WAN ist nicht RFC1918 - also keine privaten IPs. Gibt genug Dienste die default bestimmte IP Ranges ausnehmen bzw. blocken weil davon eigentlich kein Traffic kommen soll. Daher würde ich erstmal den Dienst sicherstellen. Ich weiß ja leider nicht was da eigentlich für ne Kiste in der DMZ steht und wie die konfiguriert ist, da bist du ja generell eher spärlich an Informationen ;)

Zumal ich mich wundere wie du vom WAN aus mit der einen Regel auf eine private Adresse in der DMZ zugreifen willst, wenn du nicht auf dem WAN auch was privates aufliegen oder ein Forwarding definiert hast - dann würde aber die Regel keinen Sinn machen, da Forwards automatische Regel anlegen.

Damit bleibt meine Ursprungsaussage: ZU wenig Details und Infos für eine ordentliche Analyse.

Hmm witzig, dass die meisten Leute immer mit Clients argumentieren. Wichtig ist doch eher, was kann der Anschluß an Bandbreite bringen bzw. was muss die Firewall dann an Mega/Gigabit und Pakete pro Sekunde verarbeiten ;) Das und natürlich was davon rechenintensiv wie VPN oder Snort und Co reinschlägt. Aber selbst Snort und VPN sind bei bspw. 2MBit/s pillepalle, das packt dann jede APU1 noch im Schlaf ;)

Daher: Nicht Clients sondern Bandbreite ist mit das Hauptargument und ob ihr die volle Bandbreite auch abrufen wollt/müsst (bspw. bei VPN). 400/20Mbps Kabel Internet im Down/Up? Klar kein Problem. Das auch Vollverschlüsseln? Oh wait... 400Mbps bei kleinen Paketgrößen also ordentlich pps ist schon anstrengend, da kommt auch der C2000 Atom schon ein wenig ins Schwitzen (je nach VPN). Daher ist das eigentlich eher die Nenngröße, nach der ich meistens die Geräte schonmal grob vorselektiere :)

Also wenn du noch was warten kannst und dein Budget ausreizt ... soll da bald eine sehr sehr schöne C3000 Denverton Alternative zur SG5100 erscheinen. Wird zwar teuer aber nicht so teuer wie die SG5100 nach dem was mir zu Ohren kam - und damit hättest du einen sehr ordentlich schnellen Chipsatz, 4/2 oder 6 Gigabit Ports (4 RJ45/2 SFP oder 6 RJ45) und sicher viel Spaß ;)

Ich bin mit meiner scope7-7525 extrem zufrieden. Teures Spielzeug, sicher. Und 6 Gigabit Ports sind sicher auch oversized. Aber für meinen Betrieb sicher die nächsten Jahre nicht kleinzukriegen. Ist zwar noch der "alte" C2558 4-Kerner, aber der wuppert auch ordentlich was durch den Äther. Wenn ich jetzt suchen würde, würde ich aber ggf. auf die 3000er warten und dann in Zukunft + Ruhe investieren :)

Gruß

Moin,

@noplan said in Hardwareupdate:

... wo krieg ich für unsere Küche ein Nudelholz aus Marmor her ;)

Glaub mir, das willst Du nicht wirklich anschaffen, ganz schnell wendet es sich gegen dich ⛑
Je nach Potenzial und Wut des Nudelholzschwingers wird es ganz schnell vom Beulenmacher 🤕 zum Dellenmacher 💀

-teddy

Schön gesagt, trotzdem nochmal (auch an alle) der Hinweis:

Wenn euer Problem gelöst wurde, tut allen einen Gefallen und ändert euren Topic Titel (wie hier bspw. mit [Solved]) und auch wenn der Button klein ist - gönnt eurem/euren Helfer(n) doch auch einen 👍 für die Hilfe 😉

Hallo viragomann,

ich habe deine Änderungen umgesetzt. Die Schlüssellänge ist wunderbar kleiner geworden.

Bei der Anzahl der Geräte hatte ich bereits 100 eingegeben. Trotzdem gingen beim letzten Test ja nur 12 Geräte. Ich habe die Anzahl auf 30 reduziert und werde das bei der nächsten Klasse beobachten. Vielleicht lag es ja auch an den einzelnen SchülerInnengeräten.

Also vielen Dank für deine Hilfe!

super, danke!

Ja, läuft jetzt. Nochmals danke.👍

@cantor said in Verständnisfrage (eines Anfängers) zu Portweiterleitung:

In meiner Unkenntnis war ich der Meinung, die Verbindung des Mobiltelefons geht - auch wenn diese über openVPN läuft - am WAN-Interface ein, so dass die dortige Portweiterleitung ausreichen sollte.

Wenn du den gesamten Traffic über die VPN routest ("Redirect gateway" angehakt), geht natürlich auch die Verbindung zur WAN-IP über die VPN.
Dann ist auch die zusätzliche NAT-Regel am OpenVPN-Interface nötig. Alternativ kannst du aber auch NAT-Reflection verwenden.

Wie kann ich das oben erreichte Szenario nun erreichen?

Warum? Hast du doch schon:

LDAP soll auf einem AD prüfen, ob der Benutzer darf. Wenn ja, alles gut.

Sprich, ich habe den Login über "Diagnostics -> Authentication" bereits erfoglreich für beide im AD hinterlegte Nutzer testen können.

Somit hast du doch was du wolltest - auth via LDAP/AD.

Im Grunde fehlt nur noch die Einrichtung eines Certs für den VPN Client, damit dieser ins Netz kann, oder?

Was hat das mit der Problemstellung zu tun? Ob Clients ein Zertifikat nutzen oder nicht bestimmt der konfigurierte OpenVPN Server (User+Pass oder User+Pass+Zert). Ansonsten hat das mit nichts weiter zu tun.

Es wäre aber ggf. sinnvoll den Auth-String des LDAP Calls so abzuändern, dass eben NUR Benutzer A läuft und nicht Benutzer B. Oder soll generell sowieso jeder Nutzer vom LDAP auch sich am VPN anmelden dürfen? Dafür gäbe es ja sinnvollerweise in den meisten LDAP/AD Strukturen extra Gruppen die das Regeln (VPN Nutzer, SSH Nutzer, Login Nutzer, etc.)

Gruß

@perforado said in SSDs "verschwinden" aus zpool -> pfSense "hängt":

Das Problem tritt nur während der normalen Geschäftszeiten und häufig gegen 0900, 1300 oder 1630 auf.

Also normalerweise würde ich auch mal sagen, komplett andere Hardware (oder mal virtuell zum Test), aber die Zeiten lesen sich seltsam vertraut. Klingt irgendwie nach "kommt morgens, macht mittag, (kurz vor) geht nachmittags" also ziemlich "menschliches" Zeitfenster. Wirkt sehr seltsam.

Der vor Ort GF möchte nun den IT-Dienstleister wechseln (den damit 5ten Dienstleister!) und auch gleich die pfSense gegen eine "Fritzbox, mit der ja immer alles funktionieren würde" oder sonstiges tauschen.

Da muss ich @Gladius beipflichten. Wenn man eh schon Gegenwind hat bei sowas, weil jemand partout nicht von etwas zu überzeugen ist, dann wird der Einsatz schwer, weil jedes Fitzelchen das nicht genau so wie bei AVM funktioniert, gleich auf die Goldwaage gelegt wird. Entweder man hat dann schweres Geschütz (was Features etc. angeht, die die Fritte einfach nicht kann) oder es wird echt mühselig. Manche müssen leider erst einen Tod sterben, bevor sie für was anderes bereit sind.

Gruß

@bahsig said in High Availibility Failover unterbricht SSH Verbindung:

Hallo,

also dass man beim Failover Packetloss hat, ist normal. Beim Ping gehen bei mir 2-3 Pakete während des Wechsels auf die Backup Sense verloren. Sobald der Vorgang jedoch abgeschlossen ist, läuft Ping positiv weiter. Ich tippe mal, dass der Wechsel bei dir einfach zu lange dauert, weshalb dann die SSH Verbindung denkt, der Host wäre down. Da du vSphere verwendest, gehe ich davon aus, dass du die vSwitches entsprechend dieser Anleitung konfiguriert hast.

Hi bahsig,

erstmal vielen Dank für deine Antwort.
Für die pfSense habe ich hier 2 Netgate Boxen, aber die Hosts laufen auf eine virtuellen Umgebung.
Nach der Anleitung habe ich es mal versucht, jedoch hat es nicht wirklich viel geholfen.
Ich verliere trotzdem die SSH Verbindung bzw. komplette Internetverbindung auf den Hosts (sowohl virtuelle als auch physische).

Habe mir gerade Squid angeschaut und leider nichts gefunden wo ich das Konfigurieren kann.
Hat da jemand schon ein HowTo für geschrieben?

@bordi said in Die Zensur der Regierung umgehen:

Gibt es was ähnliches, oder wurde ähnliches für pfSence schon angedacht / veröffentlicht?

Bei der Vielschichtigkeit des Themas "Zensur der Regierung umgehen" und der politischen Dimension
wäre das nach meiner Meinung viel zu kurz gesprungen.

LG

https://blog.pilif.me/2018/05/22/fiber7-tv-behind-pfsense/

hat bei mir vor einigerzeit direkjt geklappt

In früheren Versionen konnte man die Sense noch als Mailrelay (postfix) nutzen. In den aktuellen Builds wurde das Paket aus sicherheitsrelevanten Aspekten zu Recht entfernt.

Schau mal ob ein Content Filter (squid, pfBlocker) aktiv ist und dort bestimmte Domains/IPs geblockt wurden. Es betrifft ja angeblich nicht alle E-Mails.

Die Anzeige der Rufnummer ist von Anbieter zu Anbieter unterschiedlich und wird in der Fritzbox korrigiert, wenn du dort auch Telekom hinterlegst. Bei "anderm Anbieter" passiert das nicht bzw. du mußt das manuell machen. im ip-phone-forum ist da einiges zu finden.

Gruß
pfadmin