Für eine Fernwartung brauchst du ja die aktuelle IP Adresse, also ist die Antwort immer "Ja" wenn diese dynamisch ist. ;-) Tools für die Remoteverwaltung hat pfSense doch per default, nämlich das WebIF und SSH. Allerdings solltest du diese aus Sicherheitsgründen nicht über das Internet erreichbar machen. Der OpenVPN Stack ist extrem robust, ich nutze OpenVPN seit ca. 15 Jahren und kann mich nicht daran erinnern dass es mal abgestürzt war. Richte dir doch zusätzlich zu deiner Site to Site Verbindung noch jeweils eine Remote Access Instanz ein für Fernwartungen, dann hast du pro Standort jeweils zwei Wege um dich verbinden zu können. -Rico

Moin, @sternenwolf es kommt drauf an, was Du erreichen willst: Soll der Server nur aus dem LAN erreichbar sein? Dann Variante 1. Soll der Server aus dem Internet erreichbar sein wäre Variante 2 die bessere Wahl, quasi eine DMZ für arme -teddy

@be1001 said in Neues Modem vor pfsense: AllIP Internet mit VioP und eigener IP Ok, sehe gerade, feste IP nur für Geschäftskunden, geht bei 16 Mbit/s los bis in den Gbit-Bereich, da sind alle Übertragungstechniken vorhanden. Da dein voriges Modem ein VDSL Router ist, würde ich was gleichwertiges nehmen. Wusste gar nicht, dass Allnet VDSL fähige Modelle im Angebot hat, jedenfalls in den Foren nichts gelesen. Wenn es keine anderen Vorschläge gibt, je nach Dringlichkeit nimm den Vigor 130 oder warte auf den Vigor 165, wobei der 130 sich bewährt hat und der 165 noch gar nicht richtig auf dem Markt ist. Und ob der von Anfang an geschmeidig läuft bleibt abzuwarten.

Ist gelöst!! mit dem Update hatte sich das Standardgateway (System/Routing/Gateways) verstellt. Ich route jetzt ales über meinen VPN Tunnel, statt direkt über das WAN-Interface raus. Dann passt es wieder.

@gtrdriver Ja, spezielle Anforderungen bedingen auch spezielle Hardware. Ob so eine Qotom Box > 600 Mbit auf allen Ports schafft!? Wenn mehrere NIC auf einer pci-x lane hängen könnte es damit schwierig werden. Da fehlen mir die Erfahrungen. Ja, VLAN ist eine zusätzliche Fehlerquelle. Aber irgendwann fehlt Dir sowieso immer ein pysikalischer LAN Port . Gruß Dirk PS: Bei uns haben auch 8 LAN Ports irgendwann nicht mehr gereicht.

Alles klar. Danke für die Hilfe.

@laus3r said in Firewall rules greifen nicht: ich stelle noch komplett auf VLANs um, also auch VLAN 1 weg Habe ich inzwischen auch gemacht. "Trunk" ist ein Schlagwort, das einige Hersteller verwenden und das besagt, dass an diesem Port mehrere VLAN übertragen werden (natürlich immer alle tagged). In dem du den Port 1 als tagged für mehrere VLANs setzt, erreichst du genau das. Bei meinem Uralt-Netgear gibt es zwar den Menüpunkt "Trunking", der hat aber nichts mit VLAN zu tun.

Anstatt wget kannst du fetch benutzen. -Rico

@alexander90 said in Site to Site VPN zwischen pfSense und Fritzbox - Tunnel steht aber keine Daten gehen durch: Danke dir! Ich hatte es bislang immer nur mit dem AVM-Tool probiert und es leider nicht zum laufen gebracht. Über die Web-GUI funktioniert es aber. Jap, bei dem AVM Tool muss m.W. auch noch das ein oder andere dann händisch umgestrickt werden im File bevor es wieder eingespielt wird, dann sollen auch bessere Cipher/Hashes laufen aber die o.g. haben zumindest auf Anhieb über die UI funktioniert. Randnotiz: Seltsamerweise war die Kundenbox so drauf, dass sie die Verbindung selbst nie aufbauen konnte (Fehlermeldung im Syslog laut AVM: Auth Token falsch, also der PSK inkorrekt). Sobald die andere Seite die Verbindung aber aufgebaut hat (einmal mit einer alten Kunden-Endian-Instanz und dann mit der neuen pfSense getestet) lief alles problemlos. Schade dass das so ein Problemkind bleibt. Wenn man die Box auf "Receive only" stellen könnte, wäre es sicher einfacher, den Tunnel schnell aufgebaut zu bekommen, so machte er immer 3-5min lang Probleme bis die FB die Versuche einstellt und die pfSense ran lässt ohne "dazwischenzuquatschen". ;)

Leider nicht, ich habe beide Haken aktiviert: "State Killing on Gateway Failure" und "Skip rules when gateway is down" Edit: Jetzt wird die IP-Rule auch nicht mehr nach einem Neustart gezogen... Seltsam... Edit: Ich glaube ich habs. Im DNS Resolver muss DHCP Registration und Static DHCP ausgewählt sein, wenn man Aliase verwenden will...

Jungs, danke für die schnelle Antwort. Ich habe das "Client Export Utility" noch nie live erlebt und war verunsichert, daß ich was falsch gemacht hätte. Euch allen schöne Weihnachten!

Dir könnten sicher mehr Leute helfen, wenn du auch schreibst, was genau dein Problem ist.

Wie soll man das beantworten, wenn nicht mal klar ist welche Hardware du verwendest? -Rico

Verständlich, wobei solche Austausch-Szenarien eigentlich der ideale Zeitpunkt sind, aktiv so eine Baustelle zu beheben und sinnvoll umzubauen. :)