@thomaslauer said in Wireguard auf pfsense:

@JeGr vielen Dank für die ausführliche Antwort. Die hilft mir weiter. Auf der Suche nach dem passenden VPN. Ich muss eine Infrastruktur mir ca. 200 VPNs neu planen, und bin mir nicht sicher was besser ist IPSEC oder OPENVPN.

Das hängt ganz von verschiedenen Faktoren ab, aber das haben wir - zumindest bezüglich OpenVPN - sicher auf unserem Workshop schonmal angesprochen ;)

Ansonsten ist das eine Frage was die Skalierbarkeit, Hardware und Beschaffenheit der VPN angeht. Ich vermute es sind Site2Site Tunnel gemeint? Zudem käme dann bei ~200 Tunneln schon die Frage, wie es in Richtung Routingprotokollen etc. aussieht, IP Vergabe/Planung, wer kontrolliert beide Seiten Server/Client etc.

Da könnten wir ggf. aber auch als Firma unterstützen ;)

Beste Grüße
J.G.

Mach das gerne! :)

@TheNarc

Thank you very much,

I've tested it for several weeks now and it works fine :-)

Vor allem besorge dir eines mit 64bit und AES-NI, dann kannst du wieder alt werden damit ;)

Hi,

pfSense 2.3.X ist schon seit Oktober 2018 EOL, du solltest erst mal auf eine aktuelle Version updaten.

-Rico

@plainwork said in aus pfSense LAN kein Ping auf OpenVPN Client möglich:

Checkpoint Endpoint Security.

Danke

@johndo said in Airprint funktioniert nicht:

Auf meinem Switch habe ich den Drucker für das Gäste VLAN berechtigt.

Die Formulierung ist unklar. Was hast du gemacht? Und warum auf dem Switch?

@johndo said in Airprint funktioniert nicht:

Auf der pfsense habe ich dann unter dem Interface GUESTWLAN eine Regel erstellt die alles aus dem GUESTWLAN Net auf den Drucker erlaubt.

Jetzt wirds noch unklarer. Wenn du erst was auf dem Switch getan hast, was musst du dann an der Sense tun? Irgendwo stimmt dann was nicht.

@johndo said in Airprint funktioniert nicht:

Sprich somit sollte das Netzwerkseitig schon mal halbwegs passen.

Nö, das heißt nur der Drucker hat eine IP die geroutet wird und die erreichbar ist. Hat erstmal mit Drucken wenig zu tun weil Web Interface.

@johndo said in Airprint funktioniert nicht:

Sobald ich alllerdings über AirPrint zugreife wird der Drucker nicht gefunden.

Wundert mich eher weniger, weil der ganze AirXY Kram wieder automagic autodiscover autoblah Multicast BS ist. Anstatt also einfach an eine IP zum Drucken zu schicken wird mit viel chi-chi wie bei AirPlay und Co wieder per Multicast, mDNS und Co nach automagisch vorhandenen Druckern gesucht und darauf gedruckt. Ist doch voll toll ;)

Wie schon in der Doku zu AirPrint/AirPlay etc. steht: Geht nur im selben Netz. Entweder du verbiegst die Firewall wie ne Brezel und machst mit uPNP Service, ggf. IGMP Proxy und Avahi rum bis es vielleicht irgendwann mal läuft oder du packst den Drucker wenn du ihn unbedingt im WLAN brauchst ins WLAN Netz oder den Mobile Client ins LAN - je nachdem. AirPrint (als "Protokoll") ist auf jeden Fall kein richtiges IP Printing mit Druckserver etc. sondern wieder so ein Apple-Automagisch-Blah-Dingsi was eben nur im gleichen Netz oder mit entsprechend Aufwand (Multicast, mDNS, etc.) über Netzgrenzen hinweg funktioniert.

Sollte dein Drucker zusätzlich zu AirPrint auch noch nen echten IP Drucker Anteil haben, wäre es eine Idee den ins WLAN zu stellen, damit die Mobilgeräte ihn "automagisch" finden können und die echten Clients wie Notebooks/PCs/Macs etc. könnten dann ggf. über echte IP drauf zugreifen. Aber wenn das eine Apple-only Geschichte ist, bin ich raus, von dem Zirkus habe ich mich schon länger verabschiedet, weil eben doch nicht alles so "magical" war :)

Müsste ich nochmal nachsehen ob man das Redirecting ganz abschalten kann. BBCan ist da sehr eifrig dabei, Funktion einzubauen aber schießt manchmal ein wenig übers Ziel hinaus. Die ganze VIP Definition finde ich suboptimal. Für ein Single System geht es, im Cluster wenig schön. Muss ich mal sehen, eigentlich sollte man das abklemmen können.

Ok. Dann werde ich erstmal ein Firmware-/BIOS-Update durchführen und dann mal beobachten. Sollte das jetzt öfters passieren, muss ich schauen ob es eventuell ein Treiber-Problem oder tatsächlich ein Hardware-Defekt ist. Danke.

Moin,
sorry, dass ich mich jetzt erst melde, aber wir hatten hier richtig Land unter im Büro.

Das Problem ist tatsächlich gelöst.
Auf dem Linux Server war alles ok.
Die Route zum 10.10.88.0/24 er Netz war ja gesetzt durch die Client seitige Überschreibung (danke noch mal für die Tipps!!)
Auf einem anderen Windows Web Server musste ich diese Route per Hand hinzufügen.
Nun klappt alles wie geschmiert.
Die PFsense ist wirklich klasse. Genau so wie ihr hier im Forum.

Danke noch mal für die Hilfe.
Das Thema ist damit gelöst.

LG Stefan

Freut mich :)

@mike69 said in Anfängerfragen zur Konfiguration der Firewall:

Regeln: Block RFC 1918, Block Bogon, wäre es hier nicht schlauer die Regeln zu Löschen? Denn wenn ich es richtig Verstanden
habe ist alles was nicht erlaubt ist eh Verboten oder? Prüft die Firewall dann nicht zusätzlich?
Wie reagiert der WAN Port wenn eine anfrage kommt? Wird Blockiert oder Abgewiesen?
Gab es hierfür nicht eine Einstellung in der pfSense oder irre ich mich?

Die beiden Regeln verhindern, dass Anfragen vom Heimnetz nach draussen gehen. wenn die Sense sich einwählt, die Haken lassen.
Anfage von wo? Von draussen ist alles zu, bist du was öffnest, zB Portfreigaben. Von drinnen lässt WAN alles durch, dafür setzt du auch Rules für LAN, OPT1 etc... Wenn keine Rules vorhanden sind, geht nichts raus.

Das stimmt leider nicht ganz, was Mike schreibt.

Zuerst mal: Die Bogon und RFC1918 Block Regeln sind sinnvoll hier. Sonst gäbe es die Optionen nicht ;)
Es geht darum, dass - wenn diese Haken auf dem Interface gesetzt sind - die Block Regeln über allen anderen Regeln auf dem WAN eingefügt werden. Sprich: somit gelten die vor irgendwelchen Freigaben, die man ggf. auf dem WAN einrichtet um bspw. VPN oder ähnliches erreichbar zu machen. Ja, wenn man nichts freigibt sind sie quasi überflüssig aber durchaus sinnvoll, da diese Regeln im Log extra gefiltert und kenntlich gemacht sind. Man sieht somit, dass etwas gegen diese Regeln verstoßen hat und kann sich ansehen warum und weshalb.
Gibt man dann aber mal tatsächlich etwas frei - bspw. VPN für ein RoadWarrior VPN - wird trotzdem der Zugriff darauf von Bogon und RFC1918 Netzen verboten, denn aus denen sollte auf dem WAN keinerlei Traffic ankommen! Daher sind diese durchaus sinnvoll.

Die pfSense allgemein reagiert IMMER an jedem Interface - solange nicht anders definiert - mit einem block any. Kein reject, somit also blockieren, nicht abweisen und rückmelden. Eine generelle Einstellung dafür gibt es nicht, man kann selbst bei Regeln natürlich auswählen, was man nutzen möchte. Vom LAN aus wird gern mal reject statt block genutzt.

erlauben Schnittstelle: LAN, IPv4, alle Protokolle, Quelle (LAN-Net?) Ziel LAN-NET oder LAN-Adress oder Netzwerk mit 192.168.1.1/24 (was wählt man hier, das Intern alles erlaubt ist?)

Um das was Mike schreibt vielleicht etwas verständlicher zu machen: ein Router (und pfSense ist fürs LAN erstmal primär genau das), bekommt Pakete nur wenn sie nicht im lokalen Netz zugestellt werden. Somit muss gar nichts getan werden um vom einer LAN IP an eine andere zu senden, das bekommt die Sense nämlich nicht mit. Intern wird immer direkt zugestellt.

erlauben Schnittstelle: LAN, IPv4, TCP, Quelle(LAN-NET?), Ziel: WAN-NET oder WAN Adress Zielports: Alias mit (80, 443, 465, 993, 995

Nochmals für alle die darüber stolpern sollten: Die Auswahl XY_Net bzw. XY_Address beziehen sich nur auf die IP Adresse oder das Subnetz, was am entsprechenden Netzwerkinterface anliegt. WAN_NET ist NICHT das Internet, sondern nur das Subnetz, welches auf dem WAN Port konfiguriert ist bzw. aufliegt. Das Internet wäre rein technisch gesehen any ohne den RFC1918 und Bogon Bereich -> also alle Public IPs.

erlauben Schnittstelle: LAN, IPv4, TCP, Quelle(LAN-NET?), Ziel: WAN-NET oder WAN Adress Zielports: Alias mit (80, 443, 465, 993, 995

Wie gesagt WAN-Net ist nicht das Internet, s.o. Ansonsten wenn dir diese wenigen Zielports genügen, ist das durchaus legit. Ich vermute aber du wirst mehr öffnen müssen ;)

brauche ich noch eine Regeln für Port 53 und 123 ?

Je nachdem wer das bedient, natürlich. Soll es die Sense tun, dann bräuchte es einen Filter wie "pass udp from LAN_Net to LAN_Address port 52,123" der das auf dem LAN IF erlaubt.

Generell werden Regeln da erstellt, wo das Paket zuerst auf der Sense auftrifft. Und nur dort.

als letztes dann Abweisen Schnittstelle: LAN, IPv4/ IPv6, alle Protokolle, Quelle LAN-Adress, Ziel WAN und diese Regel dann protokollieren

Für ein striktes Ruleset mit nur definierten/wenigen offenen Ports und wenn du es extra Loggen möchtest richtig, ja. Ansonsten würde die default block rule greifen.

Ist es möglich eine Email zu bekommen wenn das WAN-Gateway eine Zeit lang nicht funktioniert hat ?

Jein. "Eine Zeit lang" - nein. Wenn es down ist bzw. wieder up geht, ja.

Gibt es weitere Empfehlungen?

Das hängt ganz davon ab, was du eigentlich genau erreichen möchtest!? Davon habe ich nichts gelesen. Auch nicht ob du überhaupt keine Segmentierung o.ä. anstrebst da du einen VLAN fähigen Switch angibst. Oder welche Art Traffic/Verkehr du hast/erwartest.

Ich danke dir, Test und Prod Durchlauf waren beim ersten versuch erfolgreich ! 🍾

Das ich weniger Informationen angeben muss und nicht mehr, das hatte ich jetzt echt nicht erwartet.

Vielen lieben dank nochmal, nun kann ich ein paar Subdomain Zertifikate löschen <3

leonor

Bandbreite ist immer ein Faktor. Ein anderer sind etwaige Zusatzdienste und Co. Da muss man sich selbst rantasten, was da in Frage käme. Bei ~300-400 Mbps wäre bei meinem normalen Setup eine APU recht hart am Limit, da würde ich eher auf was Stärkeres schielen, aber das ist auch eine Preisfrage. Bei Durchsatz und VPN Performance wird das natürlich gleich nochmal härter.

Andere (teurere) Alternativen für mehr Bandbreiten wäre nach Ablöse der Lanner 1010/1020er inzwischen die 6907 von Aewin (scope7-6907) die dann nen Dual-Core N3350 mitbringt und gleich noch (für Lab/Homeoffice toll) nen HDMI mit an Bord hat um direkt am Gerät zu debuggen ohne serielle Console (kann man wenn man möchte). Schickes Ding und fast genauso klein wie die scope7-1010/1020, dafür aber auch nun mit 4 Ports.
Von da an gehts dann eigentlich nur noch sinnvoll größer mit Kisten wie den kleinen und mittleren Atom C3000ern. So ein C3558 ist schon was Schuckeliges (scope7-1510 oder Netgate SG-5100 -> gleiches Gerät im Prinzip). Aber die Kisten sind natürlich auch teu(r)er - dafür mit sehr starker Perfomance für ihre Größe und den Preis. Da sind dann auch mal 300-500 Mbps verschlüsselte Übertragung drin ohne Murren :)

Grüße

@yakuraku said in OpenVPN: ssh ok, scp geht nicht:

Versuche ich aber per SCP grössere Dateien zu Senden oder etwas via PIPE in den SSH tunnel zu spielen bekomme ich einen Abbruch "Broken Pipe"

Von wo aus sind die Clients verbunden die nicht funktionieren? Wo ist der Unterschied zwischen denen, bei denen via VPN dann ein SCP funktioniert und denen die nicht gehen?

Mac+Debian von oben in "fehlerhaft" -> von gleicher Location zu deinem VPN Server verbunden?
Der funktionierende MAC von woanders verbunden?

Die Fehlerbeschreibung (leider ohne irgendwelchen Logs :( ) legt eher den Schluß nahe, dass die von einem DS Lite Anschluß kommen bzw. eben ein Carrier mit Carrier Grade NAT und ähnlichem chichi am Start. Hat(te) mein Kollege auch das Problem bei unserem VPN in der Firma. Alle anderen -> geht problemlos, er bei SSH "yay", bei größeren Dateien "nay" und connection loss. Manuelles fixen seines Clients auf kleinere MTU (1280 und ggf. kleiner, muss man sich rantasten was geht) mit mssfix und Co. haben die Problemlösung gebracht. Abhilfe war dann das VPN Dual-Stack aufzubauen, damit sich sein Client nativ per v6 verbinden kann - dann gabs auch kein MSS/MTU Gefrickel mehr und SSH/SCP liefen problemlos.

Bei deinem Tunnel network ja.

-Rico

Die pfSense muss nicht zwingend das Gateway im LAN sein, eine statische Route dahin tut es auch, wenn auch unschön.
Die Route könnte via DHCP auf die Clients verteilt werden, vorausgesetzt, alle Clients verwenden DHCP.
Ich weiß ja immer noch nicht was du damit meinst:

@pipen1976 said in DNS Frage:

Beide Netze sind geroutet.

Funktioniert das bereits?

Zusätzlich zum DNS Domain Override musst du auch noch den Zugriff auf den DC aus dem VLAN erlauben und dem DC auch so konfigurieren, dass er die Anfragen (die aus seiner Sicht von extern kommen) beantwortet.
Die LAN Hosts müssten dann aus dem VLAN mit <hostnamen>.<domain> aufgerufen werden.
Alternativ kannst du im Forwarder auch Host Overrides für jeden einzelnen Host setzen, der aus dem VLAN erreicht werden soll.

@Wonko2k Danke für die Antwort, die ein bis zwei reboots im Monat sind verschmerzbar, da ich die Sicherheitsupdates auch immer selbst durchführe.

Hatte mir jetzt doch noch eine i350-T4 bestellt, dann bin ich zukünftig flexibel was getrennte Netze angeht, kann den zweiten LAN Port vom DrayTek anschliessen um die Daten auszulesen etc.

Gab es auch keine Probleme mit MagentaTV?