Glückwunsch :)

@mcflury said in Öffentlicher Raum mit pfsense trennen (LAN-LAN Problem):

wir haben ein Gebäude ohne Netzwerkaufteilung (VLAN).
Innerhalb dieses Gebäudes befindet sich dort ein öffentlich zugänglicher Raum, mit Netzwerkbuchsen.

Da muss ich Teddy im Post vor mir zustimmen. Das Problem ist IMHO hier in den 2 Sätzen schon umfassend beschrieben. Das ist eine Konstellation, die es eben so nicht geben darf. Entweder man hat ein einziges Netz - mit allen negativen Konsequenzen wie dem geschilderten Problem - oder man führt VLANs ein. Dafür sind sie da. Und dann kann man auf dem extra VLAN für den öffentlichen Raum ein Portal anmachen und der Rest vom LAN hat seine Ruhe und Sicherheit. Halbwegs.

Zumal man bedenke: wenn die Switche nicht mal VLAN könnten - dann können Sie 802.1x Port Security schon 2x nicht :)

Grüße

Offenbar verwendest du zumindest am Standort 1 NAT Reflection. Das funktioniert aber nicht vom Standort 2, weil die externe IP von meineDomain.at, die dir das DNS zurückgibt, da keine NAT-Regel hat.

Die beste Lösung wäre wohl eine DNS Override Regel. Nachdem, so wie ich es verstanden habe, ohnehin der Standort 1 das DNS für beiden Seiten macht, reicht ja da ein Override für meineDomain.at zu setzen und die interne IP angeben.
Das geht sowohl im DNS Resolver als auch im Forwarder.

Habe das Problem gefunden.
Unter System -> Erweiterte Einstellungen -> Firewall / NAT.
Da hatte ich Automatisches ausgehendes NAT für Reflection aktivieren, angehakt.
Hab den Haken raus gemacht - jetzt klappts mir der dns auflösung.

Gern doch :) Weiss ja selber wie es ist was zu haben und dann zickt das Zeug.

Ich hab da noch einmal eine Frage. Ich bin grade dabei alles von meiner UTM in die pfSense zu megrieren.
Mein Xpenology System hat 1a funktioniert wenn in HAproxy der Port 5000 konfiguriert war.
Nun habe ich die gleiche Konfig für Port 80 und 443 gemacht, jedoch hat das nicht funktioniert.
Ich vermute das meine FritzBox, die den DSL-Anschluss verwaltet, immer nur einem Gerät den Port 80 weiterleiten kann.

Jetzt wollte ich als Testlösung extern einen anderen Port verwenden als intern.
Also z.B. Port 88 -> 80
Geht das ohne weiteres mit HAproxy? Ich hab das irgendwie noch nicht so richtig hin bekommen.

Ja, und dann noch die Interfaces.
Auf der OPNSense dürfte das nicht nötig sein, aber vermutlich auf der Remote-pfSense, speziell, wenn mehrere OpenVPN Instanzen laufen.

Dazu einfach unter Interfaces > Assign bei "available network ports" die entsprechende OVPN Instanz auswählen, das neue Interface öffnen, aktivieren, nach Belieben einen passenden Namen vergeben und speichern. Mehr ist nicht nötig.

Schade, nicht gesehen, dass das hier noch offen war. Ich war die Tage erst zwischen Köln und Düsseldorf im Einsatz. Kurzer Abstecher wäre da sicher drin gewesen. Was ist denn generell das Problem, dass das on premise bzw. vor Ort sein muss?

Hallo Forum,

ich habe jetzt doch einen zusätzlichen Access Point für 11,- € geholt und den als doofen PrintAccess
mit WPA2 und PSK eingerichtet. Als zusätzliche Sicherheit habe ich dann nur die MAC als Einzelzugriff eingerichtet.

Soll ja sauber WAN und LAN getrennt bleiben...

Aufbau:
CANON an FB

Firewallrollen zwischen LAN und OPT1 PRINTERWLAN Netz.

Rule lan2printerwlan

Rule lan2printerwlan

Gruss Micele

Gelöst:
Via Console habe eine Shell geöffnet.
Dort habe ich zunächst mit pkg info den aktuellen Stand der installierten Paket im Repository abgefragt. Anschließend mit pkg delete haproxy-1.7.10 das Paket haproxy komplett entfernt.
Nun komme ich auch wieder in die WebConfiguration.

VG Alex

@viragomann said in Internet blockieren - mit Ausnahmen:

Bei Proxy bin aber ohnehin draußen, (noch) keine Erfahrung.

Dann sind wir quasi schon zu zweit :D

@piba
Perfect! 👍 Now I understand that.
Thank you for your explanation. A note about it in the configuration menu would be nice.

@grimson said in PfBlockerNG Howto:

(...) das sollte man als Admin aber auch erkennen bevor man sich eine Installation zerschießt.

Daher sind auch nur meine Testinstallationen verstorben. Ansonsten: danke für den Hinweis. Das war mir tatsächlich entgangen.

Versuch es mit einer Firewall Regel.
Editier die aktuell, die alle Ziele erlaubt und wähle als Ziel dein Smarthome VLAN aus.

@blubb1992 said in IPSEC nur eine Verbindung gleichzeitig?:

Soll ich auf der Pfsense auch ne separate IPSEC anlegen oder die 2. Phase 2 belassen?

Ich würde sagen: Ausprobieren!

Ich würde mit einer 2. IPSec Verbindung anfangen ... Die Frage ist wie man die auseinander hält ... ich würde wohl 2 verschiedene DNS-Namen nehmen, ggf. eine DynDns-Adresse und eine Subdomain die als CName darauf verweist.

Zum Testen vielleicht einmal IP und einmal DynDns.

Genau genommen würde ich das vielleicht ganz anders Lösung. Die pfSense kennt doch beide Zielnetze, eigentlich raucht es doch nur die richtige Regel um den Traffic da durch zu leiten ... aber die FritzBox weis es dann nicht und man müsste es dort als statische Route nachtragen ... alles nicht perfekt. Meine Lösung hätte ich wohl erst nach einigem herumprobieren.

Wenn das Clientgerät Pakete von pfSense empfängt könnte man sie mit denen von der Fritzbox
(im funktionierenden Fall) vergleichen und die Unterschiede (Manipulation durch pfSense)
finden.

Danach ist man möglicherweise schlauer.

Danke für den Tipp, habe es auch gleich mit den RFC1918 Netzen umgesetzt und funktioniert genau wie es soll. 👍

Grüße Stefan

@viragomann

Besten danke für die Hilfestellung.
Wenn alle Stricke reißen werde ich die Outbound NAT Regel auf der pfSense eintragen, von der aus das Kleingerät nicht erreichbar ist.

Gruß