Hallo, darauf muss man erst mal kommen. Aber plausibel, im Routing unterscheidet sich Windows von iOS oder Linux, aber dass es versucht, einen VPN Tunnel über denselben Tunnel zu schicken...

exactly how did you solve this problem? I have the same problem

Unser IaaS Provider hat aus Sicherheitsgründen die Guest-VLAN-Funktion ausgeschaltet, da sonst das Risiko besteht, das wir auch VLANs anderer Kunden an unsere VMs hängen könnten. Ist zumindest die Argumentation des IaaS Providers.

Kein Thema, aber dann ist das auch genauso wie man es im Normalfall mit MultiWAN aufsetzen würde. Das scheint also zu passen :)

@tobiasp said in pfSense OpenVPN Client falsche IP: Ich würde mich nie auf die Stufe mit dem jenigen stellern der es von Anfangan gelernt hat, jedoch sorge ich dafür das was ich nicht weiß eben am Ende lerne. :) Das ist gar nicht der entscheidende Punkt ;) Ich habe einige Kunden, deren IT'ler sich nicht unbedingt wahnsinnig gut auskennen. Geht heute auch gar nicht - aber die haken nach. Stellen Fragen. Und merken im Gespräch (hoffentlich) dass ich ihnen keinen Bären aufbinde und mit ihnen zusammen was suche, was auf sie passt. Ohne sie arm zu machen. Wenn ich aber ein Angebot 5x verändern/nachbessern soll, weil jemand nicht versteht, warum er vllt. NBD Support brauchen könnte wenn sein ganzes Geschäftsmodell daran hängt, dass das Internet erreichbar ist. Und er ggü. anderen Lösungen noch Geld spart, dann fehlt mir für die "Unlogik" einfach jegliches Verständnis. Dafür haben wir nun aber auch letztes und dieses Jahr schon einige Kunden von den verschiedensten anderen Lösungen "befreit". Forefront TMG z.B. (gruselig) oder Sophos, Watchguard, Juniper, Cisco. Läuft nicht immer 100% glatt, weil viele andere "Namen" dann ihre eigenen Speziallösungen haben, die dann nicht mehr gehen (VPN Clients bspw.) aber meistens finden wir zusammen eine gute wenn nicht bessere Lösung. Jetzt aber genug OT :D

Glückwunsch :)

@mcflury said in Öffentlicher Raum mit pfsense trennen (LAN-LAN Problem): wir haben ein Gebäude ohne Netzwerkaufteilung (VLAN). Innerhalb dieses Gebäudes befindet sich dort ein öffentlich zugänglicher Raum, mit Netzwerkbuchsen. Da muss ich Teddy im Post vor mir zustimmen. Das Problem ist IMHO hier in den 2 Sätzen schon umfassend beschrieben. Das ist eine Konstellation, die es eben so nicht geben darf. Entweder man hat ein einziges Netz - mit allen negativen Konsequenzen wie dem geschilderten Problem - oder man führt VLANs ein. Dafür sind sie da. Und dann kann man auf dem extra VLAN für den öffentlichen Raum ein Portal anmachen und der Rest vom LAN hat seine Ruhe und Sicherheit. Halbwegs. Zumal man bedenke: wenn die Switche nicht mal VLAN könnten - dann können Sie 802.1x Port Security schon 2x nicht :) Grüße

Offenbar verwendest du zumindest am Standort 1 NAT Reflection. Das funktioniert aber nicht vom Standort 2, weil die externe IP von meineDomain.at, die dir das DNS zurückgibt, da keine NAT-Regel hat. Die beste Lösung wäre wohl eine DNS Override Regel. Nachdem, so wie ich es verstanden habe, ohnehin der Standort 1 das DNS für beiden Seiten macht, reicht ja da ein Override für meineDomain.at zu setzen und die interne IP angeben. Das geht sowohl im DNS Resolver als auch im Forwarder.

Habe das Problem gefunden. Unter System -> Erweiterte Einstellungen -> Firewall / NAT. Da hatte ich Automatisches ausgehendes NAT für Reflection aktivieren, angehakt. Hab den Haken raus gemacht - jetzt klappts mir der dns auflösung.

Gern doch :) Weiss ja selber wie es ist was zu haben und dann zickt das Zeug.

Ich hab da noch einmal eine Frage. Ich bin grade dabei alles von meiner UTM in die pfSense zu megrieren. Mein Xpenology System hat 1a funktioniert wenn in HAproxy der Port 5000 konfiguriert war. Nun habe ich die gleiche Konfig für Port 80 und 443 gemacht, jedoch hat das nicht funktioniert. Ich vermute das meine FritzBox, die den DSL-Anschluss verwaltet, immer nur einem Gerät den Port 80 weiterleiten kann. Jetzt wollte ich als Testlösung extern einen anderen Port verwenden als intern. Also z.B. Port 88 -> 80 Geht das ohne weiteres mit HAproxy? Ich hab das irgendwie noch nicht so richtig hin bekommen.

Ja, und dann noch die Interfaces. Auf der OPNSense dürfte das nicht nötig sein, aber vermutlich auf der Remote-pfSense, speziell, wenn mehrere OpenVPN Instanzen laufen. Dazu einfach unter Interfaces > Assign bei "available network ports" die entsprechende OVPN Instanz auswählen, das neue Interface öffnen, aktivieren, nach Belieben einen passenden Namen vergeben und speichern. Mehr ist nicht nötig.

Schade, nicht gesehen, dass das hier noch offen war. Ich war die Tage erst zwischen Köln und Düsseldorf im Einsatz. Kurzer Abstecher wäre da sicher drin gewesen. Was ist denn generell das Problem, dass das on premise bzw. vor Ort sein muss?

Hallo Forum, ich habe jetzt doch einen zusätzlichen Access Point für 11,- € geholt und den als doofen PrintAccess mit WPA2 und PSK eingerichtet. Als zusätzliche Sicherheit habe ich dann nur die MAC als Einzelzugriff eingerichtet. Soll ja sauber WAN und LAN getrennt bleiben... Aufbau: [image: canon_wlan.jpg] Firewallrollen zwischen LAN und OPT1 PRINTERWLAN Netz. [image: rule1_lan2printer.jpg] [image: rule2_printer2lan.jpg] Gruss Micele

Gelöst: Via Console habe eine Shell geöffnet. Dort habe ich zunächst mit pkg info den aktuellen Stand der installierten Paket im Repository abgefragt. Anschließend mit pkg delete haproxy-1.7.10 das Paket haproxy komplett entfernt. Nun komme ich auch wieder in die WebConfiguration. VG Alex

@viragomann said in Internet blockieren - mit Ausnahmen: Bei Proxy bin aber ohnehin draußen, (noch) keine Erfahrung. Dann sind wir quasi schon zu zweit :D

@piba Perfect! Now I understand that. Thank you for your explanation. A note about it in the configuration menu would be nice.

@grimson said in PfBlockerNG Howto: (...) das sollte man als Admin aber auch erkennen bevor man sich eine Installation zerschießt. Daher sind auch nur meine Testinstallationen verstorben. Ansonsten: danke für den Hinweis. Das war mir tatsächlich entgangen.