@Rico Einen herzlichen Dank!!! Das war die Lösung, jetzt kann ich die Firewallregeln so konfigurieren wie benötigt

Wie gesagt, ich bin nach verschiedenen Anleitungen vorgegangen, denn die VLANS auf der PFSense anzulegen führte dazu, dass ich keine Daten zwischen den VLANS transferieren konnte - zumindest keine Megabyte. Bei kb war schluss. Ist erst mal bei den Akten das Thema bis ich mal wieder Zeit habe. Danke

Bekannt ist mir momentan neben den neueren Mainboards bzw. erste Router Hersteller: Zotac Barbones: (Zotac Barbones) Gigabyte Nuc's (https://www.gigabyte.com/Mini-PcBarebone) NAS Hersteller (https://www.qnap.com/solution/2.5g/de-de/) Wifi Enterprise (Beispiel Cisco Meraki: https://meraki.cisco.com/wp-content/uploads/2020/05/meraki_datasheet_MR45.pdf) Generell gibts ja bereits einige PCIe und USB Adapter für 2,5Gbit und auch 5Gbit

Habe nun die beiden 10Gb Ports in pfSense gebridget. Da ich auch noch die letzte mit dem Host "geteilte" 1Gb-NIC (LAN in pfSense) komplett in die Sense gelegt habe, ist mir deren Konfiguration Hops gegangen... Und ich habe wieder bei Null angefangen. Schmerzhaft, aber ich ahnte es bereits. Mit der Bridge erreiche ich ca. 600 MB/s, dann ist Schluss. [image: 1603698992371-clipboard01.png] Auch sind alle drei Rechner sowohl mit einem 1Gb Switch verbunden, welcher widerrum mit der pfSense verbunden ist, als auch per 10Gbit mit der pfSense. Es gibt also jeweils zwei Gateways an den WinDosen, welche aber beide an die pfSense führen und bis jetzt gibt es keine Probleme.

Sehr gern :)

@mreczio Hallo! IPSec Du musst auch IPSec mitteilen, dass es den Traffic zwischen dem OpenVPN Client und dem LAN B routen soll. Wie sonst auch, geht das über die Phase 2. Also wenn noch nicht geschehen, musst du auf der pfSense B eine Phase 2 hinzufügen: Local: 192.168.3.0/24 Remote: 192.168.200.0/24 Und auf der pfSense A eine Phase 2 mit vertauschten Netzen natürlich. In der OpenVPN konfiguration ist das LAN B 192.168.3.0/24 zu den "IPv4 Local Network/s" hinzuzufügen, damit der Client die Route gepusht bekommt. Die Firewall-Regeln an den beteiligten Interface müssen den Zugriff natürlich auch erlauben. Dann sollte die Sache laufen.

Hallo zusammen, ich habe eine sehr ähnliche Umgebung. Bei mir lief bisher Internet --> ipfire --> haproxy --> nextcloud Nun habe ich die ipfire durch eine pfsense ersetzt (der Rest ist so geblieben, wie er ist) und kann nun Nextcloud Talk nicht mehr nutzen. Die hier genannten Ports hatte ich als NAT-Regel (mit zugehörigen Firewall-Regeln) in der pfsense eingetragen und aktiviert, aber leider keine Änderung. Ich bin daher händeringend auf der Suche nach einem Lösungsvorschlag. Wo kann ich suchen? Wo kann ich noch was probieren? Da ich erst seit wenigen Wochen die pfsense im Einsatz habe, fehlt mir leider eine breite Basis zur Administration des Systems. Vielen Dank im Voraus für Eure Hilfe. VG, Jörg.

@bitboy0 said in Open-VPN auf APU zu langsam.: Gibt es eine APU-Platine die schnell genug ist für stabile 100+MBits S2S mit OpenVPN? Wenn du die pcEngines APU meinst - nein. Es gibt nur EINE APU Platine. Mehr haben sie nicht. Alle anderen Varianten mit Zahlen ist die gleiche Hardware. Egal ob APU2, APU3 oder APU4 es ist immer der gleiche dusselige steinalte AMD Jaguar da drauf. Die haben nix Neueres. Wenn du generell APU meinst im Sinne von CPU+GPU als SOC: da gibts einige die das locker packen. Ist aber natürlich eine Finanzfrage :) Ah, jetzt erst gelesen (blind, sorry), das 19" APU Gehäuse etc. - also nein, die PCEngines APUs sind einfach zu schwach. 3 NICs sind heute weniger Problem. Wenn aber das Ziel wirklich 100%ig ist, dass ihr 100Mbps Durchsatz encrypted auf nem VPN Tunnel wollt (und die andere Seite das auch bringt/kann! - bringt ja nix, wenn die Gegenseite zu lahm ist), dann wäre das der Punkt, den man als SOC suchen müsste. C2000 ist alt und würde ich nicht mehr empfehlen, wobei da die großen IMHO auch schon auf 100Mbps locker gekommen sind. Ansonsten sind C3000er auf jeden Fall problemlos in der Lage das zu stemmen. Also C3558 oder C3758 o.ä. - je nachdem was man sonst noch einsetzen möchte. Evtl. gehts aber auch kleiner wenn wirklich nur VPN der Knackpunkt ist. Aber wie gesagt, dann muss auch die Gegenstelle mitziehen. Wenn die bspw. eh nur 25 oder 50 schafft, kann man da andere Maßstäbe ansetzen :)

@benjsing said in Dynamic DNS via stratu aktualisiert nur manuall: Interface to send update from: LAN Öh what? Hast du da mal sinnvollerweise WAN eingetragen und nochmal getestet? Steht ja nicht umsonst drunter: This is almost always the same as the Interface to Monitor! ich würde da eher mal wieder den Cron gerade setzen wie er vorher war (1x am Tag) und testen, ob es dann geht. Ich denke eher, das hast du schlicht falsch eingestellt. Denn wenn er zwar die IP vom WAN nutzt, aber auf LAN gebunden ist und das überprüft, macht das herzlich wenig Sinn :D

@do3lk said in HP NC375T Netzwerkadapter: HP NC375T Erstes Suchergebnis: https://forums.freebsd.org/threads/card-pcie-nc375t-not-recognized.28093/ Recht klar beschrieben. HP labelt gern mal FremdHW um. In dem Fall eine Uralte Netxen/QLogic Karte. Die hat keinen FreeBSD Treiber. Damit auch keine Funktion in pfSense. Daher - nö wird nicht laufen. Sorry :/ Cheers \jens

@Rygel said in 2 Wan im Lan zusammenfassen: Ubiquiti Networks UAP-AC-PRO, weiß & US-8-60W UniFi Switch Jup ist ein schönes Starter Set. Wenns auch kleiner tut (kommt auf die WLAN Bedürfnisse an) könnte ein UAP-NanoHD oder -FlexHD (das ist das Stab-Design zum Aufstellen wenn Deckenmontage vllt. ausfällt oder doof ist). Sind beides HD Geräte, können daher Geräte ggf. nen Tacken besser ansprechen. WiFi-6 Geräte kommen wohl erst zum Winter, die ersten APs wurden ja schon getestet und in kleiner Beta-Stückzahl verkauft. Der US-8 würde es auch tun, es sei denn du hast vor mehr als einen AP per PoE anzusteuern. Dann ist der 60W natürlich sinnvoll. Wenn du aber nur 5 Ports brauchst und Strom eh über nen Injektor machst, gibts jetzt auch die USW-Lite Serie (in Plaste statt Metall) oder die USW-Flex(-Mini). Gerade der letztere in der Mini Version hat zwar nur 5 Ports ist aber voll managebar wie jeder andere Unifi Switch via Controller. Und für den super günstigen Preis (liegt bei ~39) ist das Dauerargument "aber Switch mit VLAN kostet so viel) endgültig tot- :)

Da würde ich auch langsam eher auf Hardware und/oder Anschluß tippen und die mal durchmessen lassen. Ist durchaus nicht so ungewöhnlich dass Fehler/Probleme am Anschluß erst auftreten wenn etwas mehr Traffic drüberlaufen. Wundert mich auch, dass du Probleme hast, mit dem FritzVPN Editor Konfigurationen zu bauen/ändern, die dann mit MainMode laufen. Hat bislang auf allen Boxen geklappt, die ich getestet habe, egal ob DSL oder Kabel. Das macht mich ebenfalls stutzig.

@thomaslauer said in Alle Verbindungen in Syslog protokollieren: Ist das wirklich so? Natürlich. Die beiden Haken die du gesetzt hast beziehen sich wie der Text auch eindeutig sagt auf die "default block bzw. pass rules". Diese werden dann geloggt. Da steht aber nicht dass dann automatisch alles und jede Regel geloggt wird. :) Also muss in jede Regel die du geloggt haben willst auch ein "log" mit rein, sonst wird es ausgefiltert, was ja durchaus gewollt sein kann wenn man sich mit bestimmte Trashports oder Trash-Traffic/Grundrauschen etc. einfach nicht die Logs zukleistern möchte. :) Cheers \jens

@ips-ad said in pfSense mit HAproxy funktioniert nur kurze Zeit: bis es dann ein 504 Gateway Time-out gibt (obwohl die Checks in der HAProxy-Statistik ok sind). Öffne ich ein neues Inkognito-Browserfenster, dann klappt es wieder ein Weilchen, bis das Spiel von vorne losgeht. Sind die wirklich durchgehend OK? 504 ist eigentlich klarer Fall, dass das Backend nicht erreichbar ist/war. Hast du mal testweise den Backend Check einfach disabled (und damit quasi immer OK angenommen)? Tritt es dann auch auf?

Was hat denn jetzt NAT damit zu tun. Wenn eine RFC1918 IP an eine andere ran will? Oder hast du intern auch NAT aktiv? Ich habe aber such nicht den Auto NAT Mode der pfSense aktiv, ich nutze hier Hybrid Mode. Ggf. haut dir ja diese Auto Funktion dazwischen.

@linjection Die Lösung steht ja eh schon oben. Wenn es nicht funktioniert, bitte klarer formulieren, was das Problem ist. Auch das steht schon oben.

Diagnostics > System Activity Wenn du die Anzeige sortiert haben möchtest verwende top in der Shell. Nach Speicherverbrauch sortiert, mit dem speicherhungrigsten Prozess beginnend: top -o res Alternativ kann man einfach top aufrufen, dann o drücken für die Sortierfunktion und anschließend den Spaltennamen eingeben.

Die anderen beiden Kollegen sagen ja schon - ist nicht haltbar. Strafbar schon gar nicht, denn da gehts wieder in den Kontext von wegen "Umgehung von Sicherheitsmaßnahmen die technisch sinnvoll sind". Ist nicht der genaue Wortlaut aber der Punkt war schon mehrfach bei solchen Diskussionen ausschlaggebend. MAC Adressen filtern ist wie bspw ein DNS Block keine hinreichende Sicherheitsmaßnahme und die Umgehung so einfach dass sich daraus kaum ein Straftatbestand ableiten lässt. Zudem korrekt darauf hingewiesen wurde, dass man erst einmal a) rausfinden muss, dass(!) und wer überhaupt gespooft hat b) warum das problematisch ist c) das auf nen Schüler rückführen Wenn Administration von einem CP und simples Userhandling schon ein Problem sind, kann ich nicht erkennen wie das funktioniert. Das ist dann wieder Security through Obscurity und in ein paar Wochen so einfach ausgehebelt, dass spätestens dann doch über andere Möglichkeiten nachgedacht wird. Dann sollte man es gleich ordentlich machen :) Dass es generell mies ist, dass hier Tätigkeit ausgelagert wird an LuL und Personal in der Schule, was eigentlich Firmen machen sollten und es eine ordentliche Lösung vom Land aus geben sollte ist eigentlich das größere Thema und das ärgert mich immens. :/

Das war der Grund :)