Certbot oder jeder andere Letsencrypt Client macht mit Domains im "HTTP-1" Modus gar nichts. Er sendet lediglich deinen Ausstellungs-Wunsch zu LetsEncrypt und deren Server greifen via Domainaufruf und HTTP (kein S!) auf die Domain zu, versuchen den .well-known Pfad abzurufen und damit die Domain zu validieren. Done.

Mit Cloudflare als DNS für die eigene Domain geht das nochmal um einige Ecken leichter, weil man statt HTTP die DNS-1 Methode nutzen kann, wenn man die entsprechenden Daten wie API Key, Domain etc. hinterlegt. Dann wird ein TXT Eintrag in der entsprechenden Domain erzeugt (meinedomain.xyz) für den Hostnamen der validiert werden soll, LetsEncrypt testet den DNS (wieder von außen, dein lokaler DNS auf der pfSense ist da völlig irrelevant) und stellt je nachdem ob das klappt das Zert aus oder nicht.
Ebenfalls Done.

Beide Varianten haben nichts(!) mit deinem lokalen DNS und dem Überschreiben mit Host oder Domain Overrides in deiner pfSense zu tun. Der Host oder Domain Override - je nachdem was du brauchst/nutzt - sind lediglich dafür zuständig, dass deine Clients/Server nicht jedes Mal erst auf die externe IP auflösen, auf deiner pfSense rauskommen, da ggf. (wenn aktiviert) via NAT Redirection dann wieder zum Server zurückgespielt werden und insgesamt eben einmal mit dem Paket um den Block fahren, statt direkt ins Haus nebenan zu gehen, zu klingeln und reinzulaufen. Bildlich gesprochen :)

Cheers
\jens

@NOCling @the-other ,

das mit dem VLAN ist ne gut Idee, ich muss mir erstmal den switsch anschauen.
(Ist ein kleiner HP 8 Port Gigabit switch)

Werde mir das auf die todo Liste setzten wenn ich mal wider vor Ort bin.

Wen der VLANs kann werde ich mich ggf. wegen der Konfiguration nochmal melden.

Gruß Peter

ja das ist der plan.

beim import wird der alte (bestehende) alias überschrieben
(zuerst gelöscht dann der neue geschrieben)

jetzt gerade dabei das xml file zu mergen und anschl. zu importieren.

NP

(edit) working .... xml edit und merge inkl restore ... funktioniert ohne reboot .. obwohl er anmerkt ein reboot may be needed

so 1 down 43 to go

[solved]
NP

@viragomann

So ja. :)

@wkn ganz einfach: Ich möchte meinen internen LAN Traffic über meinen performanten L3-Switch geroutet haben und nicht alles über meine virtuelle pfSense. Somit ist die pfSense kein Bottleneck.

@bob-dig said in Hilfe benötigt bei IPv6 Config WAN/LAN Unitymedia - test-ipv6 klappt nur sporadisch:

@jegr Also wohl manuell auf den einzelnen Hosts... danke. Täte es lieber alles im Router machen.

Wenns keine Server sind muss man im Normalfall gar nichts mehr irgendwo machen - dank SLAAC. Und Server konfiguriert man bei der Installation einmal durch - da ists mir egal ob statisch, semi-statisch via DHCP o.ä. - ich muss ja eh dran.

@jma791187 said in nächstes Treffen ?:

bei mir im Kalender steht es auch drin. Aber das war beim ersten Treffen auch so :-(

Ich muss also nur noch mal raussuchen, wie ich denn überhaupt teilnehmen kann. Sch... Kurzzeitgedächtnis

Einfach ins Forum schauen:
https://forum.netgate.com/category/81/pfsense-german-user-group

Eintrag für den 2. Termin schon angelegt.

@jegr
weil der default wert bei uns 155.555.555 Byte is ! weil kein vernünftiger ITler das so machen würd...
wenn die Kunden selbst auf der Box spielen muss man ein paar HoneyPots einbauen 👾 👾 👾

@tpf OK jetzt wirds klarer, ich dachte mit "Login" da kommt ggf. die Firewall UI also falsches Backend o.ä.

Da ich in den allermeisten Fällen als Reverse Proxy/LB HAproxy einsetze, weil mir da Squid zu umständlich zu ist, kann ich da leider nichts zu sagen, an welcher Stelle der rumbuggt. Hab auch momentan leider viel zu wenig Zeit zum Basteln.

WiFi etc siehe @NOCling - dann hast du wirklich andere Probleme und sie sollte auch ihr Smartphone o.ä. schnell in Alu einwickeln :) - und die Mikrowelle wegwerfen.

Bei Gigabit wirds wahrscheinlich mit der SG-2100 eng, das wäre dann eher was für die SG-3100 und drüber. Aber bei so großen Datenraten wird das Endgerät eben leider irgendwann teuer. Auch die neuen Fritten mit ihrem komischen 2,5Gbps Port für Gigabit Kabel/DSL sind ja nicht gerade Billigheimer, da ist man auch recht schnell bei über 250€ - und dann sind die Kisten nicht mal wirklich gut. Auf der anderen Seite rechnet sich so eine Hardware wenn sie ausreichend dimensioniert ist auch. Meine alte 7525 die bald abgelöst wird, lief jetzt etliche Jahre hier mit 200-400Mbps. Da hätte theoretisch auch ne kleinere Kiste gereicht aber nicht nur die Netzwerkports auch die Performance war eben immer top. Und wenn man den Betrag dann auf 3,4,5 Jahre sieht - ist das schon recht wenig.

@wkn said in Telekom FTTH PPPoE Einwahl mit SG-1100:

@fireodo

Ich weiss das das nicht automatisch geht, aber der OP muss es ja manuell gemacht haben und da das richtige Interface zugewiesen haben.

Davon bin ich zwar ausgegangen - aber man weiß ja nie ...

Ich stimme da Rico zu. Evtl. macht das der VPN Provider absichtlich. Mit dem Provider darüber zu reden, würde kein Sinn machen.

Wechsele einfach zu einem Provider, der unterschiedliche virtuelle IPs anbietet.

@sueimweb said in PfSense lässt Client nicht ins Internet trotz offener Firewall:

ok, es war wirklich ein ganz doofer Fehler.

Die machen wir doch alle 😃

Tja, beim Copy and Paste der Mac Adresse war ich in der Zeile verrutscht und hatte eine falsche Mac Adresse dort hinterlegt.

Aber genau diese Art Fehler vergisst man viel zu häufig und sucht sich dann zu Tode bis man vielleicht mal drauf gestoßen wird! Mir selbst auch schon an anderer Stelle passiert, daher: lieben Dank dass du uns teilhaben lässt und ggf. nochmal anstößt, nachzuschauen ob da sich nicht doch irgendwo ein CopyPasta Fehler eingeschlichen hat 😸

Außerdem hätte ich den Post ungern gelöscht gesehen, wo hier so schön vorgelegt und debuggt wurde mit Packet Captures und Beschreibung - sowas muss auch mal gelobt werden! 👍

@nonick said in WAN_DHCP6 zeigt andere Adresse als meine Fritzbox 6660:

Dein WAN Interface ist auf DHCPv6 gestellt, bekommt aber keine Globale IPv6 Adresse vom Provider zugewiesen. Das deutet auf ein Konfigurationsproblem z.B. am WAN Interface hin

Nicht zwangsläufig, die FB gibt bspw. gern das FE80:: prefix als Gateway raus, weil es IMMER funktioniert auch im Falle eines connection downs. Ist dort BTW konfigurabel, dass man wählen kann ob man link local bevorzugt möchte. Macht dort aber auch Sinn da sich die Prefixe ändern, wäre es Unsinn für unterbrechungsfreien Betrieb eine public IP6 zu nutzen, die dann ungültig wird und geändert werden muss. Die Default Route will man ja nicht ändern müssen.

@nonick said in WAN_DHCP6 zeigt andere Adresse als meine Fritzbox 6660:

sollte bei DHCPv6 klar sein.

Aye, DHCP heißt eben dynamisch, da nimmt man was man bekommt ;)

@dogfight76 said in WAN_DHCP6 zeigt andere Adresse als meine Fritzbox 6660:

WAN_DHCP6 Pending Pending Pending Unknown

Die Frage ist eher: funktioniert IP6 trotzdem oder nicht. Es kann auch lediglich ein Anzeige/Routing Problem von dpinger sein. Einfach Gateway mal kurz editieren und ohne Änderung speichern und schauen ob er es dann plötzlich pingen kann. Problem könnte deine Monitor IP6 sein. Die würde ich mal testweise raus nehmen.

Hi,

ich glaube ich bin einen Schritt weiter.
Es war ein Sperrfilter installiert und deshalb war "nur" DOCSIS 3.0.
Sperrfilter.jpg

Sperrfilter raus, Fritzbox neugestartet und jetzt sthet das unter "Kanäle"
Kanäle1.JPG

Kanäle2.JPG

Kanäle3.JPG

So besser ?

Speedtest mit VPN zeigt jetzt:
Tempo.JPG

Im Grunde muss man gar nichts machen. In der Standartkonfiguration funktioniert VoWIFI reibungslos. Wichtig bei einem Vodafone-Tarif ist dass der DNS Server vom Provider oder eines deutschen DNS-Dienstes genutzt wird. Sonst klappt das nicht.

Hintergrund ist das Vodafone damit überprüft, ob man sich in Deutschland aufhält. Da VoWIFI im Ausland von Vodafone nicht angeboten wird. Das hängt wo mit dem Roaming zusammen und damit das hier der Kunde nicht kostengünstig übers Internet telefonieren soll.

https://de.wikipedia.org/wiki/Generic_Access_Network

@JeGr RAM hast du übersehen, sind 8 GB verbaut.

Nein, dies bezüglich nichts verändert, stelle ich ungern im Live Betrieb um, wenn ich es vorher nicht getestet habe.

Danke für die Info.

Nachdem ich noch mal explizit alle VPN Tunnel geprüft habe, konnte ich feststellen, dass bei einem Tunnel das Tunnel Netzwerk nicht übereingestimmt hat. Das hat sich so dargestellt:
Site A: Definition Tunnel Netzwerk -> 10.0.3.0/30
Site B: Definition Tunnel Netzwerk -> 10.0.0.3/30

Warum auch immer, hat Site B die IP Adresse 10.0.3.2/30 von dem VPN Server Site A erhalten. An der FW von Site B über Diagnostic -> Ping -> Interface Automatic habe ich eine IP aus dem Netz Site B nicht erreichen können, nur nach dem ich den Ping Test auf das LAN Interface gestellt habe, ging es. Nach der Umstellung geht es jetzt über beide Wege, wieso nicht vorher sondern nur über das LAN Interface?

Nach der Umstellung ist der Fehler im OpenVPN Log weg und taucht nicht mehr auf. Was ich leider noch nicht ganz nachvollziehen kann ist, dass die Fehlermeldung im OpenVPN Log nicht für den Tunnel, auf dem das Tunnel Netzwerk falsch war, aufgetaucht ist sondern auf drei anderen Tunneln. Gibt es hierfür eine Erklärung?

Vielen Dank für eure Hilfe! :)

@slu said in Magenta Eins Plus (Easy Login) + Vigor + pfSense:

Oh man kann das inzwischen nicht mehr abstellen, cool.

Das war mal meine Vermutung aufgrund dieses Threads, weiß es aber nicht und habe diesen Tarif nicht.
Es ist doch die typische Vorgehensweise, dass man mit den neuen, tollen "Features" zwangsbeglückt wird.

@tpf said in Wie richtig routen?:

Also soweit ich das beurteilen kann: läuft! :-)

Freut mich.

@tpf said in Wie richtig routen?:

Gleichzeitig habe ich die Option: Bypass firewall rules for traffic on the same interface aktiviert.

Du könntest den Traffic auch mittels Regeln kontrollieren, wenn gewünscht.
Dieser Bypass betrifft eben jenen Verkehr, der von Clients im Netz des Routers 192.168.0.0/24 kommt und Richtung Router geschickt wird, also ins Netz 172.16.0.0/12. Alles andere geht eh auf anderen Interfaces raus.

@JeGr said in Verbindungen über Netzwerkgrenzen hinweg:

Das ist APIPA nicht link-local.

Dann muss jemand mal den Wikipedia Eintrag anpassen. Ich vermute einfach mal, beides ist korrekt.
Deswegen, die Sense ist hops gegangen oder mindestens der DHCP-Dienst. Aber Backup hat den Tag gerettet, mal wieder.