Ich vermute es geht um das "Default Gateway" über einen externen VPN Anbieter, um so Geoblocking, Netzsperren oder anderes zu umgehen. Erfahrungen habe ich nur mit Websecuritas gemacht. Da gibt das mit OpenVPN und IPSEC was beides von der pfSense unterstützt wird. Allerdings gibt es zig andere Anbieter.

Das kann ich Bestätigen. Unter einer Proxmox Virtualisierung hatte ich auch erst das Problem, dass das Routing nicht sauber funktionierte. Da gab es dann den Hinweis "Disable hardware checksum offload". Mittlerweile kann man auch die virtio Treiber nachinstallieren, da gings auch ohne die Einstellung. Bei XEN Server sind noch andere Einstellungen notwendig.

Sorry, mein Fehler: ich habe den DNS Forwarder verwendet, aber pfblocker-ng benötigt ja zwingend den DNS Resolver.
Das hatte ich in den Einstellungen übersehen und jetzt richtig eingestellt... :)

Hallo,

eine Skizze wäre wohl zur Verdeutlichung hilfreicher als lange Beschreibungen, aber grundsätzlich sollte dein Vorhaben machbar sein.
Natürlich braucht es aber auch auf der OpenVPN Seite die richtige Route. Also, du musst auch hier die entsprechenden Netze in "Remote Networks" bzw. "Local Networks" eintragen.

Grüße

Hallo,

danke, habs hinbekommen:
https://serverfault.com/questions/542416/having-two-subdomains-on-one-public-ip-addres-behind-pfsense-router

squid3 hat funktioniert

Danke euch!

Ich habe die VM mit pfSense komplett gelöscht und erneut von Null begonnen. Nun benutze ich die aktuelle Version des stable-branch und augenscheinlich dieselben Einstellungen, aber mit dem Unterschied, dass der Speedport Router nun wie gewünscht im Modem-Modus funktioniert. Für einen Sync braucht die Kiste keine 30 Sekunden (vgl. der Draytek knapp drei Minuten)! 😮

Aaaber ein Problem habe ich da noch: Ich versuche nach wie vor mit einer zweiten Strippe zwischen pfSense und LAN1-Buchse des Speedports auf http://169.254.2.1 und das von @p54 erwähnte "Hidden Menu" zuzugreifen . Das klappt aber noch nicht (Zeitüberschreitung beim Verbindungsaufbau). Hierzu habe ich der korrekten NIC ein neues Interface ("MOD") zugewiesen und die statische IPv4 Adresse 169.254.2.2 eingerichtet. Unter NAT>Outbound habe ich "Hybrid Outbound NAT rule generation." ausgewählt und eine neue Regel für das gerade erstellte Interface hinzugefügt:

Interface: MOD Protocol: any Source: Any Destination: Network 169.254.2.1/32 (169.254.2.0/24 hatte ich auch ausprobiert) Translation: Interface Address

Selbst nach einem Neustart klappt es so nicht. Ich habe auch schon dem "MOD"-Interface testweise ein Gateway ("MOD_GW") mit der IP-Adresse 169.254.2.1 zugewiesen und eine LAN-Firewall-Regel erstellt:

Interface: LAN Address Family: IPv4 Protocol: any Source: any Destination: Single host or alias 169.254.2.1 Gateway: MOD_GW

Auch hiermit hatte ich keinen Erfolg, sodass ich diese Änderung inzwischen wieder rückgängig gemacht habe (GW und Regel gelöscht).

Was mir aufgefallen ist: Unter Diagnostics>ARP Table steht unter dem Interface "MOD" nur eine MAC-Adresse, nämlich die der NIC selbst. Müsste hier nicht noch die der LAN1-Buchse des Speedports zu sehen sein?

Außerdem habe ich testweise die (per VT-d durchgereichte) NIC einer anderen (Debian) VM zugewiesen und dort einfach mal die statische IPv4 Adresse 169.254.2.2 eingestellt. Hier konnte ich http://169.254.2.1 aufrufen. Ich würde mich wirklich sehr freuen, wenn das jetzt auch noch von jedem PC im LAN aus über pfSense gelinge. 😅

Das sind die besten Fehler. ☺

@unique24 said in pfsense bootet nicht mehr complet:

Aber ist das nun nur ein Zufall. Einen Stromausfall als Beispiel kann ich nicht immer abfangen.

Na dafür hat man eine USV.

Man kann auch einen ZFS Mirror mit mindestens 2 Medien aufsetzen, aber das vermindert nur das Risiko eines Datenfehlers.

Hallo

Das ganze ist ein Server bei einem Hoster mit einer einer Haupt IP und einem eingebundenen Subnet als Alias IP an WAN1

Die weitere Einzel IP oder das weitere Subnet (noch nicht geklärt) käme dann über WAN2 in die PFSense rein..

Der LinuxServer hängt intern an LAN der PFSense.

Reicht das für eine Beurteilung ?

Oha, danke 🙏

Nun klappt es

Mogen,

öffentliche Zertifikate kann man normalerweise für beides verwenden, Web-GUI und OpenVPN-Server. Allerdings hab ich mit einem Wildcard auf der pfSense noch keine Erfahrung gemacht.
Im Fall vom OpenVPN Server müssen aber die Clients ein User-Zertifikat von derselben CA haben. Die Zertifikate müssen für die jeweilige Verwendung bestimmt sein, also für Web-GUI und OpenVPN Server müssen es Server-Zertifikate sein, für die VPN Client User-Zertifikate.

Um die zu verwenden müssen sie über den Zertifikatsmanager importiert werden, auch die Zwischenzertifikate u. ggf. das der CA.

@grimson said in Installation auf die mSata SSD schlägt fehl.:

https://forum.netgate.com/topic/131717/pf-haengt-sich-auf-bzw-rebootet/8

Danke, schon gelesen.

Installation von OPNsense auf mSATA und pfSense aud SD-Card funktioniert seltsamerweise.
Jedenfalls Update vom BIOS auf eine Legacy-Version und schwupps, war pfSense installiert. :)

Falls Interesse besteht, hier und hier gibt es massig Info zu den APUs.

@jegr dann formuliere ich um: für mich ist es nicht sonderlich sinnvoll, wenn ich aktuell die pfsense öfters neustarte. Durch den Prefetch Support ist es halt auch sinnvoll, wenn der Cache nach einem Neustart erhalten bleibt, da die pfsense selbstständig die TTL verlängert vor Ablauf. Das ist besonders bei kleinen Umgebungen in der Theorie sinnvoll.

Das sorgt für den Neustart.
Bei jeder Lease-Vergabe wird unbound restartet. Stell die Lease Time hoch oder deaktiviere es und pflege die Clients bzw Server IPs als static IPs im DHCP.

Moin,

ja es steht da, ich habe es aber geschafft den Teil mit dem ";" zu ignorieren :-) , die Augen rastetem am Beispiel ein, vielleicht sollte da auch ein ";" hin ;-) .

-teddy

@mrsunfire said in [gelöst]Traffic Shaping funktioniert nicht so wie es soll.:

Kann es sein dass der TV bei Dir über IPv6 läuft und Du daher andere Regeln brauchst?

Gute Frage, die Idee kam mir auch in den Sinn. Kann aber nicht sein, es gibt nur eine Regel, die IPv4 nach draußen zulässt. IPv6 wird von Hause aus geblockt. Oder LG lässt alles durch die hauseigenen Server via Proxy oder ähnliches laufen, bin da noch ziemlich ratlos. Werde mal die Aktivitäten des TVs loggen.

OK, ich denke ich habe es schon hinbekommen. Ich habe nun ein Alias mit dem Netz erstellt und es als Regel eingetragen. Damit funktioniert es!

@cantor said in Logfile des DNS Resolvers geflutet mit Zeitserver-Einträgen:

Die Aktualiserungsfrequenz von 5 Minuten passt zumindest nicht zu dem Eintrag für /usr/bin/nice -n20 /etc/rc.update_urltables bei den cronjobs

Ein Host Alias ist ja auch kein URL Table Alias, ich würde dir empfehlen mal die Doku zu lesen: https://www.netgate.com/docs/pfsense/firewall/aliases.html