@JeGr Vielen Dank für deine Antwort. a.) Dort habe ich noch was vergessen zu ergänzen, die Version ist eigt. nur Platzhalter für mich. Also ich kann das auch frei lassen also die OS+Version fehlt weg. beim dhclient.conf handelt es sich eigt. um einen Foreneintrag den ich gefunden habe und dort entnommen habe. https://community.swisscom.ch/t5/Router-Hardware/PFsense-2-4-5-und-Medienkonverter-tp-link-MC220L-am-Swisscom/m-p/610486 Super, ich werde es mit dem Standar-File gleich versuchen und auch gleich mit Filer die Datei anlegen und Rechte vergeben. Vielen Dank für die Infos. Ich werde zeitnah berichten und nochmals mit dem ISP Kontakt aufnehmen. Es handelt sich überigens um Swisscom Anbieter. Danke Gruss:)

AFAIK nope. Es gibt keinen "Eventhandler" Prozess, bei dem man eigenen Kram einhängen kann. Außer das als Plugin/Paket zu schreiben und dessen Hooks zu nutzen oder das ggf. selbst zu bauen wüsste ich nicht. Was gehen würde, wäre ein Monitoring. Kleine Raspi o.ä. Kiste die ein Mini Monitoring mit Event Handling fährt. IP1 geht via WAN1, IP2 geht via WAN2 raus. Wenn IP1 down geht, triggere Steckdose 2 an. Das wäre mehr ein Job für ein Monitoring à la Icinga o.ä.

@vitalij76k said in SSL Zertifikate Fehler!: Habe pfSense frisch installiert und bekomme ssl errors auf fast alle https seiten! Wie kann ich das Problem beheben? Und nur mit "frisch installiert" komme ich an der Stelle zu helfen nicht weiter. WAS ist frisch installiert. Was ist eingerichtet. Einfach nur Default Installation mit Standard Allow All Regel und dabei gibts Problem? Oder doch irgendwas mit eigenem Regelset und doch noch irgendwo einem IDS versteckt das man vergessen hat? Ein Paketfilter behindert erstmal keine valide Verbindung. Sprich: wenn überhaupt die Verbindung geht (Paketfilter), dann ist alles andere was mit Inhalten irgendwelchen Murks treibt entweder selbst installiert (auf dem Rechner oder als Zusatz auf der Firewall) oder jemand anderes pinkelt dir von außen in die Verbindung rein. Alternativ machen das auch gern irgendwelchen ach-so-tollen Internet-Security-Virenscanner, die dann lokal SSL abgreifen um das "zu scannen" und dir dabei das Zertifikat zerbröseln. Ohne mehr als deinen Anfangssatz zu haben, kann also leider keiner mehr helfen als das. Grüße

Naja in deinem Screenshot sieht man nicht viel außer dem einen Paket eben. UDP hat das Problem, dass es verlorene Pakete nicht kompensieren kann wenn der Weg dazwischen an irgendeiner Stelle mies ist. Aber ich sehe da nicht wirklich ein Problem von Seiten pfSense oder FreeBSD, nur weil auf beiden Seiten ne pfSense läuft. Wenn da nicht alles ankommt, dann müsste man dazwischen einfach prüfen "warum". Es bringt ja nichts die Pferde scheu zu machen und hinterher kommt raus, dass an irgendeinem ISP Übergang oder Eingang UDP bei zu viel Traffic ggf. einfach gefiltert oder gedrosselt wird weil jemand semi-intelligent irgendeine AntiDOS Protection o.ä. gebastelt hat. Daher müsste man erstmal sehen, WO die Pakete verloren gehen und dann hinterfragen warum.

pfSense macht jetzt die PPPoE Einwahl über den Vigor? Zeige uns mal deine Firewall Regeln und Einstellungen (Screenshots). -Rico

@dsp said in Update auf Version 2.4.5 schlägt fehl, kein Zugriff mehr möglich: ertificate verification failed for /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA 34404109368:error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed:/build/ce-crossbuild-244/pfSense/tmp/FreeBSD-src/crypto/openssl/ssl/s3_clnt.c:1269: ... pkg: https://pkg.pfsense.org/pfSense_v2_4_5_amd64-pfSense_v2_4_5/packagesite.txz: Authentication error Nur als Braindump: Das liest sich, als hätte es entweder den Zertifikats-Store oder ggf. die Root Zerts zerlegt. Oder es ist zu dem Zeitpunkt gerade auf dem Mirror was mit den Zertifikaten nicht in Ordnung gewesen. So oder so scheint es aber, als hätte der Update Prozess mittendrin abgebrochen (wahrscheinlich wegen dem Fehler, dass er zum Mirror keine Verbindung aufbauen durfte zum Pakete laden) und damit hatte er dann nur das halbe Update. Außer da manuell rumzustochern mit "pkg-static" und Co um ggf. pkg doch noch zum Updaten zu bekommen, hätte ich da bei jedem Kunden auch ohne mit der Wimper zu zucken sofort den Install-Stick rausgeholt und "drüberinstalliert". Dann brauchts auch kein Backup, denn beim Installieren kann man ja die Config "recovern" lassen und ist dann ruckizucki wieder einsatzbereit :)

Wurdest Du eventuell auf DS-Lite umgestellt? Nutzt Du ein richtiges Modem, oder nur einen Kabelrouter auf Bridge? Welches Bundesland? SIP Daten vom ISP bekommen?

Ich habe APU‘s seit bald 10 Jahren im Einsatz und kenne keine Probleme. Ich würde wenn auch eher aufs Netzteil tippen.

@Mäggo said in pfSense mit EWE Glasfaser: Die Fritze ist privat gekauft und nicht von der EWE. Also können die die MAC Adresse gar nicht wissen. Doch, das wissen die. Wenn das Problem dann gelöst ist, ruhig eine Info ins Forum, damit jemand mit den gleichen Problemen ein Lösungsansatz hat. Gruß, Mike

Ich nutze den DNS Resolver. Als Default gateway habe ich allerdings eine Gateway Gruppe angegeben. Funktioniert bei mir aber auch wenn ich per Policy Routing eine andere Gateway Gruppe als das Default gw verwende. -Rico

@TomNick Damit wäre nun die Gateway-Frage geklärt.

Danke für die Hints, Problem gelöst, war ein kaputtes Kabel....

Problem scheint gelöst... Mein Fehler... Um im Forum schreiben zu können - der Windows-PC hängt eigentlich an einem ganz anderen Netz und wird noch auf die neue Struktur gebracht - war für die im pfSense-Netz konfigurierte Netzwerkkarte nur die IP und die Maske definiert. In dem Moment, in dem ich die andere Netzwerkkarte deaktiviert hatte und mir per dhcp die IP von den jeweiligen dhcp-Servern in den beiden vlans habe geben lassen, waren auch die jeweiligen Clients erreichbar...

@mbrabetz Hi there, I don't know if you are still there guys (the topic is quite old)... I hope this finds you ALL - well (and healthy...) We have reached Version 2.4.5-RELEASE-p1 (amd64) built on Tue Jun 02 17:51:54 EDT 2020 FreeBSD 11.3-STABLE Our systems are on the latest version. Version information updated at Thu Jul 23 2:57:02 +03 2020 The problem related to CARP sync for a new created administrator... is still there. I just wanted to disable the default admin on the Netgate/pfSense cluster firewalls and use new created individual profiles for audit/accountant and transability reasons. I just wanted also to thank you very much for pin pointing the problem with admin privileges that had to be specifically added for HA System - HA node sync to work. There were a bunch of other privileges existing on that page, that I didn't yet manually added to the group administrators. I wonder if with the new created user admin, I will be able to perform all the usual administration tasks on the Netgate/pfSense cluster... Best regards to all.

Du musst bei privaten Netzbereichen keine Beispiele posten bzw. deine Netze verfremden (vor allem wenn dann die Syntax nicht stimmt). Auch darauf wurde schon mehrfach hingewiesen in der Vergangenheit. Man sieht doch dass es deshalb immer wieder zu Verwirrung und Rückfragen kommt, völlig unnötig. -Rico

Nichts desto trotz: einfach alles auf -GCM konfigurieren immer und ohne NCP Kram, dann hat man vor sowas Ruhe :) Ja sobald ich die Geräte in die Hände bekomme. Ihr hatte recht, es wird AES256-GCM verwendet auch wenn das Smartphone meckert. Das bedeutet erstmal ich kann am Server den Cipher hoch schrauben ohne bei den Smartphones Probleme zu bekommen. Jul 20 13:25:24 openvpn 65019 xxx.xxx.xxx.xxx:5041 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 4096 bit RSA Jul 20 13:25:24 openvpn 65019 xxx.xxx.xxx.xxx:5041 WARNING: 'auth' is used inconsistently, local='auth [null-digest]', remote='auth SHA512' Jul 20 13:25:24 openvpn 65019 xxx.xxx.xxx.xxx:5041 WARNING: 'cipher' is used inconsistently, local='cipher AES-256-GCM', remote='cipher AES-256-CBC'

Schade.. Ich bastel trotzdem mal weiter dran, sollte ich's schaffen, poste ich hier meine Erkenntnisse