Servus,

Danke für den Tipp mit OpenVPN!
Nach Startschwierigkeiten ist nun alles soweit eingerichtet, dass ich von meinem Handy und Laptop über GSM/LTE einen Tunnel aufbauen kann.
DNS läuft auch auf beiden Geräten super!
Ich Danke mal wieder für die spitzen Hilfe, hat mir 70€ erspart :D

Wenn ein Standort dazu kommt, ist natürlich (mit Preshared Key) wieder ein zusätzlicher Server und Client nötig und die “Remote Network/s” müssen in sämtliche Konfiguration angepasst werden, damit sie auch das neue Netz erreichen.

Ist doch gut, dass es "nur" eine Einstellung ist. ☺

Das Problem wurde durch ein Update der Firewall von der Kommandozeile aus gelöst.
🙄

@pfadmin danke Dir!
Der Fehler lag vermutlich bei UniFi, und nicht bei pfSense oder meiner Konfiguration. Inzwischen habe ich die UniFi Geräte resettet und den UniFi Controller komplett neu eingerichtet; nun ging es auch mit den Einstellungen, mit denen es vorher nicht funktioniert hatte... Lag wohl daran, dass ich eine zu alte Version des Controllers als Docker Container laufen hatte. Mit einer aktuellen von linuxserver (sowieso mein Favorit, wenn es um Docker Container geht) gibt es keinerlei Probleme.

@p54

ursprünglich hatte mein User ein Zertifikat. Ich war dann davon ausgegangen, dass die exportierte Datei dieses auch beinhaltet. Aber entweder habe ich beim Erstellen des Zertifikates einen Fehler gemacht, oder es ist beim Ex-/Importieren etwas schief gelaufen.

Für den Moment lasse ich es jetzt erst einmal so; sowohl meine DDNS Adresse, als auch die Logins, habe nur ich. Da sollte auch ohne Zertifikat niemand etwas anstellen können.

Was interessant wäre, wäre die Möglichkeit, falsche openVPN Anmeldungen zu blockieren; geht das? Beispiel, IP Adresse X versucht, sich per openVPN zu verbinden. User/Password sind falsch. Zweiter Versuch innerhalb X Minuten, wieder falsch. ==> block for X days.
Da ich meine Logins so konfiguriert habe, dass ich sie sowieso aus dem verschlüsselten Passwortmanager per Copy&Paste einfügen muss, sollte eine Sperre von 2-3 fehlerhaften Loginversuchen ausreichen, um potenzielle Angreifer auszusperren, denn mein PW ist jedes Mal beim 1. Versuch richtig ^^

Perfekt. 👍

https://www.netgate.com/docs/pfsense/vpn/ipsec/configuring-a-site-to-site-ipsec-vpn.html RTFM

Hallo,
noch eine Anmerkung, der Server sollte auf der Seite sein, an der Du eine echte IP hast. Die Clients können dann immer noch durch Carrier Grade NAT (z.B. LTE) connected - z.B. wenn man mal einen Backup für eine tote Leitung braucht.
Grüße

Hallo,

dafür ist Firewall > NAT > 1:1 gedacht.

Wenn externe und interne IPs in derselben Reihenfolge sein sollen, kannst du das auch mit nur einer Regel machen.

Allerdings weist das dem WAN Interface nicht die IPs zu. D.h. wenn du die zusätzlichen IPs nicht auf die Standard-WAN-IP geroutet bekommst, musst du diese noch zusätzlich zuweisen:
Firewall > Virtual IPs
Hier alle weiteren IPs als 'IP Alias' hinzufügen.

Grüße

Hello,

das habe ich schon, ich habe auf beiden firewalls die volle bandbreite.
Das liegt nur an der Umstellung auf das CARP interface.
Sobald das aktiv ist, habe ich nur noch 100 MBit.

Hatte das Problem schon mal mit der pfSense 2.2. Da ging diese Karte nicht. Ob es jetzt funktioniert kann ich nicht sagen. Da es ein Server war, habe ich einfach ein Proxmox draufgemacht und die Netzwerkkarte auf virtio gepackt, ging auch. Allerdings hatte ich keinen 10GBit Internetanschluss um das ausnutzen zu können. War nur für das interne Netzwerk schön, obwohl da der meiste Traffic eh über die Switch geht und nicht über die Karte.

Ich vermute es geht um das "Default Gateway" über einen externen VPN Anbieter, um so Geoblocking, Netzsperren oder anderes zu umgehen. Erfahrungen habe ich nur mit Websecuritas gemacht. Da gibt das mit OpenVPN und IPSEC was beides von der pfSense unterstützt wird. Allerdings gibt es zig andere Anbieter.

Das kann ich Bestätigen. Unter einer Proxmox Virtualisierung hatte ich auch erst das Problem, dass das Routing nicht sauber funktionierte. Da gab es dann den Hinweis "Disable hardware checksum offload". Mittlerweile kann man auch die virtio Treiber nachinstallieren, da gings auch ohne die Einstellung. Bei XEN Server sind noch andere Einstellungen notwendig.

Sorry, mein Fehler: ich habe den DNS Forwarder verwendet, aber pfblocker-ng benötigt ja zwingend den DNS Resolver.
Das hatte ich in den Einstellungen übersehen und jetzt richtig eingestellt... :)

Hallo,

eine Skizze wäre wohl zur Verdeutlichung hilfreicher als lange Beschreibungen, aber grundsätzlich sollte dein Vorhaben machbar sein.
Natürlich braucht es aber auch auf der OpenVPN Seite die richtige Route. Also, du musst auch hier die entsprechenden Netze in "Remote Networks" bzw. "Local Networks" eintragen.

Grüße

Hallo,

danke, habs hinbekommen:
https://serverfault.com/questions/542416/having-two-subdomains-on-one-public-ip-addres-behind-pfsense-router

squid3 hat funktioniert

Danke euch!

Ich habe die VM mit pfSense komplett gelöscht und erneut von Null begonnen. Nun benutze ich die aktuelle Version des stable-branch und augenscheinlich dieselben Einstellungen, aber mit dem Unterschied, dass der Speedport Router nun wie gewünscht im Modem-Modus funktioniert. Für einen Sync braucht die Kiste keine 30 Sekunden (vgl. der Draytek knapp drei Minuten)! 😮

Aaaber ein Problem habe ich da noch: Ich versuche nach wie vor mit einer zweiten Strippe zwischen pfSense und LAN1-Buchse des Speedports auf http://169.254.2.1 und das von @p54 erwähnte "Hidden Menu" zuzugreifen . Das klappt aber noch nicht (Zeitüberschreitung beim Verbindungsaufbau). Hierzu habe ich der korrekten NIC ein neues Interface ("MOD") zugewiesen und die statische IPv4 Adresse 169.254.2.2 eingerichtet. Unter NAT>Outbound habe ich "Hybrid Outbound NAT rule generation." ausgewählt und eine neue Regel für das gerade erstellte Interface hinzugefügt:

Interface: MOD Protocol: any Source: Any Destination: Network 169.254.2.1/32 (169.254.2.0/24 hatte ich auch ausprobiert) Translation: Interface Address

Selbst nach einem Neustart klappt es so nicht. Ich habe auch schon dem "MOD"-Interface testweise ein Gateway ("MOD_GW") mit der IP-Adresse 169.254.2.1 zugewiesen und eine LAN-Firewall-Regel erstellt:

Interface: LAN Address Family: IPv4 Protocol: any Source: any Destination: Single host or alias 169.254.2.1 Gateway: MOD_GW

Auch hiermit hatte ich keinen Erfolg, sodass ich diese Änderung inzwischen wieder rückgängig gemacht habe (GW und Regel gelöscht).

Was mir aufgefallen ist: Unter Diagnostics>ARP Table steht unter dem Interface "MOD" nur eine MAC-Adresse, nämlich die der NIC selbst. Müsste hier nicht noch die der LAN1-Buchse des Speedports zu sehen sein?

Außerdem habe ich testweise die (per VT-d durchgereichte) NIC einer anderen (Debian) VM zugewiesen und dort einfach mal die statische IPv4 Adresse 169.254.2.2 eingestellt. Hier konnte ich http://169.254.2.1 aufrufen. Ich würde mich wirklich sehr freuen, wenn das jetzt auch noch von jedem PC im LAN aus über pfSense gelinge. 😅