Da es schon am mehreren Stellen am grundlegenden Verständnis des Anfragers und des übergeordneten Entscheiders scheitert kann ich ihm nur anraten so etwas nicht selber umzusetzen. Das geht nicht nur schief und kostet Zeit, die Wahrscheinlichkeit die Sicherheit nicht nur nicht zu erhöhen sondern andere eklatante Fehler zu machen ist sehr hoch.

Wenn ich von Berufs wegen her Buchhalter bin, bisher nur Autos gefahren habe und noch nie etwas mit dem Bau eines solchen zu tun hatte baue ja auch nicht mal eben mein Auto grundlegend um geschweige denn ich baue mir mein eigenes Auto nur weil ich besser oder gar sicherer damit unterwegs sein will. Mich zu belesen, andere - z.B. auch einen Ingenieur und Konstrukteur der Automobilbranche der das tagtäglich tut - danach zu befragen wird mir auch nichts nutzen.

Sehe ich auch so. Bei uns haben die pfSense zw. 2 und knapp 20 interne Netzwerke und zw. 1 und 7 physische NIC, mehr haben wir noch nie gebraucht. Der Rest läuft alles per VLAN sofern die Bandbreite reicht.

Es gab / gibt hier und da Bedarf nach einer extra NIC, dann haben wir immer zwei USB Adapter für besondere Fälle und den schnellen Einsatz: einen JUE-130 von J5 Create und einen USB2-1000 von irgendwoher. Entscheidend ist immer der Chipsatz und die Treiberunterstützung - aber dauerhaft setzen wir so etwas nie ein. Die werden i.d.R. beim Start immer erkannt und funktionieren sofort - aber eben nicht dauerhaft. Irgendwann geben die einfach so auf und die Firewall bedarf eines Neustarts. Die Adapter sind gut um mal eben ein Test- oder weiteres Managementinterface zu haben aber dauerhaft nicht.

Kommt drauf an wer den VPN Dienst betreibt.

Ggf. ist das ja wie JeGr sagte, eine Tochter, der Tochter des Neffen der Cousine des Schwagers der NSA oder GVU.
Dann lieferst du denen deinen Kopf frei Haus😂

Ich nutze die DNS die ich von meinem Provider erhalte.

Google weiß ja schon was ich wann gesucht habe, die brauchen dann nicht auch noch jede einzelne DNS Abfrage von mir Archivieren.
Wobei das ggf. praktisch ist, wenn ich die voll indiziert durchsuchen könnte, sollte ich mal wieder ein Lesezeichen vergessen haben zu setzen.

Oder ich vor lauter Taps den richtigen nicht mehr wieder finde.

Hinterfrage einfach, warum jemand für 3-5€ im Monat deinen ganzen Datenverkehr bei sich durch ein Monster AES Device jagen sollte ohne dann daran ein Interesse zu haben.
In Zeiten von Big Data?
Der dann ggf. noch im Ausland sitzt und unter Recht von Staat xyz steht?

Da vertraue ich lieber meinem Provider der sich an die DSGVO halten muss.

@rentos said in pfSense [VM] hinter FritzBox 7590:

Kann ich das Regelwerk denn über die Shell prüfen? Bin was pfSense angeht total neu und so..

Prüfen - indirekt. Du kannst dir die running config von pf anschauen (/tmp/rules.debug) und die das Livelog anschauen, was geblockt wird (console option 10: filter logs). Dann siehst du in Echtzeit was gegen den Filter ballert (soweits geloggt wird).

Da kann dir jedoch JeGr sehr gut weiter helfen, der schraub auf dem Wegen gern mal an einer Sense rum ohne sie zu killen!

Oft ;) Aber immer klappts auch nicht 😬 Und in dem Fall würde ich das auch nicht empfehlen. Nur gucken. Nicht anfassen^^

Aber ich würde auch erstmal mit nem TCPDump noch VOR dem Filter einfach mal schauen, ob der Kram überhaupt korrekt ankommt, sprich im richtigen VLAN richtig getaggt etc. etc.

Wenn alle VLANs auf em0 laufen, kann man den tcpdump auch promisc auf em0 machen und sieht dann alle VLANs gleichzeitig - also den kompletten Traffic. Dann hat mans etwas einfacher. Muss dann nur schauen, ob wie gesagt die Pakete vom VLAN 14 bspw. auch aus VLAN14 kommen und nicht auf em0 übern Trunk o.ä. falsch laufen.

@tom-3 said in IPSEC mit einer statischen und einer dynamischen IP:

Kein dynamisches DNS, ist ja Drama wenn man alternativen hat.

Sowas kann halt nur von Leuten kommen, die die Technik nicht verstehen. Dynamische IP heißt dynDNS Adresse. Ob das ne eigene via RFC2136 gepushte ist oder ein DynDNS Service ist egal. Kann man auch mit 0.0.0.0 wie die Fritte hinfriemeln sicher, aber die gegenseitige ID ist halt quark. Warum macht man sich also mit solchen Vorgaben die Standardmöglichkeit kaputt, sowas sauber einzurichten?

Ich weiß ja nicht was auf beiden Seiten steht, daher kann man auch nicht sagen, wie man das irgendwie tricksen könnte. Oder man machts eben gleich via OpenVPN zur statischen IP als Server und fertig. Aber IPsec hat eben gewisse Voraussetzungen. Und das 0.0.0.0 bezieht sich ja lediglich auf die eine Seite, die andere muss ja trotzdem für sich was als ID angeben/ausgeben, um die P1 auszuhandeln.

@tom-3 Prima, dass es dann gleich geklappt hat :) 👍

@viragomann said in Frage zu High Avail Sync:

Du kannst Status > CARP > Enter Persistent CARP Maintenance Mode auf der primären Box verwenden, um den Master für einige Zeit an die zweite zu übergeben. Bspw. für ein System-Upgrade. Da kannst du die erste auch mehrmalig neu starten. Den Master übernimmt sie erst wieder, wenn du den Maintenance Mode wieder abschaltest.

Ich muss da was ergänzen / korrigieren:
Voraussetzung ist, dass am Secundary nicht auch "Enter Persistent CARP Maintenance Mode" aktiviert ist. Falls doch, bleibt der Primary Master, ausgenommen er geht tatsächlich down, dann erst wird der Secundary Master.

Habe peinlicherweise eben diese Erfahrung machen müssen, weil ich das am Secundary irrtümlich mal gesetzt hatte oder irgendwann vergessen hatte, es wieder zu deaktivieren. 🙄

Ja da bin ich ganz deiner Meinung @Exordium , Eine Übersicht würde viel mehr Komfort für nicht so versierte Anwender von PFsense bringen und die Lernkurve deutlich erhöhen.

@jegr said in Routing? Oder was anderes?:

Berufsschulen und deren Lehrer sind da auch noch im Zeitalter Pre-1993 - und schreiben darüber dann sogar Prüfungen wo der komische Murks abgefragt wird in komplett weirden Szenarien die komplett Praxisfern sind :)

Was meinst du was in DE passieren würde, wenn das auf einmal anders wäre.
Da würden wir alle die Welt nicht mehr verstehen!
OMG praxis bezogene Ausbildung, wo kommen wir denn da hin!?!

@sascha.salentin
Bist noch mit dem Netzkonzept beschäftigt oder haben wir dich so verschreckt das du jetzt verschwunden bis?

@bonedaddy höchstens nachschauen ob beim 2. WAN da auch Prefix Schnittstelle WAN2 drinsteht. Mehr wüsste ich jetzt nicht.

@jegr
Gute Idee, probier ich mal.
Danke!

@viragomann
Danke, werde ich mir Montag einmal anschauen.

Das ist das lokale Netzt hinter der pfSense im RZ.

@bon-go said in Wie konfiguriere ich hinter einem PPPOE ein IPv4er Netz richtig?:

Genau das schreibe ich doch die ganze Zeit, s.o.. Damit wäre bei seinem /30er Netz nur eine IP nutzbar. Wenn nun sein ISP direkt nur die IP des /30 Netzes vergibt ohne Standardgateway für dieses Netz (so wie er es grad eben noch geschrieben hat) dann geht halt darüber nie etwas raus ausser Antworten auf eingehende Pakete von irgendwoher. Ja, auch das ist möglich.

Wenn der ISP aber wie schon mehrfach von ihm geschrieben ein /30 delegiert hat - also routet - dann ist da nix Gateway drin, sondern das komplette /30 mit zwei Adressen weitergeroutet auf die Adresse, die die Sende bei PPPoE Einwahl eh bekommt. Standard Routing und gut.

@filontheroad said in Wie konfiguriere ich hinter einem PPPOE ein IPv4er Netz richtig?:

Meine anderen Vlan Clients kriegen aus allen anderen VLAN Netzten auch eine IP durch ihren DHCP Server ;-) nur bei diesem war es nicht der Fall und da bin ich noch am recherchieren wieso.

Kannst du dazu bitte nochmal aufdröseln, ggf. mit Screenshots, was du wo wie warum konfiguriert hattest und was dann ging und was nicht?

Ansonsten verstehe ich beim Drüberlesen gerade nicht , wo du da wie ein VLAN im Spiel hast und welche Adressen da vergeben oder nicht vergeben werden :)

Ohne Überwachungsaktion wird ein Gateway auch nicht rausgenommen oder abgeschaltet. Dann kann im Normalfall die GW Gruppe nicht wirklich greifen. Wo sind die GWs denn überhaupt eingestellt und verbaut? Wie sehen die NAT Regeln und Firewall Rules aus? Werden die Anschlüsse jetzt immer noch "vertauscht" (was technisch eig. gar nicht geht)? Etc etc.

@viragomann said in Komisches verhalten bei Zugriff:

intra-BSS

kaum machts man richtig gehts auch,
vielen Dank ! Ich ging davon aus das das Standard ist und kam nicht auf die Idee danach zu suchen .. super, dann bin ich schon mal ein Schritt weiter

@sohei said in Internet Zugang für Amazon Kindle blockieren:

Alternativ statt nur DNS erlauben zu "LAN Address" eben alle Ports erlauben, dann kannst du vom Kindle Tablet auch noch die Sense UI aufrufen oder auch NTP machen statt nur DNS. Und wenn man mal ggf. mit HAproxy spielt, klappt auch das. :)

Das problem daran ist, dass der Kindle nicht nur auf den NextCloud Server zugreifen muss, sondern auch auf andere "Server" und "Dienste" welche (derzeit) alle im LAN Segment stehen. Das würde bedeuten, dass ich für jeden Dienst eine Regel erstellen müsste. Da diese ganze Konfiguration noch maximal dieses Jahr halten muss, ist mir diese Quick-and-Dirty Lösung ganz recht. Wenn wir dann im neuen Haus sind, wird sowieso richtig umgebaut und alle Server in eine DMZ verschoben.

Wie weiter oben schon mehrfach erwähnt: wenn der Kindle und 'die ganzen anderen Geräte im gleichen LAN' letzten Endes an einem Switch vor bzw. hinter der pfSense hängen dann sieht die pfSense das (an ihrem LAN) nicht und man braucht auch keine separaten Firewallregeln dafür. Das ist unnütz. Die Geräte reden über den Switch direkt miteinander.

Die Firewallregeln für den Kindle sind nur dazu da:

um DNS, DHCP und NTP der pfSense zu nutzen den gesamten restlichen Traffic zur pfSense und ausserhalb des LAN (eben auch den kompletten Internetverkehr) zu blockieren

@bob-dig Wenn ihr Lust auf Experimente habt: Habe aktuell den 2.5er snapshot am Laufen. Der hatte auf einem DHCP konfigurieren Interface mit nackter Konfig (also OOTB) sofort IPv4 UND IPv6 am WAN ... UND sofort auch tracking auf dem default LAN aktiv. Einfach mal hinter ne FB 3490 gehängt und instant alles korrekt drin. Sieht sehr gut aus :)

@thepocky said in pfSense hinter FritzBox 6591 mit mehreren Public-IPs und 1:1 NAT:

Aber ist das eine finale Lösung? Ich bin da skeptisch. Bin froh dass es wieder funktioniert, aber noch nicht ganz zu Frieden.

Kann ich verstehen. Hört sich eher nach verdammt krudem Hack seitens Kabelbetreiber und AVM an, damit sie ums Verrecken den Bridge Modus nicht wieder enablen müssen, den sie bereits mit der alten Box schon aktiv hatten und jetzt absichtlich wieder gesperrt haben, obwohl er problemlos funktioniert hatte. Der Grund wird der sein, dass die Leute das ausnutzen konnten um mehrere IPs zu bekommen und wenn man plötzlich 3 IPs pro Anschluß zusätzlich aktiv hatte, fällt einem die IP Knappheit nur umso mehr auf. Wie "unangenehm"...

Ich habe selbst eine 6591 aber noch bevor Vodafone das Szepter übernommen hat von Unitymedia. Dort wurde plötzlich mit dem v6.xx OS der Bridge Modus aktiv und seither (7.13) ist er an geblieben. Toi toi toi.
Würde mich jetzt nicht sonderlich treffen, da kein Business Anschluß und nur eine IP, aber wäre trotzdem ärgerlich.
a143f515-a743-4171-806f-76edd33ed51f-image.png

Dass es also das Feature nicht mehr gibt, ist schlicht gelogen, sie wollen es nur nicht mehr rausrücken, denn wie du schon festgestellt hast, hat die Fritze selbst im Bridge Modus selbst noch eine IP und ein Prefix. Für jedes LAN das ich bridge wählt sich das Gerät dann zusätzlich bei VF ein und holt sich eine IPv4/IPv6 Prefix. Damit kann man sich dann lustig (zwar dynamisch aber trotzdem) 4 verschiedene IPs ziehen. Und das wollen sie natürlich um jeden Preis vermeiden.

Grüße