@hornetx11-0 um das nochmal klar zu definieren: Ablauf der Lizenz (TAC lite) setzt KEINE Funktion aus. Nur die Update Server sind dann eben nicht mehr erreichbar für ein Plus Update, man kann aber auf CE downgraden wenn man unbedingt möchte. Bei einem größeren Vorsprung von Plus sollte man aber nochmal prüfen. Aber abgeschaltet oder unsicher wird da deshalb nichts. Cheers

@Conger1892 said in ERR_TUNNEL_CONNECTION_FAILED: hat bisher auch immer zu 100% funktioniert doch aktuell haben wir das Problem "ERR_TUNNEL_CONNECTION_FAILED" Ich komme via IP Adresse auf die Firewall und andere Server aber nicht mehr via Namensauflösung. Das hat aber doch mit dem ERR_ oben nichts zu tun? Oder woher kommt dieser Error Name? Er hatte dieses Problem 1 Woche vor mir. Habt ihr eine Ahnung woran es liegen könnte, ich bin langsam aufgeschmissen. Was habe ich bisher gemacht: Logs überprüft / Namesauflösung bei pfsense via Ping etc funktioniert DNS Flush etc auf dem Windows Rechner durchgeführt Danke für eure Hilfe Und was ist mit Prüfung des DNS auf dem Client? Welcher DNS wird gepusht? Ist der erreichbar mit allen notwendigen Protokollen? Gibt der manuell aufgerufen ne Antwort? (host, nslookup, dig, whatever tools you have) Was sagt das Log des VPN Aufbaus? Wie ist der Server/Client überhaupt konfiguriert? Wird DNS gepusht? Eine Domain? Suffix? Ohne Details wird das schwierig aus dem Raum raus zu beantworten. Cheers

@Bob-Dig Danke Dir. Ich habe es gefunden. Jetzt funktioniert es. Sorry, würde Dich ja "upvoten", darf ich aber nicht (zu wenig Reputation). EuroPC

@MaxMixer Wir haben das mit einer Digibox2 laufen. Funktioniert fut. Klar, eine pfSense wäre mir da lieber. Die Fritzbox erlaubt es noch, einen LTE Stick als Backup zu nutzen. Hatte ich auch erfolgrewich im Einsatz. Nut die Geschwindigkeit war halt mies, was aber wohl eher am LTE- Vertrag mit FreeNet lag. Cheers, EuroPC

@alex303 Warum überhaupt die GeoIP Top Spammer nutzen? Hast du aktiv Dinge, die du explizit via GeoIP schützen musst/willst? Ansonsten kann die Spammer Liste auch egal sein? Wenn du bspw. eh nur VPN o.ä. von extern zulässt, wären ein paar gute Blocklisten sicherlich sinnvoller als unscharfe GeoIP Zuordnungen. Zudem kommt die Liste von maxmind und hatte in der Vergangenheit schon häufiger Probleme, dass statt "nur Spammer" da plötzlich einfach alle IPs eines Landes drin waren. Bspw. Italien: https://www.reddit.com/r/pfBlockerNG/comments/1azknpp/does_geoip_top_spammer_ip_lists_is_wrong/ Ich würde zudem pfB nicht mit den automatischen Deny-Konfigs benutzen, sondern jedem empfehlen, sich ein wenig damit zu beschäftigen, die Listen als "Alias Deny/Permit" (je nach Nutzung) zu flaggen und selbst Regeln zu bauen mit den erzeugten Aliasen. Statt auto-generierten starren Regeln, kann man dann selbst entscheiden, wo welche Liste wie warum eingesetzt wird. Cheers

@slu said in Deutsche GigaNetz - IPv4 Routing: Stimmen die Firewall Rules? Also die Firewall Rules fürs LAN sind eigentlich per default richtig. Da ist ausgehend erst einmal alles erlaubt. Da die pfsense aber zuvor hinter einer Fritte war, können natürlich sowohl in den Firewall Rules wie auch an andere Stelle (Routing) noch irgendwelche Altlasten an Regeln vorhanden sein, die nun zum Problem werden, da nun unpassend. Aber ohne weitere Infos ist das eh alles reine Spekulation.

Danke Viragoman! Hab es eingerichtet, finde die Einrichtung allerdings nicht wirklich trivial und nicht gerade selbst erklärend. Anbei ein paar Screenshots der Einrichtung. Wenn ich es so einrichte, bekomme ich einen Fehler auf dem Mailgateway. Evtl. fällt euch der Fehler auf.[image: 1736238369607-mailserver.jpg] [image: 1736238369642-frontend2.jpg] [image: 1736238369669-frontend1.jpg] [image: 1736238369688-backend.jpg]

Hallo Nach einiger Zeit und weiteren Fortschritten wolle ich meinen Stand mitteilen. Ich habe nun einen Tp-Link Accesspoint EAP 225 eingebunden , habe Ihm eine feste IP zugeteilt und verwalte den AP über Omada Lokal , welches auf einem Raspberry Pi4 läuft. MFG

@NOCling said in Gibt es bzgl. PFSense irgendwelche Besonderheiten zu beachten bei einem WLAN Call von iPhone zu Telekom Mobile?: Dafür richtest du doch einfach mal sauber das Monitoring in der pf für das WAN GW ein. Dann kannst du sehen ob an dem Zeitpunkt ggf. das WAN mal ein wenig lost hatte. Und es gibt auch nur eine WAN Verbindung? Sonst muss dich gleich um die Stickyness kümmern. Das die Clients Netzhopping machen kannst auch ausschließen? Sprich auf bestimmten APs im falschen VLAN oder gar keinem landen? Weil States sind jetzt swid 24.03 Int bound und nicht mehr Floating based. Das hab ich glaube ich, muss nochmal nachsehen. Ich glaube ich hatte es mal bei einem anderen Kunden rausgenommen, da in einer FW-Version oder am Anschluss ein Problem war und da hatte zumindest der automatische Refresh zu noch mehr Problemen geführt. Ja, nur ein WAN in diesem Fall. Nun, hopping der Clients vielleicht nicht zu absolut 100%. Aber es gibt auf allen APs die für die Clients relevante SSID, in diversen Tests habe ich auch wunderbar gesehen, dass die Clients von AP zu AP innerhalb des richtigen VLAN springen. Ich sehe die Clients auch immer im richtigen VLAN, also bis auf dass es u.U. vielleicht wirklich mal zu einem ganz seltenen Fall kurzzeitig passiert, kann ich es ausschließen. Wenn sie in keinem landen würden, dann würde ja auch Internet nicht mehr funktionieren. Bisher habe ich aber immer die Meldungen gehabt, dass WhatsApp oder E-Mails dann immer noch funktioniert hat. Nur SMS und der WLAN Call wurde mir als Problem gemeldet. D.h. die Clients müssen noch mit dem WLAN, dem VLAN und dem Grunde nach mit dem Internet verbunden gewesen sein. Aktuell ist diese FireWall noch auf 24.03, hier habe ich noch kein Update auf 24.11 gemacht. Bei mir schon, aber ich betreibe aktuellste Firmware eigentlich immer erstmal einige Wochen/Monate bei mir bevor ich Kundensysteme aktualisiere. Ich hatte gestern nochmal die FireWall Konfig mit anderen verglichen und hatte (warum auch immer) tatsächlich noch Unterschiede gefunden: Advanced > FireWall & NAT > Hardware Checksum Offloading: war hier noch aktiv, ist jetzt aus (wie eigentlich in allen anderen FW) Advanced > FireWall & NAT > Firewall Optimization Options: steht jetzt wieder auf Normal + Erhöhung der UDP timeouts Advanced > FireWall & NAT > IP Do-Not-Fragment compatibility: war an, ist jetzt mal aus Ich habe hier aktuell auch die erwähnten VPN Einstellungen hierzu nicht gesetzt, ggfls. teste ich die dann noch. Mal sehen ob damit in den nächsten Tagen/Wochen eine Änderung feststellbar ist.

@wiliam025 said in CFA: 24.11 mit Squid?: Users who didn’t have Squid or didn’t update from CE has not faced this issue. We are not discussing the problem, my thread is about testing the hypothesis IF that is related to ONLY CE upgrades or if old Plus installations are also about to hit that at some point or not. :) As I debugged that problem in the original thread I'm very aware about the problem.

@quickmo said in Wireguard Site to Site keine Verbindung vom Client: 1 <1 ms <1 ms <1 ms unifi.localdomain [192.168.2.1] 2 42 ms 26 ms 29 ms 10.0.20.1 3 * * Die Route wäre die IP des Clients, der dann im Wireguard-Tunnel selbst die 10.0.20.2/32 erhält, dann noch den 10.0.20.1/32 erreichen (Standort A) kann. Kann der Client dann noch den 10.0.20.5/32 anpingen? Das 10.0.20.0 selbst ist aber ein /24?

@peacok said in pfSense PPPoE über Vigor 167 (1&1 Dual-Stack Lite): Bist du bei 1&1? Wenn ja, wie hast du dort Dual Stack bekommen? :D Anrufen und fragen? War eine Affäre von 10min der Dame am Telefon zu verklickern, dass ich nen technisches Anliegen habe, weitergestellt zu werden und dem Techie zu sagen "ich brauch wegen VPN ne saubere IP4 bitte DS aktivieren, danke!"

@eagle61 said in Wireguard Tunnel vom LAN nicht erreichbar: Tja, das kann dir mit den bisher von dir gelieferten Infos niemand sagen. Hast uns ja nicht mitgeteilt, was du bisher wo und wie konfigurert hast, also z.B. Statische Routen, Firewall-Regeln, Portweiterleitungen, etc. Eban das. Keine Config, keine Details. Immerhin ein Netzplan, großes Plus dafür, aber keinerlei Info was eigentlich wo wie nicht funktioniert mit welcher Config und was wo reinkonfiguriert ist. Wie kann man da sagen, woran es wo genau klemmt? Cheers :)

@viragomann Vielen Dank! Super es funktioniert bestens. Redirect Gateway war bei mir gesetzt. So brauchte ich im VPN-Server nichts mehr einzutragen. Noch mal vielen Dank für die Hilfe und viele Weihnachtsgrüße an all die lieben ehrenamtlichen Helferlein! Ich finde leider keie "gelöst"-Funktion. Von daher gelost.

@slu Nope. Vielleicht liegt es an mangelndem IPv6 an der Fritte.

@dogfight76 kannst du doch mal bitte einen RICHTIGEN grafischen netzwerkplan posten, leider verstehe ich deine Schilderung nicht. wie genau kommst du ins internet, nutzt du Kabelinternet, ist die 6660 deine provider box? leider verstehe ich nicht warum dein dekstop PC pfSense macht, dann hast du doch keinen Browser nmit dem du surfen kannst? hier mal wie ich mein netzt aufgebaut habe ┌──────────────────────────┐ │ │ │ WAN / Internet (PPPoE) │ │ Willy.tel │ │ 1000/250Mbit/s Glasfaser │ │ │ └─────────────┬────────────┘ ─ ─ ─ ─ ─ ─ ─ ─WAN─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ┼ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ WAN ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ │ ┌────────────────┐ ┌────────────────┐ ╔═════════════╩═════════ pfSense+ ════════╗ │ │ │ Switch │ ║ Netgate 6100║ Stand: ─ ─ ┐ │ TrueNAS ├───┤ USW-Flex-XG ├────╣ LAN: 192.168.3.0/24║ │ │ │ │ │ ║ Gäste (W)LAN (VLAN33): 192.168.33.0/24║ 07.09.2024 │ └────────────────┘ └───┬────┬───────┘ ║ IoT WLAN (VLAN34): 192.168.34.0/24║ │ ┌────────────────┐ │ │ ║ DynDNS über deSEC.io mit eigener Domain║ ─ ─ ─ ─ ─ ─ ┘ │ UBNT │ │ │ ║ VPN's:║ │UniFI AP AC Pro ├───────┘ │ ║ 1 x Fritzbox 7490) IPSec║ │ │ │ ║ 1 x S2S WireGuard Fritz 6591║ └────────────────┘ │ ║ 1 x pfSense S2S (Netgate 6100) IPSec║ │ ║ 1 x OpenVPN Road Warrior DCO║ │ ║ (172.16.3.0/24)║ │ ║ 1 x WireGuard Road Warrior║ │ ║ (172.16.33.0/24)║ │ ║ ║ │ ╚═════════════════════════════════════════╝ │ ┌────────────────┐ ┌────────┴───────┐ ┌────────────────────┐ ┌────────────────┐ │ Fritzbox 7490 │ │ Switch │ │ UBNT │ │ 1 x UBNT │ │ IPClient ├───┤ USW-Flex-XG ├─┤USW-ENTERPRISE-8-POE├─┤UniFi AP-Flex-HD│ │ (Nur VoIP) │ │ │ │ │ │ │ └────────────────┘ └────┬───────────┘ └──────┬─────────────┘ └────────────────┘ ┌────────────────┐ │ │ ┌───────────┐ │ UBNT │ │ │ │ │ │UniFI AP AC Pro ├────────┘ └────┤ Clients │ │ │ │ │ └────────────────┘ └───────────┘

@DasBrot said in PfSense gewerblich.: Dann die Einschränkung das damit die vorinstallierte Weitergabe gemeint ist. Das würde jedoch passieren wenn ich damit die gewünschen Standorte verbinde, da diese auf dem Papier unterschiedliche Firmen sind. Im Moment setze ich PFSense unter anderem ehrenamtlich (unendgeldlich) in zwei Schulen ein. Das ist so weit ich weis höchstens Grauzone. Ich wollte nur etwas Klarheit was die Lizensierungskosten für das geplante Projekt angeht. Das bezieht sich konkret wenn man da weiter liest auf kommerziellen Verkauf/Vertrieb. Es ist für die Wortmarke "pfSense" nicht erlaubt, pfSense (die Software) vorinstalliert auf irgendeiner Hardware als "pfSense Firewall" an andere kommerziell weiterzuverkaufen. Das bezieht sich aber eben konkret auf den Fall "ich verkaufe Firewalls". Und nicht auf den Fall "ich hab da eine Firewall von A nach B für Firmenanbindung verschoben". Auch wenn das zwei getrennte Firmen sind, ist das nicht der konkrete Fall, dass du (in großem Stil) vorinstallierte pfSense CE Boxen an Leute verkaufst und sagst "das sind offizielle pfSense Firewalls". Gerade das "offizielle" ist der Punkt, da Netgate da das Trademark verteidigen muss, um bspw. gegen Chinaboxen klagen zu können, die auf irgendwelcher Hardware einfach die Software draufwerfen, ggf. sogar noch modifizieren oder was unterschieben und das dann als "official pfSense" verkaufen, weil sie noch nen Sticker draufgeklebt haben. Darum gehts. Nicht dass du da irgendeine HW Box hast, wo du pfSense installierst und das an ne Tochterfirma/Schwesterfirma schiebst. Und es ist auch nicht verboten, dass man eine Box X mit Installation pfSense angibt. Nur vorinstallierte Boxen als "pfSense Firewalls" dürfen nicht kommerziell! verkauft werden. Da gehts einfach nur um o.g. Trademark Verteidigung, daher muss das klar geregelt sein. US Trademark/Copyright Kram ist komplex und wenn dus nicht ordentlich machst, wird dir ruckizucki die Marke aberkannt weil dus ja nicht verteidigt hast. Daher müssen die da entsprechend schnell und firm hinterher sein und darum ist das auch so abgefasst. Wenn man das aber entsprechend anders deklariert/aufzieht oder das in internem Betrieb abläuft, ist das OK. Zumal man unterscheiden muss zwischen "pfSense" der Wortmarke - also des Begriffs! - und der Software. Vor Gericht sind das 2 Dinge. Und bei den Copyright Bestimmungen geht es an vielen Stellen um die Wortmarke und das Wording, nicht um die Software.