Der Händler hat mir die SG-1100 unkompliziert und schnell ausgetauscht, jetzt geht auch der WAN Port online :)

Beim Forwarder lässt sich auch nicht anders als beim Resolver ein Lookup-Interface festlegen. Wobei diese Einstellung würde global gelten und du möchtest wohl nicht die DNS-Anfragen sämtlicher Clients über die VPN zu schicken.

Die Einstellung hier ist für Multi-WAN Setup gedacht, damit gegeben ist, dass ein DNS Server über die zweiter WAN-Verbindung erreichbar ist, wenn eine WAN-Verbindung ausfällt.

@mike69 said in pfsense mit QUAD-Intel NIC, kein DNS auf einer dieser NICs moeglich:

@Lindemann ist seit 2011 dabei, so ganz neu ist das nicht.

Deutlich länger als ich! 😀

Das Neu habe ich von der Anzahl der Postings hergeleitet. Ich glaube, dass auch diese Anzahl der Schlüssel zur Aufhebung der Sperre ist, aber möglicherweise sind es auch Likes. Ich möchte es nicht suchen, mich hatte es bislang noch nicht berührt. ☺

Grüße

Hallo,

die Regel einzuschränken war natürlich eine gute Idee. Ich habe jetzt einfach verboten, dass das VPN Netz auf das LAN Interface zugfreifen darf, somit habe ich nun fast alles was ich wollte.

@mike69
Okay - danke für die Info.
Dann werde ich mir wohl auch einen anderen Provider/Domain suchen. VG

Hi!

Habe ich auch schon versucht; keine Chance.

Moin,

du sprichst doch vom Client nicht direkt das WAN Interface an, um ins Internet zu kommen, sondern die IP des LAN Interfaces (Gateway) an die der Client angebunden ist. Die Sense routet anschließend den Verkehr vom LAN zum WAN.
Mit deiner Regel block LAN to WAN versuchst du den Zwischenschritt über die Sense zu umgehen, was folglich nicht möglich ist.

Soooo, ich konnte mein Problem doch lösen.

Es lag am NAT.

Ich habe jetzt ein NOT NAT eingerichtet und auf der FRITZ Box ein Routing.

Nun geht alles :-)

Kann geschlossen werden

Grüße

PFsense_User2019

@hec said in pfBlockerNG - GeoIP blocking funktioniert nicht:

Ich verstehe nicht was es bringen soll das Internet in eine Insel zu verwandeln.
Das Internet hört an der deutschen Grenze nicht auf.

Vollkommen deiner Meinung. Ich teste nur gerne immer wieder mal was aus.
Es war unter anderem ein Test, die Zugriffe durch den pfBlockerNG auf Deutschland zu beschränken.

Immerhin ist es ja eine der Funktionen des Blockers.

Weil meine tatsächlich erreichbaren Werte eher dem entsprechen, was ohne AES NI zu schaffen ist. Mit AES NI geht der Benchmark ja eher Richtung 1 Gbit/s.

Es wird auf jedem Gerät, das nicht die pfSense als Standardgateway hat und via OpenVPN der pfSense erreicht werden soll eine statische Route für das VPN Tunnel-Netz auf die pfSense benötigt. Ansonsten würde das Zeilgerät die Antwortpakete immer zum Standardgateway schicken und diese kämen nie zum VPN Client zurück.
Auf die FB trifft das vermutlich zu. Diese ist ein Router und hat ein Default Gateway irgendwo beim Provider.

Aber Wurscht, Outbound NAT ist hier wohl auch okay. Wenn der Zugriff dahin ohnehin nur für mich selbst erlaubt ist, hätte ich es auch damit gelöst.

Grüße

@johndo Super und Danke für deine Anleitung!

Hey,

vielen Dank für die Hinweise. Die Floating-Rules waren Schuld. Nach dem Umbau klappt es jetzt.

Vielen herzlichen Dank!

Grüße

Hallo,

danke für die Rückmeldung.
Doch kann eine NAT-Regel nur ein Workaround für Verbindungsprobleme in einer Site-to-site Konfiguration sein, nicht die Lösung. Die Lösung liegt in den richtigen Routen und Firewall-Regeln.
NAT hat gewisse Nachteile. Wenn diese in deinem Fall hinnehmbar sind, ist die Sache natürlich auch okay.

Grüße

Er hat sich tatsächlich kurz aus dem Urlaub gemeldet ... den soll er genießen! Muss ich halt etwas warten, bis er erholt wieder hier am Start ist.