OK das Problem hat sich wohl selbst gelöst, warum kann ich nicht nachvollziehen denn hab nichts geändert

dumdidum

Fehler gefunden .
Zählweise der Ports ist bei den Karten entgegengesetzt, weil eine Karte auf dem Kopf eingebaut ist.

VG
gabylein

Moinsen inciter,
Danke für deine Antwort. Nein, ich nehme dir das nicht übel, warum sollte ich? Du hast doch konstruktiv auf meine Frage geantwortet, alles gut!!
Ich werde (entgegen deiner Empfehlung) jetzt zunächst alles so belassen. Die seltenen temporären Ausfälle haben nochmal deutlich nachgelassen (seit 24 Stunden keine Ausfälle mehr) und die Konfig fand ich eigentlich so ganz sinnig. Bevor ich unbound auf dem Raspi installiert habe lief es genauso so (aber mit stubby) problemlos seit ca. 1, 5 Jahren. DHCP macht pfsense, im General Setup ist die IP des Raspi als DNS Ansprechpartner hinterlegt. Jetzt, da alles wieder rund läuft (musste sich vermutlich erst alles setzten), habe ich keinen Grund alles umzustoßen...
Für deinen Input bedanke ich mich trotzdem und an alle: passt weiter gut auf euch auf und bleibt gesund!

Grüßle
theother

Hallo!

@achim55 said in Pfsense nur als VPN nutzen:

wo schon der DHCP über einen Alcatel Router läuft.

Der VPN Server sollte auf dem Router laufen, ansonsten wird es kompliziert.

Grundsätzlich möglich ist es aber.

@achim55 said in Pfsense nur als VPN nutzen:

Die Pfsense würde ich mit dem WAN und LAN Port ins Lokale Netzt hängen

Aber nicht so! Niemals mehrere Interfaces in ein Netz hängen, abgesehen von LAGG oder Bridge. Wofür auch? Reicht doch, wenn ein das LAN im Netz hängt.

Abgesehen vom Vorschlag von @Rico fallen mir noch weitere Lösungen ein:

die komplizierte:
Hat @Rico schon angedeutet. Die pfSense hängt im LAN, VPN-Port ist dahin geroutet. Du setzt auf jedem Gerät, das du via VPN erreichen möchtest eine Route für das Access-Server Tunnelnetz. Die Route könntest du auch per DHCP verteilen, allerdings denke ich nicht, dass der Alcatel dazu fähig ist.

die perfekte:
Voraussetzung ist, der Router kann mehrere interne Netze routen. So kannst du zwischen Router und pfSense ein Transitnetz einrichten, routest die VPN zur pfSense und setzt nur auf dem Router eine statische Route für das Tunnelsubnetz des VPN-Servers zur pfSense.

die schmutzige und auch einfache:
Die pfSense hängt im LAN, VPN-Port ist dahin geroutet. Du konfigurierst das Outbound NAT so, dass die Quell-IP in Paketen die von der VPN kommen und ins LAN gehen auf die pfSense LAN-IP umgesetzt wird.
Damit kommen die Response-Paket ganz von selbst wieder zur pfSense zurück.
Nachteil: Für die Zielgeräte im LAN sieht es aus, als würden alle Pakete von der pfSense kommen, einem LAN-Gerät, dem sie vertrauen. Daher würde ich das nur umsetzen, wenn ich jedem VPN-Client absolut vertraue. Üblicherweise trifft das nur auf mich selbst zu. ☺ Also wenn die VPN nur für mich ist.

Grüße

Dann hält die FB, durch ständige "Anfragen" die Ports offen.

Danke, danke. :)

Tip von @Rico brachte die Lösung👍

Verify that the defined WAN gateway is actually the default (Diagnostics > Routes) Some other source such as a VPN may have changed the default gateway

Es war kein Standardgateway gesetzt. Das wars, voll der Anfängerfehler. 😀

Problem behoben, danke an Alle.

@kawaklx650 said in PfS Verständnis Allgemein:

Dabei ist auch wichtig zu beachten, dass die Antworten ebenfalls erlaubt sind. Wenn LAN4 zwar auf LAN1 zugreifen darf, LAN1 aber jeglichen Traffic zu LAN4 zu blockieren hat, wird sich das beißen.

Das ist Unsinn! Die Filterregeln der pfSense erlauben immer das Initiieren einer Verbindung. Für Antwortpakete ist der Weg dann automatisch offen.
Also es ist durchaus möglich, von LAN1 jeglichen Traffic, alle Zugriffe auf LAN4 zu erlauben, von LAN4 nach LAN1 aber alles zu blockieren. Ansonsten wäre das eine schlechte Firewall.

Was allerdings auf der Synology die Funktion "mehrere Gateway´s benutzen" macht, weiß ich nicht. Dass es damit funktioniert, würde für mich auf asymmetrisches Routing hindeuten. Um das zu untersuchen bräuchte es aber mehr Informationen.

Grüße

Wenn du die default Regel nutzt und da den Limiter aktivierst gilt das natürlich für alle.
Korrekt wäre eine Regel mit Limiter und den betreffenden IP Adressen (als Source) ÜBER der default Regel zu erstellen.

-Rico

Jup, manchmal ist es einfacher als befürchtet. ☺

-Rico

@fluffy-bunny said in pfSense an Vodafone Station betreiben, wie?:

@JeGr said in pfSense an Vodafone Station betreiben, wie?:

@fluffy-bunny said in pfSense an Vodafone Station betreiben, wie?:

Es nervt auch ziemlich, dass ich mich nicht via VPN ins Firmennetz einwählen kann und dazu immer wieder die Firewall deaktivieren muss.

Warum? Was hat eine/deine/die Firewall mit VPN zu tun?

Okay, ich glaube dann habe ich das missverstanden bzw. natürlich hat eine Firewall nicht direkt etwas mit VPN zu tun. Nur eine Firewall kann ja die VPN-Verbindung blockieren wenn diese nicht ordentlich konfiguriert wurde. Und ich habe leider keinerlei Konfiguration in der Vodafone Station diesbezüglich vorgenommen, da ich überhaupt erstmal arbeiten wollte und musste.

Leider ist die Bandbreite nicht wirklich super (Download-Geschwindigkeit laut Speedtest von wieistmeineip.de über Wlan: 130.023kbit/s, Upload-Geschwindigkeit laut Speedtest von wieistmeineip.de über Wlan: 49.320kbit/s und Ping: 38ms)

Ernsthaft: Ihr fragt jetzt in der aktuellen Situation, warum ihr ggf. schlechten Ping oder nicht eure korrekten Leitungswerte bekommt? Weil annähernd jeder gerade zu Hause sitzt und Homeoffice macht, die ganzen Internetleitungen jetzt plötzlich alle gleichzeitig bedient werden müssen und das ISP Business eine einzige große Mischkalkulation ist, bei der alle hoffen, dass nicht jeder gleichzeitig alles an Leitung haben will - weil so viel gar nicht da ist. Deshalb! Weil der Bandbreitenausbau ein rückständiger Sauhaufen ist, weil ihn keiner richtig bezahlen will (solang er keinen tollen Zuschuss vom Bund bekommt dafür) und deshalb nur so minimal wie möglich investiert - hauptsache große Zahlen auf Packungen schreiben :D Das ist simpelstes Marketing 1x1.

Ich hätte theoretisch aktuell 500/50. Ich bekomme morgens fast volle Lotte 450/43 (um 7:30). Eine Stunde später muss ich schon froh sein, wenn ich 350/20 noch bekomme und ab 9-10 Uhr ist bei ~200 Schluß (wenn überhaupt) und im Upstream ist gerade mal noch 2-5Mbps über.

Also bitte kommt mir während der nächsten Tage und Wochen nicht mit "ich hab weniger Bandbreite als ich bezahlt habe" 🤣

Okay, da gebe ich dir natürlich Recht! Man kann nicht viel machen, wenn die gesamte Welt am Tage zu Hause ist und entweder Streamen oder arbeiten will und muss....

Kurzum habe ich überlegt, mir mittels einer pfSense einen eigenen Router "zu basteln" und die Vodafone Station in den Bridged Mode zu setzen, sodass sämtlicher Netzwerkverkehr über die pfSense läuft und die pfSense Router spielt. Zudem habe ich überlegt, einen Wlan-Access-Point anzuschaffen, um alle meine Geräte mit Wlan zu versorgen...

Das ist sicherlich keine dumme Idee :)

Leider ist das ja mit Boardmitteln bei pfSense nicht so ohne weiteres möglich (wie ja schon hier beschrieben...

Was ist nicht möglich? WLAN? Das SOLL auch die Firewall gar nicht machen, dafür gibts ja gerade spezialisierte Hardware. Warum soll immer alles eine eierlegende Wollmilchsau sein? Alles können heißt immer auch "nichts richtig".

Okay, ich muss gestehen, dass ich immer durch die Fritzboxen eierlegende Wollmilchsäue gewöhnt bin. Aber natürlich hast du Recht, wenn man sich quasi 'abgekapselt von einem Router' eine Firewall extra aufsetzt, dass die dann auch "nur" Security / Firewalling übernehmen soll und muss.

Was könnt ihr mir für ein vernünftig laufendes Wlan für Hardware emfehlen? Brauche ich nur einen Access Point,
oder auch eine dedizierten Wlan-Router (bzw. kann dies auch die pfSense übernehmen?)

Was ist denn in deiner Definition ein WLAN-Router? Und nein, das braucht man nicht. Du willst WLAN -> Du willst einen AccessPoint. Du hast eine pfSense als komplettes Security Gateway (Router, Firewall, Filter, VPN). Da ist mir nicht klar, was die Sense noch "übernehmen" soll?

Kann ich mir auch Voucer generieren lassen, um zeitgesteuertes Gäste-Wlan zur Verfügung zu stellen

Kommt drauf an. Entweder kann das dein AP schon - was nicht die schlechteste Methode wäre weil das dann meist noch geschickter implementiert ist - oder du machst auf dem/den Interfaces die WLAN sprechen das Captive Portal der Sense an. Geht beides.

Was benötige ich insgesamt an Hardware, um die Kombination 'Vodafone Station' --> 'pfSense' ---> 'Wlan-Router
bzw. Wlan-Access-Point' zu realisieren?

Other mileage may vary, aber ich würde empfehlen:

HW für pfSense (welche hängt stark davon ab, was an Leistung, Bandbreite, etc. laufen soll!) Für AP: einen (oder ggf. mehrere je nachdem) Ubiquiti Unifi APs. Welche davon, hängt ganz davon ab welche Fläche ausgeleuchtet werden soll und wie stark die Abschirmung bspw. in Wänden etc. ist. Normalerweise genügt ein AP-AC-LR, AC-Pro oder wenn man auf ganz neue WiFi 6 Standards steht die neuen nanoHD, HD oder SHD Kisten. Kommt auch auf den Preis und die Schmerzgrenze an Fürs Management könnte man noch einen Unifi CloudKey dazu nehmen. Da läuft der Controller drauf, mit dem man die APs konfiguriert und der dann auch - wenn der Controller immer läuft - bspw. selbst ein Portal bietet. Außerdem Statistiken und Diagnose in einem tollen Dashboard. Wenn dann eh HW im Spiel ist, stellt sich die Frage ob du ggf. auch einen intelligenten Switch brauchst und da auch gleich 2-3 kleine VLANs ausrollst, denn dann lässt sich dein Netz von irgendwelchem Gästekram wesentlich besser isolieren. Wenn ja, dann könnte ein Unifi Switch Sinn machen. Den kann man nämlich dann direkt auch mit dem gleichen Controller steuern und die Geräte können dann klasse miteinander arbeiten. Gerade wenn man einen Switch mit PoE hat spart man sich dann je nach verbauen das Stromkabel für den AccessPoint und kann den einfach via PoE an den Switch hängen und hat LAN und Strom in einem abgedeckt. Erhöht den WAF auch enorm ;)

Wie das aussehen kann?

Controller:
93f318a8-84d2-4a99-8cdf-435ad7998b8e-image.png

Eventuell auch einen Blick wert, weil 3-in-1: Die Unifi Dream Machine:

ad6e0659-6783-4aaa-b461-56eb5e5c52b5-image.png

Da ist der CloudKey integriert (Controller) ein kleiner 4-Port Switch, theoretisch sogar ein USG wenn man auf die pfSense ganz verzichten möchte, und on top noch ein AP-HD mit 4x4 WiFi. Habe aber auch schon kleine Offices gesehen, die das Ding einfach als Controller+Switch+AP nutzen und daran dann ihre Sense hängen (kann eben mehr als die kleine USG die da verbaut ist).

Wie gesagt nur eine Randbemerkung denn WAS genau man empfehlen kann, hängt stark von Faktoren wie Preislimit, Gegebenheiten (Haus, Wohnung, Zimmer, WiFi Abdeckung), vorhandener Bandbreite und Einsatz von Paketen/Diensten ab. Dann kann man ungefähr abschätzen, was an Performance gebraucht wird.

Grüße

Okay, vielleicht sollte ich mal mein Vorhaben ein bisschen konkreter erklären und definieren.

Ich möchte gerne unsere 130qm Wohnung komplett mit WLAN ausrüsten, sodass ich wirklich überall auch einen guten und vorallem stabilen Empfang habe.

Gleichwohl haben wir uns in den Keller eine Netzwerkdose legen lassen, um den Keller ebenfalls mit Wlan komplett auszuleuchten, da wir dort zwei Gästezimmer mitsamt Küche einrichten.
Ebenfalls habe ich dort auch meinen Hobbyraum und würde in diesem ebenfalls gerne Wlan-Empfang haben.
Gerade im Keller würde ich gerne in den Gästezimmern das Wlan über Voucer regeln, um somit den Gästen (Zimmer sollen via AirBNB angeboten werden) nur temporäre Internetzugänge zur Verfügung zu stellen und das Passwort nur zeitbegrenzt auszugeben (daher die Voucher-Lösung)...
Schöne wäre selbstverständlich auch ein VPN-Zugang, sodass ich mich von Aussen mit dem Notebook oder Handy auch mal nach Hause verbinden kann.

Ich hoffe, das erklärt so ein bisschen was :)....

@JeGr : Kannst du mir vielleicht noch gerade bei den unten genannten Punkten helfen und ein paar Tipps geben, wie ich das am besten realisieren kann?
Es sollte doch eine kostengünstige Lösung (bis max 400€ sein). Ich hatte gesehen, dass die Unifi Dream Machine ja an die 350€ kostet und dann mit der Hardware für die pfSense wäre ich ja bei ca. 600 - 700€.

Geht das auch ein wenig günstiger :)?

Hallo Rico
Ich habe mir erhofft das es da eine "versteckte" Funktion gibt.
Hab einige Vlans, mit diversen Firewall Regeln und hätte jetzt gerne das der neue OpenVPN das bestehende Regelwerk übernimmt ohne das ich jede Regel auf dem OpenVPN Interface nachbauen muss.

Es gibt ja auch keine Möglichkeit eine Firewall Regel auf ein anders Interface zu verlinken oder?
Also z.B. Produktives VLAN wird ein neuer Server auf einer speziellen Regel hinzugefügt würde es automatisch auch die OpenVPN Firewall Regel anpassen.

Ich habe momentan gerade noch eine weiter Frage
Ich hab paar Netzwerke welche über einen anderen Gateway nur verfügbar sind.
Die Netzwerke sind als Static Routes hinterlegt, funktioniert auch super aus dem produktiven Netzwerk (10.10.0.0/16).
Jedoch nicht über das OpenVPN Netzwerk, obwohl die Netzwerke als push route mitgegeben werden und beim Client auch sauber gezogen wird. OpenVPN Interface hat momentan eine "Erlaub Alles Regeln" und es gibt eine Floating Regeln wo das Erreichen dieser Netzwerke erlaubt wird.
Hab momentan gerade keine Idee mehr an was es liegen könnte.

Gruss

Hallo,

ich empfehle, dass du dich erst ein wenig mit dem Thema SSL-Zertifikate auseinandersetzt. Ist, glaube ich, auf Wikipedia ausreichend erklärt.

Was erwartest du dir nun vom Zertifikatsmanager der pfSense? Mit einer selbst erzeugten CA produziert der letztlich auch nur selbst-signierte Zertifikate. Und selbst wenn es ein öffentliches Zertifikat wäre, wenn es nicht richtig installiert ist, funktioniert es nicht.
Eine CA bietet nur den Vorteil, dass man deren Stammzertifikat auf einem Rechner als vertrauenswürdiges installieren kann und dieser damit jedem der von dieser CA ausgestellten Zertifikate vertraut. Aber wie oben zu lesen ist, sind diese schönen Zeiten auch bald Geschichte.

Beim Erzeugen einer neuen CA kann nichts kaputt gehen. Du solltest nur darauf achten, dass das Stammzertifikat ausreichend lange gültig ist. Bislang lässt sich des Stammzertifikat nicht erneuern, sollte aber in der 2.5er Version dann möglich sein.

Das Zertifikat für die pfSense WebGUI lässt sich in System > Advanced > Admin Access > SSL Certificate festlegen. Das ändert sich nicht, wenn du eine CA oder Zertifikate hinzufügst.

Grüße

Also das Update auf 2.4.5 habe ich gemacht. Heute morgen war alles OK.

Denke aber doch nicht das es daran gelegen hat, oder ?

Welches LOG braucht ihr genau wenn es nochmal passieren sollte ?

Gruß

@viragomann
Vielen Dank!

Das war es wirklich. Jetzt funktioniert es wie gewünscht.

Somit ist es gefixt. Der Spectrum Analyzer war der einzigste Weg.

Regeln bedarf es keine, wieso auch?

@viragomann said in Rechnerfreigabe per Hostname:

Ich verwende das, glaube ich, nicht. Somit auch keine Probleme.

Dito, sollte man m.M.n. so viel als möglich vermeiden. Zudem ist gerade Unbound anfällig bei DHCP registration ständig zu hängen, weshalb es beim Resolver nicht empfohlen wird Register DHCP leases zu aktivieren. Static Mappings sind kein Problem, bei OpenVPN hab ich bislang nichts gehört. Das könnte dadurch aber auch das Problem sein, da Unbound dann ständig neu startet und dann die Infos nicht vorliegen.

@OKuenstler

Entweder testweise den DNS Forwarder nutzen - da läuft dnsmasq statt unbound der das Problem nicht hat - oder eben statisch gemappte IPs nutzen. Verstehe nicht warum das in LAN, WLAN und OpenVPN nicht gehen soll - machen ja hier mehrere Dutzend Leute auch ;) LAN geht per MAC, WLAN geht per MAC, OpenVPN geht per Zuweisung via Radius oder Client Specific Override.

Hatte bislang aber selbst in höheren Sicherheitsstufen niemand, der eine "Person" egal von wo genau auf EIN Ziel freigeben wollte/musste. Dafür gibt es ja Zonenkonzepte. Client VPN bspw. darf in Client PC Subnetz o.ä. - Dass genau Huber-PC, Huber-Laptop und Huber-via-VPN genau nur auf bestimmte IPs kommt, hab ich konzeptionell noch nirgends gesehen - bei entsprechend größerer Zahl an Mitarbeitern viel zu großer Aufriß um das noch vernünftig und sicher betreuen zu können. Außerdem anfällig gegen DHCP/DNS Injection Angriffe

Wirklich neugierig nachgefragt: Wie machst du dann dein Alias/Freigabe? DNS Name ist dann bspw. huber-laptop weil sich der so im DHCP registriert und an den DNS weitergegeben wird?
Wenn ja, was machst du dann sicherheitstechnisch bei der Konstellation wenn einer einfach seinen Rechner umbenennt? Dann kommt er auch nirgends mehr hin, oder? Lerne ja gern immer wieder dazu, was andernorts so gebaut wird :)

Die custom options sind IMHO unnötig und werden automatisch gesetzt. Würde ich ggf. nachsehen im erzeugten Konfig-File. Man muss nicht jeden Krempel übernehmen auf Teufel komm raus ;)

Das Log vom Client (erster Pastebin?) sieht typisch dafür aus, dass nichts ankommt. Versucht die Verbindung zu 123...:443 und bekommt ein TCP Reset weil nichts zurückkommt. Verstehe zwar nicht warum da mit Brechstange versucht wird 443/tcp zu nutzen, aber da würde ich den Server checken und ggf. Firewall, IPtables o.ä. prüfen -> da scheint nichts anzukommen. TCPdump hilft.

Das Thema Multicast und WLAN ist hier nicht weiter beachtet worden.
Multicast sollte vom Accesspoint in Unicast umgesetzt werden, da sonst die Pakete gar nicht, order nur mit der geringtesten Geschwindigkeit im WLAN weitergeleitet werden. Da reden wir dann von 2MBit/s, wenn nichts anderes eingestellt wurde. Obacht!

Grüße

@MABINOGION Gerne.