Habs gewuppt. Musste das NAT anpassen.

Hallo Viragomann Es fehlte noch eine Ausgehende NAT--Regel [image: 1550695834578-nat-regel-resized.jpg] Als zusätzlicher Hinweis : Ich habe folgende Konstellation [image: 1550695870071-6e2a08f576de2908062670bf1244172c.jpg] Die Fritz-Box vor der pfSense hat den IP-Bereich 192.168.178.0/24 Das LAN hat 192.168.115.0/24 OpenVPN hat 10.8.0.0/24 Die pfSense hat eine Statische IP 172.168.178.2 mit DNS 192.168.178.1, gateway 192.168.178.1 und läuft als extendend Host in der Fritz-Box Die Fritz-Box vor der pfSense dient zusätzlich als IP-Telefonie Im LAN ist noch eine weitere FritzBox für WLAN und IP-Telefonie Danke für die Hilfe Gruß

Ok, nun habe ich auch das verstanden. Vielen Dank. Ich tendiere dann auch dazu alle VLANs getagged zu übergeben,. würde dann also die "Hardwareschnittstelle als Interface unkonfiguriert lassen... Cool, dann werde ich mal testen, falls ich diese Woche noch dazu komme:-) Gruß, Jan

@01minki said in OpenVPN von extern nicht erreichbar.: Es ist gelöst. Ursache war offensichtlich ein Gerät in meinem Netzwerk (Telekom Speed Home WiFi). Nachdem ich durch Zufall das Gerät ausgeschaltet hatte funktionierte der Zugang sofort. Da die VPN-Verbindung garnicht durch das Gerät geht verstehe ich den Zusammen hang zwar nicht aber das ist mir egal. Hab nun das Gerät einmal zurückgesetzt und jetzt klappt die Verbindung sogar wenn das Telekom Speed Home WiFi im Netzwerk hängt. Vielen Dank für Eure Hilfe.! Ist schon verrückt, oder?

@hekl Vergiß die Fritte. Stell dir ein OpenVPN Gateway als Client ins Netz und das Site2Site Szenarium steht. VPN mit einer Fritte sollte man sich nun wirklich nicht mehr antun! LG

@tomxl said in Regeln für die Nutzung eines ISDN-Adapters: ...läuft immer noch ohne Probleme. Der Adapter scheint also doch an der PFsense zu funktionieren. LG Perfekt.

@Rico Läuft alles bestens! Keine EXPIRED Einträge mehr, keine Probleme mit dem dhclient, alles unauffällig. Ich habe jetzt lediglich die folgende Zeile im Log gefunden und habe keine Ahnung, was es bedeutet: Feb 7 20:21:13 dhclient Creating resolv.conf Feb 7 20:21:13 dhclient RENEW Feb 7 20:21:11 dhclient 21193 send_packet: No buffer space available Kam jetzt, soweit ich das sehen kann, nur 1 Mal vor und gleich danach wurde die Lease ja problemlos verlängert. Hat also keine Auswirkungen auf den eigentlichen Prozess gehabt.

@bordi said in IGMP Proxy: Nein eigentlich nicht, versteh allerdings auch nicht worin die Problematik liegt. M.M.n sollte sich das mit den Mitteln die pfS bietet lösen lassen. Dann mach mal. Wäre schön wenn. Die kommunizieren über Multicast UDP 239.255.255.250:1900, eine einfache Regel funktioniert nicht. Ist auch eine andere Baustelle und werde, wenn mehr Zeit da ist, mich mal damit auseinandersetzen.

@hannes-hutmacher Hallo, ich habe den Eindruck, dass die Sache für dich privat ist und es nicht wichtig ist, auf der FritzBox den tatsächlichen Quellhost des Zugriffs zu erkennen. In diesem Fall geht das am einfachsten mit einer S-NAT Regel auf der Seite des Zielhosts. Also gehe auf der pfSense bei der FB auf Firewall > NAT > Outbound. Wenn du da bislang noch nichts geändert hast, arbeitet es im Automatik-Modus, dann schalte in den Hybrid-Modus und speichere das mal. Lege dann mit Add eine neue Regel an: Interface: LAN oder an welchem die FB hängt Source: das LAN der Gegenüberseite (192.168.2.0/?) Destination: 192.168.29.0/? oder nur die IP der FB mit /32 Translation: Interface Address Wenn die pfSense und die FB in einem gemeinsamen Netz sind, sollte das funktionieren. Grüße

Ich wollte mal ein Feedback geben: bzgl DNS habe ich noch einige Optionen geprüft. Es hat nichts an dem Verbindungsaufbau geändert. Nun haben wir hier eine Fortigate für diesen Standort bekommen. Da ist auch nichts großartiges eingetragen bzgl DNS und der Aufbau ist so wie er zu erwarten ist; sofort. Evtl lag es an dem PC-PFsense-System....

Hallo, ich habe mittlerweile die Festplatte getauscht. Seitdem läuft die Firewall Der Tipp mit dem Storage war, so scheint es, der richtige. Danke dafür!

Ich habs gelöst. Es haben Phase2 einträge für das OpenVPN Tunnelnetzwerk gefehlt auf beiden Seiten (DC + Local Network). Jetzt funzt der Zugriff :) Vielen Dank anyways

Ist das Thema noch relevant? @Grimson Du machst mir irgendwie Angst.: @krischeu Wenn Du ältere Logs studieren möchtest, dann installiere das "Email Notifications Paket und lass Dir alle 24 Stunden die gewünschten Logs zumailen, Andere Alternative wäre ein syslog-Server auf einen Host wenn vorhanden.

@monstermania said in pfsense installation auf APU2d4: Man muss akzeptieren, dass Netgate mit der HW Geld verdienen muss! Von daher kann ich verstehen, dass man sich eine eigene HW-Plattform aufbaut. Klingt ein bisschen wirr. Was du da schreibst ist in etwa so wie wenn der nächste Tesla Konkurrent mit einem Rollstuhl Motor betrieben wird, und voraussichtlich mehr kostet als ein Model S. Zusammen mit den Zukunftsplänen für pfSense 2.5/3 ist das etwa so, wie wenn besagter Tesla Konkurrent mit eigenem RollstuhlMotorRennstall den Rennsport revolutionieren will. ARM SoC's sind eine äußerst Leistungsfähige Plattform der die Zukunft gehört. Die Bandbreite der positiven Aspekte ist enorm. ARMv8 ist in etwa mit dem Kürzel x86-64 gleichzusetzen. Du kannst nicht sagen nur weil der Kürzel drauf ist, ist es gut. Eine Cortex A53 will Heute keiner mehr in seinem Handy und ist auch für ein RasPi zu schwach. Marvell geht gar nicht. Broadcom ebenso. Eine Katastrophe. Wer will kann ja mal bei Ubiquity -und anderen die darauf gesetzt haben- Erfahrungswerte sammeln. Eine 64Bit SoC muss mit einem 64Bit OS befeuerte werden, ansonsten werden aus den Stärken große Schwächen. 1GB RAM können sich auch Hersteller von Single-Board Computer, TV's und Switches mit SFP+ nicht länger leisten. Selbiges gilt für PoE, mSATA, Verschlüsselungstechnik und Co Netgate hat mit der SG-1100 sicherlich aufs richtig Pferd gesetzt, dabei aber auch viele Fehler gemacht. Sie hätte besser in Israel bei Annapurna angefragt, und zweitens wäre es deutlich besser gewesen sie hätten eine Semi-Business Plattform für pfSense 2.5 und neuer gebaut. //EDIT: Bevor die absehbaren Vorwürfe kommen, möchte ich klarstellen dass sich meinem posts weder auf hatespech noch trolling beziehen. Es geht mehr darum dass sich alte Socken wie ich über Technik Diskreditierung und Pfusch am Bau echauffieren, und Zwangs-gedrungen potentielle Spectre/Meltdown gefährdete Stromschleudern wie eine APU2C4 als besser erklären müssen.

Einem Interface können nur einzelne IP-Adressen (eben auch mehrere) zugewiesen werden, aber nicht eine ganze Range. Nur diese werden vom Alias "This Firewall" erfasst. Ein ganzer Bereich wie 10.0.0.0/8 könnte zwar auf eine (einem Interface zugewiesene) IP geroutet werden, doch wird auf diese Weise auch nicht der ganze Bereich dem Interface bzw. dem Gerät zugewiesen, würde also auch nicht auf den Alias zutreffen. Geroutete IPs könnten nur weiter geroutet oder genattet werden.

@rico said in Zugriff von LAN auf Opt1ermöglichen: Wenn du an der default LAN Regel nichts geändert hast kannst schon jetzt von LAN auf OPT zugreifen. Um aus dem OPT Netz alles zu sperren außer Internet schau mal hier, da war die Selbe Frage und die Lösung dazu: https://forum.netgate.com/topic/139895/gast-regel Danke Rico, hat wunderbar geklappt. Zugriff funktioniert prima. LG

Eine Idee, wie ich das erreiche?

Hallo @be1001, eine Anleitung kann ich dir gerade nicht liefern. Aber versuch mal, ob du mit dem Avahi Package weiter kommst. Das ist für solche Zwecke geeignet. Und lies dich mal generell in Multicast Themen ein. Das hat mit IPv6 nichts zu tun sondern ist IPv4 Traffic an bestimmte Adressen, auf die halt mehrere Geräte hören. Beim Googlen kannst du dich auch an Apple Bonjour halten. Das ist auch Multicast und sicher verbreiteter als KNX. z.B. hier: https://www.youtube.com/watch?v=RPpX34bfk_w Viele Grüße