Hast du wirklich eine IP Regel für die beiden in beide Richtungen gebaut und die auf Logging gestellt? Ohne Sip inspection müssen alle high Ports manuell freigeschaltet werden. In beide Richtungen die jeweils notwendigen Ranges. Da kommen schon mal ein paar k Ports zusammen.

@gtrdriver said in Gibt es ein bekanntes Problem mit Backup/Restore ?: Ich hatte offen gesprochen noch NIE einen Ausfall hier. Glück gehabt. Ich schon bei den Raspis sowie bei APUs (und es waren Marken SDs)

@richie1985 Also bei mir ist sie nicht enthalten, auch wenn ich natürlich leicht andere Einstellungen habe. Würde an deiner Stelle die ganze Liste abschalten, löschen und dann von vorne anfangen. pfBlocker ist aktuell, mit MaxMind Account ID, nicht nur Key?

@mike69 Das Log zeigt auch, dass pfSense ein KVM Gast ist, wie auch alle zugeteilte Hardware. Ich würde mal einen Mem-Test auf dem Host laufen lassen. Oder die VM neu installieren und das Backup einspielen.

@micneu said in APU Board - END OF LIFE APPLIANCES: meine Persönliche Meinung, sobald man nachdenkt ein VPN auf der Kiste einzusetzen, ist es nicht mehr zeitgemäß nutzbar. Direkt am Internet habe / hatte ich immer eine AVM und das bis heute und dahinter eben eine zweite "Lösung" und dort brauchte ich nie VPN. VPN mache ich mit Apps von AVM und anderen von unterwegs oder von den mobilen Geräten aus nach Hause, deswegen hat mich das bis dato auch nie so richtig gekümmert.

@NOCling Oh Usergroup klingt interessant. Danke schon mal :) Ja die local-domain musste ich auf static setzen. Da ich vor der pfsense ne Fritzbox hatte ist meine local domain "fritz.box". Das war so lange kein Problem, bis irgendein Kasperl (nicht AVM) gemeint hat sich diese Domain global registrieren zu lassen, was bei mir dann lokal zu sehr nervigen Siteaffects geführt hat. Ich müsste das mal ändern. Leider hab ich die lokalen FQDN an hunderten Stellen hard coded irgendwo in meiner Homeautomation drinnen. Ich hatte noch keine Zeit und Muße, das zu entflechten. Hab ja 2 kleine Kids, die mir so ziemlich die ganze "Freizeit" vereinnahmen.

Aktiviere mal Mobik für den Tunnel.

Hat das vielleicht irgendetwas mit state timeouts zu tun? Du könntest mal unter System -> Advanced -> Firewall & NAT unten bei "State Timeouts" schauen, was auf 900 Sekunden steht und damit herumspielen.

@Bob-Dig ja, das habe ich vorhin wo gelesen, dass es besser ist, einzelne Länder zu erlauben als die "fast ganze Welt" zu verbieten. Aber für was ist die Speicherangabe vorhanden, wenn sie hier nicht zählt...schon sehr merkwürdig. Ich kann auch mal testweise mehr Speicher einbauen, weil mich das doch interessieren würde, ob es daran liegt... Danke Dir. Gruß, Arti.

@JeGr vielen dank das habe ich verstanden. hier die firewall logs nochmal: [image: 1714751175849-pfsense.png] es funktioniert alles wunderbar, nur die "blocks" nach dem "pass" verwirren mich...

Hi Leute, vielen Dank für die rege Diskussion. der fehlende Punkt am Ende war schon mal ein guter Hint. Danke dafür und sorry, ich bin in dem DNS-Thema nur so semi-gut drinnen. das Ergebnis schaut dann wie folgt aus für <irgendwas>.fritz.box (ja diese Domain ist die Einzige die mir Probleme macht) ; <<>> DiG 9.18.16 <<>> +trace asdf.fritz.box. ;; global options: +cmd . 18658 IN NS g.root-servers.net. . 18658 IN NS h.root-servers.net. . 18658 IN NS i.root-servers.net. . 18658 IN NS j.root-servers.net. . 18658 IN NS k.root-servers.net. . 18658 IN NS l.root-servers.net. . 18658 IN NS m.root-servers.net. . 18658 IN NS a.root-servers.net. . 18658 IN NS b.root-servers.net. . 18658 IN NS c.root-servers.net. . 18658 IN NS d.root-servers.net. . 18658 IN NS e.root-servers.net. . 18658 IN NS f.root-servers.net. . 18658 IN RRSIG NS 8 0 518400 20240509050000 20240426040000 5613 . DAooAQeC5lDRbl3WS6AZmYluWO1iDytu4d5LwgrF5YM/DInY7jruGTGz 8Kg1tVM9miSZuthlD445e1B3o0Jjo8cv3GpQTdziuaFdZ0S5PhZyfO+i kqayFQMomw6qyUaScmsrIvbJHuEo4GT+11SmqC9t9p45e5yllxNuKuFo vWUcGDvOOqJ8Exw/wOqf8DxgQOfzL3v3Tt8CFEL0AX4zcgF/MRVdc670 fLGCe0mG0N9XPPtu3RKlmj99LtG9ssMc2Afvc9xHc6tRDxYkRbSSDXSc Pffh69ahJwVAP078FhraBR1ELY0PHIontpxxaffGoIQw2rUS9j3YypqZ BLCQZw== ;; Received 525 bytes from 127.0.0.1#53(127.0.0.1) in 0 ms ;; UDP setup with 2001:500:9f::42#53(2001:500:9f::42) for asdf.fritz.box. failed: host unreachable. ;; UDP setup with 2001:500:9f::42#53(2001:500:9f::42) for asdf.fritz.box. failed: host unreachable. ;; UDP setup with 2001:500:9f::42#53(2001:500:9f::42) for asdf.fritz.box. failed: host unreachable. box. 172800 IN NS a.nic.box. box. 172800 IN NS d.nic.box. box. 172800 IN NS c.nic.box. box. 172800 IN NS b.nic.box. box. 86400 IN DS 63242 8 2 F63250257503CCE60195E71C2E346A2D8BDE06DCBD666B9EE4F860D7 5988702D box. 86400 IN DS 62294 8 2 29A911BDBF1FC105D593EA39A619BF1E89CB1BFE73FF70FB7E80B75A B9A7A8B8 box. 86400 IN RRSIG DS 8 1 86400 20240510050000 20240427040000 5613 . iVJgOHZg2I5TUT7UR1pWo1WIo+pOyVONJqncUk6yEv8DBXrcQbd4/YWr tVs1NoPOl6qSsoQaCfqgNA7IwYFqwR77ViolX4pQvLjIOe95jhaLSSat P7O+Aubdi7zxTCQ09xn1xRimEhfY+WA0IscNlIwoPmjhcRaNY7O+R0CG zRY8pVG87Y4xZugK30A7YcbnB5uLWhGgxoskVG+mQhLUkxZisALmeNDJ pxzIwZ2mFjhTKpxnpCgUcev87jhkek/L/SAXgEU4u3bBmMBs2NJC7xc3 oxzzFM0NB0SIt46KD8u8sUc/N4vgfdYN7KyAjV3zTIKjjTDqpRhyQTNh bTwqew== ;; Received 676 bytes from 202.12.27.33#53(m.root-servers.net) in 37 ms ;; UDP setup with 2a04:2b00:13ee::139#53(2a04:2b00:13ee::139) for asdf.fritz.box. failed: host unreachable. fritz.box. 3600 IN NS ursns1.viagenie.ca. fritz.box. 3600 IN NS ursns2.viagenie.ca. fritz.box. 3600 IN DS 4787 8 2 43350BD0B22E8553948A140DA534EA730202721C551F6E14BF3B4E56 D574476F fritz.box. 3600 IN RRSIG DS 8 2 3600 20240527090539 20240427073539 25033 box. HbPEwxd8s/saXGrxzydCVTeGmGGlIZZDqDPcMcnq0rg6ZnuoTbCLVoZa j5Vb4JcWgDWLc8WNdr8B/aJvo8A+9nfp0KJAYPk4FK00NmoVFsHtW71S NZsXn1ePV+2PQDM0TYXGWSPhxS98h1yxcjN7xH5clGMC7kvO2QlyAMdA ByA= ;; Received 335 bytes from 185.24.64.139#53(b.nic.box) in 29 ms asdf.fritz.box. 86400 IN A 45.76.93.104 asdf.fritz.box. 86400 IN RRSIG A 8 2 86400 20240511035119 20240427022119 4787 fritz.box. b7MOKfzmkmXavMm+JPDBXxPwn4lCjMQvV7W9B1At7e/+aimChnIBUzfH QUD6GQZKoRg6W5tBdqw5RCQ7krxmwl4w5AFv605D1O2UYECCTg/YdE7M 9lu4eeUMQw11ibHYCjtTmSVKYmaTCh5grl+gLnBrf4ixXqWL1x3HVoES EqTrrX4Y3I3REvUs43K2NJU2W3dhqy+2IttLuO6HdDEgQjSdsN4f1Gnm YkQJgG0mtzR80kJQxYXYqTu76gkU8r9SpyCZrgCupL01zw9YMnLQ/Ecr ilp5tutIiDKi3O+B+2fkly20ljdmv1KMWtCiRi1ttDrcc6ialMiz+sFk KXpBIA== *.fritz.box. 3600 IN NSEC fritz.box. A AAAA RRSIG NSEC *.fritz.box. 3600 IN RRSIG NSEC 8 2 3600 20240510203043 20240426190043 4787 fritz.box. jyTptBuczaB4MPUeAUhImWmPGADjiWRNMP85Qq2qSJLu/FRlaBJFuc9v ZNmlcV+ZwcmgvRTmzLyBJ2S3yG5GGQmfvJaexK54Q+lZPJ9uOAhEUA7y 4515YMDWD9WcIckQ9g/lg58IvZD6ncrPI4IeLSF+SfZguQS9xwj7SaBv lEVgi8MEdB+rGhaBaYfic+ptBZwm41ucJY/XVbm4yVpIy4qj3RWwsspd xZ9p+/46haANG+2rLjJJ5WuqkbFEDTpM3Py5O05PTlEjaXXSqSxpKzSt oAk6sWK4Bk33icEWFCjDvy16MKGNGuLLSsY8IU0sanPcHdMahMh5Aus8 AzMPoA== ;; Received 686 bytes from 54.39.222.96#53(ursns1.viagenie.ca) in 110 ms Es stimmt natürlich mit dem domain-suffix "fritz.box" und für dessen lokale Verwendung. Dieser ist der default, wenn man ne Fritzbox als Router verwendet. Ich hatte früher eine und leider ist das Teil historisch nun an 100 Ecken irgendwo hardcoded in der Homeautomation drinnen. Wenn das probleme macht muss ich das doch mal angehen (auweh, das wird lustig). Haben wir irgend einen Trick in unbound parat, der mir diese ganze "fritz.box" ausschließlich lokal hält? zB mit local-zone: fritz.box @NOCling said in DNS-Probleme: Alles Unbekannte löst auf IP 45.76.93.104 auf?!: Aber man sollte keine fremde Domain intern verwenden, schon gar keine TLD. Wie gesagt, das war bislang nicht ein Problem. Aber muss ich mittelfristig wohl mal fixen. EDIT: @viragomann said in DNS-Probleme: Alles Unbekannte löst auf IP 45.76.93.104 auf?!: Hast du diese im DNS Resolver als "local-zone" definiert? Das hast du ja sogar schon vorgeschlagen. Ich sollte mal genauer lesen Dann probier ich das gleich mal. EDIT2: Das hier wars -> [image: 1714227541965-24930b87-45bb-40bb-96f7-bf374f066f24-image.png] Das ist per default auf "Transparent" gestellt. Hab das auf "Redirect" gestellt. Somit leitet er nun alles auf lokal um was an Subdomains unbekannt ist. [image: 1714227723390-15fbad91-c666-4b1b-965c-4f4795fb1f76-image.png] EDIT3: Hab den Local Zone Type nochmal geändert von Redirect auf Static. Sonst spinnt die lokale Auflösung komplett.

@roline said in pfSense 2.7.2 Einrichtung: pfSense => per LAN-Kabel => am Switch verbunden Hat der Switch auch eine IP adresse? Eventuell dort einmal das Kabel abziehen und wieder anstecken so dass der Switch den IP Wandel auch mitbekommt.

@micneu said in Probleme mit RDP über VPN-Zugang zur pfSense: Hey, ich lebe in der Apple Welt und habe mit OpenVPN & DNS keine Probleme auf Apple Systemen (Setze es Beruflich wie auch Privat ein) Dann freue dich ;) Apple macht aber viel eigenen Scheiß und verbricht damit auch viel Unfug. Es ist ja schön und gut, dass APPLE diktieren will - weil es angeblich Privacy ist - wer mit welcher Domain welchen DNS Server fragt, das ist aber eben in einem Firmenkontext teils übler Quatsch, gerade wenn man mehrere Domains hat. Zumal wenn sich plötzlich Konfigurationsparameter in ihrer Funktion ändern, die bei ALLEN gleich funktionieren BIS AUF Apple. Das ist dann einfach nur nerviger Mist. Und wenn auf jeder Kiste eben drin steht: wenn du DNS Server gepusht bekommst, dann löse ich jetzt über den gepushten DNS Namen auf... und Apple daraus macht wenn du überhaupt einen DNS Server gepusht bekommst, dann löse ich nur die gepushte Domain und nur die über diesen DNS auf und alles andere schicke ich an deinen Router daheim... dann wirst du halt einfach sauer weil nichts gescheit funktioniert mit diesem iMist

@NOCling said in VPN Passthrough IKEv2 auf der pfSense: Achtung mit Routen in der Kocobox. Wenn du ein /x einträgst und das mit dem IP Netz in dem die Box selber per LAN IP liegt, ist die tot. Das (ganze TI) Zeugs ist der letzte Rotz. Also bastle mal am Wochenende oder außerhalb der Öffnungszeiten ein wenig rum. Wenn der parallel mit einem Link laufen soll, geht aber dann unterschiedliche Netzbereiche für die pfSense Netze und das Netz der Kocobox verwenden. Genau das. Ich würde da stark versuchen, die Kiste in ein extra Segment der Sense zu packen. Also WAN/DMZ/LAN bspw. und die Box in die DMZ packen. Verbindung aufbauen lassen und gut. Kiste sitzt dann bspw. in 192.168.102.0/24 während das LAN in .101.0/24 aufgebaut ist. Dann sollte auch nix Routing-technisches nötig sein, da die Kocobox eh die Sense als Gateway hat und da alles hinschickt. Aber asym. Routing über die Drecksbox sollte man tunlichst vermeiden, damit man sich nicht irgendwelche miesen Seiteneffekte eintritt. Also Box und LAN im gleichen (wie MIC es gezeichnet hat) vermeiden. Dann sollte weder Einwahl noch Betrieb große Probleme sein (Regeln muss man natürlich trotzdem machen und verstehen ;)) Cheers

@vantage09 das dürfte genau dieses Problem sein: https://forum.netgate.com/post/1140882 In dem Thread gibt es auch eine Lösung: https://forum.netgate.com/post/1140955