@simpsonetti said in Keine updates der Pakete möglich: @JeGr Ähh, hust hust, wie mache ich denn updates von den Packages auf der console? um das nochmal zu erklären: Es gibt im Konsolenmenü ein "Update from Console" Punkt (13) der die Pakete aktualisiert. Gibt es kein OS/Firmware Update, aktualisiert das alle anderen Pakete die Updates haben. Will man es komplett aus der Konsole, geht es mit pkg upgrade pfSense-pkg-X (wie das Paket heißt) also bspw. pkg upgrade pfsense-pkg-filer wie gesagt, es geht auf nur upgrade aber Vorsicht, dass ihr dann kein unbeabsichtigtes OS Update macht

@johndo Ich hätte damit einfach das lan ersetzt der XG und dein eigentliches LAN als neues Extra Interface

Habe jetzt alle Gateways erneut angelegt, dabei wurden auch die aktuellen (Interface-)Namen vorbelegt. Hatte ja etwas Schiss, ob die Sense das wirklich alles auf die Reihe kriegt, aber es läuft.

Hi, ich konnte es mir selbst beantworten. Habe mal ein Factory Image installiert. Es wird automatisch erkannt das zwei Festplatten vorhanden sind und somit wird es als RAID1 eingerichtet. Nach der Installation ist das im WebUI unter Diagnostics > GEOM Mirrors zu sehen. [image: 1600604717850-b4f1a895-993e-4714-8953-ae803c777f9b-grafik.png]

Boradcast in andere Netze weiterleiten ist echt nicht lustig. Wir hatte mal einen Bug auf einem Core, der hat dann alles aus einem Netz ist ein anderes gebrückt. Dem Netzwerk war es egal das da ein paar 10k pps fliegen, die Clients sind aber immer wieder aus dem Netzwerk geschossen worden. Die halten es halt einfach nicht aus, wenn die so viele Pakete fressen müssen, vor allem irgendwelche Ramsch NICs. Multicast Routing kann man machen, dann muss man das aber sehr zielgerichtet einbinden. Wichtig ist zu beachten, das die Netze dann ja gekoppelt sind und sicherheitstechnisch wie eins zu betrachten sind, wenn hier was ausbricht ist die Verbreitung ins andere wahrscheinlich. Da ist man wieder beim Problem des Netzdesigns, Sicherheit vers. Kompfort. Wenn man das mit sauberen ACLs kombinieren kann, kann man den Impact reduzieren, aber es bleibt eine Brücke mit entsprechendem Risiko.

Wie ist denn die Latenz zwischen den beiden Clients über die pfsense? Denn je nach Protokoll ist dieses mehr oder weniger Problematisch für die Bandbreite. Die Windowsize wird zwar inzwischen oft gut mit skaliert aber das macht sich immer noch sehr negativ bemerkbar. Über mein VPN konnte ich im Urlaub mit SMB auch nur 10-12 MBit nutzen. FTP mit 10 Streams konnte den Tunnel dann auslasten. Also auch ruhig im iperf mehrere gleichzeitig testen.

Hallöchen, ja also bei mir funktioniert es nach der oben verlinkten Anleitung gleich gar nicht. In den suricata.log war nichts mit Warning oder Error hinterlegt. Seltsam. Die Pfade waren alle entsprechend richtig von mir - auch das typo hier: @boobletins said in URLHaus - Anyone have a mod already?: Modified /usr/local/pkg/suricata/suricata_yaml_template.inc as shown above to include /usr/local/etc/rules.local/urlhaus.rules sollte eigentlich so aussehen: - /usr/local/etc/suricata/rules.local/urlhaus_suricata.rules Dann, auch wenn unnötig dachte ich mir ich überschreibe einfach die custom.rules mit folgendem Script - jedoch ist das eine wui und da stehen dann doch noch ein paar Abhängigkeiten im Weg damit dies gelingen könnte. #!/bin/sh fetch -o /usr/local/etc/suricata/rules.local/urlhaus_suricata.tar.gz https://urlhaus.abuse.ch/downloads/urlhaus_suricat a.tar.gz tar xvfz //usr/local/etc/suricata/rules.local/urlhaus_suricata.tar.gz -C /usr/local/etc/suricata/rules.local/ rm /usr/local/etc/suricata/rules.local/urlhaus_suricata.tar.gz rm /usr/local/etc/suricata/suricata_32296_igb1.300/rules/custom.rules mv /usr/local/etc/suricata/rules.local/urlhaus_suricata.rules /usr/local/etc/suricata/suricata_32296_igb1.300/rules/cus tom.rules chown root:wheel /usr/local/etc/suricata/suricata_32296_igb1.300/rules/custom.rules chmod 644 /usr/local/etc/suricata/suricata_32296_igb1.300/rules/custom.rules Ist ja klar was passieren musste - in der wui unter cutsom.rules war nichts zu sehen und nach dem Refresh war die custom.rules natürlich wieder auf 0 kb geschrumpft :D Hat hier jemand das selbe Problem ggf. auch gleich mit einer Lösung? ;) Viele Grüße!

@marcfunk said in VPN zwischen FritzBox 7490 und pfSense 2.4.4-RELEASE-p3: Doch wie erwähnt: Vom Fritte Netz zur pfSense läufts, vom pfSense Netz zur Fritte gehts leider nicht (und das ist eigentlich genau der Weg, den ich benötige). OK das ist merkwürdig, denn das würde heißen die FB filtert oder macht irgendwelchen Schmuh. Ist das Netz der FB dort direkt aufgelegt - also dieses 192.168.2.0/24? Und Clients aus dem Netz haben auch die FB als Gateway? Ansonsten bezüglich der FB Config: hattest du meinen letzten Post nicht gesehen zwecks main mode - weil du mode_aggressive gesetzt hast - was eigentlich nicht mehr "erlaubt" ist (zumindest bei größeren Installationen)? Auch das "editable = yes" und die keepalive_ip fehlen wobei man vielleicht keinen Host für das keepalive hat? Sonst dumm gefragt: hast du die Fritte mal neugestartet sicherheitshalber?

Die o.g. private-domain Option sollte hier gar nicht nötig sein, weil der Server die Domain "intern" eh als solche erkennt. Habe ich erst gesehen. Das ist nur nötig, falls eine vermeintliche Public Domain auf eine private IP auflöst.

Hmm, verstehe das Problem nicht. Ich ordne das nach Interfaces. Also Kiste mit 6 physischen Intefaces bspw.: WAN1 WAN2 SYNC DMZ "Console" TRUNK Die benenne ich dann entsprechend: 1_WAN_DSL 2_WAN_Cable 3_SYNC 4_DMZ 5_CONS 6_TRUNK Trunk wird nicht aktiv geschaltet und nur zugewiesen und benannt, weil da die VLANs draufkommen. Benennung und Zuweisung hilft aber, wenn man mal in der UI sucht, welches Interface draußen / an der HW was ist. 1-6 sind die HW Ports auf dem Gerät. Bei 10Gs hab ich dann ggf. auch mal X1/X2 genommen. Dann kommen VLANs, bspw.: 10.23.1.0 LAN 10.23.2.0 IOT etc. die werden dann enannt: V2301_LAN V2303_IOT ... Damit ist alles ordentlich sortiert und gut. Ich muss nicht alles alphabetisch haben o.ä. das bringt mir nix, aber mit dem VLAN Tag mit drin hilft es mir direkt die IP Range und das VLAN Tag aus dem Namen heraus ableiten zu können. Funktioniert fabelhaft. Und kann man auch mit Gruppen machen -> G_Infra, G_DMZs, G_WLANs, etc. Aber man muss es ja nicht übertreiben ;)

Alles klar, danke. Ich habe diese beiden Adressen nicht gefunden. Ich muss es über die Adressen machen, weil die Thunderbird-Benutzer weltweit verteilt sind, jedoch alle über diesen Router geleitet werden. Gruß, Arti.

Hi, ohne TLD läuft es wirklich viel entspannter, sprich es verändert sich nichts am SWAP-Verhalten im negativen Sinn. Zumal wer ProNs sehen möchte findet immer einen Weg oder Seite die nicht gelistet ist, zumindest die "bekannteren" Seiten sind für Jugendliche unter 18 nicht sofort erreichbar. Aber ich denke der Grundschutz ist damit schon gegeben. Wie es mit den Ads usw. und anderen BLs ist - da sehe ich noch immer die gleichen die sich im Log finden. Sieht somit auch nicht schlecht aus. Werde erst einmal es so belassen und diesen Thread damit schließen. Danke für die Unterstützung! Viele Grüße!

@JeGr Hab es getestet und Du hattest, wie immer, recht. Es macht auch die Zwischenschritte. [image: 1600152805944-clipboard01.jpg] Musste aber erst meine andere Verbindung (1G) in Windows trennen, damit die herabgesetzte Verbindung (2.5G) genutzt wird, keine Ahnung warum (win<>win).

So, kurz zur Info: Ich hab dieses allgemeine Thema was angepinnt bleibt erstmal "bereinigt" und alles vom ersten Meet&Greet in ein eigenes Thema gepackt. Sollte nicht noch was dazwischen kommen, gibt es dann bald auch nen Unterforum, wo die alle sortiert werden und wo man dann munter noch weiterdiskutieren kann bevor/nachdem die Meetings gelaufen sind, ohne hier das Überthema zuzuspammen ;)

Nochmal zum mitschreiben: Es ist VÖLLIG egal ob deine Fritte BridgeMode kann oder nicht. Du kannst dahinter deine pfSense hängen und OpenVPN Server spielen lassen und es GEHT. Ob du es nun mit direktem Durchreichen via Bridge Modus machst und sich die Sense quasi selbst verbindet oder ob du die Sense IP-Technisch hinter die FritzBox hängst und per "Exposed Host" Funktion einfach jeden Port durchreichst ist völlig egal. OpenVPN ist da wesentlich einfacher und geselliger als der IPsec Kram und nicht umsonst deshalb oft die angenehmere Alternative und häufiger genutzt wenn man kann. Ob deine Fritte den Menüpunkt mit Bridge Modus hat oder nicht, kann ich wie gesagt nicht hellsehen. Normalerweise sollte sie es. Wenn beide selbstgekauft waren und die alte das hat, dann sollte es auch die neue haben. Das ist aber AVM Sache, da kann ich nichts zu sagen. Anscheinend gibt es Leute, die mit dem FBeditor die Funktion aktivieren konnten und dann das gleiche Menü haben wie ich auf der 6591. Verstehe zwar nicht ganz warum man jetzt gerade die 6660 so hyped, da sie IMHO auch nicht schneller als die 6591 ist, aber so what. Die HW soll ja nicht gerade sehr stabil sein momentan. Grüße Edit: Ich würde bei der Kaufentscheidung auch mit einbeziehen, dass die 6591 eine Providerbox ist. Sprich die wird in riesiger Stückzahl von Kabelanbietern abgenommen. Die 6660 (noch) nicht und hat demzufolge vielerorts keine Prio bei der Bugbeseitigung etc. weil die nur early adopter einsetzen.

Hab bei meinem VPN-Anbieter folgendes beobachtet, wenn als DNS Server 8.8.8.8 oder 1.1.1.1 genutzt werden, dann beantwortet der VPN Server selbst die Anfragen.

Ich hab leider regelmäßig schon auf dem normalen WAN loss von ein paar Prozent (Pyur/Telecolumbus), hab den beobachteten loss beim TUNNELBROKERNET daher ignoriert. Als ich es damals eingerichtet habe, wollte ich zuerst Frankfurt nehmen, ein Pingvergleich sah dann aber Berlin deutlich im Vorteil, wo ich im übrigen auch wohne. Läuft aber eh nicht viel drüber und dank dual-stack nutze ich wohl vorwiegend meinen ISP IPv6, welcher aber nur einen einzigen /64er zur Verfügung stellt...