In der Hoffnung, dass der Fehler nicht in der Konfiguration steckt, würde ich die gesamte Konfiguration sichern und in die neu installierte pfSense importieren.

Ansonsten könntest du OpenVPN gesondert exportieren. Die User sind aber im Bereich System zu finden, so weit ich weiß.
Wenn du diesen Bereich nicht übernimmst, müsstest du jeden User mit Name und Passwort neu anlegen und über den Cert-Manager die Zertifikate und Keys eines jeden exportieren und wieder importieren.

Hallo,

"sehr gut" beobachtet" :-)

Meine Firewall hat drei Netzwerkschnittstellen:

WAN LAN DMZ

Das Handy hängt an der LAN-Schnittstelle.

Mein Ziel ist ein VPN mit Zugriff auf die DMZ, dass ich "immer eingeschaltet lassen kann". Der externe Hostname existiert daher doppelt:

beim DynDNS-Anbieter (zeigt auf die Provider-IP) im lokalen DNS (zeigt auf die LAN-Schnittstelle der pfSense)

Dein Kommentar klopft mir tatsächlich gerade ein paar Schuppen hinter den Ohren hervor.

Aber - was wäre denn die korrekte Strategie? Ich habe keinen Bock, das VPN immer von Hand ein- und auszuschalten - abhängig davon, ob ich in meinem WLAN bin.

Gruß,
Jörg

Edit: Das VPN funktioniert perfekt! Es geht somit tatsächlich "nur" noch um die Vorgehensweise bzw. das Bedürfnis, das VPN nicht jedes Mal "von Hand" umschalten zu müssen :-)

@Bob-Dig said in nmap zeigt closed Ports am WAN - wie kommt das zustande?:

Möglicherweise gibt es ja doch eine Freigabe, vielleicht unter NAT 1:1.

Kann ich ausschließen, des Rätsels Lösung ist tatsächlich die Annahme von nmap das Ports geschlossen sind.

Das kann ohne weitere Daten keiner wissen. Conn_refused kann alles mögliche sein.

Frage ist eher, was gibt die "fritz.example.domain" aus dem Internet für einen Antwort und was gibt sie bei dir auf der pfSense und auf deinen Clients für eine Antwort. Das klingt eher nach DNS Fehler.

Factory Reset ist keine Neuinstallation. Gerade wenn im Filesystem was korrumpiert wurde, kann sich das trotzdem weiter halten. Darum sicherheitshalber USB Stick ran, Installation starten, vor Installation Recover XML machen - dann sollte auch die Konfiguration übernommen werden (natürlich Backup parat haben) - und dann Neuinstallation mit Auto (ZFS) und gut. Dann weiß man wie es ausschaut.

Moin, nach langem Probieren konnte ich nun das Problem lösen. Es lag daran, dass der OpenVPN-Access-Server nur (in den Standardeinstellungen) mit SHA1 läuft, nicht mit SHA 256. Das ist zwar nicht die sicherste Alternative, aber für diesen Zweck total ausreichend. Und es funktioniert! Noch schnell die Routen der jeweiligen Netze in den OpenVPN-Access-Server eingetragen und es klappt. Beide Seiten können sich anpingen!

Vielen Dank für alle Tipps und Anregungen.
Tom

Ich habe nun meine Konfiguration auf folgende Einstellung geändert:

bb37f9fa-dbac-41ca-b16a-aac46085cae5-grafik.png

Das scheint notwendig zu sein, da die Telekom für die IP-Telefonie in Zukunft nur noch DNS-SRV/NAPTR zulässt und nicht mehr die Registrierung über den Port 5060/5061 direkt per UDP oder TLS.

@Rico
Einen herzlichen Dank!!!
Das war die Lösung, jetzt kann ich die Firewallregeln so konfigurieren wie benötigt

Wie gesagt, ich bin nach verschiedenen Anleitungen vorgegangen, denn die VLANS auf der PFSense anzulegen führte dazu, dass ich keine Daten zwischen den VLANS transferieren konnte - zumindest keine Megabyte. Bei kb war schluss.

Ist erst mal bei den Akten das Thema bis ich mal wieder Zeit habe.

Danke

Bekannt ist mir momentan neben den neueren Mainboards bzw. erste Router Hersteller:
Zotac Barbones: (Zotac Barbones)
Gigabyte Nuc's (https://www.gigabyte.com/Mini-PcBarebone)
NAS Hersteller (https://www.qnap.com/solution/2.5g/de-de/)
Wifi Enterprise (Beispiel Cisco Meraki: https://meraki.cisco.com/wp-content/uploads/2020/05/meraki_datasheet_MR45.pdf)

Generell gibts ja bereits einige PCIe und USB Adapter für 2,5Gbit und auch 5Gbit

Habe nun die beiden 10Gb Ports in pfSense gebridget. Da ich auch noch die letzte mit dem Host "geteilte" 1Gb-NIC (LAN in pfSense) komplett in die Sense gelegt habe, ist mir deren Konfiguration Hops gegangen... Und ich habe wieder bei Null angefangen. Schmerzhaft, aber ich ahnte es bereits.

Mit der Bridge erreiche ich ca. 600 MB/s, dann ist Schluss.
Clipboard01.png

Auch sind alle drei Rechner sowohl mit einem 1Gb Switch verbunden, welcher widerrum mit der pfSense verbunden ist, als auch per 10Gbit mit der pfSense. Es gibt also jeweils zwei Gateways an den WinDosen, welche aber beide an die pfSense führen und bis jetzt gibt es keine Probleme. 🤞

Sehr gern :)

@mreczio
Hallo!

IPSec 🙁

Du musst auch IPSec mitteilen, dass es den Traffic zwischen dem OpenVPN Client und dem LAN B routen soll.

Wie sonst auch, geht das über die Phase 2.
Also wenn noch nicht geschehen, musst du auf der pfSense B eine Phase 2 hinzufügen:
Local: 192.168.3.0/24
Remote: 192.168.200.0/24

Und auf der pfSense A eine Phase 2 mit vertauschten Netzen natürlich.

In der OpenVPN konfiguration ist das LAN B 192.168.3.0/24 zu den "IPv4 Local Network/s" hinzuzufügen, damit der Client die Route gepusht bekommt.

Die Firewall-Regeln an den beteiligten Interface müssen den Zugriff natürlich auch erlauben.
Dann sollte die Sache laufen.

Hallo zusammen,

ich habe eine sehr ähnliche Umgebung. Bei mir lief bisher
Internet --> ipfire --> haproxy --> nextcloud

Nun habe ich die ipfire durch eine pfsense ersetzt (der Rest ist so geblieben, wie er ist) und kann nun Nextcloud Talk nicht mehr nutzen. Die hier genannten Ports hatte ich als NAT-Regel (mit zugehörigen Firewall-Regeln) in der pfsense eingetragen und aktiviert, aber leider keine Änderung.

Ich bin daher händeringend auf der Suche nach einem Lösungsvorschlag. Wo kann ich suchen? Wo kann ich noch was probieren?

Da ich erst seit wenigen Wochen die pfsense im Einsatz habe, fehlt mir leider eine breite Basis zur Administration des Systems.

Vielen Dank im Voraus für Eure Hilfe. VG, Jörg.

@bitboy0 said in Open-VPN auf APU zu langsam.:

Gibt es eine APU-Platine die schnell genug ist für stabile 100+MBits S2S mit OpenVPN?

Wenn du die pcEngines APU meinst - nein. Es gibt nur EINE APU Platine. Mehr haben sie nicht. Alle anderen Varianten mit Zahlen ist die gleiche Hardware. Egal ob APU2, APU3 oder APU4 es ist immer der gleiche dusselige steinalte AMD Jaguar da drauf. Die haben nix Neueres.

Wenn du generell APU meinst im Sinne von CPU+GPU als SOC: da gibts einige die das locker packen. Ist aber natürlich eine Finanzfrage :)

Ah, jetzt erst gelesen (blind, sorry), das 19" APU Gehäuse etc. - also nein, die PCEngines APUs sind einfach zu schwach.

3 NICs sind heute weniger Problem. Wenn aber das Ziel wirklich 100%ig ist, dass ihr 100Mbps Durchsatz encrypted auf nem VPN Tunnel wollt (und die andere Seite das auch bringt/kann! - bringt ja nix, wenn die Gegenseite zu lahm ist), dann wäre das der Punkt, den man als SOC suchen müsste. C2000 ist alt und würde ich nicht mehr empfehlen, wobei da die großen IMHO auch schon auf 100Mbps locker gekommen sind. Ansonsten sind C3000er auf jeden Fall problemlos in der Lage das zu stemmen. Also C3558 oder C3758 o.ä. - je nachdem was man sonst noch einsetzen möchte. Evtl. gehts aber auch kleiner wenn wirklich nur VPN der Knackpunkt ist. Aber wie gesagt, dann muss auch die Gegenstelle mitziehen. Wenn die bspw. eh nur 25 oder 50 schafft, kann man da andere Maßstäbe ansetzen :)

@benjsing said in Dynamic DNS via stratu aktualisiert nur manuall:

Interface to send update from: LAN

Öh what? Hast du da mal sinnvollerweise WAN eingetragen und nochmal getestet? Steht ja nicht umsonst drunter:

This is almost always the same as the Interface to Monitor!

ich würde da eher mal wieder den Cron gerade setzen wie er vorher war (1x am Tag) und testen, ob es dann geht. Ich denke eher, das hast du schlicht falsch eingestellt. Denn wenn er zwar die IP vom WAN nutzt, aber auf LAN gebunden ist und das überprüft, macht das herzlich wenig Sinn :D

@do3lk said in HP NC375T Netzwerkadapter:

HP NC375T

Erstes Suchergebnis:
https://forums.freebsd.org/threads/card-pcie-nc375t-not-recognized.28093/

Recht klar beschrieben. HP labelt gern mal FremdHW um. In dem Fall eine Uralte Netxen/QLogic Karte. Die hat keinen FreeBSD Treiber. Damit auch keine Funktion in pfSense. Daher - nö wird nicht laufen. Sorry :/

Cheers
\jens

@Rygel said in 2 Wan im Lan zusammenfassen:

Ubiquiti Networks UAP-AC-PRO, weiß & US-8-60W UniFi Switch

Jup ist ein schönes Starter Set. Wenns auch kleiner tut (kommt auf die WLAN Bedürfnisse an) könnte ein UAP-NanoHD oder -FlexHD (das ist das Stab-Design zum Aufstellen wenn Deckenmontage vllt. ausfällt oder doof ist). Sind beides HD Geräte, können daher Geräte ggf. nen Tacken besser ansprechen. WiFi-6 Geräte kommen wohl erst zum Winter, die ersten APs wurden ja schon getestet und in kleiner Beta-Stückzahl verkauft.

Der US-8 würde es auch tun, es sei denn du hast vor mehr als einen AP per PoE anzusteuern. Dann ist der 60W natürlich sinnvoll. Wenn du aber nur 5 Ports brauchst und Strom eh über nen Injektor machst, gibts jetzt auch die USW-Lite Serie (in Plaste statt Metall) oder die USW-Flex(-Mini). Gerade der letztere in der Mini Version hat zwar nur 5 Ports ist aber voll managebar wie jeder andere Unifi Switch via Controller. Und für den super günstigen Preis (liegt bei ~39) ist das Dauerargument "aber Switch mit VLAN kostet so viel) endgültig tot- :)

Da würde ich auch langsam eher auf Hardware und/oder Anschluß tippen und die mal durchmessen lassen. Ist durchaus nicht so ungewöhnlich dass Fehler/Probleme am Anschluß erst auftreten wenn etwas mehr Traffic drüberlaufen. Wundert mich auch, dass du Probleme hast, mit dem FritzVPN Editor Konfigurationen zu bauen/ändern, die dann mit MainMode laufen. Hat bislang auf allen Boxen geklappt, die ich getestet habe, egal ob DSL oder Kabel. Das macht mich ebenfalls stutzig.