Hallo, nach einigen Testtagen haben wir die Fehlerursache lokalisiert. Unsere Hardware war schlichtweg den gestiegenen Anforderungen der letzten Jahre nicht mehr gewachsen. Die aktuelle Konfiguration läuft problemlos mit unserem Dell Server. Dort dümpelt die CPU bei 0% - 2% herum - Im Vergleich zur unserer "alten Firewall", dort waren es zwischen 30% - 85%. Sobald wir die Freigabe unserer Geschäftsführung haben, planen wir zwei XG-1537 anzuschaffen. Mal schauen, ab wann wir damit an den Start gehen können. Das Problem kann also als gelöst betrachtet werden. Vielen Dank für eure zahlreichen Antworten. :)

Dieser Beitrag paßt zwar nicht ganz genau zum Thema, hat aber noch ausreichend Bezug zu OpenVPN 2.5. Mit "Plugin support for Pluggable Transports" wurde ein bekanntes Problem angegangen. Wird TLS-Crypt v2 zeitnah in pfSense Einzug halten? Das wäre im Hinblick auf eine einfachere Konfiguration von Server und Clients nützlich. Ich gehe davon aus, daß OpenVPN 2.5 auch ChaCha20-Poly1305 als AEAD Cipher unterstützen wird und man nicht nur auf AES-GCM angewiesen ist. LG

Danke schon mal für eure Antworten, habe jetzt die Sense auf dem APU2 laufen. Die Fritzbox als Exposed Host konfiguriert. Bei der Konfiguration der Sense habe ich 3 DNS-Server eingetragen. Zusätzlich habe ich pfblockerng nach Anleitung installiert und ipv4 und dnsbl Listen eingetragen. Webaufrufe gehen gefühlt viel flüssiger. Nun sind noch ein paar Fragen aufgetaucht: lohnt sich squid für mich oder macht das in der Konstellation keinen Sinn wie sieht es mit Snort aus, lohnt sich der Aufwand sich da einzulesen für einen Privatanwender ? Ich kam noch nicht zum Testen aber würde das WAN-Interface auf einen Ping antworten oder ist das im Standard deaktiviert ? Gibt es weitere Einstellungen die ihr mir Empfehlen würdet ? Was ich aber nicht verstehe ist wenn ich folgendes teste tracert zu google : 1 1 ms 1 ms 1 ms pfSense.localdomain [192.168.1.1] 2 3 ms * 3 ms 192.168.2.1 3 16 ms 12 ms 15 ms ipbcc261fe.dynamic.kabel-deutschland.de [188.194.97.254] 4 13 ms 14 ms 13 ms ip5886df8e.static.kabel-deutschland.de [88.134.223.142] 5 16 ms 21 ms 17 ms ip5886c1a0.static.kabel-deutschland.de [88.134.193.160] 6 22 ms 18 ms 20 ms ip5886edea.static.kabel-deutschland.de [88.134.237.234] 7 21 ms 20 ms 17 ms ip5886ed3f.static.kabel-deutschland.de [88.134.237.63] 8 20 ms 21 ms 18 ms 209.85.172.232 9 * * * Zeitüberschreitung der Anforderung. 10 25 ms 24 ms 21 ms 108.170.235.252 11 23 ms 25 ms 24 ms 108.170.251.209 12 32 ms 22 ms 25 ms 108.170.229.168 13 46 ms 22 ms 22 ms 72.14.239.166 14 25 ms 24 ms 20 ms 108.170.251.129 15 23 ms 24 ms 19 ms 66.249.94.245 16 24 ms 23 ms 24 ms zrh04s06-in-f131.1e100.net [172.217.16.131] Hab ich paar mal wiederholt: 1 1 ms 1 ms 1 ms pfSense.localdomain [192.168.1.1] 2 3 ms 8 ms * 192.168.2.1 1 1 ms 1 ms 1 ms pfSense.localdomain [192.168.1.1] 2 4 ms * * 192.168.2.1 Der * bedeutet doch keine Antwort oder ? Vielen dank für eure Antworten, habt mir bis jetzt schon sehr geholfen.

@JeGr said in Jumbo Frames auf pfSense für 10Gbit-Netz aktivieren: Interface / VLAN10 (VLAN20...) -> MTU Feld Wert eintragen oh Mann, wie war das mit dem Wald und den Bäumen? Ich hatte doch tatsächlich die MTU size in den VLANs vergessen. DANKE!

Ich habe meine eigenen Scripte direkt unter /etc/ Die haben bisher alles überlebt.

@unique24 said in DNS, nginx Konfiguration: Scheint zu klappen! OK das ist doch mal was :) ABER: Externe Erreichbarkeit von einer Warenwirtschaft via Port 80? Das solltet ihr nochmal überlegen. Das kann doch bitte nicht euer ernst sein ;)

@Owly Das hängt immer ganz von der Aufgabenstellung ab. Implementationen hängen immer an Rahmenbedingungen.

Morgen, ich habe zwar keine VPN dazwischen, aber ein VLANs. Mein Anwendungsfall ist etwas anders, da ich google chromcast nutze, wurde dieses Teufelszeug in ein VLAN für IoTs gelget, damit aber SmartPhones via App aus einem andern VLAN darauf zugreifen können, musste ich das Packet Avahi installieren und die entsprechenden Netze damit verfügbar machen. Bisher funktioniert es bestens damit. Doku habe ich mir von "Lawrence Systems" anbegekuckt. Sieht dann so aus: [image: 1554458840461-avahi.png] Vielleicht hilft dir das in deinem Anwendungsfall weiter. VG

Bei mir funktioniert es inzwischen auch wie beschreiben. Leitung bleibt auch beim telefonieren stabil. Ich kann von meinem VOIP Telefon hinter pfSense nach aussen Telefonieren, und theoretisch auch "rein". Allerdings ist das nur für ca. 5 Minuten möglich (nach dem letzten Telefonat nach aussen). Das gleiche passiert, wenn ich mit meinem DECT Telefon (das direkt an der FB angemeldet ist) das VOIP Telefon Intern anrufe. Ich vermute das es irgend ein NAT Timeout ist?

So verrückt wie es klingt: schuld war anscheinend der "Conservative-Mode". Auf "Normal" läuft das Fax nun wieder problemlos durch. Ich hatte beim ersten Umstellen einfach nicht ausgiebig genug getestet.

Nein. Aliase umbenennen ist eine KERNfunktion die schon seit etlichen Releases zuverlässig funktioniert. Der Eintrag in den entsprechenden Regeln wird ebenfalls automatisch korrigiert!

Und was ist falsch daran, dass mehrere Phase 2 Verbindungen existieren? Weil nur eine eingerichtet ist? Da steht etwas wenig Input in der Fragestellung? Ansonsten sieht man im Screenshot zwei Phase2 Varianten, die sich im MODP Parameter unterscheiden. Somit gehe ich davon aus, dass irgendeine Seite bei einem Rekey oder Verbindungsverlust die Verbindung falsch aufbaut bzw. einfach annimmt anstatt eine der beiden Phasen abzulehnen. Aus der Vergangenheit mit IPSec und Strongswan würde ich behaupten das ist auf Zyxel Seite. Ich würde zum Debuggen hergehen und entweder die Konfiguration der Phase 2 prüfen (denn da stimmt definitiv was nicht 100%ig, sonst wären die beiden P2s nicht minimal unterschiedlich), ansonsten mal versuchen die pfSense Seite als Initiator abzuklemmen (selbst keine Verbindung aufbauen, nur eine annehmen). Modp2048 ist DH Gruppe 14 die beim oberen Eintrag fehlt. Grüße

@Raffi said in pfSense mit 12 Lan Ports VLAN Konfiguration: Wie würdet ihr die Firewall Regeln erstellen? Als Source bzw Destination die Vlan´s, die Bridge oder acces-Port? Nein, nein, so wird das nix. a) Router-Ports sind keine Switch-Ports, daher lass das Bridgen. Es gibt von Netgate Geräte (wie SG-1100 und SG-3100), die einen managed Switch eingebaut haben. Das sind dann aber auch Switch-Ports und keine Router-Ports. b) Damit erübrigt sich dann auch die Frage nach den Regeln. Dazu müsste man sowieso noch ein paar Einstellungen anpassen, damit man auf der Bridge filtert und nicht auf jedem Interface einzeln. Letzteres würde gar keinen Sinn machen, weil es komplett unübersichtlich wird.

@unique24 said in Protokollierung: ? Er soll mir die dynamischen und statischen DHCP Zuordnungen auflösen Das sollte man überdenken. Niemand sollte(!) dynamische DHCP Zuordnungen benötigen. Beim Resolver doppelt ungeschickt: bei jedem neuen DHCP Client wird der Resolver neu geladen und der Cache geht verloren. Bei vielen lokalen DHCP Clients also sehr oft. Daher sollte man tunlichst nur statische DHCP Zuordnungen im Resolver laden wenn man diese benötigt. Es gibt eigentlich auch keinen Grund, warum man dynamische Leases rückwärts auflösen können müsste. System Domain lokaler Zonentyp: Standardeinstellung reicht hier problemlos.´ Interne Domain. company.mylocal Soll er selbst nutzen oder liegt die Domain woanders bei einem internen DNS Server? DNS Abfrage Weiterleitung: Scheinbar klappt alles, ohne dies zu aktivieren. Würde ich dies aktivieren, hätte ich wieder einen ähnlichen Forwarder Modus? Schlechte deutsche Übersetzung daher lasse ich die UI gern auf englisch. Leider wurde da oftmals etwas "zu" gut übersetzt und zu viel. Die Option heißt eigentlich "DNS Query Forwarding" und aktiviert korrekt erkannt den Forwarder Modus statt des Resolving Modus. Bei Multi-WAN kann es übrigens sein, dass man auf Forwarding wechseln muss da es bei den ausgehenden Queries sonst manchmal Probleme gibt. Dann kann man hier das Forwarding wieder aktivieren, aber zumindest dann - so man möchte - die verschlüsselte Übertragung aktivieren im Gegensatz zum Forwarder.

Hallo, danke für die Info, kläre gerade mit dem Hersteller des Webservers welche Ports ich wirklich brauche. Danke

Die Forumssoftware wurde letztes Jahr umgestellt, da sind die verknüpften Bilder und Anhänge nicht mit übernommen worden.

Hallo dahoam, hier der aktuelle Stand: WAN Regeln [image: 1553324784229-wan-regeln.png] LAN Regeln [image: 1553324821360-lan-regeln.png] Portweiterleitung [image: 1553324845452-port-forward.png] Ausgehend [image: 1553324893587-outbound.png] Bin über jeden weiteren Tipp dankbar. Gruß, Wayfarer

@viragomann said in NAS nicht erreichbar bei aktivierter VPN Verbindung: Was mir hier Sorgen bereitet, ist, dass das NAS so sämtlichen Upstream Traffic über den VPN-Server schickt. Das sollte nicht sein. Daher "–route-nopull" setzen, die Kommunikation zwischen den beiden NAS wird dennoch funktionieren. Ok, Danke Dir.