@deleted said in Interfacetrennung / DMZ: Wenn die gewünschten "Infos" genauer als mit "ich brauche mehr Infos" spezifiziert wurden, habe ich geantwortet. Hatte ich oben bereits beschrieben: mache doch einfach ein Bild oder beschreibe einfacher, was das im Endstadium werden soll? Es ist einfach unklar, und bevor wir jetzt ewig lange rumbasteln mit hinterher dann doch unnützen oder falschen Wegen, die dir am Ende nicht helfen, will man gleich ordentlich helfen. Da muss man nichts abbrechen, sondern sich nur einmal ordentlich äußern wenn man gefragt wird. Aber auf meine Anfragen kam lediglich dann eine einzelne Zeile mit einer Antwort zu drei oder mehr Fragen? Was soll ich dazu dann sagen? Was ich nicht genau erwähnt habe, da es erst im letzten Post erfragt wurde und es für mich keinen Sinn ergab, ist, dass es sich nicht um eine statische WAN-IP handelt. Ich hatte lediglich geschrieben, dass es sich um einen normalen privat DSL Anschluss handelt. Entschuldigung. Dann wird das aber auch nicht funktionieren. PPPoE gibt dir immer eine neue dynamische IP. Somit kannst du kein 1:1 NAT machen. Du schreibst aber immer wieder Wie geschrieben möchte ich erreichen, dass ein Interface von der pfSense komplett ignoriert wird. Es soll keine Filterung stattfinden. Die restlichen Interfaces sollen unberührt bleiben. Interface <-> PPPoE! Das ist aber "technischer" Quatsch. Es gibt kein "Ignorieren". Was soll denn nun passieren? Das habe ich nun mehrfach gefragt aber außer deiner "ich bin kein Netzwerker" Antwort bleibt es bei "ignorieren". WAS soll die pfSense mit dem Interface machen? Das habe ich mehrfach gefragt. Soll ALLER Traffic von außen einfach auf die Firewall in der DMZ geschoben werden? Ja? Nein? Weiß nicht? Was ist mit anderen Interfaces an der Firewall? Sollen die von extern auch erreichbar sein? Über einzelne Ports? Was ist für dich "Interface ignorieren, nicht filtern, blah"? Siehe Punkt 1 -> Soll vom Internet einfach jeder Scheiß auf die andere Firewall dahinter geschoben werden? Abgehend alles rauslassen ist ja kein Thema mit einer any-any Regel auf dem DMZ Interface? Was ich ebenfalls mehrfach(!) geschrieben habe - wenn externer Zugriff auf die DMZ Firewall soll - dass dann alles weitergeleitet werden muss. Das geht normalerweise via 1:1 NAT, aber nur bei fixer IP. Bei dynamischer ist das nicht möglich, weil bei BiNAT die IP des Zugriffs von außen angegeben werden muss. Also kannst du nur mit Port Forwards auf die DMZ Firewall arbeiten, das ist aber nicht "ALLEN Traffic durchschieben". Daher habe ich klare Fragen gestellt, auf die leider keine Antworten kamen. Da muss man auch nicht von Philosophie faseln oder lachen, sondern einfach mal den Hintern hochbekommen und auf die Fragen antworten, die gestellt werden, dann bekommt man auch gerne Antworten. Grüße

AKTUELL setzt du pfSense 2.2.5 ein? Sorry, bitte erstmal updaten auf Aktuellen Stand! Du nutzt eine fast VIER Jahre alte obsolete Software mit entsprechenden Bugs, Problemen und sonstigem Ballast. Eine Firewall sollte up2date sein, es gibt keinen Grund 2019 auf <2.3.5 rumzueiern wenn man steinalte Hardware hat und nicht auf 2.4.4 zu sein, wenn die halbwegs aktuell 64bit unterstützt. Zudem ist Aggressive Mode für IPSEC IKE1 ein No-No seit 2018. Wird nirgends mehr gern gesehen. Wenn schon (nur) IKE1 dann main mode. Aber wenn du heute noch mit der steinalten pfSense bastelst, dann hast du leider ganz andere Probleme als IPSEC an der Stelle. Grüße

Jap, ich hatte mich im englischen Thread ja mit beteiligt, aber gut zu wissen auch für andere Kabelkunden, egal welches Bundesland (inzwischen: leider).

Super, danke auch für die Ergänzung der Lösung!

@be1001 Danke Dir.

@JeGr said in Nur Windows Updates ohne Proxy erlauben?: Das kommt aber ganz darauf an, was "NUR Windows Updates" heißt. Soll sonst gar nichts gehen ins Internet? Oder wie ist das gemeint? Ja so war das gedacht, die andere Server stehen im Intranet. Wenn ich aber so darüber nachdenke, Firefox und Adobe Reader Updates gibt es ja auch noch... Doch nicht so einfach. Ich bin mit meinem Debian und einem internen apt-mirror sehr verwöhnt :)

@Kalle13 said in [SOLVED] Ich bekomme nicht das zugesicherte /56 Präfix: @Rico Wollte ich, konnte ich aber nicht. Ich bekam nur die Nachricht, dass ich nicht die Berechtigung dazu habe. Liegt daran, dass die Mods (also ich hier) das letzte Wort haben, ob ein Topic wirklich gelöscht oder nur versteckt/ausgeblendet wird, damit man noch eine Post History hat von BadGuys oder BotUsers und man das hinterher nachvollziehen kann. Ich kann dann auch Posts tatsächlich abnicken zum komplett löschen oder eben wiederherstellen... ...was ich in dem Fall auch mache, weil ich es sinnvoll finde das Thema hier zu lassen mit der Lösung (danke dafür!) damit andere das vielleicht auch mitnehmen können falls sie mal drüberstolpern :) Grüße

Hi, Somit müsste die Regeln doch stimmen, oder? Jein, das heißt theoretisch nur, dass ICMP/Ping eben geht. Wenn du TCP/UDP geblockt hast, wird trotzdem nichts gehen. Aber da ich mal davon ausgehe, dass du eher "protocol any" genutzt hast, sollte es gehen, ja. Es könnte sein das das Gateway auf den Druckern nicht stimmt. Werde ich die Tage mal checken! Richtig das wäre fatal.

@deleted Die erste (XMPP) habe ich ja schon oben im Bild eingetragen, aber ja, wenn auf die selbe IP noch mehre Einträge verweisen sollen, dann kann das unten hin. Ebenso!

@thomaslauer said in Wireguard auf pfsense: @JeGr vielen Dank für die ausführliche Antwort. Die hilft mir weiter. Auf der Suche nach dem passenden VPN. Ich muss eine Infrastruktur mir ca. 200 VPNs neu planen, und bin mir nicht sicher was besser ist IPSEC oder OPENVPN. Das hängt ganz von verschiedenen Faktoren ab, aber das haben wir - zumindest bezüglich OpenVPN - sicher auf unserem Workshop schonmal angesprochen ;) Ansonsten ist das eine Frage was die Skalierbarkeit, Hardware und Beschaffenheit der VPN angeht. Ich vermute es sind Site2Site Tunnel gemeint? Zudem käme dann bei ~200 Tunneln schon die Frage, wie es in Richtung Routingprotokollen etc. aussieht, IP Vergabe/Planung, wer kontrolliert beide Seiten Server/Client etc. Da könnten wir ggf. aber auch als Firma unterstützen ;) Beste Grüße J.G.

Mach das gerne! :)

@TheNarc Thank you very much, I've tested it for several weeks now and it works fine :-)

Vor allem besorge dir eines mit 64bit und AES-NI, dann kannst du wieder alt werden damit ;)

Hi, pfSense 2.3.X ist schon seit Oktober 2018 EOL, du solltest erst mal auf eine aktuelle Version updaten. -Rico

@plainwork said in aus pfSense LAN kein Ping auf OpenVPN Client möglich: Checkpoint Endpoint Security. Danke

@johndo said in Airprint funktioniert nicht: Auf meinem Switch habe ich den Drucker für das Gäste VLAN berechtigt. Die Formulierung ist unklar. Was hast du gemacht? Und warum auf dem Switch? @johndo said in Airprint funktioniert nicht: Auf der pfsense habe ich dann unter dem Interface GUESTWLAN eine Regel erstellt die alles aus dem GUESTWLAN Net auf den Drucker erlaubt. Jetzt wirds noch unklarer. Wenn du erst was auf dem Switch getan hast, was musst du dann an der Sense tun? Irgendwo stimmt dann was nicht. @johndo said in Airprint funktioniert nicht: Sprich somit sollte das Netzwerkseitig schon mal halbwegs passen. Nö, das heißt nur der Drucker hat eine IP die geroutet wird und die erreichbar ist. Hat erstmal mit Drucken wenig zu tun weil Web Interface. @johndo said in Airprint funktioniert nicht: Sobald ich alllerdings über AirPrint zugreife wird der Drucker nicht gefunden. Wundert mich eher weniger, weil der ganze AirXY Kram wieder automagic autodiscover autoblah Multicast BS ist. Anstatt also einfach an eine IP zum Drucken zu schicken wird mit viel chi-chi wie bei AirPlay und Co wieder per Multicast, mDNS und Co nach automagisch vorhandenen Druckern gesucht und darauf gedruckt. Ist doch voll toll ;) Wie schon in der Doku zu AirPrint/AirPlay etc. steht: Geht nur im selben Netz. Entweder du verbiegst die Firewall wie ne Brezel und machst mit uPNP Service, ggf. IGMP Proxy und Avahi rum bis es vielleicht irgendwann mal läuft oder du packst den Drucker wenn du ihn unbedingt im WLAN brauchst ins WLAN Netz oder den Mobile Client ins LAN - je nachdem. AirPrint (als "Protokoll") ist auf jeden Fall kein richtiges IP Printing mit Druckserver etc. sondern wieder so ein Apple-Automagisch-Blah-Dingsi was eben nur im gleichen Netz oder mit entsprechend Aufwand (Multicast, mDNS, etc.) über Netzgrenzen hinweg funktioniert. Sollte dein Drucker zusätzlich zu AirPrint auch noch nen echten IP Drucker Anteil haben, wäre es eine Idee den ins WLAN zu stellen, damit die Mobilgeräte ihn "automagisch" finden können und die echten Clients wie Notebooks/PCs/Macs etc. könnten dann ggf. über echte IP drauf zugreifen. Aber wenn das eine Apple-only Geschichte ist, bin ich raus, von dem Zirkus habe ich mich schon länger verabschiedet, weil eben doch nicht alles so "magical" war :)

Müsste ich nochmal nachsehen ob man das Redirecting ganz abschalten kann. BBCan ist da sehr eifrig dabei, Funktion einzubauen aber schießt manchmal ein wenig übers Ziel hinaus. Die ganze VIP Definition finde ich suboptimal. Für ein Single System geht es, im Cluster wenig schön. Muss ich mal sehen, eigentlich sollte man das abklemmen können.

Ok. Dann werde ich erstmal ein Firmware-/BIOS-Update durchführen und dann mal beobachten. Sollte das jetzt öfters passieren, muss ich schauen ob es eventuell ein Treiber-Problem oder tatsächlich ein Hardware-Defekt ist. Danke.

Moin, sorry, dass ich mich jetzt erst melde, aber wir hatten hier richtig Land unter im Büro. Das Problem ist tatsächlich gelöst. Auf dem Linux Server war alles ok. Die Route zum 10.10.88.0/24 er Netz war ja gesetzt durch die Client seitige Überschreibung (danke noch mal für die Tipps!!) Auf einem anderen Windows Web Server musste ich diese Route per Hand hinzufügen. Nun klappt alles wie geschmiert. Die PFsense ist wirklich klasse. Genau so wie ihr hier im Forum. Danke noch mal für die Hilfe. Das Thema ist damit gelöst. LG Stefan