Nein, die aktuellste Version. Vielleicht funktionierte das EasyRule allein nicht, weil der NAT-Eintrag relevant ist?

@Rico said in VPN von FritzBox in pfSense / Regel: Wegwerfen und pfSense hinstellen. Wenn das so einfach wäre, hätte ich wahrscheinlich in Süddeutschland schon ne Abdeckung im zweistelligen Prozentbereich was pfSense als Firewall angeht. Leider wird das aber meist von nicht-Technikern entschieden, die mit großem Bullshit-Bingo, Marketing-Sprech und supertollen Zusatzfeatures eingefangen werden. Gerade bei Sophos ist das u.a. die "tolle" Anbindung von deren FW/AV Client Lösung an die Firewall. Sprich: rastet ein PC aus und der Virenscanner/Firewall Part bekommt das mit gibts ne Meldung an die große HW Firewall und er wird da geblockt/isoliert. Auch wenn es bspw. ein Marketing'ler ist, der mit NB unterwegs ist und sich dort was eintritt. Für größere Firmenkonstrukte praktisch, da ist es dann egal, wenn der Rest der FW einfach nur "MEH" ist.

Prinzipiell geht das schon. Ich würde aber, wenn ich das ganze schon komplett neu baue, nicht bei den Switchen dann das Sparpaket fahren. Einen oder zwei kleine Uplink Switche sind kein Problem. Da du nur eine Ader zum uplink eingezeichnet hast, würde ich da einfach nen kleinen Switch vorschalten, wo die draufgeht, da die Firewalls dranhängen und dann deren LAN entsprechend an deine 3300er. Dann bist du auch beim Uplink nicht von deinen LAN Switchen abhängig und umgekehrt. Da was kleines mit ~8-16 Ports mit VLAN vorne ran zu hängen ist nicht teuer. Gerade wenn man EX3000er im Switchstack fährt und da mal den Switch updated ist man hinterher froh, wenn was schief läuft, wenn man noch irgendwas an Internet hat und wenn du alles darüber fährst wird das schnell ein SPoF. Ob man dann wenn man eh an so vielen Ecken 10G nutzt wirklich eine 7100 nimmt mit eingebautem Uplink Switch kann man überlegen. Ich wäre eher zu was anderem übergegangen, was für dein Szenario besser passt. Zumal 10G Uplink mit pfSense und XG7100 wohl knapp werden könnte. Wenn das wirklich alles 10G sein soll, würde ich da andere Hardware ranpacken. Bezüglich XG7100 interna: Die Anbindung erfolgt intern mittels 8 Ports via Switch Uplink Chipsatz an 2x2.5 Gbps Uplinks, die dann via lagg zu 5Gbps "gebündelt" werden. Liegt an der internen Verschaltung die Intel mit dem C3000er Chipsatz verbaut hat, denn auf dem Board sind 2x10 + 2x2.5 verdrahtet. Alles andere muss der Hersteller selbst ausführen/anbinden. Hätte man bspw. nur 2 oder 4 Gigabit Ports ausgeführt, hätte man auf den Switch verzichten können da genug Performance da ist und man die Lines entsprechend anbinden kann. Man kann aber durch interne VLAN Konfiguration technisch gesehen alle 8 Ports in echte einzelne Ports verwandeln, muss sich aber dann im klaren sein, dass diese nur durch 5Gbps quasi "gebacked" werden, somit nie alle gleichzeitig volle Gigabit erreichen werden. Was dann Gerätebeschaffung angeht - gibts in DE ja genügend Partner ohne dass man einen speziellen ausdeuten muss :) Und Gerüchten zufolge auch Jungs die nen großen Horizont an Hardware haben ;)

@christoph-strauch said in [solved] [CARP] [HP] Manche host finden ihr Gateway nicht: wir haben gestern Abend dann nochmal eine Debbug Session gemacht und das ganze "HA" Setup rückgebaut. Der Fehler lag in der Link Aggregation zwischen den beiden Switchen ( Standorten ). Oha und was genau kam da raus? Damit hat sich der Threat erledigt, vielen dank! Finde ich nicht, es betrifft die pfSense ja durchaus schon, und auch Resultate von Switchen können helfen, wenn andere ein Problem im CARP Stack vermuten :)

Hallo @haithabu84, hast du mal diesen Artikel gelesen? https://docs.netgate.com/pfsense/en/latest/highavailability/dhcp-failover-troubleshooting.html Was genau hast du alles konfiguriert? Außerdem folgendes beachtet? -Set DHCP Server to Use CARP LAN IP Address -Navigate to Services > DHCP Server on the primary node -Click the LAN tab -Set the default gateway to the CARP VIP on the LAN, e.g. 192.168.1.3 -Set the DNS server to the CARP VIP on the LAN, e.g. 192.168.1.3 -Enter the IP address of the secondary node in Failover peer IP. This will be automatically adjusted during synchronization. -Click save

Hallo Danke nochmal Ja das stimmt meine Leitung würde belastet werden Beim Rechner wäre mir das egal Aber das schlimmste ist das sie mit meiner IP im Netz unterwegs sind MFG Timm

viragomann & natürlich alle anderen: vielen Dank für die Geduld und die Hilfe! Ich hab leider nicht immer Zeit, Euren Input sofort umzusetzen. Zwischenstand wie folgt: DHCP Hybridbox: auf 10.0.0.100 eingeschränkt IP Modem: 10.0.0.138 Vorgesehene IP für PF Box: 10.0.0.150 Fragen zum letzten Absatz von viragomann: "Üblicherweise macht man die Konfiguration der pfSense am LAN Interface. Der Zugriff ist per Firewall-Regel standardmäßig auch nur da erlaubt." Der Hybridbox ist mit aktuell mit dem WAN-Port der PFbox verbunden, über den Browser kann ich mich verbinden. Ist das so gemeint, dass ich für die Config auf den LAN-Port umstecke? Danke für die Hilfe!

Ja, wenn du den Client-Rechner zu einem Router umkonfigurierst. Es müsste gegeben sein: Am Server müsste auch die Route zum Client LAN gesetzt sein (Client LAN in Remote Networks eingetragen werden). Der Client müsste das Standard-Gateway in seinem LAN sein. Ist das nicht gegeben, wird es komplizierter.

Mein Telekom-Gateway zeigt hin und wieder Gefühle von Unlust und ist weg. Ein Neustart des Modem oder ein Neustart des Interfaces beheben das Problem. Mehrfacher Leitungstest der Telekom sagt, alles ok. Pragmatischer weg, 1 mal neustart am Tag und gut. Ist aber nicht das Thema in dem Thread.

@butme said in pfsense + SIP Registration: oder gibts nen besseren Lösungsansatz? Den Fehler eingrenzen und analysieren? Die Hälfte der Telefone geht - OK - die andere nicht. Also woran liegts? Die Firewall sitzt ja sicherlich nicht da und sagt: "Du, du nicht, du, du nicht, deine Nase gefällt mir nicht..." Muss ergo einen Grund dafür geben. Verbinden die sich alle über andere Ports (ansonsten würden ja alle SIP/5060 nehmen, das geht nicht)? Wenn nicht, wie funktioniert es dann überhaupt bei mehr als einem? Logfile anschauen, States anschauen, Regeln mit Logging aktiv erstellen und schauen wer da mit wem via welchem Port spricht etc. Generell das Problem verstehen und hinterfragen ist besser als jetzt mit was ganz anderem (SIP Proxy) anzufangen und rumzumachen, ohne zu wissen, was das eigentliche Problem ist. Es kann durchaus sein, dass du sipproxd dann einsetzt weil es sinnvoll ist - aber dann besser als "educated decision" und nicht einfach als "so gehts nicht also probier ichs eben damit, und damit und damit bis es geht" ;)

Hast du auch schon mal selbst nach welchen gesucht oder nur abgewartet, dass jemand ein Howto postet? Sorry, aber nicht alle haben jeden Tag Zeit jedes Problem oder jede Frage zu beantworten. Und ein wenig Eigeninitiative ist schon sinnvoll, wenn man sich mit sowas beschäftigt. Auch wenn ich RTFM als Antwort nicht mag, die offizielle Doku lesen zu diesem Thema und konkrete Fragen formulieren wäre hilfreicher als "ich hätte gerne eine fertige Lösung für genau das hier" - und sich danach über den Mangel an Antworten zu wundern ;) Doku: https://docs.netgate.com/pfsense/en/latest/trafficshaper/index.html pfSense Buch: https://docs.netgate.com/pfsense/en/latest/book/trafficshaper/index.html offizielles Video: https://www.youtube.com/watch?v=it_5xvC28vs Generell gibt es einfach mehrere Ansätze mit verschiedenen Shaper Algorithmen, manche greifen eher prozentual, andere hart in Werten. Zusätzlich gibt es erhöhte Last und Overhead auf CPU Seite. Da sollte man sich schonmal ein wenig einlesen, was/ob/wie man das überhaupt möchte.

@gtrdriver said in Frage zu Openvpn Roardwarrior - zugriff auf andere VPN Netzte ?: z.b: dass bestimmte RW Benutzer z.B: nur zu einelnen Ip´s zugriff bekommen ? Hängt wie @viragomann sagt ganz von deiner Einwahl ab. Wenn du bspw. Einwahl und Auth via FreeRadius Package machst, kannst du per Radius auch ohne CSOs den Clients beim Verbinden eine fixe IP zuweisen. Damit können diese dann in Aliase verpackt für Regeln genutzt werden. Ansonsten kann man das via Zertifikats-CN und CSOs machen. Einfach dann die Firewall Regeln anpassen. Für den Zweck (und bei mehreren Tunneln) bietet es sich an, die VPN Interfaces "zu assignen" und wirklich zuzuweisen und dann wirklich pro VPN Interface Regeln zu vergeben. Grüße

Oh man... Danke für deinen Hinweis :-)

Bitte keine uralten Threads aus dem Tiefschlaf reißen und dort irgendwas reininterpretieren was nicht drinsteht ;) Bei Fragen einfach ein neues Thema aufmachen. Und wie Dirk schon richtig sagt, gibt es das Ganze eh nicht mehr, denn seit 2.4 gibt es kein NanoBSD als Installationsvariante mehr. Der "Zustand" von NanoBSD lässt sich inzwischen problemlos mit Bordmitteln erreichen ohne ein extra Installationsimage. Was und wo hier eingestellt wird, lässt sich in den offiziellen Dokus und dem Buch nachlesen (read-only für /var, tmpfs etc.) Was zudem der letzte Beitrag von jahonix mit "geht gar nicht mehr" zu tun hat, erschließt sich mir nicht ;) Wenn überhaupt würde das nur zum erhöhten Verschleiß einer verbauten SD oder SSD führen. Wobei bei SSDs der "Verschleiß" (sofern die SSD halbwegs groß genug ist) eh nicht wirklich relevant ist. :)

Hallo @Br0nch0 bitte keinen alten Thread ausgraben, nur weil das Problem vielleicht ähnlich erscheint. Hier ist viel zu viel spezifische Info dafür, als das man jetzt nur dein Thema im Auge hat, wenn man hier durchscrollt. Ich habe das Thema mal abgetrennt.

Ahoi! Okidoki dann dröseln wir mal auf :) @sunics said in NAT Outbound wird geblockt: Outbound heisst in dem Fall, dass alle ausgehenden Verbindungen vom Server ins Internet ab der Firewall geblockt werden. Muss nicht zwangsläufig der Fall sein. Ein falsches NATting reicht schon, dass die Verbindung nicht klappt, aber ohne dass wir hier irgendwas sehen in Form von Diagramm, Regeln, NAT etc. wirds schwer zu sagen, WO es genau klemmt. Im NAT ist eine Outbound-Regel definiert, wo dem Server die Externe Internet IP übergeben wird. Warum nur Outbound? Du sagst das ist ein Mailserver. Gerade Mailserver sind extrem sensible Themen, da hier die IP schon wegen Reverse Lookup und Spamchecks etc. richtig sitzen und passen muss. Warum also Outbound und nicht 1:1 NAT, damit sowohl eingehend als auch ausgehend garantiert die richtige Adresse sitzt? Das NATting ändert nichts an den Firewall Rules. Die kannst du so grob oder fein ziehen wie du willst. Das einzige was sich ändert ist eine Sperrliste von IP's für eingehende Verbindungen zu den Mailservern. Sperrliste? Die von was wie wo warum verwaltet wird? Ich kann innerhalb des Netzwerks alles Pingen - Nur eben nicht mehr nach aussen ins Internet Und was taucht beim "nach draußen pingen" in den Logs auf? Was macht/sagt ein Traceroute? Ein Packet Capture gemacht? Was sagt die State Table? Wird überhaupt NAT angefragt oder nicht? Soll ich Dir Screenshots der Configs zukommen lassen? Ohne mehr vom Gesamtsystem zu kennen ist eine Diagnose sinnlos, da ich/wir hier nicht wissen was für Pakete installiert sind wie diese konfiguriert sind was für Seiteneinflüsse es noch gibt welche anderen Regeln ggf. hier reingrätschen könnten Ob es Block/Sperrlisten gibt die hier reinstreuen können Also ohne wesentlich mehr über das Gesamtsystem zu sagen, ist ein spontanes "geht nicht mehr" kaum zu heilen. Sollte das allerdings ein Company Setup sein, dann steht dir natürlich auch jederzeit frei jemanden (wie uns bspw.) anzusprechen (siehe Signatur) und Support einzukaufen. Da kann man dann natürlich auch problemlos mit Vertraulichkeitsvereinbarung und Co. arbeiten, wenn dir die Details zu heikel sind hier zu posten. Aber ansonsten kommen wir hier m.E. nicht weiter, wenn nicht wesentlich mehr Details und Infos zum System kommen. Der Teufel kann da aus leidiger Erfahrung im Detail stecken und in Ecken hausen, die man gar nicht im Verdacht hat. :)

@k0b0ld Ja das geht ohne Weiteres, es ist ein normales Setup. Allerdings wirst du nicht beides haben können: transparente FW oder Routing/FW. Ich finde es schon seltsam, am Internet so ohne Routing ein eigenes Netz zu betreiben, seien es auch nur ein paar Server. Aber da bin ich auch kein Experte. Ich würde mal sagen, die sense auf Routing/FW stellen, die öffentlichen IPs zu deinem Servern durchreichen (steht hier irgendwo wie) und dein LAN Interface (das mit den antilockoutrules) über einen Switch mit den Managementports verbinden und private IPs benutzen. OpenVPN aufsetzen, die erscheinen dann als Interface und können entsprechend behandelt werden. Es wird nirgends eine Bridge benötigt, die angelegt werden muß... Gruß pfadmin siehe auch: https://forum.netgate.com/topic/107876/subnetz-auf-wan-ip-geroutet/17