Hi!

Hardware ist auf beiden Seiten die gleiche:

Intel(R) Celeron(R) CPU J3455 @ 1.50GHz
Current: 1500 MHz, Max: 1501 MHz
4 CPUs: 1 package(s) x 4 core(s)
AES-NI CPU Crypto: Yes (active)

Habe auch als ich den anderen Rechner noch hier hatte im Test auch um die ca. 300 MBit geschafft.

Die Anbindungen sind beide native ipv6 Leitungen, also kein 6in4.
Daher nur die Öffentliche ipv6 Adresse und ipv4 läuft über NAT beim Provider.

Gruß

@ceofreak said in pfSense DNS Resolver mit Domain Controller in AWS:

Ich sehe die Clients die in der Domäne sind auch im DC DNS. Allerdings bin ich mir nicht sicher, was ich am DC DNS einstellen muss damit er die DNS einträge aus der pfSense auslesen kann.

Gar nichts ;) Warum sollte der DC die pfSense auslesen für DNS?

@ceofreak said in pfSense DNS Resolver mit Domain Controller in AWS:

Des weiteren habe ich beim pfSense DNS Resolver DNS Query Forwarding disabled. Welche DNS Server nimmt pfSense hier jetzt her? Da ja die queries so NICHT an die DNS Server die unter General Setup defined sind weitergeleitet werden.

Da muss doch nichts "disabled" werden, der Resolver macht von sich aus ja erstmal - er ist Resolver und kein Forwarder - seinen Job. Was hast du denn konkret eingestellt?
Nochmal: Unbound ist Resolver. Ein Resolver leitet nichts weiter, er löst selbst auf. So wie sich das in DNS eben gehört von unten nach oben. "test.domain.tld" -> Lookup von .tld bei den ROOT Servern, dann nachsehen wer domain.tld als SOA betreut und dann da nachfragen nach test.domain.tld - um es grob zu überschlagen. Komplettes auflösen des Domainpfades.

Ich weiß dass pfSense dann die root DNS Server frägt, aber welche sind das?

Die DNS Root Server des Internets. Es gibt keine anderen Root Server.
Das sind momentan die Server A bis M wobei die meisten inzwischen jetzt Anycast Server sind.

Wäre cool wenn mir jemand helfen könnte das Ganze besser zu verstehen und eine saubere Lösung hinzubekommen.

Bekommen wir sicher hin ;)

@athurdent said in Ständiger Neustart des DNS Resolvers:

Es sind leider doch Restarts, das Ticket hier ist immer noch offen:
https://redmine.pfsense.org/issues/5413

Ah danke, gut zu wissen. Sah in meinen Logs eher noch Reload für Änderungen aus. Aber stimmt, das ist dann sehr unschick. Denke ich werde da auch einige spezifische Kisten manuell hinzufügen und den Rest via DHCP verwerfen. Macht bei vielen Clients eh keinen Sinn, dass die per DNS erreichbar sind. Gerade Mobile Sachen sind da unnötig.

@athurdent said in Ständiger Neustart des DNS Resolvers:

Es gibt übrigens tatsächlich Geräte, die genau sowas machen. Ein Apple TV 4K verbunden via Ethernet z.B. https://discussions.apple.com/message/32876461

Urks das klingt in der Tat mega häßlich. Warum sollte vor allem ein Gerät, was ggf. kabelgebunden ist ständig off/online gehen. Die Stromsparmaßnahmen vom Ethernet Port sind nun wirklich minimal und gerade bei Streaming Boxen ist es doch sinnvoller dass die Kisten gleich wieder aktiv sind. Aber gut zu wissen, da muss man bei Unbound also noch ein wenig Feintuning betreiben.

Zu Anfang bei Eröffnung ging auch 0 durch erst während des nliegens veränderte sich das Bild.

Habe kein Zusatz packet installiert

@baunty said in PFsense Zyxel Speedlink 5501:

die Lan Leitung war defekt

Nun, solche Dinge passieren immer mal wieder zur unpassenden Zeit.

LG

Ich danke euch Allen für diese Ratschläge und Einschätzungen. Ich werde somit mal die Zeit arbeiten lassen und schauen, was die Zukunft mit sich bringt. Irgendwann wird sich sicher eine Lösung präsentieren :)

HPE 1620-24G
Sehr zufrieden damit. Gibt es auch als kleinere Variante.
Verbraucht als 24 Port nur 13Watt. Das war mir bei der Auswahl sehr wichtig.

WAN ist nicht RFC1918 - also keine privaten IPs. Gibt genug Dienste die default bestimmte IP Ranges ausnehmen bzw. blocken weil davon eigentlich kein Traffic kommen soll. Daher würde ich erstmal den Dienst sicherstellen. Ich weiß ja leider nicht was da eigentlich für ne Kiste in der DMZ steht und wie die konfiguriert ist, da bist du ja generell eher spärlich an Informationen ;)

Zumal ich mich wundere wie du vom WAN aus mit der einen Regel auf eine private Adresse in der DMZ zugreifen willst, wenn du nicht auf dem WAN auch was privates aufliegen oder ein Forwarding definiert hast - dann würde aber die Regel keinen Sinn machen, da Forwards automatische Regel anlegen.

Damit bleibt meine Ursprungsaussage: ZU wenig Details und Infos für eine ordentliche Analyse.

Hmm witzig, dass die meisten Leute immer mit Clients argumentieren. Wichtig ist doch eher, was kann der Anschluß an Bandbreite bringen bzw. was muss die Firewall dann an Mega/Gigabit und Pakete pro Sekunde verarbeiten ;) Das und natürlich was davon rechenintensiv wie VPN oder Snort und Co reinschlägt. Aber selbst Snort und VPN sind bei bspw. 2MBit/s pillepalle, das packt dann jede APU1 noch im Schlaf ;)

Daher: Nicht Clients sondern Bandbreite ist mit das Hauptargument und ob ihr die volle Bandbreite auch abrufen wollt/müsst (bspw. bei VPN). 400/20Mbps Kabel Internet im Down/Up? Klar kein Problem. Das auch Vollverschlüsseln? Oh wait... 400Mbps bei kleinen Paketgrößen also ordentlich pps ist schon anstrengend, da kommt auch der C2000 Atom schon ein wenig ins Schwitzen (je nach VPN). Daher ist das eigentlich eher die Nenngröße, nach der ich meistens die Geräte schonmal grob vorselektiere :)

Also wenn du noch was warten kannst und dein Budget ausreizt ... soll da bald eine sehr sehr schöne C3000 Denverton Alternative zur SG5100 erscheinen. Wird zwar teuer aber nicht so teuer wie die SG5100 nach dem was mir zu Ohren kam - und damit hättest du einen sehr ordentlich schnellen Chipsatz, 4/2 oder 6 Gigabit Ports (4 RJ45/2 SFP oder 6 RJ45) und sicher viel Spaß ;)

Ich bin mit meiner scope7-7525 extrem zufrieden. Teures Spielzeug, sicher. Und 6 Gigabit Ports sind sicher auch oversized. Aber für meinen Betrieb sicher die nächsten Jahre nicht kleinzukriegen. Ist zwar noch der "alte" C2558 4-Kerner, aber der wuppert auch ordentlich was durch den Äther. Wenn ich jetzt suchen würde, würde ich aber ggf. auf die 3000er warten und dann in Zukunft + Ruhe investieren :)

Gruß

Moin,

@noplan said in Hardwareupdate:

... wo krieg ich für unsere Küche ein Nudelholz aus Marmor her ;)

Glaub mir, das willst Du nicht wirklich anschaffen, ganz schnell wendet es sich gegen dich ⛑
Je nach Potenzial und Wut des Nudelholzschwingers wird es ganz schnell vom Beulenmacher 🤕 zum Dellenmacher 💀

-teddy

Schön gesagt, trotzdem nochmal (auch an alle) der Hinweis:

Wenn euer Problem gelöst wurde, tut allen einen Gefallen und ändert euren Topic Titel (wie hier bspw. mit [Solved]) und auch wenn der Button klein ist - gönnt eurem/euren Helfer(n) doch auch einen 👍 für die Hilfe 😉

Hallo viragomann,

ich habe deine Änderungen umgesetzt. Die Schlüssellänge ist wunderbar kleiner geworden.

Bei der Anzahl der Geräte hatte ich bereits 100 eingegeben. Trotzdem gingen beim letzten Test ja nur 12 Geräte. Ich habe die Anzahl auf 30 reduziert und werde das bei der nächsten Klasse beobachten. Vielleicht lag es ja auch an den einzelnen SchülerInnengeräten.

Also vielen Dank für deine Hilfe!

super, danke!

Ja, läuft jetzt. Nochmals danke.👍

@cantor said in Verständnisfrage (eines Anfängers) zu Portweiterleitung:

In meiner Unkenntnis war ich der Meinung, die Verbindung des Mobiltelefons geht - auch wenn diese über openVPN läuft - am WAN-Interface ein, so dass die dortige Portweiterleitung ausreichen sollte.

Wenn du den gesamten Traffic über die VPN routest ("Redirect gateway" angehakt), geht natürlich auch die Verbindung zur WAN-IP über die VPN.
Dann ist auch die zusätzliche NAT-Regel am OpenVPN-Interface nötig. Alternativ kannst du aber auch NAT-Reflection verwenden.

Wie kann ich das oben erreichte Szenario nun erreichen?

Warum? Hast du doch schon:

LDAP soll auf einem AD prüfen, ob der Benutzer darf. Wenn ja, alles gut.

Sprich, ich habe den Login über "Diagnostics -> Authentication" bereits erfoglreich für beide im AD hinterlegte Nutzer testen können.

Somit hast du doch was du wolltest - auth via LDAP/AD.

Im Grunde fehlt nur noch die Einrichtung eines Certs für den VPN Client, damit dieser ins Netz kann, oder?

Was hat das mit der Problemstellung zu tun? Ob Clients ein Zertifikat nutzen oder nicht bestimmt der konfigurierte OpenVPN Server (User+Pass oder User+Pass+Zert). Ansonsten hat das mit nichts weiter zu tun.

Es wäre aber ggf. sinnvoll den Auth-String des LDAP Calls so abzuändern, dass eben NUR Benutzer A läuft und nicht Benutzer B. Oder soll generell sowieso jeder Nutzer vom LDAP auch sich am VPN anmelden dürfen? Dafür gäbe es ja sinnvollerweise in den meisten LDAP/AD Strukturen extra Gruppen die das Regeln (VPN Nutzer, SSH Nutzer, Login Nutzer, etc.)

Gruß

@perforado said in SSDs "verschwinden" aus zpool -> pfSense "hängt":

Das Problem tritt nur während der normalen Geschäftszeiten und häufig gegen 0900, 1300 oder 1630 auf.

Also normalerweise würde ich auch mal sagen, komplett andere Hardware (oder mal virtuell zum Test), aber die Zeiten lesen sich seltsam vertraut. Klingt irgendwie nach "kommt morgens, macht mittag, (kurz vor) geht nachmittags" also ziemlich "menschliches" Zeitfenster. Wirkt sehr seltsam.

Der vor Ort GF möchte nun den IT-Dienstleister wechseln (den damit 5ten Dienstleister!) und auch gleich die pfSense gegen eine "Fritzbox, mit der ja immer alles funktionieren würde" oder sonstiges tauschen.

Da muss ich @Gladius beipflichten. Wenn man eh schon Gegenwind hat bei sowas, weil jemand partout nicht von etwas zu überzeugen ist, dann wird der Einsatz schwer, weil jedes Fitzelchen das nicht genau so wie bei AVM funktioniert, gleich auf die Goldwaage gelegt wird. Entweder man hat dann schweres Geschütz (was Features etc. angeht, die die Fritte einfach nicht kann) oder es wird echt mühselig. Manche müssen leider erst einen Tod sterben, bevor sie für was anderes bereit sind.

Gruß

@bahsig said in High Availibility Failover unterbricht SSH Verbindung:

Hallo,

also dass man beim Failover Packetloss hat, ist normal. Beim Ping gehen bei mir 2-3 Pakete während des Wechsels auf die Backup Sense verloren. Sobald der Vorgang jedoch abgeschlossen ist, läuft Ping positiv weiter. Ich tippe mal, dass der Wechsel bei dir einfach zu lange dauert, weshalb dann die SSH Verbindung denkt, der Host wäre down. Da du vSphere verwendest, gehe ich davon aus, dass du die vSwitches entsprechend dieser Anleitung konfiguriert hast.

Hi bahsig,

erstmal vielen Dank für deine Antwort.
Für die pfSense habe ich hier 2 Netgate Boxen, aber die Hosts laufen auf eine virtuellen Umgebung.
Nach der Anleitung habe ich es mal versucht, jedoch hat es nicht wirklich viel geholfen.
Ich verliere trotzdem die SSH Verbindung bzw. komplette Internetverbindung auf den Hosts (sowohl virtuelle als auch physische).

Habe mir gerade Squid angeschaut und leider nichts gefunden wo ich das Konfigurieren kann.
Hat da jemand schon ein HowTo für geschrieben?