Vielen Dank an alle!

Ich habe mich für die Lösung von -Rico entschieden.

Zwar ist die Lösung von Jens mit dem FreeRadius Server die "saubere" Lösung, aber da die Firewallregeln den Zugriff auf das Webinterface sperren und die Anzahl der User überschaubar ist, war das mit dem CSO die schnellste Umsetzung. Werde das mit dem FreeRadius aber im Hinterkopf behalten.

Gruß Micha

Ok, also abwarten. An sich finde ich es nicht soo wirklich schlimm oder gar Realtek anzulasten, mit dem Treiber in pfS nicht zurecht gekommen zu sein. Immerhin gibt es einen funktionierenden Treiber, wenngleich dieser auch selbst kompilliert werden muss. Unter Windows und Linux ist das auch öfters der Fall. Da macht ein Treiber schon mal 300MB/sek Unterschied im RAID.

@wonko2k said in Ein Netzwerkkarten Setup für Netzwerkdienste:

Es gibt jedoch diverse Nachteil an dem Szenario, die ich nicht mehr eingehen möchte.

Die da wären? Erschließt sich mir aus deinem initialen Posting jetzt nicht, daher die Frage.

Vielleicht geht es mit pfsense auch einfach nicht und einer NIC. Das wäre doch schon mal eine klare Aussage.

Das hängt klar davon ab, WAS funktionieren soll. Wenn du pfSense mit einem NIC einfach ins Netz hängst, dann ist sie nicht im Routing Modus und hat PF abgeschaltet. Dienste wie DHCP und Co sollten aber trotzdem funktionieren. NAT brauchst du gar nicht, da wie gesagt Routing off ist. Unter System/Adv. sollte zudem der Haken bei "disable all filtering" aktiv sein, wenn du den Assistenten genutzt hast.

Firewall ist wie gesagt irrelevant, Rules sollten hier generell keine Rolle spielen. Dein Routing muss stimmen - also interne IP und Gateway (die Fritzbox), zudem in General Setup DNS Server fürs Forwarding wenn du das schon aktivierst. Ansonsten sollte erstmal ein normaler Ping Test auf 1.1.1.1 funktionieren, ansonten ist was grundlegend falsch.

Hyper-V Guests sind aber auch nicht meine Stärke, es könnte aber sein, dass hier noch was konfiguriert werden muss.
https://docs.netgate.com/pfsense/en/latest/virtualization/virtualizing-pfsense-with-hyper-v.html
Beim durchfliegen ist mir aber nichts abgefahrenes aufgefallen.

Ad-Blocker wirst du aber nur mit DNS Blacklisting hinbekommen, ein IP filtern ist nicht möglich, wenn du pfSense nicht mit 2 Interfaces betreibst.

Bei der NAT Regel könntest du statt tcp/udp/* gleich ganz "*" any Protocol nehmen. Wird mit Sicherheit einfacher sein. Aber im Prinzip hat sich diese Lösung - durchaus korrekt - schon beim Lesen deines ersten Posts angedeutet, wenn du schriebst, dass du 403 Forbidden oder Logins wie von extern bekommst.

Viele IoT oder andere Lösungen erkennen ihr eigenes Netz/LAN und nehmen für alles andere dann an, dass hier entfernter Zugriff bzw. Logins der Fall ist. Hier müsstest du case-by-case nachsehen, wo du ggf. zusätzliche interne Netze definieren kannst, damit die Anwendung/Lösung das VPN Netz als lokal/LAN erkennt. Mit der erstellten NAT Regel bist du aber hier noch einfacher unterwegs und wirst einfach mit der IP der pfSense intern gemappt, was die Geräte dann zufriedenstellen wird (wenn du eine besser nachverfolgbare IP brauchst, ist es kein Problem eine zusätzliche Alias IP auf die Sense zu nehmen und diese als interne NAT Adresse zu nutzen).

Grüße
Jens

Ja die Lösung war auch den Port 4 auf Tagged zu setzen.

Hallo,

was zeigt denn das System-Log zum Reconnect?
Wie sieht die Routing Tabelle aus?

Interessant finde ich dass ein Ping auf Google 216.58.207.35 mit einem "no route to host" quittiert wird, während ein nslookup auf 212.202.215.1 funktioniert.
Das zu nutzende Gateway sollte eigentlich dasselbe sein, es sei denn, du hast für den DNS Server ein spezielles GW eingestellt.

Auch finde ich als interessant, dass der nslookup im Normalfall von der pfSense selbst beantwortet wird, während er im Fehlerfall vom externen Server beantwortet wird.
Ich weiß aber im Augenblick nicht, was mir das sagen soll.

Grüße

Ja das stimmt und abends wenn man müde ist nicht mehr am Netzwerk herumtüfteln spart auch Zeit und Nerven ;D

Habs gewuppt. Musste das NAT anpassen.

Hallo Viragomann

Es fehlte noch eine Ausgehende NAT--Regel
0_1550695832722_NAT-Regel.jpg

Als zusätzlicher Hinweis :
Ich habe folgende Konstellation
0_1550695869856_6e2a08f576de2908062670bf1244172c.jpg
Die Fritz-Box vor der pfSense hat den IP-Bereich 192.168.178.0/24
Das LAN hat 192.168.115.0/24
OpenVPN hat 10.8.0.0/24
Die pfSense hat eine Statische IP 172.168.178.2 mit DNS 192.168.178.1, gateway 192.168.178.1 und läuft als extendend Host in der Fritz-Box
Die Fritz-Box vor der pfSense dient zusätzlich als IP-Telefonie
Im LAN ist noch eine weitere FritzBox für WLAN und IP-Telefonie

Danke für die Hilfe
Gruß

Ok, nun habe ich auch das verstanden. Vielen Dank. Ich tendiere dann auch dazu alle VLANs getagged zu übergeben,. würde dann also die "Hardwareschnittstelle als Interface unkonfiguriert lassen... Cool, dann werde ich mal testen, falls ich diese Woche noch dazu komme:-)

Gruß, Jan

@01minki said in OpenVPN von extern nicht erreichbar.:

Es ist gelöst.
Ursache war offensichtlich ein Gerät in meinem Netzwerk (Telekom Speed Home WiFi).
Nachdem ich durch Zufall das Gerät ausgeschaltet hatte funktionierte der Zugang sofort.
Da die VPN-Verbindung garnicht durch das Gerät geht verstehe ich den Zusammen hang zwar nicht aber das ist mir egal.
Hab nun das Gerät einmal zurückgesetzt und jetzt klappt die Verbindung sogar wenn das Telekom Speed Home WiFi im Netzwerk hängt.

Vielen Dank für Eure Hilfe.!

Ist schon verrückt, oder?

@hekl

Vergiß die Fritte. Stell dir ein OpenVPN Gateway als Client ins Netz und das Site2Site Szenarium steht.
VPN mit einer Fritte sollte man sich nun wirklich nicht mehr antun!

LG

@tomxl said in Regeln für die Nutzung eines ISDN-Adapters:

...läuft immer noch ohne Probleme. Der Adapter scheint also doch an der PFsense zu funktionieren.

LG

Perfekt.👍

@Rico
Läuft alles bestens! Keine EXPIRED Einträge mehr, keine Probleme mit dem dhclient, alles unauffällig.

Ich habe jetzt lediglich die folgende Zeile im Log gefunden und habe keine Ahnung, was es bedeutet:

Feb 7 20:21:13 dhclient Creating resolv.conf Feb 7 20:21:13 dhclient RENEW Feb 7 20:21:11 dhclient 21193 send_packet: No buffer space available

Kam jetzt, soweit ich das sehen kann, nur 1 Mal vor und gleich danach wurde die Lease ja problemlos verlängert. Hat also keine Auswirkungen auf den eigentlichen Prozess gehabt.

@bordi said in IGMP Proxy:

Nein eigentlich nicht, versteh allerdings auch nicht worin die Problematik liegt. M.M.n sollte sich das mit den Mitteln die pfS bietet lösen lassen.

Dann mach mal. 😁

Wäre schön wenn. Die kommunizieren über Multicast UDP 239.255.255.250:1900, eine einfache Regel funktioniert nicht.

Ist auch eine andere Baustelle und werde, wenn mehr Zeit da ist, mich mal damit auseinandersetzen.

@hannes-hutmacher
Hallo,

ich habe den Eindruck, dass die Sache für dich privat ist und es nicht wichtig ist, auf der FritzBox den tatsächlichen Quellhost des Zugriffs zu erkennen.
In diesem Fall geht das am einfachsten mit einer S-NAT Regel auf der Seite des Zielhosts.

Also gehe auf der pfSense bei der FB auf Firewall > NAT > Outbound. Wenn du da bislang noch nichts geändert hast, arbeitet es im Automatik-Modus, dann schalte in den Hybrid-Modus und speichere das mal.
Lege dann mit Add eine neue Regel an:
Interface: LAN oder an welchem die FB hängt
Source: das LAN der Gegenüberseite (192.168.2.0/?)
Destination: 192.168.29.0/? oder nur die IP der FB mit /32
Translation: Interface Address

Wenn die pfSense und die FB in einem gemeinsamen Netz sind, sollte das funktionieren.

Grüße

Ich wollte mal ein Feedback geben:
bzgl DNS habe ich noch einige Optionen geprüft. Es hat nichts an dem Verbindungsaufbau geändert.
Nun haben wir hier eine Fortigate für diesen Standort bekommen. Da ist auch nichts großartiges eingetragen bzgl DNS und der Aufbau ist so wie er zu erwarten ist; sofort.
Evtl lag es an dem PC-PFsense-System....

Hallo,

ich habe mittlerweile die Festplatte getauscht.
Seitdem läuft die Firewall

Der Tipp mit dem Storage war, so scheint es, der richtige. Danke dafür!

Ich habs gelöst.

Es haben Phase2 einträge für das OpenVPN Tunnelnetzwerk gefehlt auf beiden Seiten (DC + Local Network).

Jetzt funzt der Zugriff :)

Vielen Dank anyways