@Wiqqle said in PfSense, FritzBox, Ubiquity - Doppeltes NAT:

@JeGr

Dann sage ich herzlichen Dank für deine Zeit und deinen Gehirnschmalz! :)
Du hast mir wirklich ein paar wirklich gute Denkanstöße gegeben.

Grüße,
Fabian

Immer gerne :)

Gruß Jens

Ah danke für die Aufklärung :)

Hi Jens, ja das mit der bedeutend aufwändigeren Konfiguration des HAProxys bezog sich auf die simple Portweiterleitung. Die kann auch ein Laie einfach erstellen. Dagegen muss man sich mit dem HAProxy schon etwas auseinandersetzen und die Konfiguration dauert etwas länger. Ich habe den Zugriff schon seit Jahren auf mehrere Domains damit realisiert. Ich kenne aber Beispiele, die es nicht hinbekommen haben.

Das mit den Protokollen habe ich nur sicherheitshalber erwähnt, da es doch passieren kann, dass man nicht alles damit realisieren kann. Ich habe einen Openfire XMPP Server, da funktioniert der HAProxy selbst mit dem TCP Protokoll nicht.

Hallo,

habe es gerade nach dieser Anleitung versucht:
https://nordvpn.com/tutorials/pfsense/pfsense-openvpn/

Leider ohne Erfolg. Verstehe es nicht.

Es kommt nur das hier bei Status/OpenVPN:

NordVPN_NL120 UDP4 reconnecting; init_instance Fri Jan 24 17:55:09 2020 (pending) (pending) 0 B / 0 B

Gruß

Da bin ich mir unschlüssig wie die Logs von pfB verwaltet werden. Im Zweifel sollte sich das spätestens mit dem Kommen von 2.5 erledigt haben, da dann das Binäre Logformat weggeworfen wird und man ganz normale Textlogfiles mit Log Rotation bekommt (endlich). Dann ist auch suche und auslesen der Logs wesentlich einfacher.

ansonsten kannst du nur auf der Konsole mittels clog in das entsprechende Log mal reinschauen, wie viel zurück es reicht und ob es noch rotierte Varianten gibt, die gzipt sind.

die _rep Einträge haben nichts mit den Ländern zu tun, sondern stehen für "represented country", also Einträge, die logistisch dem Land zuzuordnen sind wie Enklaven, Militärbasen etc.

Country, Registered Country, and Represented Country
We now distinguish between several types of country data. The country is the country where the IP address is located. The registered_country is the country in which the IP is registered. These two may differ in some cases.
Finally, we also include a represented_country key for some records. This is used when the IP address belongs to something like a military base. The represented_country is the country that the base represents. This can be useful for managing content licensing, among other uses.

Welche Regel matcht denn? Die wirst du dann brauchen, die andere kann man löschen.

Wenn du eine Idee für ein semi-paranoides Setup haben möchtest, kannst du dir ja mein Setup ansehen. Ich würde allerdings auch hinter die Fritte nichts stellen, empfinde ich als unnötig. Entweder einfach exposed Host und durchreichen an die Sense oder ein Modem nutzen - was einfacher ist. Ich sehe Doppel-NAT nicht als Drama an wie manch andere hier aber ich sehe ein Providergerät eben als "untrusted" an und das Netz dahinter ist für mich ebenso "unsicher" weil ich das Gerät ggf. nicht unter voller Kontrolle habe. Gab es schon oft genug, dass der ISP dann neue Firmware einspielt und danach meine Einstellungen resettet hat. Daher untrusted.

Ab der pfSense kontrolliere ich alles. WiFi empfinde ich nicht als untrusted, sondern als moderat. Nur weil ein Gerät in unterschiedlichen Netzen unterwegs ist, ist es nicht per se gefährlich. Das Problem ist da eher ob man alles ins gleiche Netz stopft, vom Smartphone über Laptop zu Firmengeräten die gut abgesichert sind. Daher habe ich das anders gebaut und nutze mit den UAP-AC-PROs von Ubiquiti den WiFi Enterprise Modus, bei dem sich eben nicht jeder den gleichen PSK teilt und jeder Dummie der mal bei mir war auf ewig im Netz ist, sondern es gibt User/PWs für die Geräte und abhängig davon werden die in unterschiedliche VLANs/Netze verteilt und vertraut. Mein Firmennotebook und mein Mgmt Lappy tauchen dann im LAN auf, Smartphones im Gästenetz das nichts darf außer Internet, Medienplayer dann im Media Netz damit sie ggf. Zugriff haben auf DLNA Geräte etc. etc.
Damit hast du wesentlich mehr und feingranulareren Zugriff auf die Geräteverteilung und Sicherheit als einfach nur tumb "WLAN an". ;)

@pet_nie

Na, das freut doch. :)

Hallo,

danke für die Tips. ich habe mir das routing angesehen und das passt so. iptables habe ich über masquerade gelöst.
Da alles nichts genutz hat habe ich auf der vm die Packete mitgeschnitten und mir ist aufgefallen das die packete nicht geforwarded werden. Die Lösung war ip4 forwarding in der sysctl.conf einschalten.

Ein ziehmlich dämlicher fehler den ich da hatte :)

ich danke nochmal für die hilfe

Hallo @ALCA74,

in diesem Knowledgebase Artikel geht es um das Auslesen der Temperatur via sysctl:

https://kb.paessler.com/en/topic/75990-ssh-script-with-pfsense-for-temperature-monitor

Vielleicht hilft das abgewandelt weiter.

Viele Grüße,
Michael

@JeGr vielen Dank für die Antwort. Da muss ich also etwas anders planen und brauch nicht weiter nach nem Fehler zu suchen. exposed Hosts oder nat off geht beim Speedport leider nicht, da muss man fleisig Listen anlegen. Der Winter ist ja noch lang und man hat zeit für solche Versuche :)

Ok, ist gemacht. Vielen Dank!

Danke, werde ich am WE testen.

Moin.

Nach einigen Versuchen bin ich langsam der Meinung, dass der Traffic Shaper nicht die Interfaces übergreifend priorisieren kann, sondern nur im Netzwerksegment selber. Werden den Interfaces jeweils 10 Mbit/s DL eingetragen und die Hosts dementsprechend priorisiert, ziehen die Hosts in den jeweiligen Netzwerksegmenten brav ihre 10 Mbit/s, unabhängig wieviel Hosts von wo was laden. Interessiert den TS überhaupt nicht. Der Traffic wird bei Bandbreitenlimit brüderlich gleichmässig aufgeteilt, egal, wer welche Priorisierung hat.

Hat jemand von Euch irgendeine Idee, wie das zu lösen ist?

Hallo,

ich würde im System-Log nach Fehlern suchen. Allerdings fürchte ich, dass die pfSense gar keinen Fehler registriert, wenn es nicht gerade eine IP- oder MAC-Kollission ist.

Welche Ursachen es sonst haben könnte, kommt auf den genauen Aufbau an, und dieser ist mir mir den gemachten Angaben noch nicht ganz klar.
Was ist in dem RZ bzw. auf dem Terminalserver das Default Gateway?
Verwendest du auf den pfSensen Masquerading für die Zugriffe von Remote?
Überschneiden sich die Remote-Netze?

Sorry, ich habe es verpasst es in diesem Post zu schreiben. Ich habe es hin bekommen :-)

Siehe:
https://forum.netgate.com/topic/149458/acme-with-webroot-ftp-not-work/7

Davon abgesehen dass ich denke, dass 2.5 schon ganz ordentlich läuft, ist es natürlich noch Snapshot Qualität. Da kann immer mal was kaputt gehen. Solang das noch keine Betas oder RCs sind, sind die für Daily Driver vielleicht - je nach Einsatzort - ein wenig heikel.

Zum WLAN Thema hab ich ja in meinem "Bautagebuch" ;) schon genug geschrieben. Ein ordentlicher AP mit Konfigurationsmöglichkeiten (wie in meinem Fall der Unify AP) bieten da einfach Längen mehr an Funktion und Abdeckung, weil nicht im dunklen Kämmerlein an der Sense das WLAN abstrahlt, sondern bspw. schön verbaut an/in der Wand/Decke vor sich hin funken kann (plus weitere Features wie radius based VLANs etc.) :)

Der ist aktiv, da habe ich nichts verändert:
bdc78176-e30f-424c-8f4f-9216a24af85c-grafik.png

@armleuchter said in Remtoe Syslog Server bekommt nach IP Wechsel keine Daten mehr:

danke für Deine Antwort...ja warum so eine alte Release...das sind nen Haufen Sachen eingerichtet und ich habe schlechte Erfahrungen mit dem einfachen Anklicken in Dashboard gemacht. Und bis auf die eine Sache läuft ja alles.

Genau, es läuft alles. Auf Stand 2015 mit einem seit Jahren unsupporteten und nicht mehr gefixten OS drunter, mit Komponenten die inzwischen mehrere Bugs, Bugfixes und Lücken haben. Auf einer Firewall. Seems legit...

Habe leider nur gefährliches Halbwissen.

Dann solltest du dringend wenigstens eines Verinnerlichen: Eine Firewall ist ein Security Produkt. Das Ding dann 5 Jahre lang nicht zu updaten ist fahrlässig. Zumal 2.2.x nicht nur einmal sondern bereits zweifach EOL und tot ist und es dort Probleme/Pakete gab, die heute gar nicht mehr existieren. Somit tust du dir selbst und allen die vom Produkt abhängen, wenn du das Ding aktuell hältst.