Zusätzlich: Ist der DC ein Windows Server oder irgendwas anderes?

Ich hatte gerade erst in der letzten Zeit Spaß mit einigen NAS Servern bei Kunden die ein "DC Paket" hatten, dass sich nach Update auf eine gewisse Version jetzt keine Verbindung mehr herstellen lässt. Debuggt man das ganze weiter unten findet man heraus, dass der LDAP Stack ein "needs elevated security" zurückbekommt, also mindestens STARTTLS oder SSL will - die NAS Kiste unterstützt aber beides nicht. Na danke...

War keine Absicht mit dem Abschneiden. Jetzt geht es,nachdem der Client auch upgedatet wurde.

Danke Euch für die tolle Hilfe!!!

Schöne Grüße

Ich habe mir unterdessen ein SFP Modul von Flexoptix gekauft. Es handelt sich um folgendes Modell:

1G SFP Wideband BiDi LX LC Simplex 10 km, ᵀˣ1310 / ᴿˣ1460-1580 nm, DDM, Singlemode
Compatibility Intel SFP BIDI 1310
S.B1312.10.XDL-INT01

Eine Anfrage bei Netgate wurde folgendermassen beantwortet: "Any Intel-compatible transceiver will work."
Deshalb habe ich das Modul Intel-kompatibel konfigurieren lassen.

Das Modul funktioniert, jedoch sollte man bei init7 anrufen und die auto-negotiation abschalten lassen. Mit auto-negotiation funktioniert es nicht.

Grüsse
Andreas

Wenn möglich ZFS benutzen, das ist robuster und geht i.d.R. nicht ganz so schnell kaputt.
Ansonsten natürlich schauen dass dir nichts das Filesystem komplett voll schreibt, nicht einfach den Stecker ziehen, usw. Eigentlich alles was für andere Computersysteme auch gilt. ☺

-Rico

VPN > OpenVPN > Client Specific Overrides

Passenden Server auswählen Name des Zertifikat, oder Benutzername falls keine Zertifikate verwendet werden Unter IPv4 Tunnel Network die IP aus dem Bereich des Tunnel Netz die der Client bekommen soll. Ist dein Tunnel Network 10.0.8.0/24 gibst du hier z.B. 10.0.8.11/24 ein.

Die 10.0.8.11 von diesem Client kannst du dann unter Firewall > Rules > OpenVPN in den Regeln verwenden .

-Rico

Ich vermute wir sprechen von einem OpenVPN Remote Access Server?
Den Client solltest du direkt über seine IP im OpenVPN Netz aus Site 2 erreiche können, zumindest wenn die LAN Firewall Regeln deiner pfSense noch auf default sind. Ggf. musst du die Firewall Regeln auf dem Client aber prüfen/anpassen. Z.B. die Windows Firewall blockt standardmäßig schon mal alles aus unbekannten Netzen.
Das 192.168.1.0/24 Netz über den Client für Site 2 erreichbar machen sollte über einen iroute Eintrag gehen. Dazu am OpenVPN Server unter VPN > OpenVPN > Client Specific Overrides einen Eintrag für den Client anlegen und unter IPv4 Remote Network/s das 192.168.1.0/24 Netz eintragen.
Das habe ich selbst mangels Verwendungszweck noch nie ausprobiert, aber müsste gehen.
Jenachdem was du machen willst ist aber ein richtiges Site to Site OpenVPN besser geeignet.

-Rico

Verstehe jetzt den Aufwand nicht, die Clients einmal in den DHCP zu klöppeln wenn es sein muss weil wegen Support? Das ist aber auch der Grund, warum es Tools gibt, bei denen sich die Clients anmelden um keine direkte Verbindung zu brauchen ;)

Darum auch die Aussage wenn es notwendig ist, dass ein Client per Name benötigt wird, ist es meist sinnvoll dass er auch die gleiche IP hat - und wenn man da schon per VNC direkt drauf muss, ist das für mein Empfinden gegeben :)

Nichts desto trotz hatte ich das Problem bislang noch nicht beim Forwarder. Beim Resolver wie gesagt ist die Client Registrierung aus den Gründen eh nicht empfohlen wegen Neustart Verhalten. Beim Forwarder trat das bislang nicht auf.

@jahonix said in Suche Empfehlung für Access Point 5Ghz 80m² 1Gbit/s WAN:

erzeugen ein erschreckend hohes Grundrauschen.

du machst mir Angst ;)

Ansonsten lohnt auch wenn man keine Unify APs hat deren Rubrik mit persönlichen Erfahrungen mal durchzustöbern, findet man einige Perlen. U.a. bin ich dort durch Links auf

https://www.douglasisaksson.com/lessons-learned-from-deploying-a-unifi-network-at-home/#troubleshootingthroughput

gestoßen, was gerade für Unify Debugging einige Perlen an Informationen hatte (und generell zu WiFi Verhalten).

Naja "User" ... du Tiefstapler ...

Ich finde es gut das du dich einbringst, sonst lernt das Forum ja nicht so doll und von deinem NowHow können andere was lernen.

VPN bei einer Webseite = schlecht ;)

Bei mir läuft noch eine Nextcloud, daher klappt das so nicht.
Wenn es per VPN ausreichen würde wäre ich da sofort dabei.
Mit dem Clientexport ... einfacher geht es fast nicht mehr.

das mit den Ports stimmt schon .. auf ist nur was muss und Ports ausgehen nur auf IPs oder subnetze die gebraucht werden.

Hmm bei der Frager bin ich ned ganz sichert dich auch verstanden zu haben ?
Aufg Arbeit läuft die pfSense schon nur Snort nicht mit dem häckchen für das Blocking. Das wird aber noch kommen meinte ich.

PM wäre da besser um den Hintergrund näher zu bringen.

Grüßle

@viragomann said in VPN Konzept Site-2-Site:

Heißt, es muss nicht tatsächlich für jedes Subnet eine Phase 2 eingerichtet werden und das angegebene Netzwerk in der Phase 2 muss nicht zwingend die vorhandenen Subnetze abdecken, kann auch größer sein. Phase 2 stellt einfach nur die VPN-Routen her.

Exakt. Deshalb wird bei der Netzplanung sowas häufig berücksichtigt, damit man die Routen besser zusammenfassen kann. Detailfilterung können dann die Firewall Regeln übernehmen, aber die Routen und P2s sind dann wesentlich einfacher.

Gibt es da eine schöne Lösung, oder müsste man dies mit irgendwelchen externen RADIUS/AD Servern umsetzten?

Jap. Eine schöne Lösung ist FreeRadius auf der pfSense zu nutzen. Dann kann - aber muss man nicht - zusätzlich Zertifikate nutzen. Oder eben nicht. CSO (Client specific Overrides) funktionieren aber leider nur mit Certs, Radius auf der Firewall kann aber auch IP/Subnetz pushen womit man direkt beim User schon die IP hinterlegen kann, die er bekommt.

Wenn die OpenVPN Roadwarrior-Clients auch auf die IPs der anderen IPSec-Seite zugreifen können sollen, ist für das VPN-Tunnel Netz und den zu erreichenden Remote-Subnetzen auch eine Phase 2 erforderlich und das Pen­dant auf der anderen Seite.

Ganz wichtiger Hinweis von @viragomann BTW. Wird immer wieder vergessen.

Hi,

ja gibt es. Hier hast du zwei hauseigene Möglichkeiten, entweder den Squid der auch MitM, sprich https aufbrechen kann - finde ich persönlich nicht so dolle, oder du verwendest den pfBlockerNG-devel der verdammt mächtig ist und keiner bekommt was mit. Seit ich den pfBlockerNG laufen habe mache ich mir keine Gedanken mehr über squid, aber es kommt auch auf dein Einsatzfeld darauf an ob du diesen oder jenen verwenden kannst.

Um klassich Seiten zu blockieren, reicht es aber aus mit den Blocker dies umzusetzen, hier kannst du auch die shella-Listen mit einbeziehen oder auch selbst definierte Ausnahmen hinterlegen die geblockt werden sollen bis hin zu TLD, ASNummern usw.

VG

tja .. da hast Du mich natürlich auf "frischer tat" ertappt ... bedienungssanleitungen waren noch nie meine Stärke :(

Aber danke auf jeden fall ... so wie es aussieht läuft es jetzt ... thx!!

Servus nochmal!

Leider das ganze hat mir eine richtig lange Nacht bereitet.
Sobald ich am Server ein Interface hinzufüge, den VPNServer darauf zuweise und das Interface einschalte ist es mit der Verbindung vorbei.
Das entfernen des redirect gateway def1 hat sich auch als schlechte lösung herausgestellt. Machte zwar beim Speichern keinen Unterschied aber nach einen Neustart war ich zwar mit dem VPN Server verbunden und konnte all Clients auf der Server Seite erreichen, allerdings ging dann meine Verbindung ins Inet direkt und nicht übers VPN.

Ganz schön verwirrend das ganze.

MfG.

Markus

Hy wkn,

ich werde dieser Tage mal mein glück versuchen.

DANKE für die Antwort :)

Nein, die aktuellste Version. Vielleicht funktionierte das EasyRule allein nicht, weil der NAT-Eintrag relevant ist?

@Rico said in VPN von FritzBox in pfSense / Regel:

Wegwerfen und pfSense hinstellen.

Wenn das so einfach wäre, hätte ich wahrscheinlich in Süddeutschland schon ne Abdeckung im zweistelligen Prozentbereich was pfSense als Firewall angeht. 😉 Leider wird das aber meist von nicht-Technikern entschieden, die mit großem Bullshit-Bingo, Marketing-Sprech und supertollen Zusatzfeatures eingefangen werden. Gerade bei Sophos ist das u.a. die "tolle" Anbindung von deren FW/AV Client Lösung an die Firewall. Sprich: rastet ein PC aus und der Virenscanner/Firewall Part bekommt das mit gibts ne Meldung an die große HW Firewall und er wird da geblockt/isoliert. Auch wenn es bspw. ein Marketing'ler ist, der mit NB unterwegs ist und sich dort was eintritt. Für größere Firmenkonstrukte praktisch, da ist es dann egal, wenn der Rest der FW einfach nur "MEH" ist.

Prinzipiell geht das schon. Ich würde aber, wenn ich das ganze schon komplett neu baue, nicht bei den Switchen dann das Sparpaket fahren. Einen oder zwei kleine Uplink Switche sind kein Problem. Da du nur eine Ader zum uplink eingezeichnet hast, würde ich da einfach nen kleinen Switch vorschalten, wo die draufgeht, da die Firewalls dranhängen und dann deren LAN entsprechend an deine 3300er. Dann bist du auch beim Uplink nicht von deinen LAN Switchen abhängig und umgekehrt. Da was kleines mit ~8-16 Ports mit VLAN vorne ran zu hängen ist nicht teuer. Gerade wenn man EX3000er im Switchstack fährt und da mal den Switch updated ist man hinterher froh, wenn was schief läuft, wenn man noch irgendwas an Internet hat und wenn du alles darüber fährst wird das schnell ein SPoF.

Ob man dann wenn man eh an so vielen Ecken 10G nutzt wirklich eine 7100 nimmt mit eingebautem Uplink Switch kann man überlegen. Ich wäre eher zu was anderem übergegangen, was für dein Szenario besser passt. Zumal 10G Uplink mit pfSense und XG7100 wohl knapp werden könnte. Wenn das wirklich alles 10G sein soll, würde ich da andere Hardware ranpacken.

Bezüglich XG7100 interna: Die Anbindung erfolgt intern mittels 8 Ports via Switch Uplink Chipsatz an 2x2.5 Gbps Uplinks, die dann via lagg zu 5Gbps "gebündelt" werden. Liegt an der internen Verschaltung die Intel mit dem C3000er Chipsatz verbaut hat, denn auf dem Board sind 2x10 + 2x2.5 verdrahtet. Alles andere muss der Hersteller selbst ausführen/anbinden. Hätte man bspw. nur 2 oder 4 Gigabit Ports ausgeführt, hätte man auf den Switch verzichten können da genug Performance da ist und man die Lines entsprechend anbinden kann. Man kann aber durch interne VLAN Konfiguration technisch gesehen alle 8 Ports in echte einzelne Ports verwandeln, muss sich aber dann im klaren sein, dass diese nur durch 5Gbps quasi "gebacked" werden, somit nie alle gleichzeitig volle Gigabit erreichen werden.

Was dann Gerätebeschaffung angeht - gibts in DE ja genügend Partner ohne dass man einen speziellen ausdeuten muss :) Und Gerüchten zufolge auch Jungs die nen großen Horizont an Hardware haben ;)

@christoph-strauch said in [solved] [CARP] [HP] Manche host finden ihr Gateway nicht:

wir haben gestern Abend dann nochmal eine Debbug Session gemacht und das ganze "HA" Setup rückgebaut. Der Fehler lag in der Link Aggregation zwischen den beiden Switchen ( Standorten ).

Oha und was genau kam da raus?

Damit hat sich der Threat erledigt, vielen dank!

Finde ich nicht, es betrifft die pfSense ja durchaus schon, und auch Resultate von Switchen können helfen, wenn andere ein Problem im CARP Stack vermuten :)

Hallo @haithabu84,

hast du mal diesen Artikel gelesen?

https://docs.netgate.com/pfsense/en/latest/highavailability/dhcp-failover-troubleshooting.html

Was genau hast du alles konfiguriert?

Außerdem folgendes beachtet?

-Set DHCP Server to Use CARP LAN IP Address
-Navigate to Services > DHCP Server on the primary node
-Click the LAN tab
-Set the default gateway to the CARP VIP on the LAN, e.g. 192.168.1.3
-Set the DNS server to the CARP VIP on the LAN, e.g. 192.168.1.3
-Enter the IP address of the secondary node in Failover peer IP. This will be automatically adjusted during synchronization.
-Click save