Ich werfe mal einen scharfen Blick in die Glaskugel und damit einmal "Upload bzw. Buffer Bloating" in den Raum. Bei den kleinen Leitungen wie 16/1 ist beim Upload gerne mal das eine Megabit komplett aufgeraucht und damit kommt es dann gern ohne Priorisierung zu Buffer Bloating bzw. Paket Drops, weil Antwortpakete nicht mehr ordentlich in der Zeit zugestellt werden können. Dadurch gibt es dann Retransmits und Verzögerungen und damit dann auch normalerweise einen Einbruch im Download/Upload.

Ohne mehr Details ist das aber nur eine Arbeitshypothese, sonst nichts.

Mit Stardardgateway ist das Gateway in deinem Netzwerk gemeint, von dem es raus zu anderen Netzen geht (bspw. Internetrouter). Das kann die pfSense sein, das könnte aber auch die FB sein.
Manche meinen, sie installieren sich in einer VM im Netz eine pfSense als VPN Client/Server und der ganze gewünschte Traffic geht automatisch darüber. Nein die Geräte schicken alle Pakete, die für IP-Adressen außerhalb ihres eigenen Netzes bestimmt sind, auf ihr konfiguriertes Standardgateway, ausgenommen sie haben speziell Routen dafür eingestellt.

Das Standardgateway ist also Teil der Netzwerkeinstellungen auf jedem einzelnen Gerät. Das kann manuell konfiguriert sein oder vom DHCP gesetzt werden.

@bahsig said in DNS Auflösung nach einigen Stunden unvollständig:

Und wenn du den Forwarding Mode im DNS Resolver setzt und dann unter "general setup" deinen Router oder Google DNS einträgst, tritt das Problem dann auch auf?

Ja, auch dann tritt das Problem auf. Gerade eben getestet.

@viragomann Danke für Deine Hilfe.

@bepo said in IPsec: Mehrere mobile Clienten parallel betreiben.:

Guten Morgen,

du meinst mit den 15 Clients, dass das 15 verschiedene Nutzer sind? Ist das Szenario bei dir "normales" Client VPN im Sinne von z.B. Home Office oder der Zugriff auf interne Applikationen von unterwegs?

Genau, 15 User erstellt von VPN01 bis VPN15 und jeder Client nutzt einen User.
Das ist privat hier, nur für die Familie. Bei Bedarf wird eine VPN-Verbindung hergestellt und auf interne Applikationen zugegriffen. Bei 3 Smartphones, 2 Tabletts und 3 Notebooks kommt schon was zusammen.

@bepo said in IPsec: Mehrere mobile Clienten parallel betreiben.:

Wir handhaben so etwas mit Radius. Die Benutzer sind sowieso im Active Directory gepflegt. Damit wird bei Mitarbeiter Ein- und Austritt auch nicht vergessen, den VPN Account extra zu deaktivieren.

Radius, das ist auch eine Möglichkeit. 👍
Danke.

@blubb1992 said in [SOLVED] Pfsense OPENVPN to Strato HiDrive:

Danke für Deine Hilfe

Nichts zu danken. Für Hilfeleistungen sind wir doch im Forum gern bereit und dieser
spezielle Fall des Umganges mit TLS-Auth von Strato beim OpenVPN-Client mit
pfSense verdient es im Gedächtnis zu bleiben. Da wäre ich auch drüber gestolpert.

LG

Hallo,

das ist schon seit einigen Versionen so. Seit etwa 2.3 macht pfSense selbst die Ports auf, wenn der IPSec Dienst läuft.
Möchtest du das verhindern, oder die pfBlockerNG Aliase verwenden, musst du Regeln dafür erstellen. Diese werden dann respektiert.

Läuft bei mir auch genau so. Einfach den pfBlockerNG Alias als erlaubte Source einstellen und schon werden alle anderen nicht mehr erlaubt.

Viele Grüße

Manuell wird bei Vodafone kein Modem freigeschaltet. Bzw. das wo nur in Außenaufnahmefällen. Mein TC4000 hatte die von Vodafone geforderte Firmware darauf und konnte ganz normal über das Aktivierungsportal profisioniert werden. Es soll wo in einem Einzelfall Probleme an einem Cisco CMTS mit der Aktivierung geben. Ansonsten kann ich sagen das ich sehr zufrieden mit dem Gerät und dessen Zusammenarbeit mit der pfSense bin.

Wie erwähnt, es ist dafür oft die Firewall am Zielgerät selbst verantwortlich, die standardmäßig Zugriff aus anderen Netzen blockt.
Aber nachdem du im Remote-Netzwerk ohnehin mehrere Subnetze hast, kannst du das ja auch lokal testen.

Die Firewall-Regel auf der pfSense erlaubt ja vermutlich den Zugriff.

Wichtig ist hier auch noch, dass die pfSense, auf der der VPN Server läuft das Standard-Gateway am Zielgerät ist.

Nabend,

ich bin euch noch eine Antwort schuldig.
Habe jetzt mal die pfSense auf meinen Dell R210 II gepackt und siehe da, hier rennt sie mit den 1Gbit/s!

Also ist die kleine APU zu schwach hierfür.

1_1530986109051_2.jpg
0_1530986109050_1.jpg

Wünsche euch noch ein schönes Wochenende.

Hatte es so verstanden, als dass du alle 3 VLAN zur pfSense führst. Wenn das VLAN1 am Switch bleibt, passt das natürlich.

Schönes Wochenende.

@achim55 said in über WAN auf das Webinterface zugreifen:

Das Protokoll auf HTTPS geändert und in der Firewall unter WAN die 444 freigegeben.

Ich hoffe das stimmt so herum, denn eigentlich kommt pfSense schon mit HTTPS aktiv(!), das muss dann nicht aktiviert oder geändert werden... daher hoffe ich du hast es nicht auf HTTP herabgestuft. KEIN Interface sollte heute noch mit welcher Ausrede auch immer via HTTP erreichbar sein 🙂

Also in den meisten Fällen richten wir das genauso bei Kunden ein. Eine interne Domain kommt per Domain Override in den Trichter und alles andere vergibt die Sense per DHCP. DNS/NTP/DHCP macht sie selbst dann hat meine eine sinnvolle zentrale Stelle, die das ganze managed + mit pfBlockerNG dann noch ganz potente Asse im Ärmel um seinen DNS noch weiter zu verschärfen.

@bepo said in Und wieder eine Hardwarefrage :):

@mike69 Danke dir :-) Mittlerweile hab ich es sogar selbst evaluieren können. Welche VPN Technologie und Settings wurden verwendet?

Nutze IPsec mit AES 128 bits, wie in der Wiki beschrieben.
0_1530697836954_Auswahl_055.png

Habe noch ein bissl mit PowerD rumexperimentiert, keine Änderung.☹
Hatte mir mehr erhofft.
Wass solls, jetzt steht das Ding hier und reicht für ne 50 Mbit Leitung.😏

@bepo said in Netzwerk segmentieren:

@mike69 Huch, etwas leicht reizbar?

Sorry, kam irgendwie anders rüber. Wollte den Sinn dahinter verstehen und in der Antwort ging es um persönliche Entscheidungen. Brachte mich ein bissl aus dem Takt.

@viragomann said in Netzwerk segmentieren:

Der Grund dafür ist, dass jeder Switch-Port von Haus aus, also wenn er keinem VLAN speziell zugewiesen wurde, VLAN1 ist. Das ist jedenfalls bei den meisten Switches so. Wie sich hier der ProCurve 1810G-24 verhält, weiß ich nicht.

Daher, um am Switch-Port nicht ein unerwünschtes Signal rauszulassen, wird empfohlen, jedem genutzten Port ein VLAN <> 1 zuzweisen, falls man VLANs einsetzt.
Die Folge ist natürlich auch, dass man VLAN1 gar nicht verwendet.

Ja, verhält sich ebenfalls so. Danke für die Erklärung.

So, Problem gelöst, liegt komplett bis auf das Gäste-WLAN in einer anderen VLANID. Danke nochmal an alle.

@benjsing Schön wenn ich helfen konnte :-) Bitte füg im Titel deines Ursprungspost noch (Gelöst) oder so etwas ein. Danke!

Viele Grüße

@m0nji
Ok. Danke für die Info.

@cwt Super :-) Markier am besten dann den Beitrag als gelöst. Bedanken kannst du dich über den Daumen Hoch neben den Beiträgen, die für dich hilfreich waren.