Moin.

Dafür ist die Sense nicht gedacht. Über den Traffic Graph lässt sich was darstellen, nur keine Statistiken.

Mit einem Limiter den Download auf 30 Mbit/s festnageln, da bist Du auf der sicheren Seite. Das ist hier gut dokumentiert. Und Traffic Shaper einzurichten ist kein Hexenwerk.

@tpf said in [solved] Site to Site VPN - IPSec oder OpenVPN:

Ich darf mich bei Euch bedanken ;-) Anscheinend hat sich in der Zwischenzeit Etwas weiterentwickelt. Statt SHA1 geht nun SHA512.

Irgendwann schaue ich mal nach, was neuerdings sonst noch so geht.fritteipsec.JPG

Gerade heute wieder mit einer 7390 auf die Nase gefallen und festgestellt, dass AVM seine Doku aufgebohrt hat:
https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publication/show/3331_FRITZ-Box-mit-einem-Firmen-VPN-verbinden/

In der URL einfach die Modellbezeichnung zw. /fritzbox/ und /wissensdatenbank/ editieren. Die Modelle, die ich jetzt versucht habe, sind allesamt dokumentiert. Da findet man die möglichen Einstellungen.

Danke, Männer! Bzgl. der Custom-Konfig: manchmal sieht man den Wald vor lauter Bäumen nicht kopfklatsch. Ich habe das vor zig Jahren mal gemacht und musste damals noch händisch in einer Konfig via SSH wurschteln.

An sich gefällt mir das mit OSPF, hatte das auch mal in der Doku gelesen. Ich glaube, ich werde das mal ausprobieren. Für den Moment dann mit der zweiten IP.

War auch spaßig gemeint ;)

Und nicht vergessen, dass man auch Separatoren einfügen kann (4 Farben, beliebiger Text) um das entsprechend zu organisieren und besser verständlich zu machen

Dir ist schon klar, dass pfSense kein Linux ist, es ergo kein Netfilter (sondern PF) und daher kaum ein nf_conntrack gibt?

Bei FTP, ich glaube in der passiven Verbindung gibt es da bezüglich NAT auch immer Schwierigkeiten, das das FTP Plugin für pfSense auch nicht alles abdeckt

Du hast gelesen, dass das FTP Modul für pfSense (das neue) für aktives FTP ist und als Mini-Proxy einspringt, damit man eingehend Port 20 nicht von der ganzen Welt öffnen muss? Und du hast gelesen, wie es konfiguriert sein muss, damit es sauber funktioniert?

Auch bei SIP-DirectMedia ist es nur möglich, wenn man eine sehr große Port-Range auf macht, das lässt sich mit solchen Modulen eigentlich verhindern...

Lässt es sich auch indem man seinen Provider nach Details fragt und nur von deren IP Range die Ports öffnet. Wobei SIP ein schlechtes Beispiel ist weil hier wieder jeder seine eigene Suppe kocht.

Ergo: nein, es gibt kein nf_conntrack. Was es ansonsten für SIP oder FTP (warum will das noch jemand benutzen?) für Ansätze gibt, hängt auch von der Problemstellung ab. Ich frage mich aber, was conntrack bringen soll, wenn ich mir da gerade SIP in den USA anschaue. Gerade eine Umstellung dort gemacht und SIP Provider gibt IPs 1,2,3 an als Gegenstelle für SIP Ports. Freigegeben, klingelt. Kein Gespräch gehört. Im Log geschaut: angekündigte RTP Ports udp10000-20000 kommen an, aber von einer wildfremden IP die keiner irgendwo zuordnen kann. Auch nicht im SIP Provider Dokument. Nachgehakt: joa könnte unseres sein, vllt. über nen CDN oder so... Im SIP Outbound Paket stand auch diese IP nirgends drin.

Wie willst du also so eine Verbindung "tracken" und automatisch irgendwas öffnen? Einfach auf Verdacht ankommenden UDP Highport Traffic einfach reinlassen? Solang Provider so nen Quatsch machen und nicht dokumentieren, wird das leider immer abenteuerlich bleiben ;)

@JeGr said in Konfiguration Netzwerk und pfsense:

@paprikawuerzung Ich sage ja nicht, dass die IP nicht stimmt oder das WAN setup. Aber die Fritte im Bridge Modus sollte/hat normalerweise gar keine IP. Soll sich auch gar nicht. Dein Gateway steht normalerweise bei UM/KabelBW und ist die Gegenstelle. Ansonsten wäre das sehr merkwürdig konfiguriert. Sollte aber bspw. ein Traceroute auf der Sense zeigen, ob das GW die Fritte ist oder UM, dann müsste man das an dem ersten Hop und seinem Ping sehen.

Ja, vielleicht habe ich das falsch verstanden als der Techniker von UM mir das erklärt hat - kann sehr gut sein. Er hat mich aber auch nicht korrigiert als ich ihm geschildert habe, wie ich denke, dass das alles funktioniert.

Davon abgesehen musst du wie im anderen Post schon geschrieben ein paar mehr Details posten damit man was sehen/helfen kann.

Ja, ich habe leider nur einen pfSense Router, mit dem ich auch mein (altes, funktionierendes) DSL Internet eingerichtet habe. Ich werde später die Einstellungen wieder auf das Kabel Internet umstellen und dann weiterschauen - gerade brauche ich das funktionierende Internet noch!

Aber jetzt schon tausend Dank für deine Antworten. Ist sehr positiv, dass es so eine hilfsbereite Community gibt - hoffentlich kann ich mich bei der Community irgendwann wieder revanchieren :)

Ich werde dann im anderen Thread weiter antworten und aufhören, den Post hier zu "spammen"!

Hi,

ja den match habe ich nach etwas Überlegung dann auch verstanden. Schade, dass man nicht im blockerng eine CA ausstellen kann, via Lets Encrypt oder self cert die man im lokalen Netz zumindest verteilen und importieren kann.

Ich habe dann auch für die Seiten die geblockte Site ausfindig machen können, hier wird via XMLHTTP request die mscom.demdex.net Verindung aufgebaut die vom blockerng in der Yoyo List glaub ich auch zu finden war. Nachdem Whitelist kommt diese Meldung nun nicht mehr.

Danke für die Rückmeldung :)

VG

@Gladius said in [solved] pfsense OpenVPN hinter Fritzbox 7490:

aus heutiger Sicht unsicher und worauf beruht die Unsicherheit?

Das "warum" ist etwas sehr ausführlich, da kann man sich IMHO selbst ganz gut anlesen. Die "sicherste" Konfiguration per se gibt es auch nicht, aber es gibt sicherlich sichere(re) Konfigurationen im Gegensatz zu solchen, die Schwächen aufweisen.

Was bspw. IPSec angeht sind das Konfigurationen die bspw. DES, 3DES oder auch MD5 bzw. SHA1 benutzen sowie DH Gruppen <=2k RSA einsetzen. Warum? Weil es einfach heute bereits theoretische oder sogar praktische Angriffsszenarien gibt, diese Verschlüsselungen aufzubrechen und somit das "P" in VPN nicht mehr erfüllt sind. Genauso wie man PPTP heute ebenfalls nicht mehr zu VPNs zählen kann.

In Kürze gilt das für OVPN auch. Dabei gehts aber nicht nur um Sicherheit aber auch um Abbildbarkeit in Crypto Beschleunigern, weshalb es ggf. eben unsinnig ist, AES-CBF oder -OFB zu nutzen, wenn der Crypto Beschleuniger CBC oder GCM wesentlich stärker beschleunigen kann.
Bei Blowfish ist aber mit SWEET32 tatsächlich ein Angriffsvektor bekannt. Auch DES, 3DES und RC4 und Konsorten sind anfällig. Für PerfectForwardSecrecy (PFS) braucht es einen sicheren Schlüsselaustausch (Key Exchange, KEX). Ist der der zu schwach gewählt kann es einem Angreifer gelingen die Sitzung vollständig hinterher aufzudröseln. Daher ist kleiner als 2k (2048) schon länger nicht mehr als genügend anzusehen.

Diese Punkte kennt man bspw. auch aus TLS/SSL Zertifikaten und der Zertifikatsgenerierung. Auch hier wird empfohlen mind. 2048bit DH Keys sauber zu erzeugen, die TLS Suite selbst auf min. 1.2 zu setzen und bspw. als Signatur Algorithmus für die Zertifikate SHA-256 zu nutzen, da SHA-1 zu schwach wurde. Genauso auch bei OpenSSH, die kürzlich auch mehrere Schnitte gemacht haben und diverse alte Ciphersuites und Blockcipher ausgemottet haben (Blowfish und alle RC bspw.) und bei denen bspw. inzwischen gar kein RSA Key mehr empfohlen wird (und wenn dann nur mind. 2k besser 4k), sondern ED25519 Keys (elliptische Kurve EC25519).

Die Diskussion ist da weniger "Airbus vs. Boeing", sondern eher: Boeing 7x7-400 Frachtklasse hatte mehrfache Fehler im Triebwerk und bleibt "grounded", müssen wir ggf. die 7x7 Passenger auch runterholen und einmotten oder lassen wir die noch weiter rumkurven, obwohl vielleicht weil gleicher/sehr ähnlicher Body/Frame es ein ähnliches Problem geben könnte? Oder gehen wir nicht zur 787 die ganz anders funktioniert und motten den Rest gleich ein?

Grüße

BTW gerade heute gepostet worden: https://www.netgate.com/blog/choosing-the-right-netgate-appliance.html

@Prof-Hase said in Erhöhte Antwortzeiten Richtung FritzBox nach x Minuten:

Sorry, PfSense ist natürlich nicht aus dem WAN erreichbar sondern nur aus dem LAN.

Die Sense ist nur erreichbar aus Netzen/Bereichen, wenn Regeln es zulassen. Auf dem WAN per default somit nicht, aus dem LAN wegen anti-lockout Regel schon. Wenn das nicht gewünscht ist, die Regel abschalten und vorher! eine Regel definieren, die den Zugriff von einer/spezifischen IPs aus erlaubt. Noch besser: drittes Interface für Management, dort das interne "lan" mit der Lockout Regel drauflegen und das eigentliche LAN als opt1 einfach als LAN konfigurieren, aus dem internen "lan" IF dann einfach "MGMT" machen. So sichert man das im Normalfall im Enterprise Einsatz ab. Wie du das handhaben möchtest obliegt dir :)

Aus dem LAN soll das Modem was am WAN hängt nicht erreichbar sein.

Das Modem wird somit wohl ein Hybrid sein, das am LAN für Notfälle eine IP im privaten Bereich hat? Einfach diese IP blockieren per Regel auf dem LAN - oder von gleichen Alias/IPs aus erlauben wie die Firewall selbst.

Generell liegt es am Admin, wie er sein(e) LAN(s) einschätzt und welches Gefahrenpotential besteht, die UI von LAN Seite erreichbar zu lassen - schließlich muss man sich immer noch anmelden.

Grüße

@Torben93 said in IPsec Verbindungsprobleme:

Eventuell übersehe ich etwas total Offensichtliches hier und jemand kann mir helfen.

Hast du auf der Sophos auch BEIDE Netze als Gegenstelle konfiguriert? Und die 3 internen als LAN? Manche Kisten verhalten sich da bei der Autokonfiguration von SADs/SPDs sehr ... kreativ.

Ich würde es wirklich mal mit einer größeren Phase wie von @viragomann probieren, das minimiert auch die Konfiguration beträchtlich.

@tpf said in VoIP Telekom SIP-Trunk - Stimme Gesprächspartner wird nach 900 Sekunden nicht mehr übertragen:

Es lag am Netzteil der Fritte

😳

@tpf said in VoIP Telekom SIP-Trunk - Stimme Gesprächspartner wird nach 900 Sekunden nicht mehr übertragen:

Unglaublich...

Mehr fällt mir dazu auch nicht ein. Wirklich unglaublich.

@peterhart said in Frage zur Installation auf eine SD-Card als "Backup":

Scheinbar ist eine Neuinstallation mit anschließendem Restore des Konfigurationsfiles das "kleinere Übel".
In meinen 4 VM's gab es dagegen beim Update sowohl aus der Konsole als auch über die GUI keinerlei Probleme.
Gruß

Interessant, hatte ich leidigerweise gestern auch. Allerdings hatte die APU2 bei uns auch leider ein Konfig Problem was nicht aufgefallen war und beim Update noch dazu Probleme mit dem UFS (von vorher ebenfalls), das hat sie dann auch zum Erliegen gebracht. Aber alle Fehler beim Update die ich gesehen habe, waren System- oder Konfig-bedingt, nichts was jetzt spezifisch das -p3 Update wäre. Trotzdem Danke für das Feedback! :)

Ich habe die Neuinstallation gleich dazu genutzt und ZFS drunter gepackt, nachdem das UFS mal wieder die Löffel gestreckt hatte. Sollte nun hoffentlich besser laufen :)

Zusätzlich: Ist der DC ein Windows Server oder irgendwas anderes?

Ich hatte gerade erst in der letzten Zeit Spaß mit einigen NAS Servern bei Kunden die ein "DC Paket" hatten, dass sich nach Update auf eine gewisse Version jetzt keine Verbindung mehr herstellen lässt. Debuggt man das ganze weiter unten findet man heraus, dass der LDAP Stack ein "needs elevated security" zurückbekommt, also mindestens STARTTLS oder SSL will - die NAS Kiste unterstützt aber beides nicht. Na danke...

War keine Absicht mit dem Abschneiden. Jetzt geht es,nachdem der Client auch upgedatet wurde.

Danke Euch für die tolle Hilfe!!!

Schöne Grüße

Ich habe mir unterdessen ein SFP Modul von Flexoptix gekauft. Es handelt sich um folgendes Modell:

1G SFP Wideband BiDi LX LC Simplex 10 km, ᵀˣ1310 / ᴿˣ1460-1580 nm, DDM, Singlemode
Compatibility Intel SFP BIDI 1310
S.B1312.10.XDL-INT01

Eine Anfrage bei Netgate wurde folgendermassen beantwortet: "Any Intel-compatible transceiver will work."
Deshalb habe ich das Modul Intel-kompatibel konfigurieren lassen.

Das Modul funktioniert, jedoch sollte man bei init7 anrufen und die auto-negotiation abschalten lassen. Mit auto-negotiation funktioniert es nicht.

Grüsse
Andreas

Wenn möglich ZFS benutzen, das ist robuster und geht i.d.R. nicht ganz so schnell kaputt.
Ansonsten natürlich schauen dass dir nichts das Filesystem komplett voll schreibt, nicht einfach den Stecker ziehen, usw. Eigentlich alles was für andere Computersysteme auch gilt. ☺

-Rico

VPN > OpenVPN > Client Specific Overrides

Passenden Server auswählen Name des Zertifikat, oder Benutzername falls keine Zertifikate verwendet werden Unter IPv4 Tunnel Network die IP aus dem Bereich des Tunnel Netz die der Client bekommen soll. Ist dein Tunnel Network 10.0.8.0/24 gibst du hier z.B. 10.0.8.11/24 ein.

Die 10.0.8.11 von diesem Client kannst du dann unter Firewall > Rules > OpenVPN in den Regeln verwenden .

-Rico

Ich vermute wir sprechen von einem OpenVPN Remote Access Server?
Den Client solltest du direkt über seine IP im OpenVPN Netz aus Site 2 erreiche können, zumindest wenn die LAN Firewall Regeln deiner pfSense noch auf default sind. Ggf. musst du die Firewall Regeln auf dem Client aber prüfen/anpassen. Z.B. die Windows Firewall blockt standardmäßig schon mal alles aus unbekannten Netzen.
Das 192.168.1.0/24 Netz über den Client für Site 2 erreichbar machen sollte über einen iroute Eintrag gehen. Dazu am OpenVPN Server unter VPN > OpenVPN > Client Specific Overrides einen Eintrag für den Client anlegen und unter IPv4 Remote Network/s das 192.168.1.0/24 Netz eintragen.
Das habe ich selbst mangels Verwendungszweck noch nie ausprobiert, aber müsste gehen.
Jenachdem was du machen willst ist aber ein richtiges Site to Site OpenVPN besser geeignet.

-Rico