@Prof-Hase said in Erhöhte Antwortzeiten Richtung FritzBox nach x Minuten: Sorry, PfSense ist natürlich nicht aus dem WAN erreichbar sondern nur aus dem LAN. Die Sense ist nur erreichbar aus Netzen/Bereichen, wenn Regeln es zulassen. Auf dem WAN per default somit nicht, aus dem LAN wegen anti-lockout Regel schon. Wenn das nicht gewünscht ist, die Regel abschalten und vorher! eine Regel definieren, die den Zugriff von einer/spezifischen IPs aus erlaubt. Noch besser: drittes Interface für Management, dort das interne "lan" mit der Lockout Regel drauflegen und das eigentliche LAN als opt1 einfach als LAN konfigurieren, aus dem internen "lan" IF dann einfach "MGMT" machen. So sichert man das im Normalfall im Enterprise Einsatz ab. Wie du das handhaben möchtest obliegt dir :) Aus dem LAN soll das Modem was am WAN hängt nicht erreichbar sein. Das Modem wird somit wohl ein Hybrid sein, das am LAN für Notfälle eine IP im privaten Bereich hat? Einfach diese IP blockieren per Regel auf dem LAN - oder von gleichen Alias/IPs aus erlauben wie die Firewall selbst. Generell liegt es am Admin, wie er sein(e) LAN(s) einschätzt und welches Gefahrenpotential besteht, die UI von LAN Seite erreichbar zu lassen - schließlich muss man sich immer noch anmelden. Grüße

@Torben93 said in IPsec Verbindungsprobleme: Eventuell übersehe ich etwas total Offensichtliches hier und jemand kann mir helfen. Hast du auf der Sophos auch BEIDE Netze als Gegenstelle konfiguriert? Und die 3 internen als LAN? Manche Kisten verhalten sich da bei der Autokonfiguration von SADs/SPDs sehr ... kreativ. Ich würde es wirklich mal mit einer größeren Phase wie von @viragomann probieren, das minimiert auch die Konfiguration beträchtlich.

@tpf said in VoIP Telekom SIP-Trunk - Stimme Gesprächspartner wird nach 900 Sekunden nicht mehr übertragen: Es lag am Netzteil der Fritte @tpf said in VoIP Telekom SIP-Trunk - Stimme Gesprächspartner wird nach 900 Sekunden nicht mehr übertragen: Unglaublich... Mehr fällt mir dazu auch nicht ein. Wirklich unglaublich.

@peterhart said in Frage zur Installation auf eine SD-Card als "Backup": Scheinbar ist eine Neuinstallation mit anschließendem Restore des Konfigurationsfiles das "kleinere Übel". In meinen 4 VM's gab es dagegen beim Update sowohl aus der Konsole als auch über die GUI keinerlei Probleme. Gruß Interessant, hatte ich leidigerweise gestern auch. Allerdings hatte die APU2 bei uns auch leider ein Konfig Problem was nicht aufgefallen war und beim Update noch dazu Probleme mit dem UFS (von vorher ebenfalls), das hat sie dann auch zum Erliegen gebracht. Aber alle Fehler beim Update die ich gesehen habe, waren System- oder Konfig-bedingt, nichts was jetzt spezifisch das -p3 Update wäre. Trotzdem Danke für das Feedback! :) Ich habe die Neuinstallation gleich dazu genutzt und ZFS drunter gepackt, nachdem das UFS mal wieder die Löffel gestreckt hatte. Sollte nun hoffentlich besser laufen :)

Zusätzlich: Ist der DC ein Windows Server oder irgendwas anderes? Ich hatte gerade erst in der letzten Zeit Spaß mit einigen NAS Servern bei Kunden die ein "DC Paket" hatten, dass sich nach Update auf eine gewisse Version jetzt keine Verbindung mehr herstellen lässt. Debuggt man das ganze weiter unten findet man heraus, dass der LDAP Stack ein "needs elevated security" zurückbekommt, also mindestens STARTTLS oder SSL will - die NAS Kiste unterstützt aber beides nicht. Na danke...

War keine Absicht mit dem Abschneiden. Jetzt geht es,nachdem der Client auch upgedatet wurde. Danke Euch für die tolle Hilfe!!! Schöne Grüße

Ich habe mir unterdessen ein SFP Modul von Flexoptix gekauft. Es handelt sich um folgendes Modell: 1G SFP Wideband BiDi LX LC Simplex 10 km, ᵀˣ1310 / ᴿˣ1460-1580 nm, DDM, Singlemode Compatibility Intel SFP BIDI 1310 S.B1312.10.XDL-INT01 Eine Anfrage bei Netgate wurde folgendermassen beantwortet: "Any Intel-compatible transceiver will work." Deshalb habe ich das Modul Intel-kompatibel konfigurieren lassen. Das Modul funktioniert, jedoch sollte man bei init7 anrufen und die auto-negotiation abschalten lassen. Mit auto-negotiation funktioniert es nicht. Grüsse Andreas

Wenn möglich ZFS benutzen, das ist robuster und geht i.d.R. nicht ganz so schnell kaputt. Ansonsten natürlich schauen dass dir nichts das Filesystem komplett voll schreibt, nicht einfach den Stecker ziehen, usw. Eigentlich alles was für andere Computersysteme auch gilt. -Rico

VPN > OpenVPN > Client Specific Overrides Passenden Server auswählen Name des Zertifikat, oder Benutzername falls keine Zertifikate verwendet werden Unter IPv4 Tunnel Network die IP aus dem Bereich des Tunnel Netz die der Client bekommen soll. Ist dein Tunnel Network 10.0.8.0/24 gibst du hier z.B. 10.0.8.11/24 ein. Die 10.0.8.11 von diesem Client kannst du dann unter Firewall > Rules > OpenVPN in den Regeln verwenden . -Rico

Ich vermute wir sprechen von einem OpenVPN Remote Access Server? Den Client solltest du direkt über seine IP im OpenVPN Netz aus Site 2 erreiche können, zumindest wenn die LAN Firewall Regeln deiner pfSense noch auf default sind. Ggf. musst du die Firewall Regeln auf dem Client aber prüfen/anpassen. Z.B. die Windows Firewall blockt standardmäßig schon mal alles aus unbekannten Netzen. Das 192.168.1.0/24 Netz über den Client für Site 2 erreichbar machen sollte über einen iroute Eintrag gehen. Dazu am OpenVPN Server unter VPN > OpenVPN > Client Specific Overrides einen Eintrag für den Client anlegen und unter IPv4 Remote Network/s das 192.168.1.0/24 Netz eintragen. Das habe ich selbst mangels Verwendungszweck noch nie ausprobiert, aber müsste gehen. Jenachdem was du machen willst ist aber ein richtiges Site to Site OpenVPN besser geeignet. -Rico

Verstehe jetzt den Aufwand nicht, die Clients einmal in den DHCP zu klöppeln wenn es sein muss weil wegen Support? Das ist aber auch der Grund, warum es Tools gibt, bei denen sich die Clients anmelden um keine direkte Verbindung zu brauchen ;) Darum auch die Aussage wenn es notwendig ist, dass ein Client per Name benötigt wird, ist es meist sinnvoll dass er auch die gleiche IP hat - und wenn man da schon per VNC direkt drauf muss, ist das für mein Empfinden gegeben :) Nichts desto trotz hatte ich das Problem bislang noch nicht beim Forwarder. Beim Resolver wie gesagt ist die Client Registrierung aus den Gründen eh nicht empfohlen wegen Neustart Verhalten. Beim Forwarder trat das bislang nicht auf.

@jahonix said in Suche Empfehlung für Access Point 5Ghz 80m² 1Gbit/s WAN: erzeugen ein erschreckend hohes Grundrauschen. du machst mir Angst ;) Ansonsten lohnt auch wenn man keine Unify APs hat deren Rubrik mit persönlichen Erfahrungen mal durchzustöbern, findet man einige Perlen. U.a. bin ich dort durch Links auf https://www.douglasisaksson.com/lessons-learned-from-deploying-a-unifi-network-at-home/#troubleshootingthroughput gestoßen, was gerade für Unify Debugging einige Perlen an Informationen hatte (und generell zu WiFi Verhalten).

Naja "User" ... du Tiefstapler ... Ich finde es gut das du dich einbringst, sonst lernt das Forum ja nicht so doll und von deinem NowHow können andere was lernen. VPN bei einer Webseite = schlecht ;) Bei mir läuft noch eine Nextcloud, daher klappt das so nicht. Wenn es per VPN ausreichen würde wäre ich da sofort dabei. Mit dem Clientexport ... einfacher geht es fast nicht mehr. das mit den Ports stimmt schon .. auf ist nur was muss und Ports ausgehen nur auf IPs oder subnetze die gebraucht werden. Hmm bei der Frager bin ich ned ganz sichert dich auch verstanden zu haben ? Aufg Arbeit läuft die pfSense schon nur Snort nicht mit dem häckchen für das Blocking. Das wird aber noch kommen meinte ich. PM wäre da besser um den Hintergrund näher zu bringen. Grüßle

@viragomann said in VPN Konzept Site-2-Site: Heißt, es muss nicht tatsächlich für jedes Subnet eine Phase 2 eingerichtet werden und das angegebene Netzwerk in der Phase 2 muss nicht zwingend die vorhandenen Subnetze abdecken, kann auch größer sein. Phase 2 stellt einfach nur die VPN-Routen her. Exakt. Deshalb wird bei der Netzplanung sowas häufig berücksichtigt, damit man die Routen besser zusammenfassen kann. Detailfilterung können dann die Firewall Regeln übernehmen, aber die Routen und P2s sind dann wesentlich einfacher. Gibt es da eine schöne Lösung, oder müsste man dies mit irgendwelchen externen RADIUS/AD Servern umsetzten? Jap. Eine schöne Lösung ist FreeRadius auf der pfSense zu nutzen. Dann kann - aber muss man nicht - zusätzlich Zertifikate nutzen. Oder eben nicht. CSO (Client specific Overrides) funktionieren aber leider nur mit Certs, Radius auf der Firewall kann aber auch IP/Subnetz pushen womit man direkt beim User schon die IP hinterlegen kann, die er bekommt. Wenn die OpenVPN Roadwarrior-Clients auch auf die IPs der anderen IPSec-Seite zugreifen können sollen, ist für das VPN-Tunnel Netz und den zu erreichenden Remote-Subnetzen auch eine Phase 2 erforderlich und das Pen­dant auf der anderen Seite. Ganz wichtiger Hinweis von @viragomann BTW. Wird immer wieder vergessen.

Hi, ja gibt es. Hier hast du zwei hauseigene Möglichkeiten, entweder den Squid der auch MitM, sprich https aufbrechen kann - finde ich persönlich nicht so dolle, oder du verwendest den pfBlockerNG-devel der verdammt mächtig ist und keiner bekommt was mit. Seit ich den pfBlockerNG laufen habe mache ich mir keine Gedanken mehr über squid, aber es kommt auch auf dein Einsatzfeld darauf an ob du diesen oder jenen verwenden kannst. Um klassich Seiten zu blockieren, reicht es aber aus mit den Blocker dies umzusetzen, hier kannst du auch die shella-Listen mit einbeziehen oder auch selbst definierte Ausnahmen hinterlegen die geblockt werden sollen bis hin zu TLD, ASNummern usw. VG

tja .. da hast Du mich natürlich auf "frischer tat" ertappt ... bedienungssanleitungen waren noch nie meine Stärke :( Aber danke auf jeden fall ... so wie es aussieht läuft es jetzt ... thx!!

Servus nochmal! Leider das ganze hat mir eine richtig lange Nacht bereitet. Sobald ich am Server ein Interface hinzufüge, den VPNServer darauf zuweise und das Interface einschalte ist es mit der Verbindung vorbei. Das entfernen des redirect gateway def1 hat sich auch als schlechte lösung herausgestellt. Machte zwar beim Speichern keinen Unterschied aber nach einen Neustart war ich zwar mit dem VPN Server verbunden und konnte all Clients auf der Server Seite erreichen, allerdings ging dann meine Verbindung ins Inet direkt und nicht übers VPN. Ganz schön verwirrend das ganze. MfG. Markus

Hy wkn, ich werde dieser Tage mal mein glück versuchen. DANKE für die Antwort :)