@gtrdriver said in Frage zu Openvpn Roardwarrior - zugriff auf andere VPN Netzte ?:

z.b: dass bestimmte RW Benutzer z.B: nur zu einelnen Ip´s zugriff bekommen ?

Hängt wie @viragomann sagt ganz von deiner Einwahl ab. Wenn du bspw. Einwahl und Auth via FreeRadius Package machst, kannst du per Radius auch ohne CSOs den Clients beim Verbinden eine fixe IP zuweisen. Damit können diese dann in Aliase verpackt für Regeln genutzt werden. Ansonsten kann man das via Zertifikats-CN und CSOs machen. Einfach dann die Firewall Regeln anpassen. Für den Zweck (und bei mehreren Tunneln) bietet es sich an, die VPN Interfaces "zu assignen" und wirklich zuzuweisen und dann wirklich pro VPN Interface Regeln zu vergeben.

Grüße

Oh man... Danke für deinen Hinweis :-)

Bitte keine uralten Threads aus dem Tiefschlaf reißen und dort irgendwas reininterpretieren was nicht drinsteht ;)

Bei Fragen einfach ein neues Thema aufmachen. Und wie Dirk schon richtig sagt, gibt es das Ganze eh nicht mehr, denn seit 2.4 gibt es kein NanoBSD als Installationsvariante mehr. Der "Zustand" von NanoBSD lässt sich inzwischen problemlos mit Bordmitteln erreichen ohne ein extra Installationsimage. Was und wo hier eingestellt wird, lässt sich in den offiziellen Dokus und dem Buch nachlesen (read-only für /var, tmpfs etc.)

Was zudem der letzte Beitrag von jahonix mit "geht gar nicht mehr" zu tun hat, erschließt sich mir nicht ;) Wenn überhaupt würde das nur zum erhöhten Verschleiß einer verbauten SD oder SSD führen. Wobei bei SSDs der "Verschleiß" (sofern die SSD halbwegs groß genug ist) eh nicht wirklich relevant ist. :)

Hallo @Br0nch0

bitte keinen alten Thread ausgraben, nur weil das Problem vielleicht ähnlich erscheint. Hier ist viel zu viel spezifische Info dafür, als das man jetzt nur dein Thema im Auge hat, wenn man hier durchscrollt.

Ich habe das Thema mal abgetrennt.

Ahoi!
Okidoki dann dröseln wir mal auf :)

@sunics said in NAT Outbound wird geblockt:

Outbound heisst in dem Fall, dass alle ausgehenden Verbindungen vom Server ins Internet ab der Firewall geblockt werden.

Muss nicht zwangsläufig der Fall sein. Ein falsches NATting reicht schon, dass die Verbindung nicht klappt, aber ohne dass wir hier irgendwas sehen in Form von Diagramm, Regeln, NAT etc. wirds schwer zu sagen, WO es genau klemmt.

Im NAT ist eine Outbound-Regel definiert, wo dem Server die Externe Internet IP übergeben wird.

Warum nur Outbound? Du sagst das ist ein Mailserver. Gerade Mailserver sind extrem sensible Themen, da hier die IP schon wegen Reverse Lookup und Spamchecks etc. richtig sitzen und passen muss. Warum also Outbound und nicht 1:1 NAT, damit sowohl eingehend als auch ausgehend garantiert die richtige Adresse sitzt? Das NATting ändert nichts an den Firewall Rules. Die kannst du so grob oder fein ziehen wie du willst.

Das einzige was sich ändert ist eine Sperrliste von IP's für eingehende Verbindungen zu den Mailservern.

Sperrliste? Die von was wie wo warum verwaltet wird?

Ich kann innerhalb des Netzwerks alles Pingen - Nur eben nicht mehr nach aussen ins Internet

Und was taucht beim "nach draußen pingen" in den Logs auf? Was macht/sagt ein Traceroute? Ein Packet Capture gemacht? Was sagt die State Table? Wird überhaupt NAT angefragt oder nicht?

Soll ich Dir Screenshots der Configs zukommen lassen?

Ohne mehr vom Gesamtsystem zu kennen ist eine Diagnose sinnlos, da ich/wir hier nicht wissen

was für Pakete installiert sind wie diese konfiguriert sind was für Seiteneinflüsse es noch gibt welche anderen Regeln ggf. hier reingrätschen könnten Ob es Block/Sperrlisten gibt die hier reinstreuen können

Also ohne wesentlich mehr über das Gesamtsystem zu sagen, ist ein spontanes "geht nicht mehr" kaum zu heilen. Sollte das allerdings ein Company Setup sein, dann steht dir natürlich auch jederzeit frei jemanden (wie uns bspw.) anzusprechen (siehe Signatur) und Support einzukaufen. Da kann man dann natürlich auch problemlos mit Vertraulichkeitsvereinbarung und Co. arbeiten, wenn dir die Details zu heikel sind hier zu posten. Aber ansonsten kommen wir hier m.E. nicht weiter, wenn nicht wesentlich mehr Details und Infos zum System kommen. Der Teufel kann da aus leidiger Erfahrung im Detail stecken und in Ecken hausen, die man gar nicht im Verdacht hat. :)

@k0b0ld
Ja das geht ohne Weiteres, es ist ein normales Setup. Allerdings wirst du nicht beides haben können: transparente FW oder Routing/FW. Ich finde es schon seltsam, am Internet so ohne Routing ein eigenes Netz zu betreiben, seien es auch nur ein paar Server. Aber da bin ich auch kein Experte.

Ich würde mal sagen, die sense auf Routing/FW stellen, die öffentlichen IPs zu deinem Servern durchreichen (steht hier irgendwo wie) und dein LAN Interface (das mit den antilockoutrules) über einen Switch mit den Managementports verbinden und private IPs benutzen. OpenVPN aufsetzen, die erscheinen dann als Interface und können entsprechend behandelt werden. Es wird nirgends eine Bridge benötigt, die angelegt werden muß...

Gruß
pfadmin

siehe auch: https://forum.netgate.com/topic/107876/subnetz-auf-wan-ip-geroutet/17

Ich habe das mit haproxy gelöst, sehr schön, danke nochmal für die Idee. Die notwendige Regel zum öffnen des Ports 80 kann ich so auch zeitgesteuert ein- und ausschalten. Gibt auch bisher kein Problem mit einem evtl. parallel laufendem squid.

@bstanger said in FTP Problem ausgehend?:

zumal damit irgendwelche Bestellinformationen übertragen werden sollten über irgend eine seltsame Software.

Uuuuuh.... nono. Wenn das Bestelldatensätze mit Kundendaten sind, ist das eigentlich ein no-go. Darf unverschlüsselt theoretisch gar nicht laufen. Für sowas macht man ein VPN mit dem Kunden/Dienstleister und lässt dann darüber den Krams laufen, da juckt dann das Protokoll auch nicht mehr doll. Aber ohne Tunnel wäre mir das zu heiß. Braucht nur einer den Datenschützer zu triggern dann hat man Spaß. Und an der Stelle muss ich sagen, sogar absolut zu recht. Gibt durchaus Dinge die aus dem Ruder gelaufen sind beim Datenschutz, aber an der Stelle wäre es völlig richtig.

Moinsen.

Wenn Du Paranoia bist, nimm alle.

pfSense hat soweit ich weiss ein Limit von 400000 Einträgen in ihren Tables, und wenn Du nicht alle Por.. Seiten sperrst, bist du satt drunter.

Persönlich nutzen wir die Standardeinstellung plus eine eigene Blocklist für unsere smarten TVs. Da ist schon Ruhe im Karton.
.

Hallo zusammen,

zum watchDog Problem melde ich mich noch mal zurück mit der Hoffnung vielleicht auf einen Tipp oder ein Lösungsvorschlag. Das Problem taucht wieder auf, diesmal habe ich den SSHD eingeschaltet um wenigstens noch über die Konsole auf das System Zugriffen zu können. Gestern irgendwann am Nachmittag war keine Verbindung mehr in das Internet möglich. Ein Blick auf die Konsole zeigte wieder den gleichen Fehler, diesmal watchdog time out auf beiden Netzwerkports WAN re0 und LAN re1 .

Die gesamte FW ist noch auf Standard eingestellt, also derzeit keine Last, auch die Regeln sind derzeit alle noch auf Standard.

Beim Zugriff über die Konsole auf das System, war unter Top keine Auslastung zusehen, auch die Platte war nicht ausgelastet.

Ich habe da aktuell keine Idee mehr wie ich dieses Problem in den Griff bekommen.

Besten Dank schon mal vorab.

@tpf said in Hardware für PFSENSE - J1900 ausreichend:

Will man aber Gas geben, brauchts AES-NI.

Das ist viel zu kurz gesprungen. Dieses Thema wurde aber hier im Forum bereits
ausführlich diskutiert.

LG

@Gunnar-S said in pfSense Keine Verbindung vom LAN ins WAN:

Vermutlich komme ich um eine Neuinstallation nicht herum.

Bei einem Stromausfall denke ich nicht nur an ein Problem der Software.
Was für eine Kiste ist/war denn im Einsatz?

LG

Damit es einen Loop geben kann, müssten die beiden NICs des Server irgendwie verbunden sein, z.B. durch ein Gerät, das an beiden Ports hängt, außer der pfSense, natürlich. Das kann außerhalb des Servers oder auch eine VM sein.

Ist aus den Logs nichts rauszulesen? Im Firewall-Log könnte man asymmetrisches Routing entdecken (das Logging aller Filter-Regeln und das der Default-Regel muss eingeschaltet sein), oder im System-Log, wo Netzwerk- oder Hardwareprobleme zu finden wären.

@gcu_greyarea

Ok danke schon mal für die Ausführliche Beschreibung der Möglichkeiten.

Das muss ich mal testen mit einer Failover Group (noch nie was mit gemacht) , kann man denn nur eine machen?

2 .Das kann man natürlich machen dann kann man halt einer gewissen Gruppe eine feste IP zuweißen, und wenn sich der Tunnel neu aufbaut gibt's halt ne neue Exit IP für alle innerhalb des Alias.

Das ließt sich so das man für eine vorgegebene Zeit einem Gateway zugeornet ist und der dann ein Zwangs Wechsel durchführt.

Das werde ich mal testen was der daraus macht bei ein paar IP check Seiten.

@bahsig said in OpenVPN: kein default gateway auf Windows 10:

Port 21

😱 Dammich, der ging mir durch! Aye, das würde ich definitiv erstmal sein lassen. Zumal alles <1024 eindeutig spezifiziert ist, da reagieren je nachdem Provider oder andere Netzwerker ziemlich allergisch gegen. Zumal 21 eigentlich zu FTP gehört (auch wenn udp/21 wohl kaum/nicht genutzt werden wird).

Hmm schwierig. Ich hätte es wahrscheinlich ähnlich angestellt wie du es jetzt schon handhabst und per DHCP den entsprechenden Netzen ihre DNSe gepusht - oder alternativ in einer Firewall RDR Regel die Zugriffe auf alles was DNS ist umgeschrieben wird auf den gewünschten Service.

Ansonsten würde eigentlich nur noch eine eigene Lösung entweder auf Basis von zB. pfBlockerNG-devel+Unbound oder mit sowas wie ein Pi-Hole übrig bleiben - zumindest was mir gerade so einfällt ;)

piHole ist ja gern genutzt wenn man extern noch was an Geräten hat wie nen RasPi o.ä. weil einfach nutzbar und schnell aufzusetzen. pfBlockerNG-devel kann das so ungefähr auch, ist aber ein wenig härter so hinzubekommen, dann würde aber alles auf der Sense laufen, was Blocking angeht. Allerdings könnte es tricky werden, wenn auf unterschiedlichen VLANs unterschiedliche Sachen geblockt werden sollen (bspw. auf einem VLAN Erwachseneninhalte und auf den anderen nicht ;)).

Da müsste man im pfBNG Sub-Forum mal nachhaken, ob das machbar ist, da wäre ich jetzt auch überfragt :)

Wenn das wirklich eh nur ein Frontrouting für einen Cluster ist, ersetze lieber den Cluster durch pfSense 😏 und stell etwas mit PPPoE in Hardware davor 😄