@JeGr RAM hast du übersehen, sind 8 GB verbaut. Nein, dies bezüglich nichts verändert, stelle ich ungern im Live Betrieb um, wenn ich es vorher nicht getestet habe. Danke für die Info. Nachdem ich noch mal explizit alle VPN Tunnel geprüft habe, konnte ich feststellen, dass bei einem Tunnel das Tunnel Netzwerk nicht übereingestimmt hat. Das hat sich so dargestellt: Site A: Definition Tunnel Netzwerk -> 10.0.3.0/30 Site B: Definition Tunnel Netzwerk -> 10.0.0.3/30 Warum auch immer, hat Site B die IP Adresse 10.0.3.2/30 von dem VPN Server Site A erhalten. An der FW von Site B über Diagnostic -> Ping -> Interface Automatic habe ich eine IP aus dem Netz Site B nicht erreichen können, nur nach dem ich den Ping Test auf das LAN Interface gestellt habe, ging es. Nach der Umstellung geht es jetzt über beide Wege, wieso nicht vorher sondern nur über das LAN Interface? Nach der Umstellung ist der Fehler im OpenVPN Log weg und taucht nicht mehr auf. Was ich leider noch nicht ganz nachvollziehen kann ist, dass die Fehlermeldung im OpenVPN Log nicht für den Tunnel, auf dem das Tunnel Netzwerk falsch war, aufgetaucht ist sondern auf drei anderen Tunneln. Gibt es hierfür eine Erklärung? Vielen Dank für eure Hilfe! :)

@slu said in Magenta Eins Plus (Easy Login) + Vigor + pfSense: Oh man kann das inzwischen nicht mehr abstellen, cool. Das war mal meine Vermutung aufgrund dieses Threads, weiß es aber nicht und habe diesen Tarif nicht. Es ist doch die typische Vorgehensweise, dass man mit den neuen, tollen "Features" zwangsbeglückt wird.

@tpf said in Wie richtig routen?: Also soweit ich das beurteilen kann: läuft! :-) Freut mich. @tpf said in Wie richtig routen?: Gleichzeitig habe ich die Option: Bypass firewall rules for traffic on the same interface aktiviert. Du könntest den Traffic auch mittels Regeln kontrollieren, wenn gewünscht. Dieser Bypass betrifft eben jenen Verkehr, der von Clients im Netz des Routers 192.168.0.0/24 kommt und Richtung Router geschickt wird, also ins Netz 172.16.0.0/12. Alles andere geht eh auf anderen Interfaces raus.

@JeGr said in Verbindungen über Netzwerkgrenzen hinweg: Das ist APIPA nicht link-local. Dann muss jemand mal den Wikipedia Eintrag anpassen. Ich vermute einfach mal, beides ist korrekt. Deswegen, die Sense ist hops gegangen oder mindestens der DHCP-Dienst. Aber Backup hat den Tag gerettet, mal wieder.

@JeGr said in [solved] OpenVPN als Portmapper: muss auf Server/VPS Seite in der S2S config die Remote Netz Konfig auf die IP deines LANs von dem du zugreifst Muss noch mal was zu OVPN fragen, mein Windows VPS zeigt mir die remote Netze nicht an, wenn ich route print eingebe. Momentan kein Problem, da ja die Verbindung von meiner Seite (pfSense) aufgebaut wird. Trotzdem wundert es mich. Wollte ich nun vom Windows VPS gezielt auf eines dieser Netze zugreifen, müsste ich dann ggf. diese Netze selbst als Routen auf dem VPS anlegen, macht das OVPN nicht selbst oder bringe ich wieder alles durcheinander.

@Klaus2314 said in FB verliert Kontakt jeden Tag um 12 und um 0Uhr: @fireodo Ich hatte die Uhrzeit geändert um sicher zu gehen, wer der Verursacher ist und dann Suricata vom WAN gelöscht. Jetzt gibt es hin und wieder Kontaktverluste aber zu komplett zufälligen Zeiten und auch nicht täglich. Alles Klar! Danke!

Einfach mit einem custom API Key. Kann auch limitiert werden, dass du mit dem API Key NUR DNS der Zone xy.tld ändern darfst. Das ist eigentlich am Sichersten. :)

@Mansaylon said in pfSense Startet nicht durch: Bei der Installation nicht das vorgegebene Disk Format verwenden, sondern ZFS. Hmm OK das ist dann ein Sonderfall - ich tippe allerdings immer noch eher auf eine BIOS Besonderheit. Evtl wird mit der ZFS Installation noch ein anderer Parameter gesetzt, aber an sich sollte es keinen Unterschied machen. Der BootManager ist eigentlich der gleiche Seltsam. ZFS ist auf nackter Hardware aber eh zu empfehlen und die bessere Wahl über UFS :) Insofern auch gut ;)

Also für das, was @bosco in seinem initialen Post schreibt, ist er bei Host Overwrites erstmal richtig. Die tun genau das: mail.boscolab.de löst extern auf 1.2.3.4 auf Diesen Eintrag in Host Overrides machen auf 192.168.3.4 mail.boscolab.de löst intern auf 192.168.3.4 auf WENN(!) die Hosts alle brav die pfSense als DNS nutzen, bzw. du intern DNS nutzt, die die pfSense als Forwarder haben (e.g. PiHole, AD oder ähnliches gehen trotzdem, wenn die die pfSense als Forwarder drin haben und damit den Override sehen/nutzen). Was @viragomann aber korrekt "anmängelt": Wenn deine Hosts intern dann kein HTTPS machen, weil du das ja auf dem HAProxy vorher terminierst, dann kannst du die intern natürlich nicht über bspw. https://mail.boscolab.de erreichen, weil sie intern ja nur HTTP sprechen. Aber: Hast du mal versucht was passiert wenn die externe IP aufgelöst wird? Klappt es dann nicht? Wenn du HAproxy auf die WAN IP konfiguriert hast sollte er da eigentlich auch reagieren und dich weiterleiten? Aber könnte aus irgendeinem Grund auch schief gehen, daher erstmal die Frage ob es nicht eh eigentlich schon geht und du dann via Proxy kommst. Wenn du den Proxy umgehen willst, dann muss natürlich dein Endgerät auch sauber HTTPS sprechen können, nicht nur der Proxy, sonst fällt man natürlich auf die Nase. Wenn du aber willst, dass sich die Dinge intern genauso verhalten wie extern, dann kannst du auch schlicht ein zusätliches Frontend anlegen (und ganz schamlos dein vorhandenes vom WAN Interface kopieren) und dieses bspw. auf die interne IP der Firewall konfigurieren (so wie das externe auf die WAN IP vermutlich). Zumindest wenn es mit dem WAN Frontend wie oben gefragt nicht eh schon geht :) Dort dann alles wie gehabt konfigurieren (bzw. eben einfach das WAN Frontend kopieren) und statt intern dann die bspw. 192.168.3.4 auszugeben, die Firewall interne LAN IP ausgeben. Resultat: externe Hosts -> https://<domain.tld>/ DNS Auflösung -> Public IP von öffentlichem DNS kommen auf WAN an werden vom HAproxy auf internen Server geproxy'd interne Hosts -> https://<domain.tld>/ DNS Auflösung -> Host Override auf pfSense IP kommen auf bspw. LAN an werden auch von HAproxy auf interne Server geproxy'd Somit gleiches Verhalten. :) Cheers \jens

@vantage09 Die Verbindungsabbrüche sind nun keine Thema mehr? @vantage09 said in LAN -> WAN Verbindung (Internetverbindung) bricht häufig ab // Port Forwarding: Wenn ich die pfSense durch meine alte Firewall TPLink SafeStream tausche, funktioniert die Portweiterleitung ohne Probleme. Macht der etwa S-NAT (Masquerading) bei der Weiterleitung? Dieses sicherheitsbedenkliche Verhalten haben leider so manche der o8/15-Router, damit auch die totalen DAUs damit zurechtkommen. Wenn so, musst du eventuell die Firewall bzw. den Service auf dem Zielrechner anpassen.

Ok schau ich mir an. Musste sie nochmal als vm neu aufsetzen da die watchguard firebox x750e für unsere Leitung zu schwach war. Dann werd ich mir das ganze zu Gemüte ziehen damit der cloud Server und Webserver freigegeben werden. Danke euch

In der Hoffnung, dass der Fehler nicht in der Konfiguration steckt, würde ich die gesamte Konfiguration sichern und in die neu installierte pfSense importieren. Ansonsten könntest du OpenVPN gesondert exportieren. Die User sind aber im Bereich System zu finden, so weit ich weiß. Wenn du diesen Bereich nicht übernimmst, müsstest du jeden User mit Name und Passwort neu anlegen und über den Cert-Manager die Zertifikate und Keys eines jeden exportieren und wieder importieren.

Hallo, "sehr gut" beobachtet" :-) Meine Firewall hat drei Netzwerkschnittstellen: WAN LAN DMZ Das Handy hängt an der LAN-Schnittstelle. Mein Ziel ist ein VPN mit Zugriff auf die DMZ, dass ich "immer eingeschaltet lassen kann". Der externe Hostname existiert daher doppelt: beim DynDNS-Anbieter (zeigt auf die Provider-IP) im lokalen DNS (zeigt auf die LAN-Schnittstelle der pfSense) Dein Kommentar klopft mir tatsächlich gerade ein paar Schuppen hinter den Ohren hervor. Aber - was wäre denn die korrekte Strategie? Ich habe keinen Bock, das VPN immer von Hand ein- und auszuschalten - abhängig davon, ob ich in meinem WLAN bin. Gruß, Jörg Edit: Das VPN funktioniert perfekt! Es geht somit tatsächlich "nur" noch um die Vorgehensweise bzw. das Bedürfnis, das VPN nicht jedes Mal "von Hand" umschalten zu müssen :-)

@Bob-Dig said in nmap zeigt closed Ports am WAN - wie kommt das zustande?: Möglicherweise gibt es ja doch eine Freigabe, vielleicht unter NAT 1:1. Kann ich ausschließen, des Rätsels Lösung ist tatsächlich die Annahme von nmap das Ports geschlossen sind.

Das kann ohne weitere Daten keiner wissen. Conn_refused kann alles mögliche sein. Frage ist eher, was gibt die "fritz.example.domain" aus dem Internet für einen Antwort und was gibt sie bei dir auf der pfSense und auf deinen Clients für eine Antwort. Das klingt eher nach DNS Fehler.

Factory Reset ist keine Neuinstallation. Gerade wenn im Filesystem was korrumpiert wurde, kann sich das trotzdem weiter halten. Darum sicherheitshalber USB Stick ran, Installation starten, vor Installation Recover XML machen - dann sollte auch die Konfiguration übernommen werden (natürlich Backup parat haben) - und dann Neuinstallation mit Auto (ZFS) und gut. Dann weiß man wie es ausschaut.

Moin, nach langem Probieren konnte ich nun das Problem lösen. Es lag daran, dass der OpenVPN-Access-Server nur (in den Standardeinstellungen) mit SHA1 läuft, nicht mit SHA 256. Das ist zwar nicht die sicherste Alternative, aber für diesen Zweck total ausreichend. Und es funktioniert! Noch schnell die Routen der jeweiligen Netze in den OpenVPN-Access-Server eingetragen und es klappt. Beide Seiten können sich anpingen! Vielen Dank für alle Tipps und Anregungen. Tom

Ich habe nun meine Konfiguration auf folgende Einstellung geändert: [image: 1604047802551-bb37f9fa-dbac-41ca-b16a-aac46085cae5-grafik.png] Das scheint notwendig zu sein, da die Telekom für die IP-Telefonie in Zukunft nur noch DNS-SRV/NAPTR zulässt und nicht mehr die Registrierung über den Port 5060/5061 direkt per UDP oder TLS.