@kibu_onlinedaten Danke für die Rückmeldung. Grüße

Hallo Zusammen, vielen Dank für die vielen Antworten. Ich werde das ganze am Wochenende mal trennen. Das macht Sinn ja. :) Aktuell komme ich nur nicht dazu, weshalb das ganze hier etwas eingeschlafen ist. Bei einem anderen Peer klappts scheinbar. Sehe merkwürdig. Aber ja, trennen macht sinn. Danke erstmal.

Hallo @NOCling danke, das war es; ich habe immer versucht das Monitoring auf das LAN zu verweisen. Mit Allow SNMP (161) auf den WAN-Host und Allow ICMP auf den WAN-Host kann Check_MK jetzt die pfSense abfragen. Danke!

Lieferst du uns auch noch Details zu den VM NICs und der Hardware inkl. NICs des Hypervisor?

Erfolg! Bei Vodafone Kabel, muss man wohl die Senden und Empfangenpuffer fest auf 0 setzen. Das brachte den Erfolg dass fast keine Retransmission oder Duplicated TCP Pakete mehr zurück kamen. Dann noch etwas an der MTU und MSS gespielt und die Leitung läuft, zumindest bis die CPU auf der APU an 50% anschlägt. [image: 1592458335785-unbenannt.jpg] Ich habe im Server und Client nun das eingetragen: link-mtu 1400 mssfix 1360 sndbuf 0 rcvbuf 0 Mit 5 gleichzeitigen Verbindungen in iPerf3, erreiche ich nun auch die 50 MBit/s (brutto)! [image: 1592458616208-unbenannt2.jpg]

Die Einstellungen bleiben komplett erhalten. Bei solchen Aktionen trotzdem vorher nochmal schnell ein Backup über das WebGUI ziehen. -Rico

Edit: gerade gesehen dass ich Virago überlesen hatte :( Was @viragomann sagt. Nur auf einer Seite die Route einzutragen und anzupassen bringt alleine natürlich nichts, die andere Seite der P2P Verbindung muss das OVPN Einwahlnetz natürlich auch kennen und wieder über'n Tunnel zurückrouten. Hinweg und Rückweg klar definieren. :)

Ich habe noch mal etwas recherchiert. Sowohl mein IPSec als auch OpenVPN sind beim iPhone mit Route All Traffic definiert. In der Firewall komme ich beim Aufruf des HAProxys (via WAN) allerdings mit der IP des iPhones rein und nicht mit einer VPN IP. Wie kann das sein?

Es wird auf den Interfaces eh schon alles geblockt, was durch keine Pass Rule durchgelassen wird.

Ich hatte ein ähnliches Problem und bei mir hat es geholfen das Tunnelnetzwerk von /24 auf /30 zu verkleinern. Eine Erklärung dafür habe ich aber nicht.

Ja, das war vor dem Update. Das Update ist nun drauf und die Verbindung steht. Ich bin gespannt und berichte.

Was soll der Zweck der Portänderung auf dem Server sein? Security by Obfuscation? Wenn der Standard-port nicht abgesichert genug ist, dann ist es auch nicht ein anderer Port.

OK, total seltsam: Ich kann von dem VPN Client aus die IP des OpenVPN Servers nicht anpingen, nachdem ich die entsprechende Firewall Rule gesetzt habe. Von einem anderen Client mit anderem Provider aus funktioniert es wunderbar. Gleiches gilt für einen kurz getesteten HTTP Redirect (NAT + Firewall Regel gesetzt). Scheint also irgendein Routing-Problem seitens des Providers zu sein? Lustigerweise sitzen sowohl Client und Server beim gleichen Provider... oh man. Werde morgen mal in die Richtung weitersuchen. Danke schonmal soweit.

@Rico danke. das habe ich getan. und die regel mal hin und her geschoben. nun funktioniert es.. danke...

@Overlord said in OpenVPN Client Zertifikat auf pfSense einbinden und dann mittels Routen/Nat arbeiten: Was meint ihr? Scheint mir nach dem Motto: Warum einfach, wenn es auch viel komplizierter gehen könnte. Klar geht das. Wäre dasselbe Verfahren, wie die pfSense an einem VPN-Provider anzubinden ist. Dieser liefert auch nur Zertifikat und Zugangscredentials, weil damit jedes System angebunden werden kann. Anleitungen dazu gibt es Tausende im Netz. Bezüglich "Routen/Nat" kommt es darauf an, welchen Traffic du über die VPN schicken möchtest. Den gesamten oder teilweisen Upstream, oder nur Verbindungen ins Remote-Netz? Aber was ist daran besser als eine Site2Site mit Preshared Key, oder auch mit Zertifikat?

@JeGr In der VoIP-Schnittstellenbeschreibung der Telekom ist Symmetrical RTP mandatory. Außerdem steht da auch noch drin, welche Pakete das UE schicken soll, um die NAT-Pinholes offen zu halten. Insofern sehe ich zumindest bei diesem Anbieter nicht die Notwendigkeit, das anders zu machen. Finde es auch deutlich einfacher. Wie du ja geschrieben hast, muss man halt nur die Timeouts im VoIP-Equipment entsprechend setzen, dass sie zu den pfSense-Werten passen. Und STUN muss bei mir deaktiviert sein. :-) https://www.telekom.de/hilfe/downloads/1tr114.pdf (Seite 52 & 55) Aber stimmt schon, dass das nicht bei allen Providern Standard ist.

@Markus4210 said in HA Proxy Rewrite Rule vor Zertifikat möglich?: Jetzt habe ich aber das Problem wenn ein Request kommt mit z.B. https://www.subdomain.domain.com bekomme ich einen Zertifikatsfehler (SSL_ERROR_BAD_CERT_DOMAIN) weil ein Wildcard Zert ja mit subdomain fürs www nicht mehr gilt. Habe im Frontend zwar versucht eine rewrite Regel zu bauen, also auf https://subdomain.domain.com allerdings hilft das nichts da das Zertifikat ja schon vor dem Rewrite ausgeteilt wird. Hat da jemand eine Idee dazu? OK zuerst die Antwort die du nicht hören willst: Don't use f*reaking "www." with subdomains! Ist auch nicht böse gemeint, aber was du nicht hast, würde ich auch nicht annehmen. Manche Leute brauchen einfach die virtuelle Nackenschelle um zu begreifen, dass das Internet nicht "WWW." und dann noch irgendwas so dran ist Andere Alternative wäre natürlich, dass du statt dem Wildcard ein SAN Zertifikat für die Domains auf dem Proxy nutzt, und bei diesem dann eben händisch alle Varianten einträgst, die der Proxy insgesamt nutzt (oder pro Backend, wenn es viele verschiedene werden, damit ein Zertifikat nicht absurd viele SANs hat). Oder du fängst an dein Wildcard um Wildcards der Subdomains zu ergänzen - was richtig häßlich wird. Da bei HTTPS / SNI die Domain klar ausgelesen wird und bei TLS dann auch ein Zertifikat anfragt, wirst du nicht umhin kommen, entweder ein gültiges Zert auszuliefern oder die ungewünschte Kombination abzuklemmen: Allerdings bekommst du da aus meiner Erfahrung im Hosting lediglich Kunden, die dann irgendwann fragen, warum denn www.xyz.abc.blabla.de nicht mehr geht weil das ging ja immer. Ist denen dann völlig wurscht, ob das eigentlich immer nur auf xyz.abc.domain.de weitergeleitet hat, weil "wir nutzen das aber so intern" oder "wir haben das jetzt irgendwo fest eingetragen" oder "das steht in unserem Flyer jetzt aber so drin..." Daher bin ich durchaus dafür, bei Second Level Domains (domain.tld) das "www" mitzunehmen (weil es eben vielfach mit oder ohne genutzt wird und mitunter nicht klar ist, ob Site A das mit oder ohne will und Site B das doch anders hat). Aber bei Subdomains hört bei uns der Spaß auf Wenn eine Schreibweise nicht genutzt wird und keinen wirklichen Sinn/Mehrwert hat und die Domain so in use ist, wird eben ein Fehler ausgegeben. Ich würde sogar einen Schritt weiter gehen und www.bla.blubb.de wenn nicht gewünscht einfach komplett den A Record entziehen, damit es gar nicht aufgelöst wird. Andernfalls erzieht man sich leider die Leute nur dazu, dass alles genutzt wird, ob gewollt/sinnvoll oder nicht :) Ich finde es da durchaus wichtig, sowas via A/AAAA Record abzuklemmen und gar nicht auszuliefern, damit auch keiner auf die Idee kommt, das zu nutzen, sich das bei Suchmaschinen festfrisst oder es vielleicht noch jemand irgendwie programmatisch nutzt. Alles schon erlebt, Kunde hat Wildcard, setzt das überall ein und weil irgendein Doofkopp mal intern www.b2b.domain.de genutzt hat - was nirgends stand - wurde ein Fass aufgemacht weil eine Zert Warnung kam. Dann hat man den Fall via nem extra Zert abgefangen damit Ruhe ist - und das wurde dann beim erneuern vergessen und die Warnung kam nach nem Jahr wieder - und weil der Dickkopp dann auch noch irgendwelche internen Prozesse und Abfragen da drauf gebastelt hat, gabs wieder Streß. Bis dann mal jemand die konkreten Domains etc. abgefragt hat und gesehen, dass das nie Anforderung war, es nicht mal im Kunden-eigenen Zert enthalten ist und eigentlich nur der Pappnase geschuldet war - und flugs wurde das Tool beim Kunden umgebaut und alle hatten Ruhe