@pfadmin said in PPPOE Vigor 130 Pfsense–> keine Verbinung:

du solltest die 192.168.1.40 entweder statisch oder per dhcp vergeben!!!

Außerdem empfehle ich, die modemversion 8 für den Draytek zu benutzen. Aus eigener und bestätigter Erfahrung. Wirkt sich bei einem 50er Vectoring Anschluß evtl auf die Fehlerrate aus. Ein 100er wird erheblich schneller im Upload.

Und beim nächsten mal das VLAN im Router einstellen, nicht im Modem. Einfach sauberer...

Gruß
pfadmin

Werde das auch mal die Tage mit der Modemversion 8 ausprobieren im moment läuft alles tip top! Aber danke für den Tip :-)

May 30 21:41:46 root FreeRADIUS: User xyz has used 2 MB of 100 MB daily allotted traffic. The login request was accepted.

Wenn ich beim gleichen user den Traffic beschränke, kommt diese Meldung im syslog, wobei der Verbrauch korrekt hochgezählt wird. der root wundert mich etwas, hätte radiusd erwartet.

Da eine vergleichbare Meldung für den Zeitverbrauch nicht kommt, scheint es ein BUG zu sein. Zumindest eine Fehlkonfiguration, die den Service trotzdem starten läßt.

Kann das jemand mit der aktuellen stabilen Version 2.4.3.1 evtl bestätigen?

Grüße
pfadmin

@medikopter said in OpenVPN TLS Fehler:

Das klingt ja eigentlich ganz cool und simple, allerdings scheitere ich schon an der Umsetzung eines Failover.

Nunja, aber das sind ja auch zwei verschiedene paar Stiefel ;) VPN auf beiden Interfaces zum Laufen zu bringen ist wesentlich leichter, weil du nichts umschalten/routen/sonstwas musst. Daher überhaupt nicht schwer.

Also das er das Interface automatisch wechselt wenn eins Down ist.

Es genügt doch eine Gateway Gruppe zu machen und die bei den Regeln auf dem LAN einzusetzen?

@mrsunfire Siehe Edit, das sollte MS-Windows-only sein und daher wenig kriegsentscheidend. :)

@simpsonetti Kein Problem, gern :)

Update:

Ein Fehler war schon einmal ,dass die Firewall Rules der pfSense zwischen den Netzen die ICMP Pakete geblockt hat.

Da bei PMTU die ICMP Fehlermeldungen ausgewertet werden, war ein PMTU so nicht möglich. Die Firewall selbst erkannte nicht, dass die ICMP Pakete zu der erlaubten Verbindung gehörten und blockte die Pakete.

Firewall-Regel erstellt, die solche Pakete akzeptiert und jetzt geht es größtenteils.

Ich wäre ja schon froh, wenn es bei UM (bzw. künftig wohl KD/Vodafone) endlich schnellere Internet-only Tarife gäbe. Aber max 120er Leitung wenn man gleichzeitig bei 2play mit (nicht benötigtem Telefon) 400 bzw. in Bochum schon Gigabit anbietet ist eben schon fast Nötigung. Leider ist bei uns sonst niemand auch nur annähernd in der Region >50Mbps vorhanden, so dass man da keine Alternative hat :(

Gerade wenn man halbwegs modern im Haushalt ausgestattet ist, braucht es heute eher kaum noch zwingend ein Festnetz (zumindest bei uns), Fax stirbt (hoffentlich!) auch mal aus und bei der großartigen "Zuverlässigkeit" der meisten ISPs und deren neuem IP only Telefon vertraue ich meinem Smartphone und dem Funknetz mittlerweile mehr als dass gerade mal VoIP sauber funktioniert.

@kj19 Kein Problem. FRR ist ja der Fork für die Weiterentwicklung von Quagga, die Konfiguration sollte also annähernd 1:1 sein. Und dort kannst du m.W. entweder in der Zebra oder OSPF Konfiguration unter General noch zusätzliche Routen angeben die gepusht werden sollen bzw. bestimmen, was aus der Routing Tabelle mitgenommen wird.

@gtrdriver Wie gesagt, je nachdem was du machen möchtest. Wenn du die IPs hinter der Firewall auflegen willst bspw. als DMZ o.ä., dann natürlich nicht als AliasIPs definieren, sondern einfach eine der IPs der Sense geben und den Rest in diesem Netz nutzen.

Reichst du die IPs einfach per 1:1 NAT (oder Port Forwarding) an interne Hosts im LAN oder anderen Netzen weiter, dann brauchst du gar nichts anlegen, auch keine Alias IPs(!) denn die IPs kommen eh zur Firewall (da geroutet) und müssen dort (auf der Firewall) nicht verarbeitet werden, daher auch nicht angelegt werden. Lediglich wenn die IPs genutzt werden für abgehendes NAT (outbound NAT) müssen sie mind. als Type "Other" oder Alias IPs angelegt werden. Übrigens kann hier für abgehendes NAT - und nur dafür(!) - auch boundary Adressen recycled werden (also die Netz- oder Broadcast IP). Diese einfach als Typ "other" IP auf der Sense unter VirtualIPs anlegen und als abgehende NAT Adresse für bspw. interne Dienste nutzen. Dann bleibt eine "echte" IP für andere Hosts/Dienste übrig, für die auch echte eingehende Kommunikation möglich sein muss.

Gruß

@gtrdriver eben genau das: mehrere IPs angeben, indem du als Source ein Alias anlegst und verwendest. Als Source bspw. "erlaubteIPs" zu nutzen wird die Weiterleitung auch nur für diese IPs nutzen, alle anderen Zugriffe von externen Adressen werden nicht übersetzt, so dass sie bspw. im Firewall Log als Zugriffe auf die WAN IP auftauchen, während die "erlaubteIPs" als "pass" mit Ziel auf die interne NAT IP auftauchen.

Hello PiBa,
the workaround works perfect for me! The server now relaunches after the change of the IP address. The problem has not occurred since then.
Many Thanks!

@pete35 said in FRR OSPF Package:

Hallo,

ich hab schon mal im englischen Teil des Forums meine Probleme mit FRR OSPF gepostet.

https://forum.pfsense.org/index.php?topic=148066.0

Ist hier jemand, der OSPF mit FRR auf Pfsense einsetzt?

Vielleicht mach ich einfach zuviel falsch.

Wir haben das für Fallback Verbindungen via OpenVPN schon manches Mal genutzt.

Hi,

dann poste doch mal was unter dem logoutput von ipset steht.  (VPN -> IPSec und dann oben "related logs" Icon anklicken)
Falls da nichts drin steht kannst du unter VPN -> IPSec -> advanced settings  in den ersten drei Dropdowns das Logginglevel ändern für tiefere einblicke.

Gruß blex

Hallo

erstmal danke für eure Tips - hat alles geklappt !

@wkn:

Hi,
ich nutze einen VDSL100 Anschluß der Telekom.
Ich habe für VOIP nur die Outbound-NAT-Rule siehe Angang definiert (Die .50 ist die IP des Telefons). Es sind keine Portweiterleitungen nötig. Das Telefon hält die Firewall von innen offen (Keep-Alive vom Telefon auf 30 Sekunden eingestellt).

BR wkn

Vielen dank funktioniert bestens auch ohne port weiterleitung :)

Also ich glaube und hoffe die Ursache gefunden zu haben. Kann es sein, dass nTop diese ganzen Anfragen generiert? Ich habe das Paket mal ausgeschaltet und werde ein paar Stunden beobachten.

*edit: Hmm, wohl doch nicht… aber die PTR-Anfragen sind scheinbar nicht mehr vorhanden.

Ich bin an dieser Stelle jetzt raus.

Da geh ich mit.  ;D 
Ich hatte gedacht das es Trolle nur auf Facebook gibt, aber das scheint ein rein gesellschaftliches Problem zu werden.
Wie in der Politik, die einen sahnen ab und die anderen machen die Arbeit.
Muss ich nicht haben.

supi, alles klar. ;)
Besten Dank.

@ hbauer

Was willst du allso mit dem Beitrag erreichen? Stänkern?

Ich hoffe mal, Du hast Deine "Goldwaage" richtig tariert. Ansonsten solltest Du Deinen "Schlips" etwas kürzen, damit ich da nicht mehr drauf treten kann.
Sorry, aber es fällt mir da nix mehr zu ein, zudem Du den Gag…

Das kann aber auch an meinen schlechten Ohren oder der geringen Bandbreitenbelastung liegen.

…ja selbst gepostet hast.
Ich hatte nur bemerkt, das Variant1 die einfacher zu realisierende Lösung ist und Du nicht noch zusätzlich Löcher in die Firewall bohren musst.
Letztlich muss der Threadersteller das sowieso für sich entscheiden.
Gruss und einen schönen Tag...
orcape