@bepo said in Und wieder eine Hardwarefrage :): @mike69 Danke dir :-) Mittlerweile hab ich es sogar selbst evaluieren können. Welche VPN Technologie und Settings wurden verwendet? Nutze IPsec mit AES 128 bits, wie in der Wiki beschrieben. [image: 1530697831650-auswahl_055-resized.png] Habe noch ein bissl mit PowerD rumexperimentiert, keine Änderung. Hatte mir mehr erhofft. Wass solls, jetzt steht das Ding hier und reicht für ne 50 Mbit Leitung.

@bepo said in Netzwerk segmentieren: @mike69 Huch, etwas leicht reizbar? Sorry, kam irgendwie anders rüber. Wollte den Sinn dahinter verstehen und in der Antwort ging es um persönliche Entscheidungen. Brachte mich ein bissl aus dem Takt. @viragomann said in Netzwerk segmentieren: Der Grund dafür ist, dass jeder Switch-Port von Haus aus, also wenn er keinem VLAN speziell zugewiesen wurde, VLAN1 ist. Das ist jedenfalls bei den meisten Switches so. Wie sich hier der ProCurve 1810G-24 verhält, weiß ich nicht. Daher, um am Switch-Port nicht ein unerwünschtes Signal rauszulassen, wird empfohlen, jedem genutzten Port ein VLAN <> 1 zuzweisen, falls man VLANs einsetzt. Die Folge ist natürlich auch, dass man VLAN1 gar nicht verwendet. Ja, verhält sich ebenfalls so. Danke für die Erklärung. So, Problem gelöst, liegt komplett bis auf das Gäste-WLAN in einer anderen VLANID. Danke nochmal an alle.

@benjsing Schön wenn ich helfen konnte :-) Bitte füg im Titel deines Ursprungspost noch (Gelöst) oder so etwas ein. Danke! Viele Grüße

@m0nji Ok. Danke für die Info.

@cwt Super :-) Markier am besten dann den Beitrag als gelöst. Bedanken kannst du dich über den Daumen Hoch neben den Beiträgen, die für dich hilfreich waren.

Servus, Danke für den Tipp mit OpenVPN! Nach Startschwierigkeiten ist nun alles soweit eingerichtet, dass ich von meinem Handy und Laptop über GSM/LTE einen Tunnel aufbauen kann. DNS läuft auch auf beiden Geräten super! Ich Danke mal wieder für die spitzen Hilfe, hat mir 70€ erspart :D

Wenn ein Standort dazu kommt, ist natürlich (mit Preshared Key) wieder ein zusätzlicher Server und Client nötig und die “Remote Network/s” müssen in sämtliche Konfiguration angepasst werden, damit sie auch das neue Netz erreichen.

Ist doch gut, dass es "nur" eine Einstellung ist.

Das Problem wurde durch ein Update der Firewall von der Kommandozeile aus gelöst.

@pfadmin danke Dir! Der Fehler lag vermutlich bei UniFi, und nicht bei pfSense oder meiner Konfiguration. Inzwischen habe ich die UniFi Geräte resettet und den UniFi Controller komplett neu eingerichtet; nun ging es auch mit den Einstellungen, mit denen es vorher nicht funktioniert hatte... Lag wohl daran, dass ich eine zu alte Version des Controllers als Docker Container laufen hatte. Mit einer aktuellen von linuxserver (sowieso mein Favorit, wenn es um Docker Container geht) gibt es keinerlei Probleme.

@p54 ursprünglich hatte mein User ein Zertifikat. Ich war dann davon ausgegangen, dass die exportierte Datei dieses auch beinhaltet. Aber entweder habe ich beim Erstellen des Zertifikates einen Fehler gemacht, oder es ist beim Ex-/Importieren etwas schief gelaufen. Für den Moment lasse ich es jetzt erst einmal so; sowohl meine DDNS Adresse, als auch die Logins, habe nur ich. Da sollte auch ohne Zertifikat niemand etwas anstellen können. Was interessant wäre, wäre die Möglichkeit, falsche openVPN Anmeldungen zu blockieren; geht das? Beispiel, IP Adresse X versucht, sich per openVPN zu verbinden. User/Password sind falsch. Zweiter Versuch innerhalb X Minuten, wieder falsch. ==> block for X days. Da ich meine Logins so konfiguriert habe, dass ich sie sowieso aus dem verschlüsselten Passwortmanager per Copy&Paste einfügen muss, sollte eine Sperre von 2-3 fehlerhaften Loginversuchen ausreichen, um potenzielle Angreifer auszusperren, denn mein PW ist jedes Mal beim 1. Versuch richtig ^^

Perfekt.

https://www.netgate.com/docs/pfsense/vpn/ipsec/configuring-a-site-to-site-ipsec-vpn.html RTFM

Hallo, noch eine Anmerkung, der Server sollte auf der Seite sein, an der Du eine echte IP hast. Die Clients können dann immer noch durch Carrier Grade NAT (z.B. LTE) connected - z.B. wenn man mal einen Backup für eine tote Leitung braucht. Grüße

Hallo, dafür ist Firewall > NAT > 1:1 gedacht. Wenn externe und interne IPs in derselben Reihenfolge sein sollen, kannst du das auch mit nur einer Regel machen. Allerdings weist das dem WAN Interface nicht die IPs zu. D.h. wenn du die zusätzlichen IPs nicht auf die Standard-WAN-IP geroutet bekommst, musst du diese noch zusätzlich zuweisen: Firewall > Virtual IPs Hier alle weiteren IPs als 'IP Alias' hinzufügen. Grüße

Hello, das habe ich schon, ich habe auf beiden firewalls die volle bandbreite. Das liegt nur an der Umstellung auf das CARP interface. Sobald das aktiv ist, habe ich nur noch 100 MBit.

Hatte das Problem schon mal mit der pfSense 2.2. Da ging diese Karte nicht. Ob es jetzt funktioniert kann ich nicht sagen. Da es ein Server war, habe ich einfach ein Proxmox draufgemacht und die Netzwerkkarte auf virtio gepackt, ging auch. Allerdings hatte ich keinen 10GBit Internetanschluss um das ausnutzen zu können. War nur für das interne Netzwerk schön, obwohl da der meiste Traffic eh über die Switch geht und nicht über die Karte.

Ich vermute es geht um das "Default Gateway" über einen externen VPN Anbieter, um so Geoblocking, Netzsperren oder anderes zu umgehen. Erfahrungen habe ich nur mit Websecuritas gemacht. Da gibt das mit OpenVPN und IPSEC was beides von der pfSense unterstützt wird. Allerdings gibt es zig andere Anbieter.