@tpf said in Anfängerfrage: einen Openvpn User für mehrere Verbindungen?: Davon gehe ich mal aus. Stand der Technik. ;-) Joa sagen wir mal "die üblichste Variante" aber nicht die Einfachste aufzusetzen. Leider. Etwas Hintergrund gehört da auch dazu.

Mir war das auch nicht bewusst. Darum hab ich es einfach mal gemacht ;-)[image: 1581493244710-nut.png][image: 1581493279093-nut2.png]

Nabend @AK_47-2. Die Regeln greifen, bildlich gesehen, immer in Richtung aktuelles Netzwerkinterface weiter in die Sense und von da raus in ein anderes Interface. Regeln in der DMZ werden also am DMZ Netzwerkport, also incoming, abgearbeitet, bei einer block any to any rule wäre dann am Port Schluss. Eine " allow tcp DMZ-NET to LAN-NET" würde an der DMZ Schnittstelle alle tcp Pakete durchlassen Richtung LAN Schnittstelle, udp und Co werden am DMZ Port geblockt. Regeln greifen nur an den eigenen Netzwerkports. Der Diagnose/Ping sitzt quasi zwischen den LAN- und DMZ Schnittstellen. Weil die Sense als Router in jedem Netzwerk vorhanden ist, im LAN wie auch im DMZ, kann eine Regel unter DMZ so nicht greifen. Eventuell eine "block any IP_der_Sense to DMZ-NET", da bin ich überfragt. Wenn das klappen würde, sägst Du dir den Baum unter deinen Füssen weg, dann gibt es kein Zugriff von LAN auf DMZ, weil die Sense als Gateway kein Zugriff auf DMZ hat. Ob die Interfaces physikalisch oder virtuell als VLAN sind ist dabei egal. Hoffendlich ist das irgendwie verständlich. Oh, @nonick war schneller. :)

@JeGr said in LAN zu DMZ Zugriff: Uff OK das ist ganz anderes Terrain für den Thread hier ;) Stimmt, hätte mich mit @verdammt dann anders kurzgeschlossen :)

@HilFi2001 said in Dual Wan Failover + Cluster: Ich hätte gerne die Fritzbox als Router für das DSL gespart und DSL direkt an die PFSense über ein Modem gelegt. Nope :) So kann ich wenigstens an beiden PFSense das DSL über die Fritzbox nutzen. So muss das auch, sonst wäre bei einem Down der anderen Leitung beim Standby Node kein Internet möglich. Daher ist das auch unsupportes/nicht empfohlen.

Hi @TomNick . Kannst Du mal dein Eintrag zeigen? Danke schon mal.

Hallo, da kennen wir einiges. Aber ob das für deinen Zweck passend ist? Bei der Hardwaresuche müssen als erstes immer die Anforderungen genannt werden, wenn du passende Empfehlungen bekommen möchtest. Wie viele Netzwerkanschlüsse werden benötigt? Wie viel Datendurchsatz soll erreicht werden? Welchen Durchsatz bietet die Internetanbindung? Sollen zusätzliche leistungs- oder speicherhungrige Pakete wie Squid laufen? Soll eine performante VPN darauf realisiert werden?

@Wiqqle said in PfSense, FritzBox, Ubiquity - Doppeltes NAT: @JeGr Dann sage ich herzlichen Dank für deine Zeit und deinen Gehirnschmalz! :) Du hast mir wirklich ein paar wirklich gute Denkanstöße gegeben. Grüße, Fabian Immer gerne :) Gruß Jens

Ah danke für die Aufklärung :)

Hi Jens, ja das mit der bedeutend aufwändigeren Konfiguration des HAProxys bezog sich auf die simple Portweiterleitung. Die kann auch ein Laie einfach erstellen. Dagegen muss man sich mit dem HAProxy schon etwas auseinandersetzen und die Konfiguration dauert etwas länger. Ich habe den Zugriff schon seit Jahren auf mehrere Domains damit realisiert. Ich kenne aber Beispiele, die es nicht hinbekommen haben. Das mit den Protokollen habe ich nur sicherheitshalber erwähnt, da es doch passieren kann, dass man nicht alles damit realisieren kann. Ich habe einen Openfire XMPP Server, da funktioniert der HAProxy selbst mit dem TCP Protokoll nicht.

Hallo, habe es gerade nach dieser Anleitung versucht: https://nordvpn.com/tutorials/pfsense/pfsense-openvpn/ Leider ohne Erfolg. Verstehe es nicht. Es kommt nur das hier bei Status/OpenVPN: NordVPN_NL120 UDP4 reconnecting; init_instance Fri Jan 24 17:55:09 2020 (pending) (pending) 0 B / 0 B Gruß

Da bin ich mir unschlüssig wie die Logs von pfB verwaltet werden. Im Zweifel sollte sich das spätestens mit dem Kommen von 2.5 erledigt haben, da dann das Binäre Logformat weggeworfen wird und man ganz normale Textlogfiles mit Log Rotation bekommt (endlich). Dann ist auch suche und auslesen der Logs wesentlich einfacher. ansonsten kannst du nur auf der Konsole mittels clog in das entsprechende Log mal reinschauen, wie viel zurück es reicht und ob es noch rotierte Varianten gibt, die gzipt sind.

die _rep Einträge haben nichts mit den Ländern zu tun, sondern stehen für "represented country", also Einträge, die logistisch dem Land zuzuordnen sind wie Enklaven, Militärbasen etc. Country, Registered Country, and Represented Country We now distinguish between several types of country data. The country is the country where the IP address is located. The registered_country is the country in which the IP is registered. These two may differ in some cases. Finally, we also include a represented_country key for some records. This is used when the IP address belongs to something like a military base. The represented_country is the country that the base represents. This can be useful for managing content licensing, among other uses.

Welche Regel matcht denn? Die wirst du dann brauchen, die andere kann man löschen.

Wenn du eine Idee für ein semi-paranoides Setup haben möchtest, kannst du dir ja mein Setup ansehen. Ich würde allerdings auch hinter die Fritte nichts stellen, empfinde ich als unnötig. Entweder einfach exposed Host und durchreichen an die Sense oder ein Modem nutzen - was einfacher ist. Ich sehe Doppel-NAT nicht als Drama an wie manch andere hier aber ich sehe ein Providergerät eben als "untrusted" an und das Netz dahinter ist für mich ebenso "unsicher" weil ich das Gerät ggf. nicht unter voller Kontrolle habe. Gab es schon oft genug, dass der ISP dann neue Firmware einspielt und danach meine Einstellungen resettet hat. Daher untrusted. Ab der pfSense kontrolliere ich alles. WiFi empfinde ich nicht als untrusted, sondern als moderat. Nur weil ein Gerät in unterschiedlichen Netzen unterwegs ist, ist es nicht per se gefährlich. Das Problem ist da eher ob man alles ins gleiche Netz stopft, vom Smartphone über Laptop zu Firmengeräten die gut abgesichert sind. Daher habe ich das anders gebaut und nutze mit den UAP-AC-PROs von Ubiquiti den WiFi Enterprise Modus, bei dem sich eben nicht jeder den gleichen PSK teilt und jeder Dummie der mal bei mir war auf ewig im Netz ist, sondern es gibt User/PWs für die Geräte und abhängig davon werden die in unterschiedliche VLANs/Netze verteilt und vertraut. Mein Firmennotebook und mein Mgmt Lappy tauchen dann im LAN auf, Smartphones im Gästenetz das nichts darf außer Internet, Medienplayer dann im Media Netz damit sie ggf. Zugriff haben auf DLNA Geräte etc. etc. Damit hast du wesentlich mehr und feingranulareren Zugriff auf die Geräteverteilung und Sicherheit als einfach nur tumb "WLAN an". ;)

@pet_nie Na, das freut doch. :)

Hallo, danke für die Tips. ich habe mir das routing angesehen und das passt so. iptables habe ich über masquerade gelöst. Da alles nichts genutz hat habe ich auf der vm die Packete mitgeschnitten und mir ist aufgefallen das die packete nicht geforwarded werden. Die Lösung war ip4 forwarding in der sysctl.conf einschalten. Ein ziehmlich dämlicher fehler den ich da hatte :) ich danke nochmal für die hilfe