht. Kann ja sein, dass das allein schon bei 2 DHCP Servern rummeckert. Wenn dem so ist, kann man Clustering auch abschalten indem man beim DHCP einfach keinen "peer" eingibt. Dann läuft es auch nur auf einem Node.

Also IMHO kann es kein Problem mit dem DHCP oder DNS-Forwarder sein, oder?

Würde ich nach der aktuellen Faktenlage auch vertreten, ja. Wenn die Adressen vom Client entsprechend geprüft sauber aufgelöst werden (am Client dann eben mit nslookup und co nachsehen), gibts keinen Grund, warum das an der Sense liegen soll wenn sie die DNS Requests sauber weitergibt.

Ansonsten könnte man natürlich zum Test einfach den UCS als DNS ausliefern und auf dem dann die Sense als Forward eintragen. Ähnliches Resultat aber die UCS Typen können sich dann nicht mehr rausreden, wenn das Problem noch bestehen sollte.

Cheers
\jens

Wer lesen und verstehen!!! kann, ist klar im Vorteil.

https://redmine.pfsense.org/

"This site is not a discussion platform or for diagnostics and troubleshooting. For assistance with configuration or help with determining if an issue is a legitimate bug, please post on the Netgate Forum or the pfSense Subreddit before opening an issue."

https://docs.netgate.com/pfsense/en/latest/development/bug-reports.html

"After discussion and confirmation of a specific, legitimate bug report on the forum or pfSense subreddit, please open a ticket in the pfSense Redmine."

@jegr
nein das war auch nicht gemeint,
2.5 nehmen einige jetzt endlich zum Vorwand um endlich endlich upzudaten ähmmmm neuinstall durchführen zu lassen. gibt auch die Chance endlich die DInge sauber zu stellen di man so (ver)konfiguriert hat ;)

@altmetaller Welcher ISP? Ganz von alleine geht es meiner Erfahrung nach leider nicht. Vielleicht wird es mit 2.5 besser?

@bob-dig

Ja, ja wenn nichts mehr geht, lies endlich die Gebrauchsanleitung...

Unter System/Advanced/Notifications steht ja auch klipp und klar, das der Test Knopf für "Test SMTP Settings" nur die abgespeicherten Daten verwendet, also zuerst abspeichern und dann diesen Knopf drücken ;-)

Nur wer liest schon was sooo klein in der Zeitung steht ;-)

Falls es aber dann doch nicht geklappt hat, vor jedem erneuten Abspeichern, nochmals das Passwort erneut eintippen.

So, die Chose mit der Benachrichtigung läuft jetzt auch, wird ja immer besser :-)

@jegr said in pfSense an Stadtwerke NMS statt FritzBox:

@24unix said in pfSense an Stadtwerke NMS statt FritzBox:

@jegr Heute nur eine kurze Antwort, sorry, hatte andere Baustellen, antworte morgen in Ruhe.

Kein Problem, musste auch heute den ganzen Tag ackern :)

:-)

Weiter geht's.

Wollte auf jeden Fall "mal kurz" den Tipp mit statischem IPv6 ausprobieren, plötzlich kam der unbound nicht mehr hoch.

Nanü?
Das ist extrem merkwürdig. Gabs keine Logs?

Ne, gar nichts, keine Bewegung in den Logs, auch ein Neustart brachte nichts.

Egal, unbound deaktiviert.

Ich habe dann heute mal versucht, statisch was zu erreichen, aber die 0100 schiesst da wohl wirklich quer.

Ich werde jetzt mit den Netz leben, meine Clients alle anpassen, den Linux-Kisten via systemd-networkd reproduzierbare configs geben und DNS anpassen, die Macs kommen einfach auf auto.

Auf jeden Fall bin ich mit der Performance zufrieden, der Umstieg von dem Wackel-DSL auf Glasfaser hat sich gelohnt, und der kleinste Business Tarif ist immer noch günstiger als der kleinste bei der Telekom mit statischer IP.

Hänge den neuen Server an einen kleinen, möglichst dummen Switch und dazu noch Deinen Laptop/PC. Mehr nicht.
Bekommt der PC bei eingeschaltetem HP Server eine IP zugewiesen, hat das Gerät eine feste IP, die zufällig der deiner pfSense oder deines Switches entspricht, ...

Die Proliant Microserver Gen10 haben doch einen VGA- und einen DP Ausgang für einen Monitor. Was zeigt dir der denn an?

@jegr

Danke, für Deine ausführliche Antwort! 👍

Leider habe ich keine statischen IP Adressen, seitens der Telekom.

Und ich habe die 2. Box ja eigentlich auch nur, damit ich den Server, auf dem die 1. Box als virt. Maschine läuft, auch mal abschalten kann und ich dann trotzdem noch Internet usw. habe. Also wirkliche HA, gibt es mit PPPoE in dieser Konfig. ja so auch nicht.

Was mich aber wundert: Wenn die 1. Box online ist und eine öffentliche IPv6 Adresse hat, sehe ich unter "Status -> Services" den Dienst "radvd" und kann ihn dort starten/stoppen usw.

Bei der 2. Box, die dann nicht "online" ist und keine IPv6 Adresse von der Telekom hat, sehe ich den Dienst dort nicht. Ich kann nur auf der Konsole sehen, dass der Dienst läuft. Also irgendwie muss die GUI ja merken, dass der Dienst eigentlich nicht laufen soll/kann. (Er läuft auch nur, wenn ich der "Router mode" in der "Router Advertisements" Konfiguration auf "unmanaged" steht und nicht auf "disabled".)

Das wundert mich etwas und lässt mich irgendwie auf ein Bug o.Ä. kommen...

Leider wüsste ich sonst auch nicht, was ich an der Konfiguration sonst noch ändern könnte, damit ich das Problem lösen könnte... :(

Auch der Reboot löst das Problem mit der fehlenden IPv6 auf LAN nicht immer. Da bleibt wirklich nur auf 2.5 zu hoffen. I am ready! 🤞

@dex said in Routing zwischen Site to Site and Remote Access OpenVPN Server:

Lediglich das Tunnel Netz im Peer to Peer Client durfte nicht leer bleiben da sonst kein Tunnel aufgebaut wurde.

Wie erwähnt, das gilt nur für SSL/TLS-Server Mode, nicht für Shared Key.

Moin Moin,
schön dass es jetzt läuft!

Ich hatte ein ähnliches Phänomen schon einmal mit einem WireGuard-Tunnel.
Pings gingen durch, sonst nichts.
Lösung war ein Absenken der MTU des WG.
Es wurde scheinbar nicht sauber fragmentiert.

VF
Jan

@jegr said in Die ID:

Und wer es nicht will schaltet es in den Advanced Options aus.

Es ging um die Netgate ID. Die Übermittlung kann abgeschaltet werden. Advanced Options / Misc / Installation Feedback / Netgate Device ID