@apietsch Könnte sein, dass das SYN Paket immer über die VPN läuft, aber weitere nicht. Um weiterzukommen würde ich entweder das Masquerading mal einrichten, ist eine simple NAT Regel, oder den Traffic dahingehend untersuchen. Letzteres wird aber aufwendiger sein.

Was ist das denn genau für ein Modem, also Modell und Firmware? Was zeigt die pfSense denn beim Monitoring von System und Quality WAN? Also Latenz, Paketloss usw.

@anohles said in LAN und IPSEC als Failover?!?: Ich habe ein Routing um den P2P anzusprechen und dachte in meinem jugendlichen Wahn, dass ich einfach eine Gateway Gruppe mit dem P2P und dem IPSEC bilde. Aber Pustekuchen, ich kann kein IPSEC Gateway für eine Gruppe erstellen, weil mir die Konfig Möglichkeit nicht gegeben wird. Das liegt schlicht daran, dass Standard IPsec mit Phase 2 Policies KEIN Routing via Gateways, sondern via Policies macht. Wenn du ein Routing mit Gateways willst und an der Stelle brauchst, müsstest du einen IPsec Tunnel via VTI in Phase 2 machen. Dann wird lediglich eine Art Transfernetz wie auch bei OVPN angelegt und du kannst über das Gateway der jeweils anderen Seite ganz reguläre Systemrouten und dann auch Gateway Gruppen erstellen. Stichwort ist VTI in der IPsec Dokumentation :) Ansonsten geht das aber auch via OpenVPN mit zugewiesenem Interface oder mit dem neuen Wireguard ebenfalls mit zugewiesenem Interface. Cheers \jens

@slu wireguard macht schon nen nahezu always-on vpn. durch die extrem kurzen verbindungszeiten und on-demand funktionen der wireguard app funktioniert das ziemlich prima. akkuverbrauch ist vertretbar. ich hatte bisher immer ein openvpn zu einem hetzner server mit installiertem pihole, um unterwegs dennoch die vorzüge von "ad free" zu nutzen. ich habe am we mal auf dem hetzner wireguard installiert und am iphone ondemand connect eingestellt. das heißt, wenn ich mich zu hause im wlan befinde ist der tunnel deaktiviert. sobald ich das wlan verlasse baut sich der tunnel auf. komme ich in der firma an, wo sich das telefon ins wlan einwählt, ist kein wirklich spürbarer zeitverzug zu spüren und der tunnel ist ebenfalls aufgebaut. also für solche einsatzzwecke ist das schon top. bedenken habe ich eher bei diversen öffentlichen wlan's wo des öfteren udp ports gesperrt sind.

@viragomann said in OpenVPN (pf ist Client) bleibt über Nacht getrennt: Diesen Job sollte das Watchdog-Package weitaus gezielter erledigen können. Es überwacht die VPN und startet den Service ggf. neu. Jein, das überwacht ja lediglich den Service Status und wenn der Server Up ist wird da auch nichts neu gestartet, weil der Prozess ja läuft. Mich wundert eher, dass da der Client die Verbindung nicht wieder aufbaut, denn dafür ist das Keepalive Statement zuständig und das funktioniert im Normalfall problemlos egal auf welcher Plattform.

Das bedeutet 3478 TCP handhabe ich mittels Proxy damit er auf der 192.168.24.6 landet: [image: 1611402609570-ca84e889-cc0c-4002-8c95-2f41cfbcbca7-grafik.png] [image: 1611402631155-87a33898-06fd-45e6-8c15-4236ae750014-grafik.png] [image: 1611402657643-dc24f810-d56d-4c7e-a0f8-57baea46d513-grafik.png] [image: 1611402690982-403e6e4c-f933-49d2-a23d-17c3f640818c-grafik.png] [image: 1611402710766-28213c01-710a-4ade-a1f5-9424b8fc2690-grafik.png] Damit ich den Turn-Server 3478 TCP aus dem LAN unter turn.externaldomain.de erreiche: [image: 1611402840819-4abe43c1-8ed2-46ac-a5b5-3510b8b14ebe-grafik.png] Einen Alias für die UDP-Ports: [image: 1611402915392-6e2357b8-36c0-445f-9b73-43fd2c5d5a1f-grafik.png] Diese per Port-Forwarding auf den lokalen Server: [image: 1611402970150-dcc25821-b295-43ce-981c-804cfab628de-grafik.png] Und ausgehend: [image: 1611403015995-3a47f2c1-2012-4dba-89f6-9e766e4178da-grafik.png]

Ja genau, und so soll es sein. Daher, wie bekommt man die Schriftgröße geregelt?

@prof-hase said in Nach Update auf aktuellste Version: Kein Start mehr möglich: @jegr Sorry, wollte die Daten gerade noch nachliefern - inzwischen hat die PFSense wieder gebootet und es scheint alles wieder OK zu sein. Für die Nachwelt, es wurde nichts verändert, die FW startete von alleine wieder durch. Aber was war es denn nun für eine? ;) Stable 2.4.5 oder hast du auf 2.5 Snapshots geupdated?

Mehr zum Test hier https://forum.netgate.com/topic/160001/public-ipv4-ipv6-via-vpn-tunnel

Da es schon am mehreren Stellen am grundlegenden Verständnis des Anfragers und des übergeordneten Entscheiders scheitert kann ich ihm nur anraten so etwas nicht selber umzusetzen. Das geht nicht nur schief und kostet Zeit, die Wahrscheinlichkeit die Sicherheit nicht nur nicht zu erhöhen sondern andere eklatante Fehler zu machen ist sehr hoch. Wenn ich von Berufs wegen her Buchhalter bin, bisher nur Autos gefahren habe und noch nie etwas mit dem Bau eines solchen zu tun hatte baue ja auch nicht mal eben mein Auto grundlegend um geschweige denn ich baue mir mein eigenes Auto nur weil ich besser oder gar sicherer damit unterwegs sein will. Mich zu belesen, andere - z.B. auch einen Ingenieur und Konstrukteur der Automobilbranche der das tagtäglich tut - danach zu befragen wird mir auch nichts nutzen.

Sehe ich auch so. Bei uns haben die pfSense zw. 2 und knapp 20 interne Netzwerke und zw. 1 und 7 physische NIC, mehr haben wir noch nie gebraucht. Der Rest läuft alles per VLAN sofern die Bandbreite reicht. Es gab / gibt hier und da Bedarf nach einer extra NIC, dann haben wir immer zwei USB Adapter für besondere Fälle und den schnellen Einsatz: einen JUE-130 von J5 Create und einen USB2-1000 von irgendwoher. Entscheidend ist immer der Chipsatz und die Treiberunterstützung - aber dauerhaft setzen wir so etwas nie ein. Die werden i.d.R. beim Start immer erkannt und funktionieren sofort - aber eben nicht dauerhaft. Irgendwann geben die einfach so auf und die Firewall bedarf eines Neustarts. Die Adapter sind gut um mal eben ein Test- oder weiteres Managementinterface zu haben aber dauerhaft nicht.

Kommt drauf an wer den VPN Dienst betreibt. Ggf. ist das ja wie JeGr sagte, eine Tochter, der Tochter des Neffen der Cousine des Schwagers der NSA oder GVU. Dann lieferst du denen deinen Kopf frei Haus Ich nutze die DNS die ich von meinem Provider erhalte. Google weiß ja schon was ich wann gesucht habe, die brauchen dann nicht auch noch jede einzelne DNS Abfrage von mir Archivieren. Wobei das ggf. praktisch ist, wenn ich die voll indiziert durchsuchen könnte, sollte ich mal wieder ein Lesezeichen vergessen haben zu setzen. Oder ich vor lauter Taps den richtigen nicht mehr wieder finde. Hinterfrage einfach, warum jemand für 3-5€ im Monat deinen ganzen Datenverkehr bei sich durch ein Monster AES Device jagen sollte ohne dann daran ein Interesse zu haben. In Zeiten von Big Data? Der dann ggf. noch im Ausland sitzt und unter Recht von Staat xyz steht? Da vertraue ich lieber meinem Provider der sich an die DSGVO halten muss.

@rentos said in pfSense [VM] hinter FritzBox 7590: Kann ich das Regelwerk denn über die Shell prüfen? Bin was pfSense angeht total neu und so.. Prüfen - indirekt. Du kannst dir die running config von pf anschauen (/tmp/rules.debug) und die das Livelog anschauen, was geblockt wird (console option 10: filter logs). Dann siehst du in Echtzeit was gegen den Filter ballert (soweits geloggt wird). Da kann dir jedoch JeGr sehr gut weiter helfen, der schraub auf dem Wegen gern mal an einer Sense rum ohne sie zu killen! Oft ;) Aber immer klappts auch nicht Und in dem Fall würde ich das auch nicht empfehlen. Nur gucken. Nicht anfassen^^ Aber ich würde auch erstmal mit nem TCPDump noch VOR dem Filter einfach mal schauen, ob der Kram überhaupt korrekt ankommt, sprich im richtigen VLAN richtig getaggt etc. etc. Wenn alle VLANs auf em0 laufen, kann man den tcpdump auch promisc auf em0 machen und sieht dann alle VLANs gleichzeitig - also den kompletten Traffic. Dann hat mans etwas einfacher. Muss dann nur schauen, ob wie gesagt die Pakete vom VLAN 14 bspw. auch aus VLAN14 kommen und nicht auf em0 übern Trunk o.ä. falsch laufen.

@tom-3 said in IPSEC mit einer statischen und einer dynamischen IP: Kein dynamisches DNS, ist ja Drama wenn man alternativen hat. Sowas kann halt nur von Leuten kommen, die die Technik nicht verstehen. Dynamische IP heißt dynDNS Adresse. Ob das ne eigene via RFC2136 gepushte ist oder ein DynDNS Service ist egal. Kann man auch mit 0.0.0.0 wie die Fritte hinfriemeln sicher, aber die gegenseitige ID ist halt quark. Warum macht man sich also mit solchen Vorgaben die Standardmöglichkeit kaputt, sowas sauber einzurichten? Ich weiß ja nicht was auf beiden Seiten steht, daher kann man auch nicht sagen, wie man das irgendwie tricksen könnte. Oder man machts eben gleich via OpenVPN zur statischen IP als Server und fertig. Aber IPsec hat eben gewisse Voraussetzungen. Und das 0.0.0.0 bezieht sich ja lediglich auf die eine Seite, die andere muss ja trotzdem für sich was als ID angeben/ausgeben, um die P1 auszuhandeln.

@tom-3 Prima, dass es dann gleich geklappt hat :)