@simpsonetti said in The system is on a later version than official release.:

pfsense-ce-memstick-ADI-2.4.4-release-amd64.img.gz

Ja, das "ce" steht für community edition. Wenn du die factory Version haben willst wende dich an den Support und du bekommst einen entsprechenden Link. Siehe: https://forum.netgate.com/topic/136960/how-to-register-more-than-1-appliance/2

@viragomann said in ich bitte um hilfe beim verbinden von openvpn mit ipsec:

Die Route nach 192.168.3.0/24 funktioniert doch schon am OpenVPN, wie du im ersten Post schreibst. Den IPSec-Clients musst du diese aber noch beibringen.
Dafür ist entweder, wie JeGR schreibt, eine zusätzliche Phase2 nötig, oder du änderst Netz und Maske in der gesetzten Phase2 auf 192.168.0.0/22.
Könnte Probleme bereiten, wenn diese Subnetze auch auf dem Client genutzt werden.

das problem lies sich mit der anderen subnetzmaske lösen. vielen dank

Das ist natürlich dann auch gut. Ich sehe das nur immer mal wieder, dass gerne das Problem immer bei der Software gesucht wird, anstatt dem Provider mal zu hinterfragen, habe da bei einigen Kunden durchaus immer wieder mal Problemchen bei Telekom Leitungen bei denen es über den Tag dann ein wenig Paket-loss gibt und das Gateway dann rausgenommen wird.

Hallo,

JeGr - danke für deine Rückmeldung. Leider konnte ich es aktiv noch nicht testen, da hier alles im live-Betrieb ist, aber ich habe mein Setting nach deiner Unterstützung hin angepasst. Mal sehen ich ob damit weiter komme. :)

Ich habe jedoch noch ein Problem zu meiner lan2lan bzw. peer2peer VPN. Ich kann dies z.G. ohne Unterbrechung testen, da ich zuhause schon meine alte Firewall gegen die PFSense gewechselt habe. Nun bin ich dabei das erste Szenario zu tesen, wie ich es temporär schaffen könnte eine vpn zwischen pfsense und zeroshell zu bewerkstelligen.
Wenn da jemand etwas Erfahrung und Zeit hätte, kann sich gern einmal hier https://forum.netgate.com/topic/136997/vpn-site-to-site-between-zeroshell-and-pfsense/2 umsehen und mir gerne meine Fehler nennen, sollte hier einer eingeschlichen haben.
Ich weiß zeroshell ist hier nicht das Produkt, aber um die Migration durchführen zu können brauche ich eine Übergangslösung bis ich auch den anderen Standort mit einer pfsensen versehen kann. Wie auch immer, schon im Voraus vielen Dank!

VG, p54

@slu said in 2.4.4 - 2x VDSL über PPPoE | Monitoring eigene WAN IP?:

Hab das mit den beiden IP's probiert, leider kommt dann auch immer wieder ein down obwohl das VDSL da ist.

Dann hat das normalerweise auch gute Gründe, dass dann der Gateway Check das Gateway down nimmt. Ansonsten muss man eben den Check anpassen und die Parameter anpassen. Ich habe bei keinem Kunden mit externen IPs ein Problem, dass "einfach so" eine VDSL Line als down geflaggt wird. Wenn hat das einen guten Grund.

Hab jetzt einfach jeweils die eigene feste WAN IP eingetragen, das ergibt jetzt zwar immer ein Ping von 0ms aber ich kann gut erkennen wann das VDSL weg bricht.

Und was genau soll das bringen? Die IP verliert das Interface nur dann wenn das Interface durchs Modem ggf. komplett wegfällt und gar kein PPPoE mehr geht. Das sind aber die wenigsten Fehlerfälle. Häufiger ist eher die Ursache wie weiter oben, dass der Base Layer mit PPPoE zwar da ist, aber die Verbindung Müll bzw. so schlecht, dass kaum was durchkommt. Und dann soll das GW auch geswitcht werden. Das liest sich für mich eher nach verschlimmbessert ;)

Moin moin,

ist ganz einfach, war auch mein erster NIC Tausch.
Also, die Karten tauschen und beim Booten bemerkt pfSense, dass die Karte(en) neu sind und fragt welche
WAN, LAN usw. ist.

Die Einstellungen im pfSense bleiben alle erhalten.
Ach so die Sicherung vorher nicht vergessen. 😉

Gruß
Christoph

Ja genau, das ist wohl die einfachste Lösung, wenn du ein DynDNS verwendest.

Grundsätzlich kann der Update-Dämon auch auf einem internen Host hinter der Firewall / dem Router laufen. Einige DynDNS-Provider bieten dafür Scripts für verschiedene Plattformen an. Diese müssen nur als Service eingerichtet und konfiguriert werden.

Natürlich, das sind dann immer die Annahmen die man durch Deduction oder sonstwie trifft oder ausschließt, allerdings wäre es schön zu wissen ob es generell auftreten kann oder nicht :)

@foresthus said in BUG - eigene FirewallRegeln, Timelimits und Traffic-shaping:

aber ich konnte auf der Konsole (Monitor direkt an der pfsense angschlossen) beim Update von 2.4.3_p1 auf 2.4.4 diverse Library-Fehler sehen

Dann hast du das Problem, das in verschiedenen Posts hier bereits besprochen wurde mitgenommen, dass deine pfSense bereits ein unvollständiges Update auf 2.4.4 gemacht hatte (weil es Abhängigkeiten bei pfBlocker, Acme etc. gab die dann das PHP Subsystem mitgezogen haben). Danach MUSS ein ordentliches vollständiges 2.4.4 Update gemacht werden um die Fehler zu beseitigen, oder man hat ein halbgares System, das nicht korrekt und vollständig geupdated wurde. Das hast du aber leider nirgends gesagt und beschrieben, sonst hätte ich da direkt auf meinen Post verweisen können, wo ich explizit davor gewarnt habe mit entsprechenden Quellen wie man vorgehen kann.

Zudem finde ich es bei dem großen Sammelsurium an Paketen keine große Überraschung, dass bei einem Update was schief laufen kann bzw. man hier ggf. zweimal nachsehen sollte, ob wirklich alles sauber aktualisiert wurde - zumal du derart viele Packages hast (Squid, Ntop, pfBNG, Snort etc.) die alle in den Filter reingreifen, dass ich persönlich mir da dreimal überlegen würde, ob es nicht an meinem Setup liegt, dass es nicht funktioniert und nicht an einem Bug der übersehen wurde - zumal die Pakete nicht unter Ägide der Netgate Leute stehen, sondern der Community. Sollte man auch immer im Hinterkopf behalten, gerade bei einem größeren Update, was 2.4.4 (trotz kleiner Versionsnummer) ja durchaus (angekündigt) war. Und nein, das ist keine Kritik an dir, sondern lediglich ein Vorschlag zum Debugging für ein nächstes Mal :)

Hast du vor dem ausgraben von alten Threads mal in den angepinnten VOIP Thread geschaut, in dem lauter Lösungen zu VoIP mit Telekom und Co angegeben sind?

Hallo @Sessa45 ,

wenn ich deine Frage richtig verstanden habe, kann pfSense so etwas nicht.
Du meinst wahrscheinlich so etwas wie z. B. SonicWall mit dem SSO Feature umsetzt. Damit ist es dann möglich Firewall-Regeln für Benutzer und Gruppen zu konfigurieren.

Die einzige Möglichkeit so etwas ähnliches zu machen wäre wie @JeGr schon sagt über feste Zuweisungen von IP-Adressen für Benutzer. Das ist allerdings nicht wirklich bequem skalierbar auf größere Netzwerke.

Alternativ kannst du auch, wenn deine Switche 802.1X mit dynamischen VLANs unterstützen, auf der pfSense verschiedene VLANs für die Gruppen anlegen, und die Benutzer vom Switch über 802.1X dynamisch in das gewünschte VLAN stecken lassen. Wäre auf jeden Fall auch eine Idee, wie man das etwas skalierbarer über größere Gruppen hinbekommt.

@mrsunfire ansonsten so:
https://sysadms.de/2018/10/dnssec-vertrauensanker-im-pfsense-dns-resolver-ueberpruefen/
:-)

Bei Unitymedia ist es so dass VOIP über die Unitymedialeitung geroutet werden muss. Würde man über einen anderen ISP routen, ginge VOIP nicht mehr. Daher route ich auch explizit über Unitymedia.

@mug said in Erst Versuche PFSense:

Möchte aber auch nicht Freischnauze drauf loslegen und irgendwas starten.

Wer soll dir das Studium der Grundlagen abnehmen? Die Lebenszeit der am Forum
beteiligten Personen ist nicht unbegrenzt um dir jeden Schritt zu erklären.

Kann es sein, daß du dich mit Netzwerkgrundlagen nicht gut auskennst?
Wenn ja, beginne dort und wende dich später pfSense zu.

Bitte versteh diesen Einwand nicht als Nörgelei sondern als kritische Anmerkung.

LG

Problem hat sich behoben.
Der Switch hatte auf einem Port ein falsches VLAN.
Beide Firewalls funktionieren nun korrekt :)

Dankeschön

@mrsunfire Mit IPSec könnte das in der Tat schwierig werden, für OpenVPN hätte ich allerdigns tatsächlich ein paar Ideen in petto.

Dankeschön, funktioniert.

Thank you, it works.

-teddy

@mrsunfire said in DynDNS IPv6 support:

Die Fritzbox kann inzwischen IPv4 und IPv6 zu DynDNS automatisch updaten. Wieso kann pfSense das nicht?

Kann Sie, die ganze Zeit schon. Warum es mit deinem dyn.com nicht klappt ist ein anderes Problem (was ggf. an dem spezfischen DynDNS Plugin liegt). Ich habe aber keine Probleme 2 DynDNS Einträge anzulegen, einen für v4 und einen für v6 und meinen DNS Eintrag extern aktualisieren zu lassen. Das geht/ging schon die ganze Zeit. Und wie weiter oben bereits beschrieben, wird das einfach an der Eigenheit von dyn.com liegen, dass man nicht beide IPs übermitteln kann, weil sie nur ein guffeliges %IP% in der URL erlauben und da entweder v4 oder v6 drinstehen kann. :)

Ich empfehle eher den Blick auf die 1510, Lanner's PR released gerne neue Hardware bevor die überhaupt an Distributoren oder Reseller rausgeht, die dann mal einen Blick darauf werfen und wissen, welche Variante überhaupt Sinn macht und sie in den Handel aufnehmen. Und die wenigsten Händler bestellen wegen einer einzelnen Kiste. Daher eher wichtig, was du an Anforderungen hast und inwieweit das mit welcher tatsächlich vorhandenen und bestellbaren Hardware abzudecken ist, zudem nicht alles aus dem Katalog bei Lanner für den Desktop/Netzwerk Einsatz gedacht ist, sondern eben bei denen durch Großverträge auch für riesige Abnahmemengen extra designed wurde (und deshalb man auch oftmals Kisten hat, die annähernd ähnliche Specs haben).

Wenn du wegen der 2 SFP Ports schaust -> 1510 gibt es wahrscheinlich in Bälde mit 4x Kupfer, 2x SFP und als 6x Kupfer Variante und wird wohl mit 4 oder 8-Kern Denverton released.

Gruß