@ryrze said in PfSense auf deutsch?:

@jegr Okay danke für die schnelle Antwort. Wie kann ich das Thema schließen?

Gar nicht, passt so :)

@rico said in PfSense auf deutsch?:

Hammer, die Option habe ich echt noch nie noticed.

Sachen gibt's, die gibt's gar nicht 😄

@mrsunfire said in Unitymedia IPv6 Prefixe mit FritzBox jetzt auf pfSense nutzbar:

Wie machst Du mit pfBlocker GeoIP wenn an WAN nur RFC1918 Adressen ankommen?

Ist das eine ernstgemeinte Frage oder ein Trollversuch? Das muss ich jetzt wirklich mal fragen, denn die Aussage ist schon ziemlicher Unsinn. Der vorgeschaltete Router (egal welcher) leitet doch ALLE Requests platt an die interne IP durch. Der schreibt doch nicht alles auf private Adressen um? Wie kommst du auf die Idee? Mit einem exposed Host Setting (oder wie auch immer es bei anderen Routern heißt) kommen logischerweise nach wie vor alle Verbindungen von außen mit der Public Source Adresse an. Nur kommen sie eben nicht auf xx.yy.aa.bb (publicIP) auf dem WAN an, sondern eben bspw. auf 192.168.178.2. Ansonsten wäre die Methode auch nicht praktikabel und komplett widersinnig.

Nun mit der Ansicbt muss man jedoch sowieso hinterfragen warum man überhaupt pfSense nutzt

Weil ich jeglichen Traffic der IN und AUS meinem Netz kommt kontrollieren bzw. reglementieren möchte? Weil ich VLANs habe mit der eine Consumer Box nichts anfangen kann? <hier weitere 10 Punkte einfügen>

Ich habe lediglich hinterfragt, was man unbedingt im privaten Kontext - und mein OP bezog sich eher auf private/semipro Nutzung als auf Firmen, die da meist nen Geschäftskundenanschluß haben und demzufolge dann auch statische Adressen und Prefixe - mit einem IDS anfangen will, was Deep Inspection Layer 7 macht. Ich sehe den Sinn natürlich wenn ich selbst Dienste anbiete und hier potentielle Injections etc etc. habe. Aber wenn alles was ich nach außen anbiete mein VPN und SSH Port sind und alles andere "Standardtraffic" ist - wofür mach ich dann ein IDS an geschweige denn ein IPS? Das wollte ich tatsächlich hinterfragen, denn ich sehe ständig sowohl bei OPN als auch PFsense Leute im Heimbereich, die da auf APUs mit IDS/IPS rumspielen und frage mich ernsthaft: warum?

Die Fehlerkorrekturen der Fritzboxen sind so schlecht dass die Nachbarn sehr oft ohne Internet dastehen wo mein Anschluss noch läuft. Leider kommt es im Kabelnetz nun mal häufig zu Ingress.

OK das mag tatsächlich so sein, kann ich aus unserem Umfeld eben so überhaupt nicht nachvollziehen, kann also vielleicht auch durch Region oder Bundesland anders sein. Kenne ich aber so nicht.

wenn man sich davor eine Kiste holt die macht was sie will und man nur gefiltertes undefiniertes Zeug bekommt.

Vielleicht kann man das ausführen anstatt zu polemisieren. Ich bekomme auch nichts gefiltert oder undefiniert. Sicherlich ist die Kabelfritte vielleicht nicht der beste Client, der schlimmste aber sicherlich auch nicht. Und genau deshalb - weil ich selbst meist predige, dass ich Providerrouter oder Endgeräte im Netz des ISPs (also auch ein Modem) als "rogue" bzw. Teil des Internets und damit potentiell unsicher sehe, gehört hintendran ein Gerät dem ich vertrauen kann.
Ich "hole" mir zudem gar nichts. Ich bekomme gestellt und nutze was ich habe, damit ich besseren/schnelleren Support bekomme. Und damit meine ich in den meisten Fällen nicht, was du oben schriebst, dass da ein Techniker antanzt. Den zu bekommen ist keine Kunst. Es geht darum, den Jungs klarzumachen, dass das Problem bei Ihnen liegt. Und das ist schon schwer genug, weil man als Privatkunde im Topf der "normalen User" ist und Programm X abgespult wird. Man braucht in der Regel 2-3 Calls bis man endlich (wenn überhaupt) mal nen Techniker abbekommt der das Problem dann versteht. (Routing Probleme ab 16Uhr, Routing Loops für bestimmte Ziele etc. - alles Probleme die nicht am Anschluß liegen, wo es also nichts bringt dass ein Techniker antanzt). Und genau dann ist es einfacher mit dem zu Leben was man bekommt, denn dann hat auch deren "Support" am Callcenter verstanden "Hey die Fritte vor Ort sagt OK, wir sehen mit dem Leitungstest kein Problem, aber der zeigt uns da grad Graphen und Logs dass seine Verbindung voll im Arsch ist. Hmm muss mal eskaliert werden." Die meisten Supporter machen aber schon dicht, wenn eben ein Fremdgerät verwendet wird, "Leitung OK - oh ihr Gerät sagt schlecht? Dann liegt das garantiert am Gerät, tauschen sie das mal aus!"

Als Schlußsatz - auch wenn das jetzt ein wenig OT alles war - noch die Anmerkung, dass ich den Text gestern abend schnell vom Telefon aus gepostet hatte, daher kam der vielleicht "ernster" rüber als gemeint. Ich versuche hier meist niemanden persönlich anzugreifen und die Fragen die ich stelle sind ernst gemeint. Dir sei deine Meinung auch gern und völlig frei zugestanden, ich versuche nur zu hinterfragen und rauszufinden, wo ggf. Dinge herkommen. Und wenn ich dann Antworten bekomme wie Puma6 und Co. forsche ich dann eben nach. Und offensichtlich ist das ja schon länger kein Thema mehr. IDS vielleicht schon, trotzdem frage ich warum weils mich interessiert. Das ist kein Grund dann polemisch zu werden, wenn du nicht weiter diskutieren möchtest, ist das auch OK, aber dann lass uns trotzdem bitte auf nem gesunden Diskussions-Niveau bleiben. Ich diskutiere auch oft gern und heiß ;) Aber dann bleiben eben Punkte offen - wir müssen ja nicht alle der gleichen Meinung sein :)

Danke für die Infos habe des jetzt erstmal so gelöst indem ich alle hosts die ich gefunden habe und ein IP Bereich in den Alias gepackt habe.
Aktuell klappt das ohne probleme mit Opera zumindest (Firefox nicht evtl. Wegen videojs) :-D

Bin noch recht neu bei pfsense immer Stück für Stück und so spezielle Sachen findet man so nicht im forum oder so

@viragomann said in OpenVPN Regel für einen User:

@jegr
Interessant. Danke. So wird FreeRadius vielleicht auch mal für mich interessant. ☺
Warum es die Einschränkung auf TLS Auth überhaupt gab, ist mir ohnehin unklar. Der Username der lokalen Datenbank muss ja ebenso eindeutig sein.

Ich mutmaße, dass das von OpenVPN her rührt und das dort nur gegen den certificate CN gebaut war/wurde. Hatte das selbst nicht auf dem Radar und dachte von früher noch, dass es nicht geht/ging und hatte das dann erst beim Kunden gesehen, der das selbst so konfiguriert hatte (weil er eben nicht wusste, dass es nicht gehen soll 🤣)

@hattabatatta

Wenn es natürlich eine Alternative gibt, die ähnlich leicht zu bedienen ist ... nur her damit.

pfBlockerNG mit DNSBL tut das - und mehr, weil es nicht nur wie PiHole DNS Abfragen umleitet sondern auch Layer 3 IP blocken kann. Daher zu deiner Frage der Alternative:

Mach es mit dem Pi Hole - ich hab mir am Samstag extra mal auf nem alten Pi1B einen installiert. (was tut man nicht alles...) Zum einen kannst du die pfSense da als Fowarder eintragen und den Split DNS dann auf der pfSense pflegen, zum anderen kannst du problemlos auch beim PiHole deine DNS Antwort auf bestimmte Fragen hinterlegen.
Wenn du also intern domain.xyz erreichen willst auf der 192.168.1.10, dann kannst du das entweder direkt in der /etc/hosts des PI eintragen, du kannst ein Domain Overwrite für eine Domain/Hostnamen machen (in der UI) oder du haust das hier für den PiHole in die Tasten: # manuelles Einfügen eines Hostnamens mit IP pihole -a -r domain.xyz 192.168.1.10 # zum Löschen aller Hostnamen pihole -a -r Du kannst die Funktion auch versuchen nachzubilden, indem du pfBlockerNG(-devel) nutzt. Ich würde momentan -devel nuzten, da hier wesentlich mehr Funktion und UI schon vorhanden ist und auch mit vordefinierten Blocklisten zum einfachen abonnieren die Bedienung wesentlich leichter ist. Ist aber insgesamt auch was, mit dem man sich mal ein bisschen beschäftigen sollte. Und hat natürlich nicht so ein schönes Dashboard wie der Pi. Aber man spart sich dann die zwei-stufige Lösung.

Gruß

Den Wald vor lauter Bäumen nicht mehr sehen 😌
Ok das wars. Ich hab mich schon gewundert, warum sich die Systeme dort nicht melden.
Ok, hätte ich nicht gedacht. Danke :)

@m0nji said in Whitelist-Ansatz für Windows- und Programmebene: Allen nicht explizit legitimierten (ausgehenden) Datenverkehr unterbinden:

@jegr said in Whitelist-Ansatz für Windows- und Programmebene: Allen nicht explizit legitimierten (ausgehenden) Datenverkehr unterbinden:

Snort+OpenAppID

Application Filtering on pfSense ist vollkommen an mir vorbei gegangen. Danke für die Richtigstellung.

Kein Problem, gerne. Steht leider noch auf meinem ToDo Zettel zum Testen aber leider dank Krankheit und Arbeit noch nicht dazu gekommen ;)

Hi,

es wird erst zu EINEM VLAN7, wenn du auch eine Bridge dazwischen konfigurierts. Sonst sind das getrennte Interface zwischen denen geroutet wird inkl Firewall 8default alles geblockt)

Ob der Speedport tatsächlich kein VLAN7 auf dem WAN kann oder ob man es gar nicht ausschalten kann, da wäre ich jetzt vorsichtig. Ich schätze letzteres.

Gruß
pfadmin

Problem gelöst!

Hatte den falschen Port verwendet.
Cisco verwendet default Port 1645,
freeradius auf der pfSense default 1812.

Firewall > NAT > Outbound

Damit eine individuelle Regel angewandt wird, musst der Modus auf Hybrid oder Manuell gestellt sein. Falls es im automatischen Modus arbeitet, schalte erst auf Hybrid und speichere das.

Dann erstelle eine neue Regel:
Interface: LAN (oder eben jenes, auf dem das NAS hängt)
Source: Network und deine Quell-IP, also 192.168.1.40/32, oder auch dein ganzes lokale Netz, wenn du das möchtest.
Destination: die NAS-IP
Translation: Interface Address

Dieses speichern, dann sollte es klappen.
Das Transferiert dann die Quell-IP in Paketen, die fürs NAS bestimmt sind, in die Interface-IP der pfSense, Antwort-Pakete transferiert sie dann wieder entsprechend zurück.

Vielen Dank viragomann. Dann verstehe ich den Invert match. Hacken jetzt auch👍
Somit ist mein Problem gelöst. Vielen Dank Euch allen für die schnelle Hilfe.

Gruß Christian

@simpsonetti said in The system is on a later version than official release.:

pfsense-ce-memstick-ADI-2.4.4-release-amd64.img.gz

Ja, das "ce" steht für community edition. Wenn du die factory Version haben willst wende dich an den Support und du bekommst einen entsprechenden Link. Siehe: https://forum.netgate.com/topic/136960/how-to-register-more-than-1-appliance/2

@viragomann said in ich bitte um hilfe beim verbinden von openvpn mit ipsec:

Die Route nach 192.168.3.0/24 funktioniert doch schon am OpenVPN, wie du im ersten Post schreibst. Den IPSec-Clients musst du diese aber noch beibringen.
Dafür ist entweder, wie JeGR schreibt, eine zusätzliche Phase2 nötig, oder du änderst Netz und Maske in der gesetzten Phase2 auf 192.168.0.0/22.
Könnte Probleme bereiten, wenn diese Subnetze auch auf dem Client genutzt werden.

das problem lies sich mit der anderen subnetzmaske lösen. vielen dank

Das ist natürlich dann auch gut. Ich sehe das nur immer mal wieder, dass gerne das Problem immer bei der Software gesucht wird, anstatt dem Provider mal zu hinterfragen, habe da bei einigen Kunden durchaus immer wieder mal Problemchen bei Telekom Leitungen bei denen es über den Tag dann ein wenig Paket-loss gibt und das Gateway dann rausgenommen wird.

Hallo,

JeGr - danke für deine Rückmeldung. Leider konnte ich es aktiv noch nicht testen, da hier alles im live-Betrieb ist, aber ich habe mein Setting nach deiner Unterstützung hin angepasst. Mal sehen ich ob damit weiter komme. :)

Ich habe jedoch noch ein Problem zu meiner lan2lan bzw. peer2peer VPN. Ich kann dies z.G. ohne Unterbrechung testen, da ich zuhause schon meine alte Firewall gegen die PFSense gewechselt habe. Nun bin ich dabei das erste Szenario zu tesen, wie ich es temporär schaffen könnte eine vpn zwischen pfsense und zeroshell zu bewerkstelligen.
Wenn da jemand etwas Erfahrung und Zeit hätte, kann sich gern einmal hier https://forum.netgate.com/topic/136997/vpn-site-to-site-between-zeroshell-and-pfsense/2 umsehen und mir gerne meine Fehler nennen, sollte hier einer eingeschlichen haben.
Ich weiß zeroshell ist hier nicht das Produkt, aber um die Migration durchführen zu können brauche ich eine Übergangslösung bis ich auch den anderen Standort mit einer pfsensen versehen kann. Wie auch immer, schon im Voraus vielen Dank!

VG, p54

@slu said in 2.4.4 - 2x VDSL über PPPoE | Monitoring eigene WAN IP?:

Hab das mit den beiden IP's probiert, leider kommt dann auch immer wieder ein down obwohl das VDSL da ist.

Dann hat das normalerweise auch gute Gründe, dass dann der Gateway Check das Gateway down nimmt. Ansonsten muss man eben den Check anpassen und die Parameter anpassen. Ich habe bei keinem Kunden mit externen IPs ein Problem, dass "einfach so" eine VDSL Line als down geflaggt wird. Wenn hat das einen guten Grund.

Hab jetzt einfach jeweils die eigene feste WAN IP eingetragen, das ergibt jetzt zwar immer ein Ping von 0ms aber ich kann gut erkennen wann das VDSL weg bricht.

Und was genau soll das bringen? Die IP verliert das Interface nur dann wenn das Interface durchs Modem ggf. komplett wegfällt und gar kein PPPoE mehr geht. Das sind aber die wenigsten Fehlerfälle. Häufiger ist eher die Ursache wie weiter oben, dass der Base Layer mit PPPoE zwar da ist, aber die Verbindung Müll bzw. so schlecht, dass kaum was durchkommt. Und dann soll das GW auch geswitcht werden. Das liest sich für mich eher nach verschlimmbessert ;)

Moin moin,

ist ganz einfach, war auch mein erster NIC Tausch.
Also, die Karten tauschen und beim Booten bemerkt pfSense, dass die Karte(en) neu sind und fragt welche
WAN, LAN usw. ist.

Die Einstellungen im pfSense bleiben alle erhalten.
Ach so die Sicherung vorher nicht vergessen. 😉

Gruß
Christoph

Ja genau, das ist wohl die einfachste Lösung, wenn du ein DynDNS verwendest.

Grundsätzlich kann der Update-Dämon auch auf einem internen Host hinter der Firewall / dem Router laufen. Einige DynDNS-Provider bieten dafür Scripts für verschiedene Plattformen an. Diese müssen nur als Service eingerichtet und konfiguriert werden.

Natürlich, das sind dann immer die Annahmen die man durch Deduction oder sonstwie trifft oder ausschließt, allerdings wäre es schön zu wissen ob es generell auftreten kann oder nicht :)