@viragomann

Danke für die ausführliche Antwort. Das hilft mir schon sehr weiter.

OK, dann muss ich mich noch etwas damit spielen, denn den DNS Resolver habe ich mit dem Server noch nicht zum laufen bekommen.

"...das ist echt cool wenn man den sauber mit Main Mode zum laufen bringen könnte...."
Das ist doch mit Strongswan problemlos und ohne großen Aufwand möglich:
FritzBox-Strongswan mit IPsec Main Mode

Was die Kopplung zur pfSense/OPNsense anbetrifft muss man die Schlüsselalgorithmen von AVM beachten
AVM Schlüsselalgorithmen

Ja so triviale Probleme sind manchmal die man zuletzt sucht.

Appliances mögen es halt einfach und gerade Firewalls stehen auf Kabel 😁

Bei der Anzahl der Geräte, drehe die Leastime hoch, die default ist bei dir sonst mit hohem Broadcast Aufkommen verbunden.

@holger852 Wenn du tatsächlich noch mehr und größere Zonen erstellen und verwalten willst, kannst du am Ende immer noch hergehen, und das Bind Package auf der Sense installieren - dann kannst du da deine kompletten Zonen mit verwalten wie du möchtest :) Dann muss man natürlich sehen, ob und wie man das zusammen mit dem Resolver o.ä. betreibt (andere Ports etc.) aber gehen tut es :)

@magicteddy it is probably this:

https://forum.netgate.com/topic/181594/restore-missing-freeradius-config

https://redmine.pfsense.org/issues/14596

It apparently will affect everyone who has not yet clicked Save on the main settings screen.

Danke für die schnelle Antwort.

Ich habe das Backend wieder auf ISC DHCP umgestellt. Mal schauen, was passiert.

Dankeschö.

@JeGr Danke für dein Feedback :)
Ich hab generell vor, mir in Zukunft ein kleines Modem zu kaufen und die FritzBox komplett zu ersetzen.

Problem scheint sich irgendwie von selbst gelöst zu haben. Keine Ahnung woran es lag...

@JeGr

Ok, danke wieder viel Input für mich aber ich habs mir gerne durchgelesen um das ganze Thema etwas besser zu verstehen ;)

Dann lass ich alles mal so! Tatsächlich habe ich immens viele DHCP Clients aufgrund vieler Smarter Geräte wie Shellys für alle Lampen und Rollläden etc. Das würde tatsächlich dann Probleme bereiten.

Danke nochmal für die ausführliche Erklärung! 😀

LG

@tpf said in Squid fliegt raus? Und nun?:

@JeGr
Ja, ist auch wieder richtig... Kennst du zufällig ein brauchbares Projekt mit Squid als z.B. Docker? Die Konfigmöglichkeit über GUI wäre wichtig...

Hmm da gibt es sicher Rezepte oder Docker Compose Ansätze, die Squid, Squid Proxy, Dansguardian und Co dann als Container rufen und spawnen, da ist dann die typische Squid GUI ja wieder mit bei.

Ansonsten gäbe es ggf. mit https://trafficserver.apache.org/ eine andere Möglichkeit sich sowas aufzusetzen, den kenne ich allerdings nicht wahnsinnig tiefgreifend.
Als Docker sieht das offizielle Ubuntu Image vielversprechend aus: https://hub.docker.com/r/ubuntu/squid
Oder vielleicht wenn Caching eh kein Thema ist https://www.privoxy.org/

Cheers

Ich konnte es wie von @viragomann schon vorgeschlagen mit DNAT auf dem Teltonika lösen.

Es hat jetzt wirklich eine Weile gedauert (und viele EMails mit dem Hersteller) bis ich von diesem "Net Device2" alle Informationen zusammen hatte, dass war eine ziemliche Blackbox (war mir vorher nicht bekannt/klar).

Vielen Dank an die Beiträge und eure Hilfe.

@viragomann top, danke, läuft

Woooow!!

Ich hätte niemals mit so vielen, netten und detailreichen Lösungsansätzen gerechnet! - Vielen Dank! - Ihr seid der Hammer!

Da die einzelnen VLANs/Subnetze schön separiert sind und es keine Überlappungen gibt, werde ich den Weg mit Tailscale mal versuchen. - Was mir an Tailscale oder Headscale leider wenig gefällt ist, dass der Traffic dann auf einer Ziel pfsense mit der lokalen pfsense IP genattet wird. Soweit ich weiß kann man die Firewallregeln im der Tailscale Cloud (Webpage) fein anpassen, aber die Source IP Adresse sehr ich dann leider wieder nicht, was speziell bei Logfiles oder fail2ban sicher wieder andere Probleme verursacht.

Hat hier jemand noch eine Idee? Soweit ich gelesen und verstanden habe, ist das aber bei der pfsense mit Tailscale immer so. (durch die Implementierung im System?!

@chris_6n said in DNS Auflösung im LAN:

Jetzt läuft wieder alles. Warum kommt da so eine komische Empfehlung.

Och Kinners!

@chris_6n said in DNS Auflösung im LAN:

Ja ich nutze KEA DHCP. Das stand auf irgendeine pfsense Website.

V
1 Antwort Letzte Antwort vor 9 Tagen Antworten

NEIN, stand es NICHT. Da steht, dass KEA in einer PREVIEW Version enthalten ist, die noch Dinge NICHT kann, die DHCPd tut und auch genau welche. Und dass DHCPd lediglich EOL ist also nicht weiterentwickelt wird. Da stand aber mit keinem Wort, dass man KEA jetzt einsetzen muss/soll, sondern lediglich, dass jetzt mit Kea ein Nachfolger für ISC DHCPd mit im Spiel ist, der aber erst noch ordentlich ausgebaut werden muss. Selbst im Dialog wo man KEA einschaltet, steht, dass da NUR die most-requested Features drin sind bisher. Nicht alle.

Lest doch bitte die Release Notes vor einem Update richtig und nicht nur in Dialogen "oh neu, muss ja." Wieviel Supportfälle ich allein wegen diesem Punkt hatte, geht echt auf keine Kuhhaut.

e5d6eaf2-a6a3-499a-8fa1-72feb2551b34-image.png

Nur weil Sie die Info eingebaut haben (wie auch bei OpenVPN shared key tunnels), dass der ISC DHCP in irgendeiner zukünftigen Version wegfällt steht da nicht "jetzt umstellen!" 😄

@mansior said in OpenVPN Site2Site Verbindungsproblem:

@viragomann
wenn ich die Anleitungen richtig verstehe, dass hat OpenVPN nochmal sowas wie eine eigene Routing Tabelle... ich hatte Client Specific Override ausprobiert und dort eigentlich das gleiche wie beim Server eingetragen... Das hat leider nicht geholfen...

Ich muss gestehen, dass mir das, wahrscheinlich wegen mir, zu lange dauerte und ich deswegen jetzt auf Wireguard geschwenkt bin...das läuft nu wie ich es wollte.

Trotzdem vielen Dank für die Mühe!!!

Wireguard hat wieder seine ganz eigenen Baustellen.

Was OpenVPN braucht ist einfach:

Site2Site mit Zertifikat beide Seiten haben ihre lokalen und remote Netze befüllt. CN der Client Seite bekommt auf dem Server eine CSO in der nochmals die Remote Seite ausgefüllt sein muss!

Wenn das gegeben ist, klappt es auch mit der Verbindung. OVPN hat da keine besondere zusätzliche Routingtabelle, es ist schlicht die Routinglogik die nicht eindeutig ist:

Du konfigurierst den Server auf Seite A, Client auf Seite B Seite B kann sich NUR zu Seite A connecten - da gibt es keine Frage Seite A Server kann aber MEHRERE Clients haben. Niemand verbietet das und das Setup ist auch nicht unüblich, wenngleich ich es nicht empfehle. Aber im Gegensatz zum alten Shared Key Tunnel gibt es hier eben NICHT eine eindeutige Klarheit, wohin Pakete geroutet werden sollen, denn es kann X Clients geben die verbunden sind.

Daher gilt hier:

Remote Netz im Server selbst: Hier müssen ALLE Netze hinein, die sich ggf. mit Clients verbinden. Wenn das mehrere S2S Clients sind, müssen das ALLE Remote Netze sein. Und daran sieht man schon, dass es nun schwer wird zu wissen, wo die Netze hin sollen. CSO mit Match auf Zertifikats-CN des Clients für den richtigen Tunnel: Hier im Remote Netz muss dann NUR das Netz stehen, dass auch wirklich auf der Client Seite zu finden ist.

Dann kann der OVPN Serverprozess auch verstehen, WAS er alles annehmen soll und an WEN er dann WAS weitergeben soll.

Darum braucht man es auch bei nur einem Client eben 2x definiert 😄

Cheers

@viragomann

Hallo ich noch mal - sag mal kennst du dich mit ESXI aus? Die ganze Aktion gestern lief nicht auf ESXI sondern auf einem anderen Hypervisor von Synology (Virtual Machine Manager = VMM). Ich hab zwar im ursprünglichen Posting geschrieben dass die Testumgebung auf ESXI läuft....hatte es dann aber in einer zweiten Umgebung auf VMM mit deiner Hilfe zum Laufen gebracht.

Ehrgeizig wie ich bin wollte ich es heute auf ESXI (nach deiner Anleitung von gestern) zum Laufen bringen. Auf ESXI hab ich nämlich mehr Hardware-Resourcen als auf VMM (viel mehr Arbeitsspeicher und CPU-Power)

Hier hab ich aber das Problem das pfSense überhaupt kein Kommunikation im WAN-Netz mit den beiden VMs hat - also Ping von und zu pfSense funktioniert nicht - während Ping zwischen den VMs funktioniert einwandfrei

Guckst du hier (die beiden VMs heissen "Anmeldung" und "Isyserver"):

Bildschirmfoto 2024-01-28 um 12.28.26.png

Update: Hat sich schon erledigt! ich hatte in pfSense die "Leitungen" vertauscht....also WAN entsprach der vmx0-Leitung - die aber in ESXI nicht als WAM sondern als LAN definiert war ....hab in pfSense über "assign Interfaces" einfach die Leitungen vertauscht --> WAN hat jetzt die vmx1-Leitung ....und alles ist gut !!! 😊 Schönen Sonntag noch !!

@dreamerxch

Moin,

Hast Du einen kleinen Server, wo Du was installieren kannst? Dann wirf mal einen Blick auf UptimeKuma.
Eine Anleitung findest Du hier: administrator.de Anleitung UptimeKuma installieren

Gruß teddy

@bahsig said in Bintec-VPN Site-to-Site hinter pfSense:

LAN: 172.31.0.0/22
Entferntes LAN: 192.168.152.0/23

Wenn nun der Bintec Paket mit Zieladresse in 192.168.152.0/23 auf die pfSense schickt, dann hat er keine VPN aufgebaut, oder sie ist falsch konfiguriert. Das sollte auch der entfernte Admin verstehen.

Ich kann auch nicht nachvollziehen, warum der Admin der Meinung ist, dass er auf seiner Seite sämtliche Routen zu uns umschreiben muss,

Das einzige, was anders einzurichten wäre, könnte die lokale IP sein. Aber wenn er nur ein klein wenig schlau ist und dir auch was zutraut, dann konfiguriert er die Schnittstelle für DHCP. Dann ist die IP unter deiner Kontrolle, wie es sein sollte.
Ansonsten hat er nur die IPSec einzurichten mit einem Tunnel für die beiden Seiten und die öffentliche IP, mit welcher er sich verbinden soll.

Dann ist es völlig egal, ob er im selben Netz wie die Zielgeräte liegt oder nicht. Ist er es nicht (Transitnetz) routet er dein lokales LAN eben auf das dafault Gateway, das er auch vom DHCP mitgeteilt bekommt.

@CrazyWolf-0 said in Altes WAN iface kann nicht ausgesteckt werden:

@fireodo War tatsächlich das Problem, Vielen Dank!

Freut mich! Gerngeschehen!

Ja ich nutze nur den pfBlockerNG hier.