@fluffy-bunny said in pfSense an Vodafone Station betreiben, wie?: @JeGr said in pfSense an Vodafone Station betreiben, wie?: @fluffy-bunny said in pfSense an Vodafone Station betreiben, wie?: Es nervt auch ziemlich, dass ich mich nicht via VPN ins Firmennetz einwählen kann und dazu immer wieder die Firewall deaktivieren muss. Warum? Was hat eine/deine/die Firewall mit VPN zu tun? Okay, ich glaube dann habe ich das missverstanden bzw. natürlich hat eine Firewall nicht direkt etwas mit VPN zu tun. Nur eine Firewall kann ja die VPN-Verbindung blockieren wenn diese nicht ordentlich konfiguriert wurde. Und ich habe leider keinerlei Konfiguration in der Vodafone Station diesbezüglich vorgenommen, da ich überhaupt erstmal arbeiten wollte und musste. Leider ist die Bandbreite nicht wirklich super (Download-Geschwindigkeit laut Speedtest von wieistmeineip.de über Wlan: 130.023kbit/s, Upload-Geschwindigkeit laut Speedtest von wieistmeineip.de über Wlan: 49.320kbit/s und Ping: 38ms) Ernsthaft: Ihr fragt jetzt in der aktuellen Situation, warum ihr ggf. schlechten Ping oder nicht eure korrekten Leitungswerte bekommt? Weil annähernd jeder gerade zu Hause sitzt und Homeoffice macht, die ganzen Internetleitungen jetzt plötzlich alle gleichzeitig bedient werden müssen und das ISP Business eine einzige große Mischkalkulation ist, bei der alle hoffen, dass nicht jeder gleichzeitig alles an Leitung haben will - weil so viel gar nicht da ist. Deshalb! Weil der Bandbreitenausbau ein rückständiger Sauhaufen ist, weil ihn keiner richtig bezahlen will (solang er keinen tollen Zuschuss vom Bund bekommt dafür) und deshalb nur so minimal wie möglich investiert - hauptsache große Zahlen auf Packungen schreiben :D Das ist simpelstes Marketing 1x1. Ich hätte theoretisch aktuell 500/50. Ich bekomme morgens fast volle Lotte 450/43 (um 7:30). Eine Stunde später muss ich schon froh sein, wenn ich 350/20 noch bekomme und ab 9-10 Uhr ist bei ~200 Schluß (wenn überhaupt) und im Upstream ist gerade mal noch 2-5Mbps über. Also bitte kommt mir während der nächsten Tage und Wochen nicht mit "ich hab weniger Bandbreite als ich bezahlt habe" Okay, da gebe ich dir natürlich Recht! Man kann nicht viel machen, wenn die gesamte Welt am Tage zu Hause ist und entweder Streamen oder arbeiten will und muss.... Kurzum habe ich überlegt, mir mittels einer pfSense einen eigenen Router "zu basteln" und die Vodafone Station in den Bridged Mode zu setzen, sodass sämtlicher Netzwerkverkehr über die pfSense läuft und die pfSense Router spielt. Zudem habe ich überlegt, einen Wlan-Access-Point anzuschaffen, um alle meine Geräte mit Wlan zu versorgen... Das ist sicherlich keine dumme Idee :) Leider ist das ja mit Boardmitteln bei pfSense nicht so ohne weiteres möglich (wie ja schon hier beschrieben... Was ist nicht möglich? WLAN? Das SOLL auch die Firewall gar nicht machen, dafür gibts ja gerade spezialisierte Hardware. Warum soll immer alles eine eierlegende Wollmilchsau sein? Alles können heißt immer auch "nichts richtig". Okay, ich muss gestehen, dass ich immer durch die Fritzboxen eierlegende Wollmilchsäue gewöhnt bin. Aber natürlich hast du Recht, wenn man sich quasi 'abgekapselt von einem Router' eine Firewall extra aufsetzt, dass die dann auch "nur" Security / Firewalling übernehmen soll und muss. Was könnt ihr mir für ein vernünftig laufendes Wlan für Hardware emfehlen? Brauche ich nur einen Access Point, oder auch eine dedizierten Wlan-Router (bzw. kann dies auch die pfSense übernehmen?) Was ist denn in deiner Definition ein WLAN-Router? Und nein, das braucht man nicht. Du willst WLAN -> Du willst einen AccessPoint. Du hast eine pfSense als komplettes Security Gateway (Router, Firewall, Filter, VPN). Da ist mir nicht klar, was die Sense noch "übernehmen" soll? Kann ich mir auch Voucer generieren lassen, um zeitgesteuertes Gäste-Wlan zur Verfügung zu stellen Kommt drauf an. Entweder kann das dein AP schon - was nicht die schlechteste Methode wäre weil das dann meist noch geschickter implementiert ist - oder du machst auf dem/den Interfaces die WLAN sprechen das Captive Portal der Sense an. Geht beides. Was benötige ich insgesamt an Hardware, um die Kombination 'Vodafone Station' --> 'pfSense' ---> 'Wlan-Router bzw. Wlan-Access-Point' zu realisieren? Other mileage may vary, aber ich würde empfehlen: HW für pfSense (welche hängt stark davon ab, was an Leistung, Bandbreite, etc. laufen soll!) Für AP: einen (oder ggf. mehrere je nachdem) Ubiquiti Unifi APs. Welche davon, hängt ganz davon ab welche Fläche ausgeleuchtet werden soll und wie stark die Abschirmung bspw. in Wänden etc. ist. Normalerweise genügt ein AP-AC-LR, AC-Pro oder wenn man auf ganz neue WiFi 6 Standards steht die neuen nanoHD, HD oder SHD Kisten. Kommt auch auf den Preis und die Schmerzgrenze an Fürs Management könnte man noch einen Unifi CloudKey dazu nehmen. Da läuft der Controller drauf, mit dem man die APs konfiguriert und der dann auch - wenn der Controller immer läuft - bspw. selbst ein Portal bietet. Außerdem Statistiken und Diagnose in einem tollen Dashboard. Wenn dann eh HW im Spiel ist, stellt sich die Frage ob du ggf. auch einen intelligenten Switch brauchst und da auch gleich 2-3 kleine VLANs ausrollst, denn dann lässt sich dein Netz von irgendwelchem Gästekram wesentlich besser isolieren. Wenn ja, dann könnte ein Unifi Switch Sinn machen. Den kann man nämlich dann direkt auch mit dem gleichen Controller steuern und die Geräte können dann klasse miteinander arbeiten. Gerade wenn man einen Switch mit PoE hat spart man sich dann je nach verbauen das Stromkabel für den AccessPoint und kann den einfach via PoE an den Switch hängen und hat LAN und Strom in einem abgedeckt. Erhöht den WAF auch enorm ;) Wie das aussehen kann? Controller: [image: 1585241401870-93f318a8-84d2-4a99-8cdf-435ad7998b8e-image.png] Eventuell auch einen Blick wert, weil 3-in-1: Die Unifi Dream Machine: [image: 1585241504297-ad6e0659-6783-4aaa-b461-56eb5e5c52b5-image.png] Da ist der CloudKey integriert (Controller) ein kleiner 4-Port Switch, theoretisch sogar ein USG wenn man auf die pfSense ganz verzichten möchte, und on top noch ein AP-HD mit 4x4 WiFi. Habe aber auch schon kleine Offices gesehen, die das Ding einfach als Controller+Switch+AP nutzen und daran dann ihre Sense hängen (kann eben mehr als die kleine USG die da verbaut ist). Wie gesagt nur eine Randbemerkung denn WAS genau man empfehlen kann, hängt stark von Faktoren wie Preislimit, Gegebenheiten (Haus, Wohnung, Zimmer, WiFi Abdeckung), vorhandener Bandbreite und Einsatz von Paketen/Diensten ab. Dann kann man ungefähr abschätzen, was an Performance gebraucht wird. Grüße Okay, vielleicht sollte ich mal mein Vorhaben ein bisschen konkreter erklären und definieren. Ich möchte gerne unsere 130qm Wohnung komplett mit WLAN ausrüsten, sodass ich wirklich überall auch einen guten und vorallem stabilen Empfang habe. Gleichwohl haben wir uns in den Keller eine Netzwerkdose legen lassen, um den Keller ebenfalls mit Wlan komplett auszuleuchten, da wir dort zwei Gästezimmer mitsamt Küche einrichten. Ebenfalls habe ich dort auch meinen Hobbyraum und würde in diesem ebenfalls gerne Wlan-Empfang haben. Gerade im Keller würde ich gerne in den Gästezimmern das Wlan über Voucer regeln, um somit den Gästen (Zimmer sollen via AirBNB angeboten werden) nur temporäre Internetzugänge zur Verfügung zu stellen und das Passwort nur zeitbegrenzt auszugeben (daher die Voucher-Lösung)... Schöne wäre selbstverständlich auch ein VPN-Zugang, sodass ich mich von Aussen mit dem Notebook oder Handy auch mal nach Hause verbinden kann. Ich hoffe, das erklärt so ein bisschen was :).... @JeGr : Kannst du mir vielleicht noch gerade bei den unten genannten Punkten helfen und ein paar Tipps geben, wie ich das am besten realisieren kann? Es sollte doch eine kostengünstige Lösung (bis max 400€ sein). Ich hatte gesehen, dass die Unifi Dream Machine ja an die 350€ kostet und dann mit der Hardware für die pfSense wäre ich ja bei ca. 600 - 700€. Geht das auch ein wenig günstiger :)?

Hallo Rico Ich habe mir erhofft das es da eine "versteckte" Funktion gibt. Hab einige Vlans, mit diversen Firewall Regeln und hätte jetzt gerne das der neue OpenVPN das bestehende Regelwerk übernimmt ohne das ich jede Regel auf dem OpenVPN Interface nachbauen muss. Es gibt ja auch keine Möglichkeit eine Firewall Regel auf ein anders Interface zu verlinken oder? Also z.B. Produktives VLAN wird ein neuer Server auf einer speziellen Regel hinzugefügt würde es automatisch auch die OpenVPN Firewall Regel anpassen. Ich habe momentan gerade noch eine weiter Frage Ich hab paar Netzwerke welche über einen anderen Gateway nur verfügbar sind. Die Netzwerke sind als Static Routes hinterlegt, funktioniert auch super aus dem produktiven Netzwerk (10.10.0.0/16). Jedoch nicht über das OpenVPN Netzwerk, obwohl die Netzwerke als push route mitgegeben werden und beim Client auch sauber gezogen wird. OpenVPN Interface hat momentan eine "Erlaub Alles Regeln" und es gibt eine Floating Regeln wo das Erreichen dieser Netzwerke erlaubt wird. Hab momentan gerade keine Idee mehr an was es liegen könnte. Gruss

Hallo, ich empfehle, dass du dich erst ein wenig mit dem Thema SSL-Zertifikate auseinandersetzt. Ist, glaube ich, auf Wikipedia ausreichend erklärt. Was erwartest du dir nun vom Zertifikatsmanager der pfSense? Mit einer selbst erzeugten CA produziert der letztlich auch nur selbst-signierte Zertifikate. Und selbst wenn es ein öffentliches Zertifikat wäre, wenn es nicht richtig installiert ist, funktioniert es nicht. Eine CA bietet nur den Vorteil, dass man deren Stammzertifikat auf einem Rechner als vertrauenswürdiges installieren kann und dieser damit jedem der von dieser CA ausgestellten Zertifikate vertraut. Aber wie oben zu lesen ist, sind diese schönen Zeiten auch bald Geschichte. Beim Erzeugen einer neuen CA kann nichts kaputt gehen. Du solltest nur darauf achten, dass das Stammzertifikat ausreichend lange gültig ist. Bislang lässt sich des Stammzertifikat nicht erneuern, sollte aber in der 2.5er Version dann möglich sein. Das Zertifikat für die pfSense WebGUI lässt sich in System > Advanced > Admin Access > SSL Certificate festlegen. Das ändert sich nicht, wenn du eine CA oder Zertifikate hinzufügst. Grüße

Also das Update auf 2.4.5 habe ich gemacht. Heute morgen war alles OK. Denke aber doch nicht das es daran gelegen hat, oder ? Welches LOG braucht ihr genau wenn es nochmal passieren sollte ? Gruß

@viragomann Vielen Dank! Das war es wirklich. Jetzt funktioniert es wie gewünscht.

Somit ist es gefixt. Der Spectrum Analyzer war der einzigste Weg. Regeln bedarf es keine, wieso auch?

@viragomann said in Rechnerfreigabe per Hostname: Ich verwende das, glaube ich, nicht. Somit auch keine Probleme. Dito, sollte man m.M.n. so viel als möglich vermeiden. Zudem ist gerade Unbound anfällig bei DHCP registration ständig zu hängen, weshalb es beim Resolver nicht empfohlen wird Register DHCP leases zu aktivieren. Static Mappings sind kein Problem, bei OpenVPN hab ich bislang nichts gehört. Das könnte dadurch aber auch das Problem sein, da Unbound dann ständig neu startet und dann die Infos nicht vorliegen. @OKuenstler Entweder testweise den DNS Forwarder nutzen - da läuft dnsmasq statt unbound der das Problem nicht hat - oder eben statisch gemappte IPs nutzen. Verstehe nicht warum das in LAN, WLAN und OpenVPN nicht gehen soll - machen ja hier mehrere Dutzend Leute auch ;) LAN geht per MAC, WLAN geht per MAC, OpenVPN geht per Zuweisung via Radius oder Client Specific Override. Hatte bislang aber selbst in höheren Sicherheitsstufen niemand, der eine "Person" egal von wo genau auf EIN Ziel freigeben wollte/musste. Dafür gibt es ja Zonenkonzepte. Client VPN bspw. darf in Client PC Subnetz o.ä. - Dass genau Huber-PC, Huber-Laptop und Huber-via-VPN genau nur auf bestimmte IPs kommt, hab ich konzeptionell noch nirgends gesehen - bei entsprechend größerer Zahl an Mitarbeitern viel zu großer Aufriß um das noch vernünftig und sicher betreuen zu können. Außerdem anfällig gegen DHCP/DNS Injection Angriffe Wirklich neugierig nachgefragt: Wie machst du dann dein Alias/Freigabe? DNS Name ist dann bspw. huber-laptop weil sich der so im DHCP registriert und an den DNS weitergegeben wird? Wenn ja, was machst du dann sicherheitstechnisch bei der Konstellation wenn einer einfach seinen Rechner umbenennt? Dann kommt er auch nirgends mehr hin, oder? Lerne ja gern immer wieder dazu, was andernorts so gebaut wird :)

Die custom options sind IMHO unnötig und werden automatisch gesetzt. Würde ich ggf. nachsehen im erzeugten Konfig-File. Man muss nicht jeden Krempel übernehmen auf Teufel komm raus ;) Das Log vom Client (erster Pastebin?) sieht typisch dafür aus, dass nichts ankommt. Versucht die Verbindung zu 123...:443 und bekommt ein TCP Reset weil nichts zurückkommt. Verstehe zwar nicht warum da mit Brechstange versucht wird 443/tcp zu nutzen, aber da würde ich den Server checken und ggf. Firewall, IPtables o.ä. prüfen -> da scheint nichts anzukommen. TCPdump hilft.

Das Thema Multicast und WLAN ist hier nicht weiter beachtet worden. Multicast sollte vom Accesspoint in Unicast umgesetzt werden, da sonst die Pakete gar nicht, order nur mit der geringtesten Geschwindigkeit im WLAN weitergeleitet werden. Da reden wir dann von 2MBit/s, wenn nichts anderes eingestellt wurde. Obacht! Grüße

@MABINOGION Gerne.

Sicher tel.t-online.de und nicht tel.telekom.de ? -Rico

Hat sich für uns erledigt, die pfSense wird nicht mehr eingesetzt.

Hi Andrè, das ist ja ein Ding. Ich hätte da nur folgende Erklärung. So wie ich das verstanden habe, hast du die Fritte jetzt in deinem privaten LAN und die Doorbird in der DMZ. Ich gehe davon aus, dass du die IP der Fritte nicht verändert hast. Somit hat die Doorbird (bei Anschluss an der Fritte) den richtigen Weg zur Fritte. Wenn du die Doorbird danach in die DMZ gehängt hast und die Fritte nicht verändert hast, dann kann ich mir das gut erklären, dass die Doorbird den Weg zur Fritte weiterhin findet, da du (wahrscheinlich) dein Routing von der DMZ in dein privates LAN (Fritte) geöffnet hast. So kann ich mir das vorstellen. Aber: Einen Weg von der DMZ in dein LAN hinein - keine gute Idee. Von intern nach DMZ ist das OK aber von DMZ nach intern? Die Doorbird hängt ja im WAN, also ist diese evtl. auch angreifbar. Und wenn jemand deine Doorbird kapert, findet er den Weg in dein privatzes LAN. Oder habe ich das falsch verstanden? Ich habe pfsense auf einer Realsoft Firewall APU.4C4W laufen. Zum WAN ein DSL-Modem und die Fritte als IP-Client eingerichtet, da ich als Telefone die AVM FritzFon benutze. Leider wie schon berichtet habe, sind einige Apps (AVM FritzFon, Haussteuerung etc.) nicht in der Lage, über Subnetze zu kommunizieren. Das ist echt noch verbesserungswürdig seitens der App-Hersteller. Denn eine Trennung von Haussteuerung zum privaten LAN und eine DMZ (mit Fritzbox und Doorbird) getrennt vom privaten LAN fände ich super. Das ist überhaupt der Grund, warum ich mir eine andere Firewall-Lösung angeschafft habe (das Subnetting). Ich arbeite weiter daran und hoffe bals eine Lösung dafür zu finden. Gruß Thomas

Hier findest du eine Lösung wie es geht: OVPN Client routet oder auch: OVPN Client Relevant ist hier das der Client zwingend IPv4 Forwarding aktiviert hat (Routing) Bei Winblows ist das ein Eingriff in der Registry: http://www.winfaq.de/faq_html/Content/tip0500/onlinefaq.php?h=tip0908.htm Und das im Client und Server das lokale IP Netz des Clients eingetragen ist fürs Routing. Damit klappt das dann fehlerlos.

Hier findest du ebenfalls eine Lösung zu der Thematik mit gemischten Site 2 Site VPNs (OVPN und IPsec) und mobilen (IPsec) Nutzern: OVPN/IPsec Mix 1 bzw. OVPN/IPsec Mix 2 Und last but not least die VPN Dialin Lösung für mobile User und bordeigenen VPN Clients: VPN Dialin

Hallo, ich habe VDSL und eine Fritzbox die NAT macht, noch dazu ein Kabelmodem was kein NAT macht. Beide haben jeweils eine IP. Lässt sich das lösen mit CARP? Wobei die Fritzbox bald einem Modem weicht. Gruß und dank ré

@zaphood Super! Danke für die Rückmeldung.

Danke @viragomann, Du hast mir sehr geholfen.

Danke hab es jetzt hinbekommen :)

Aus irgendwelchen unerfindlichen Gründen läuft das TAP nun. Alles schick :)