Nein. Aliase umbenennen ist eine KERNfunktion die schon seit etlichen Releases zuverlässig funktioniert. Der Eintrag in den entsprechenden Regeln wird ebenfalls automatisch korrigiert!

Und was ist falsch daran, dass mehrere Phase 2 Verbindungen existieren? Weil nur eine eingerichtet ist? Da steht etwas wenig Input in der Fragestellung?

Ansonsten sieht man im Screenshot zwei Phase2 Varianten, die sich im MODP Parameter unterscheiden. Somit gehe ich davon aus, dass irgendeine Seite bei einem Rekey oder Verbindungsverlust die Verbindung falsch aufbaut bzw. einfach annimmt anstatt eine der beiden Phasen abzulehnen. Aus der Vergangenheit mit IPSec und Strongswan würde ich behaupten das ist auf Zyxel Seite.

Ich würde zum Debuggen hergehen und entweder die Konfiguration der Phase 2 prüfen (denn da stimmt definitiv was nicht 100%ig, sonst wären die beiden P2s nicht minimal unterschiedlich), ansonsten mal versuchen die pfSense Seite als Initiator abzuklemmen (selbst keine Verbindung aufbauen, nur eine annehmen). Modp2048 ist DH Gruppe 14 die beim oberen Eintrag fehlt.

Grüße

@Raffi said in pfSense mit 12 Lan Ports VLAN Konfiguration:

Wie würdet ihr die Firewall Regeln erstellen? Als Source bzw Destination die Vlan´s, die Bridge oder acces-Port?

Nein, nein, so wird das nix.

a) Router-Ports sind keine Switch-Ports, daher lass das Bridgen.
Es gibt von Netgate Geräte (wie SG-1100 und SG-3100), die einen managed Switch eingebaut haben. Das sind dann aber auch Switch-Ports und keine Router-Ports.
b) Damit erübrigt sich dann auch die Frage nach den Regeln.
Dazu müsste man sowieso noch ein paar Einstellungen anpassen, damit man auf der Bridge filtert und nicht auf jedem Interface einzeln. Letzteres würde gar keinen Sinn machen, weil es komplett unübersichtlich wird.

@unique24 said in Protokollierung:

? Er soll mir die dynamischen und statischen DHCP Zuordnungen auflösen

Das sollte man überdenken. Niemand sollte(!) dynamische DHCP Zuordnungen benötigen. Beim Resolver doppelt ungeschickt: bei jedem neuen DHCP Client wird der Resolver neu geladen und der Cache geht verloren. Bei vielen lokalen DHCP Clients also sehr oft. Daher sollte man tunlichst nur statische DHCP Zuordnungen im Resolver laden wenn man diese benötigt. Es gibt eigentlich auch keinen Grund, warum man dynamische Leases rückwärts auflösen können müsste.

System Domain lokaler Zonentyp:

Standardeinstellung reicht hier problemlos.´

Interne Domain. company.mylocal

Soll er selbst nutzen oder liegt die Domain woanders bei einem internen DNS Server?

DNS Abfrage Weiterleitung: Scheinbar klappt alles, ohne dies zu aktivieren. Würde ich dies aktivieren, hätte ich wieder einen ähnlichen Forwarder Modus?

Schlechte deutsche Übersetzung daher lasse ich die UI gern auf englisch. Leider wurde da oftmals etwas "zu" gut übersetzt und zu viel. Die Option heißt eigentlich "DNS Query Forwarding" und aktiviert korrekt erkannt den Forwarder Modus statt des Resolving Modus.

Bei Multi-WAN kann es übrigens sein, dass man auf Forwarding wechseln muss da es bei den ausgehenden Queries sonst manchmal Probleme gibt. Dann kann man hier das Forwarding wieder aktivieren, aber zumindest dann - so man möchte - die verschlüsselte Übertragung aktivieren im Gegensatz zum Forwarder.

Hallo,

danke für die Info, kläre gerade mit dem Hersteller des Webservers welche Ports ich wirklich brauche.
Danke

Die Forumssoftware wurde letztes Jahr umgestellt, da sind die verknüpften Bilder und Anhänge nicht mit übernommen worden.

Hallo dahoam,

hier der aktuelle Stand:

WAN Regeln

WAN Regeln.png

LAN Regeln

LAN Regeln.png

Portweiterleitung

Port Forward.png

Ausgehend

Outbound.png

Bin über jeden weiteren Tipp dankbar.

Gruß, Wayfarer

@viragomann said in NAS nicht erreichbar bei aktivierter VPN Verbindung:

Was mir hier Sorgen bereitet, ist, dass das NAS so sämtlichen Upstream Traffic über den VPN-Server schickt. Das sollte nicht sein. Daher "–route-nopull" setzen, die Kommunikation zwischen den beiden NAS wird dennoch funktionieren.

Ok, Danke Dir.

Ahoi,

Sorry Glaskugel kaputt! Keine Angaben über Serial Settings, wie konfiguriert/installiert, Embedded Kernel (war bei 2.3 noch "a thing") ausgewählt, console richtig ausgewählt, etc. etc.

Ohne ein paar Gramm verwertbar spaltbares Material kann man nicht wirklich arbeiten ;)
Aber "kein drehender" Cursor sieht für mich aus, als hättest du nen VGA Kernel bzw. Head installiert ohne serielle Konsole. Bei 2.3 gab es bei der Installation noch die Frage nach embedded Kernel oder nicht. Wenn da falsch gewählt wurde, ist nichts mehr mit Konsolen Output :)

Gruß

Naja das ist aber genau das, was es eben nicht werden soll. Das sind zwei Cases. Einmal mit IPV6, einmal ohne. Und dann sinds eben auch zwei VLANs ;)

Ich gebe dir aber recht, dass es ziemlich ätzend ist, dass man nicht wenigstens statisch konfigurieren kann (auch wenn eine Alexa das wieder eh nicht könnte) und sonst assisted ausschaltet. Allerdings wäre das auch wieder ein Hack den man lassen soll. Mein letzter Stand und Konsens bei v6 war: Server statisch, Clients SLAAC mit DHCP6 als Lieferant für DNS und NTP etc. - DHCP6 Adressierung in Ausnahme- oder Spezialfällen.

Gruß

Würde ich genauso verstehen. Ein mehr als 3 Jahre altes HowTo mit alter pfSense Version als Basis zu nehmen ist ein Rezept für Desaster. Andere Punkte die mir auffallen sind:

Von sowas würde ich in wichtigen Umgebungen möglichst die Finger lassen. Wir haben u.a. wegen der in 2.3 noch bestehenden Probleme (inzwischen wohl besser) gerade die LAGG Geschichte zurückgebaut, weil es eh nicht genau das bringt, was man sich vielerorts darunter vorstellt und aus 2*10G eben doch nicht (immer) 20G werden. Zumal LAGGs prinzipiell dann so ein Ding sind bezüglich MAC, Quelle, Switch Unterstützung etc. etc.

Auf dem Konstrukt dann auch noch eine Bridge basteln und die dann auch noch semi-automatisch selbstgebaut via Events hoch-/runterfahren... liest sich extremst gruselig. Das sind Netzwerkkonstrukte, die ich draußen grundsätzlich hinterfrage, weil sich der Sinn meist nicht wirklich erschließt - außer "wäre cool" oder "ist doch viel einfacher als..." - was es dann meist doch nicht ist ;)

Gruß

@frieseba
Die meiste Zeit hast du wohl selbst investiert.
Ärgerlich, passiert aber leider.

Grüße

Hallo JeGr

Als erstes Danke dass du dich meinem Problem annimmst!
Sorry, du hast natürlich recht! ist eine APU.4C4 Sorry für meine unfachgemässe Ausdrucksweise!

So ich versuche hier nochmals alles etwas besser zu Dokumentieren:
Ich hoffe das vor allem das Bild RFC2136 und DNS-Weiterleitung weiterhelfen könne.

mein Problem ist nun das auf dem LAN Netz die Einstellung auf dem Bild DNS-Weiterleitung nicht greift. Sondern dass dieser dort eingetragene Name mit der Öffentlichen IP aufgelöst wird.

Ich hoffe dies mit dem Text / Bilder etwas verständlicher zu machen.

Betreffend dem Thema Diagnose DNS bin ich noch etwas schwach auf der Brust wo kann ich da was diagnostizieren?

RFC2136:
1_1552509000853_RFC2136.png

DNS-Weiterleitung Teil 1:
6_1552509000853_DNS-Weiterleitung_Teil1.png

DNS-Weiterleitung Teil 2:
0_1552509000852_DNS-Weiterleitung_Teil2.png

DNS Einstellungen unter "Allgemeine Einstellungen":
5_1552509000853_Allgemeine Einstellungen.png

Dashboard Ansicht:
2_1552509000853_Dashboard DNS.png

LAN DHCP Server Einstellungen Teil 1:
4_1552509000853_DHCP-Server-Lan Teil1.png

LAN DHCP Server Einstellungen Teil 1:
3_1552509000853_DHCP-Server_Lan Teil2.png

@viragomann said in OpenVPN Client Mode Zugriff Lokaler Webserver:

Nein, die Clients müssen ohne Gateway auf den Webserver kommen.
Dann musst du für diese Verbindung eine eigene Regel definieren, die kein GW erzwingt.
Also Quelle: LAN net, Ziel: Webserver
und diese Regel oberhalb der anderen positionieren, damit sie auch angewandt wird.

Grüße

Genau diese Regel hat in meiner Konfiguration gefehlt. 😃
Vielen Dank nochmal an alle Beteiligten für die Lösung meines Problems. 👍

@drakrochma said in Fragensammlung eines Unschlüssigen:

Da ich die Übersicht des Netzplans immer noch schuldig bin, hier ein grober Entwurf.
Ich hoffe man kann halbwegs erkennen wie der Aufbau ist.

Nicht wirklich, da Du munter physikalisches und logisches Layout vermengst.
Überlege Dir, wie es einmal logisch aufgebaut sein soll und daraus ergibt sich dann das physikalische Layout, also das Zusammenstecken der Komponenten und die Konfiguration der VLANs etc.

Zum Verständnis ist dieser Blog sehr hilfreich!
https://packetpushers.net/network-documentation-series-preamble/

und auch:
https://packetpushers.net/how-to-draw-clear-l3-logical-network-diagrams/

Ein logisches Netzwerk-Layout könnte dann zB so aussehen:
ps1-1 L3 Logical network diagram.gif