WiFi etc siehe @NOCling - dann hast du wirklich andere Probleme und sie sollte auch ihr Smartphone o.ä. schnell in Alu einwickeln :) - und die Mikrowelle wegwerfen.

Bei Gigabit wirds wahrscheinlich mit der SG-2100 eng, das wäre dann eher was für die SG-3100 und drüber. Aber bei so großen Datenraten wird das Endgerät eben leider irgendwann teuer. Auch die neuen Fritten mit ihrem komischen 2,5Gbps Port für Gigabit Kabel/DSL sind ja nicht gerade Billigheimer, da ist man auch recht schnell bei über 250€ - und dann sind die Kisten nicht mal wirklich gut. Auf der anderen Seite rechnet sich so eine Hardware wenn sie ausreichend dimensioniert ist auch. Meine alte 7525 die bald abgelöst wird, lief jetzt etliche Jahre hier mit 200-400Mbps. Da hätte theoretisch auch ne kleinere Kiste gereicht aber nicht nur die Netzwerkports auch die Performance war eben immer top. Und wenn man den Betrag dann auf 3,4,5 Jahre sieht - ist das schon recht wenig.

@wkn said in Telekom FTTH PPPoE Einwahl mit SG-1100:

@fireodo

Ich weiss das das nicht automatisch geht, aber der OP muss es ja manuell gemacht haben und da das richtige Interface zugewiesen haben.

Davon bin ich zwar ausgegangen - aber man weiß ja nie ...

Ich stimme da Rico zu. Evtl. macht das der VPN Provider absichtlich. Mit dem Provider darüber zu reden, würde kein Sinn machen.

Wechsele einfach zu einem Provider, der unterschiedliche virtuelle IPs anbietet.

@sueimweb said in PfSense lässt Client nicht ins Internet trotz offener Firewall:

ok, es war wirklich ein ganz doofer Fehler.

Die machen wir doch alle 😃

Tja, beim Copy and Paste der Mac Adresse war ich in der Zeile verrutscht und hatte eine falsche Mac Adresse dort hinterlegt.

Aber genau diese Art Fehler vergisst man viel zu häufig und sucht sich dann zu Tode bis man vielleicht mal drauf gestoßen wird! Mir selbst auch schon an anderer Stelle passiert, daher: lieben Dank dass du uns teilhaben lässt und ggf. nochmal anstößt, nachzuschauen ob da sich nicht doch irgendwo ein CopyPasta Fehler eingeschlichen hat 😸

Außerdem hätte ich den Post ungern gelöscht gesehen, wo hier so schön vorgelegt und debuggt wurde mit Packet Captures und Beschreibung - sowas muss auch mal gelobt werden! 👍

@nonick said in WAN_DHCP6 zeigt andere Adresse als meine Fritzbox 6660:

Dein WAN Interface ist auf DHCPv6 gestellt, bekommt aber keine Globale IPv6 Adresse vom Provider zugewiesen. Das deutet auf ein Konfigurationsproblem z.B. am WAN Interface hin

Nicht zwangsläufig, die FB gibt bspw. gern das FE80:: prefix als Gateway raus, weil es IMMER funktioniert auch im Falle eines connection downs. Ist dort BTW konfigurabel, dass man wählen kann ob man link local bevorzugt möchte. Macht dort aber auch Sinn da sich die Prefixe ändern, wäre es Unsinn für unterbrechungsfreien Betrieb eine public IP6 zu nutzen, die dann ungültig wird und geändert werden muss. Die Default Route will man ja nicht ändern müssen.

@nonick said in WAN_DHCP6 zeigt andere Adresse als meine Fritzbox 6660:

sollte bei DHCPv6 klar sein.

Aye, DHCP heißt eben dynamisch, da nimmt man was man bekommt ;)

@dogfight76 said in WAN_DHCP6 zeigt andere Adresse als meine Fritzbox 6660:

WAN_DHCP6 Pending Pending Pending Unknown

Die Frage ist eher: funktioniert IP6 trotzdem oder nicht. Es kann auch lediglich ein Anzeige/Routing Problem von dpinger sein. Einfach Gateway mal kurz editieren und ohne Änderung speichern und schauen ob er es dann plötzlich pingen kann. Problem könnte deine Monitor IP6 sein. Die würde ich mal testweise raus nehmen.

Hi,

ich glaube ich bin einen Schritt weiter.
Es war ein Sperrfilter installiert und deshalb war "nur" DOCSIS 3.0.
Sperrfilter.jpg

Sperrfilter raus, Fritzbox neugestartet und jetzt sthet das unter "Kanäle"
Kanäle1.JPG

Kanäle2.JPG

Kanäle3.JPG

So besser ?

Speedtest mit VPN zeigt jetzt:
Tempo.JPG

Im Grunde muss man gar nichts machen. In der Standartkonfiguration funktioniert VoWIFI reibungslos. Wichtig bei einem Vodafone-Tarif ist dass der DNS Server vom Provider oder eines deutschen DNS-Dienstes genutzt wird. Sonst klappt das nicht.

Hintergrund ist das Vodafone damit überprüft, ob man sich in Deutschland aufhält. Da VoWIFI im Ausland von Vodafone nicht angeboten wird. Das hängt wo mit dem Roaming zusammen und damit das hier der Kunde nicht kostengünstig übers Internet telefonieren soll.

https://de.wikipedia.org/wiki/Generic_Access_Network

@JeGr RAM hast du übersehen, sind 8 GB verbaut.

Nein, dies bezüglich nichts verändert, stelle ich ungern im Live Betrieb um, wenn ich es vorher nicht getestet habe.

Danke für die Info.

Nachdem ich noch mal explizit alle VPN Tunnel geprüft habe, konnte ich feststellen, dass bei einem Tunnel das Tunnel Netzwerk nicht übereingestimmt hat. Das hat sich so dargestellt:
Site A: Definition Tunnel Netzwerk -> 10.0.3.0/30
Site B: Definition Tunnel Netzwerk -> 10.0.0.3/30

Warum auch immer, hat Site B die IP Adresse 10.0.3.2/30 von dem VPN Server Site A erhalten. An der FW von Site B über Diagnostic -> Ping -> Interface Automatic habe ich eine IP aus dem Netz Site B nicht erreichen können, nur nach dem ich den Ping Test auf das LAN Interface gestellt habe, ging es. Nach der Umstellung geht es jetzt über beide Wege, wieso nicht vorher sondern nur über das LAN Interface?

Nach der Umstellung ist der Fehler im OpenVPN Log weg und taucht nicht mehr auf. Was ich leider noch nicht ganz nachvollziehen kann ist, dass die Fehlermeldung im OpenVPN Log nicht für den Tunnel, auf dem das Tunnel Netzwerk falsch war, aufgetaucht ist sondern auf drei anderen Tunneln. Gibt es hierfür eine Erklärung?

Vielen Dank für eure Hilfe! :)

@slu said in Magenta Eins Plus (Easy Login) + Vigor + pfSense:

Oh man kann das inzwischen nicht mehr abstellen, cool.

Das war mal meine Vermutung aufgrund dieses Threads, weiß es aber nicht und habe diesen Tarif nicht.
Es ist doch die typische Vorgehensweise, dass man mit den neuen, tollen "Features" zwangsbeglückt wird.

@tpf said in Wie richtig routen?:

Also soweit ich das beurteilen kann: läuft! :-)

Freut mich.

@tpf said in Wie richtig routen?:

Gleichzeitig habe ich die Option: Bypass firewall rules for traffic on the same interface aktiviert.

Du könntest den Traffic auch mittels Regeln kontrollieren, wenn gewünscht.
Dieser Bypass betrifft eben jenen Verkehr, der von Clients im Netz des Routers 192.168.0.0/24 kommt und Richtung Router geschickt wird, also ins Netz 172.16.0.0/12. Alles andere geht eh auf anderen Interfaces raus.

@JeGr said in Verbindungen über Netzwerkgrenzen hinweg:

Das ist APIPA nicht link-local.

Dann muss jemand mal den Wikipedia Eintrag anpassen. Ich vermute einfach mal, beides ist korrekt.
Deswegen, die Sense ist hops gegangen oder mindestens der DHCP-Dienst. Aber Backup hat den Tag gerettet, mal wieder.

@JeGr said in [solved] OpenVPN als Portmapper:

muss auf Server/VPS Seite in der S2S config die Remote Netz Konfig auf die IP deines LANs von dem du zugreifst

Muss noch mal was zu OVPN fragen, mein Windows VPS zeigt mir die remote Netze nicht an, wenn ich route print eingebe. Momentan kein Problem, da ja die Verbindung von meiner Seite (pfSense) aufgebaut wird. Trotzdem wundert es mich. Wollte ich nun vom Windows VPS gezielt auf eines dieser Netze zugreifen, müsste ich dann ggf. diese Netze selbst als Routen auf dem VPS anlegen, macht das OVPN nicht selbst oder bringe ich wieder alles durcheinander. 😉

@Klaus2314 said in FB verliert Kontakt jeden Tag um 12 und um 0Uhr:

@fireodo Ich hatte die Uhrzeit geändert um sicher zu gehen, wer der Verursacher ist und dann Suricata vom WAN gelöscht. Jetzt gibt es hin und wieder Kontaktverluste aber zu komplett zufälligen Zeiten und auch nicht täglich.

Alles Klar! Danke!

Einfach mit einem custom API Key. Kann auch limitiert werden, dass du mit dem API Key NUR DNS der Zone xy.tld ändern darfst. Das ist eigentlich am Sichersten. :)

@Mansaylon said in pfSense Startet nicht durch:

Bei der Installation nicht das vorgegebene Disk Format verwenden, sondern ZFS.

Hmm OK das ist dann ein Sonderfall - ich tippe allerdings immer noch eher auf eine BIOS Besonderheit. Evtl wird mit der ZFS Installation noch ein anderer Parameter gesetzt, aber an sich sollte es keinen Unterschied machen. Der BootManager ist eigentlich der gleiche 🤷 Seltsam.

ZFS ist auf nackter Hardware aber eh zu empfehlen und die bessere Wahl über UFS :) Insofern auch gut ;)

Also für das, was @bosco in seinem initialen Post schreibt, ist er bei Host Overwrites erstmal richtig. Die tun genau das:

mail.boscolab.de löst extern auf 1.2.3.4 auf Diesen Eintrag in Host Overrides machen auf 192.168.3.4 mail.boscolab.de löst intern auf 192.168.3.4 auf WENN(!) die Hosts alle brav die pfSense als DNS nutzen, bzw. du intern DNS nutzt, die die pfSense als Forwarder haben (e.g. PiHole, AD oder ähnliches gehen trotzdem, wenn die die pfSense als Forwarder drin haben und damit den Override sehen/nutzen).

Was @viragomann aber korrekt "anmängelt":

Wenn deine Hosts intern dann kein HTTPS machen, weil du das ja auf dem HAProxy vorher terminierst, dann kannst du die intern natürlich nicht über bspw. https://mail.boscolab.de erreichen, weil sie intern ja nur HTTP sprechen.

Aber: Hast du mal versucht was passiert wenn die externe IP aufgelöst wird? Klappt es dann nicht? Wenn du HAproxy auf die WAN IP konfiguriert hast sollte er da eigentlich auch reagieren und dich weiterleiten? Aber könnte aus irgendeinem Grund auch schief gehen, daher erstmal die Frage ob es nicht eh eigentlich schon geht und du dann via Proxy kommst.

Wenn du den Proxy umgehen willst, dann muss natürlich dein Endgerät auch sauber HTTPS sprechen können, nicht nur der Proxy, sonst fällt man natürlich auf die Nase.

Wenn du aber willst, dass sich die Dinge intern genauso verhalten wie extern, dann kannst du auch schlicht ein zusätliches Frontend anlegen (und ganz schamlos dein vorhandenes vom WAN Interface kopieren) und dieses bspw. auf die interne IP der Firewall konfigurieren (so wie das externe auf die WAN IP vermutlich). Zumindest wenn es mit dem WAN Frontend wie oben gefragt nicht eh schon geht :)

Dort dann alles wie gehabt konfigurieren (bzw. eben einfach das WAN Frontend kopieren) und statt intern dann die bspw. 192.168.3.4 auszugeben, die Firewall interne LAN IP ausgeben.

Resultat:

externe Hosts -> https://<domain.tld>/

DNS Auflösung -> Public IP von öffentlichem DNS kommen auf WAN an werden vom HAproxy auf internen Server geproxy'd

interne Hosts -> https://<domain.tld>/

DNS Auflösung -> Host Override auf pfSense IP kommen auf bspw. LAN an werden auch von HAproxy auf interne Server geproxy'd

Somit gleiches Verhalten. :)

Cheers
\jens

@vantage09
Die Verbindungsabbrüche sind nun keine Thema mehr?

@vantage09 said in LAN -> WAN Verbindung (Internetverbindung) bricht häufig ab // Port Forwarding:

Wenn ich die pfSense durch meine alte Firewall TPLink SafeStream tausche, funktioniert die Portweiterleitung ohne Probleme.

Macht der etwa S-NAT (Masquerading) bei der Weiterleitung? Dieses sicherheitsbedenkliche Verhalten haben leider so manche der o8/15-Router, damit auch die totalen DAUs damit zurechtkommen.

Wenn so, musst du eventuell die Firewall bzw. den Service auf dem Zielrechner anpassen.

Ok schau ich mir an. Musste sie nochmal als vm neu aufsetzen da die watchguard firebox x750e für unsere Leitung zu schwach war.
Dann werd ich mir das ganze zu Gemüte ziehen damit der cloud Server und Webserver freigegeben werden.

Danke euch

In der Hoffnung, dass der Fehler nicht in der Konfiguration steckt, würde ich die gesamte Konfiguration sichern und in die neu installierte pfSense importieren.

Ansonsten könntest du OpenVPN gesondert exportieren. Die User sind aber im Bereich System zu finden, so weit ich weiß.
Wenn du diesen Bereich nicht übernimmst, müsstest du jeden User mit Name und Passwort neu anlegen und über den Cert-Manager die Zertifikate und Keys eines jeden exportieren und wieder importieren.