Sehr gern :)

@mreczio
Hallo!

IPSec 🙁

Du musst auch IPSec mitteilen, dass es den Traffic zwischen dem OpenVPN Client und dem LAN B routen soll.

Wie sonst auch, geht das über die Phase 2.
Also wenn noch nicht geschehen, musst du auf der pfSense B eine Phase 2 hinzufügen:
Local: 192.168.3.0/24
Remote: 192.168.200.0/24

Und auf der pfSense A eine Phase 2 mit vertauschten Netzen natürlich.

In der OpenVPN konfiguration ist das LAN B 192.168.3.0/24 zu den "IPv4 Local Network/s" hinzuzufügen, damit der Client die Route gepusht bekommt.

Die Firewall-Regeln an den beteiligten Interface müssen den Zugriff natürlich auch erlauben.
Dann sollte die Sache laufen.

Hallo zusammen,

ich habe eine sehr ähnliche Umgebung. Bei mir lief bisher
Internet --> ipfire --> haproxy --> nextcloud

Nun habe ich die ipfire durch eine pfsense ersetzt (der Rest ist so geblieben, wie er ist) und kann nun Nextcloud Talk nicht mehr nutzen. Die hier genannten Ports hatte ich als NAT-Regel (mit zugehörigen Firewall-Regeln) in der pfsense eingetragen und aktiviert, aber leider keine Änderung.

Ich bin daher händeringend auf der Suche nach einem Lösungsvorschlag. Wo kann ich suchen? Wo kann ich noch was probieren?

Da ich erst seit wenigen Wochen die pfsense im Einsatz habe, fehlt mir leider eine breite Basis zur Administration des Systems.

Vielen Dank im Voraus für Eure Hilfe. VG, Jörg.

@bitboy0 said in Open-VPN auf APU zu langsam.:

Gibt es eine APU-Platine die schnell genug ist für stabile 100+MBits S2S mit OpenVPN?

Wenn du die pcEngines APU meinst - nein. Es gibt nur EINE APU Platine. Mehr haben sie nicht. Alle anderen Varianten mit Zahlen ist die gleiche Hardware. Egal ob APU2, APU3 oder APU4 es ist immer der gleiche dusselige steinalte AMD Jaguar da drauf. Die haben nix Neueres.

Wenn du generell APU meinst im Sinne von CPU+GPU als SOC: da gibts einige die das locker packen. Ist aber natürlich eine Finanzfrage :)

Ah, jetzt erst gelesen (blind, sorry), das 19" APU Gehäuse etc. - also nein, die PCEngines APUs sind einfach zu schwach.

3 NICs sind heute weniger Problem. Wenn aber das Ziel wirklich 100%ig ist, dass ihr 100Mbps Durchsatz encrypted auf nem VPN Tunnel wollt (und die andere Seite das auch bringt/kann! - bringt ja nix, wenn die Gegenseite zu lahm ist), dann wäre das der Punkt, den man als SOC suchen müsste. C2000 ist alt und würde ich nicht mehr empfehlen, wobei da die großen IMHO auch schon auf 100Mbps locker gekommen sind. Ansonsten sind C3000er auf jeden Fall problemlos in der Lage das zu stemmen. Also C3558 oder C3758 o.ä. - je nachdem was man sonst noch einsetzen möchte. Evtl. gehts aber auch kleiner wenn wirklich nur VPN der Knackpunkt ist. Aber wie gesagt, dann muss auch die Gegenstelle mitziehen. Wenn die bspw. eh nur 25 oder 50 schafft, kann man da andere Maßstäbe ansetzen :)

@benjsing said in Dynamic DNS via stratu aktualisiert nur manuall:

Interface to send update from: LAN

Öh what? Hast du da mal sinnvollerweise WAN eingetragen und nochmal getestet? Steht ja nicht umsonst drunter:

This is almost always the same as the Interface to Monitor!

ich würde da eher mal wieder den Cron gerade setzen wie er vorher war (1x am Tag) und testen, ob es dann geht. Ich denke eher, das hast du schlicht falsch eingestellt. Denn wenn er zwar die IP vom WAN nutzt, aber auf LAN gebunden ist und das überprüft, macht das herzlich wenig Sinn :D

@do3lk said in HP NC375T Netzwerkadapter:

HP NC375T

Erstes Suchergebnis:
https://forums.freebsd.org/threads/card-pcie-nc375t-not-recognized.28093/

Recht klar beschrieben. HP labelt gern mal FremdHW um. In dem Fall eine Uralte Netxen/QLogic Karte. Die hat keinen FreeBSD Treiber. Damit auch keine Funktion in pfSense. Daher - nö wird nicht laufen. Sorry :/

Cheers
\jens

@Rygel said in 2 Wan im Lan zusammenfassen:

Ubiquiti Networks UAP-AC-PRO, weiß & US-8-60W UniFi Switch

Jup ist ein schönes Starter Set. Wenns auch kleiner tut (kommt auf die WLAN Bedürfnisse an) könnte ein UAP-NanoHD oder -FlexHD (das ist das Stab-Design zum Aufstellen wenn Deckenmontage vllt. ausfällt oder doof ist). Sind beides HD Geräte, können daher Geräte ggf. nen Tacken besser ansprechen. WiFi-6 Geräte kommen wohl erst zum Winter, die ersten APs wurden ja schon getestet und in kleiner Beta-Stückzahl verkauft.

Der US-8 würde es auch tun, es sei denn du hast vor mehr als einen AP per PoE anzusteuern. Dann ist der 60W natürlich sinnvoll. Wenn du aber nur 5 Ports brauchst und Strom eh über nen Injektor machst, gibts jetzt auch die USW-Lite Serie (in Plaste statt Metall) oder die USW-Flex(-Mini). Gerade der letztere in der Mini Version hat zwar nur 5 Ports ist aber voll managebar wie jeder andere Unifi Switch via Controller. Und für den super günstigen Preis (liegt bei ~39) ist das Dauerargument "aber Switch mit VLAN kostet so viel) endgültig tot- :)

Da würde ich auch langsam eher auf Hardware und/oder Anschluß tippen und die mal durchmessen lassen. Ist durchaus nicht so ungewöhnlich dass Fehler/Probleme am Anschluß erst auftreten wenn etwas mehr Traffic drüberlaufen. Wundert mich auch, dass du Probleme hast, mit dem FritzVPN Editor Konfigurationen zu bauen/ändern, die dann mit MainMode laufen. Hat bislang auf allen Boxen geklappt, die ich getestet habe, egal ob DSL oder Kabel. Das macht mich ebenfalls stutzig.

@thomaslauer said in Alle Verbindungen in Syslog protokollieren:

Ist das wirklich so?

Natürlich. Die beiden Haken die du gesetzt hast beziehen sich wie der Text auch eindeutig sagt auf die "default block bzw. pass rules". Diese werden dann geloggt. Da steht aber nicht dass dann automatisch alles und jede Regel geloggt wird. :)
Also muss in jede Regel die du geloggt haben willst auch ein "log" mit rein, sonst wird es ausgefiltert, was ja durchaus gewollt sein kann wenn man sich mit bestimmte Trashports oder Trash-Traffic/Grundrauschen etc. einfach nicht die Logs zukleistern möchte. :)

Cheers
\jens

@ips-ad said in pfSense mit HAproxy funktioniert nur kurze Zeit:

bis es dann ein 504 Gateway Time-out gibt (obwohl die Checks in der HAProxy-Statistik ok sind). Öffne ich ein neues Inkognito-Browserfenster, dann klappt es wieder ein Weilchen, bis das Spiel von vorne losgeht.

Sind die wirklich durchgehend OK? 504 ist eigentlich klarer Fall, dass das Backend nicht erreichbar ist/war. Hast du mal testweise den Backend Check einfach disabled (und damit quasi immer OK angenommen)? Tritt es dann auch auf?

Was hat denn jetzt NAT damit zu tun.
Wenn eine RFC1918 IP an eine andere ran will?
Oder hast du intern auch NAT aktiv?

Ich habe aber such nicht den Auto NAT Mode der pfSense aktiv, ich nutze hier Hybrid Mode.
Ggf. haut dir ja diese Auto Funktion dazwischen.

@linjection
Die Lösung steht ja eh schon oben.

Wenn es nicht funktioniert, bitte klarer formulieren, was das Problem ist. Auch das steht schon oben.

Diagnostics > System Activity

Wenn du die Anzeige sortiert haben möchtest verwende top in der Shell.
Nach Speicherverbrauch sortiert, mit dem speicherhungrigsten Prozess beginnend:

Alternativ kann man einfach top aufrufen, dann o drücken für die Sortierfunktion und anschließend den Spaltennamen eingeben.

Die anderen beiden Kollegen sagen ja schon - ist nicht haltbar. Strafbar schon gar nicht, denn da gehts wieder in den Kontext von wegen "Umgehung von Sicherheitsmaßnahmen die technisch sinnvoll sind". Ist nicht der genaue Wortlaut aber der Punkt war schon mehrfach bei solchen Diskussionen ausschlaggebend. MAC Adressen filtern ist wie bspw ein DNS Block keine hinreichende Sicherheitsmaßnahme und die Umgehung so einfach dass sich daraus kaum ein Straftatbestand ableiten lässt. Zudem korrekt darauf hingewiesen wurde, dass man erst einmal

a) rausfinden muss, dass(!) und wer überhaupt gespooft hat
b) warum das problematisch ist
c) das auf nen Schüler rückführen

Wenn Administration von einem CP und simples Userhandling schon ein Problem sind, kann ich nicht erkennen wie das funktioniert. Das ist dann wieder Security through Obscurity und in ein paar Wochen so einfach ausgehebelt, dass spätestens dann doch über andere Möglichkeiten nachgedacht wird. Dann sollte man es gleich ordentlich machen :)

Dass es generell mies ist, dass hier Tätigkeit ausgelagert wird an LuL und Personal in der Schule, was eigentlich Firmen machen sollten und es eine ordentliche Lösung vom Land aus geben sollte ist eigentlich das größere Thema und das ärgert mich immens. :/

Das war der Grund :)

Die GUI erreichst du also noch nicht.

@Mansaylon said in Console / Installation Auflösung:

Dazu kommt noch, dass in der Shell das US-Keyboard gültig ist und ich eine Schweizer Tastatur habe (obwohl ich bei der Installation die richtige Tastatur angegeben hatte).

Das Problem kenne ich.
Ich würde es aber dennoch damit versuchen. Ein passendes US Tasturlayout sollte im Netz zu finden sein. Dann weißt du, welche Taste du benötigst.
Im Grunde geht es ja nur um die beiden Zeichen ">" und "", die anderen Tasten zugeordnet sind, jedenfalls entgegen dem deutschen Layout.

VI wäre da wohl auch keine große Hilfe, denn die einzige Zeile im File steht AFAIK auch ganz unten.

@Mansaylon said in Console / Installation Auflösung:

Versuchte auch mal über das Bios den Boot-Vorgang über UEFI auszuschalten... bootete dann einfach nicht mehr.

Soweit ich weiß, erfordert das eine Neuinstallation.
Das könnte aber auch die Lösung für das Anzeigeproblem sein.

@Klaus2314 said in Prozesse bei 99% Memory usage beenden:

Man kann also sagen, dass wenn eine laufende pfsense mit pfblocker bei 50% RAM liegt, dann bloß nicht rebooten?

Nein weil nicht nur pfblocker im RAM läuft. Zudem holt sich das OS selbst auch RAM für FS Caching und Co wenn was zu holen ist. Man kann da nicht pauschal urteilen.

@unique24 said in Loggen von allen Zugriffen von außen:

Es soll also nur er Initial Request (oder wie man das bezeichnet) protokolliert werden.

Dann ist "Dauer" quatsch. Wenn nur der Syn / Handshake geloggt wird, wie willst du dann die Dauer messen?

Wenn das sowieso nur um Ports/Traffic geht, der eh zugelassen ist und damit Statistik, dann mach ne Auswertung über Softflows. Softflowd draufmachen, Interface auswählen, Flows an Collector schicken, Profit :)

Alternativ alles auf der Sense mit ntopng ggf. auslesen/basteln