Hi, die VPN-Geschichte steht erstmal hinten an. Ich habe Zugriff aus das NAS. Ich habe anstatt einer NAT mit einer rule nur eine rule erzeugt. Und das klappt nicht.
Thema ist wie gesagt gelöst.

Hallo,

dafür bietet pfSense eine Zeitsteuerung für Firewall-Regeln.

Dazu musst du erst einen Schedule erstellen. Firewall > Schedules
Und dann eine Firewall-Regel, die den jeweiligen ausgehenden Traffic erlaubt. In der Regel-Konfig die erweiterten Optionen öffnen und bei "Schedule" den zuvor erstellten Scheduler auswählen.

Das macht natürlich nur Sinn, wenn hinterher keine Regel nachfolgt, die auch das Unerwünschte erlauben würde. Also ggf. eine Block-Regel dahinter setzen.

Grüße

@ollibraun:

Sollte ich hier eine solche einmal gebildete Adresse bei der Schnittstelle fest eintragen, oder wäre es besser, die MAC eines der beiden Hardware-Ports einzutragen?

Weder noch, die korrekte Lösung ist keine Bridge zu verwenden sondern alles über einen ordentlichen Switch anzuschließen. Router Ports sind keine Switch Ports und sollten auch nicht so verwendet werden, dazu gibt es mehr als genug Threads hier im Forum.

So läuft, hatte "nur" vergessen in der pfsense die freigaben zu setzen.

Danke jungs.

Hi,

@un1que:

Normalerweise solltest du diese problemlos löschen können, wenn die Zertifikate nirgendwo mehr zugeordnet sind. Schau mal nach, ob diese irgendwo noch in Verwendung sind.

Danke, das war das Problem.

Um die Daten zu sichern, schau mal hier nach: /var/db/vnstat

Wie du die Fehlermeldung wegbekommst, kann ich dir nicht sagen. Wenn aber nichts mehr hilft, dann wirst du um einen Reset (zu finden unter den TT Advanced Settings) nicht herumkommen.

Ansonsten bin ich eher enttäuscht von diesem Package. Mir sind auf diese Weise schon ein paar mal die Daten verloren gegangen, teilweise Probleme gehabt TT wieder zum Laufen zu bringen (die Zähler standen immer bei 0) oder die fehlende Auto-Backup Möglichkeit. Kurz zusammengefasst: sehr unzuverlässig.
Die Tatsache, dass die Bug Behebung mit der Diagrammanzeige so lange dauert (wird immer von Version zu Version nach hinten verschoben), sagt mir eigentlich, dass das Package nicht wirklich weiterentwickelt wird und man sich am besten nicht davon abhängig machen sollte.

Mittlerweile nutze ich RRD Summary und TT nur noch dazu, um mal den stündlichen oder täglichen Traffic auszuwerten.

"WAN net" ist lediglich das Subnetz, das am WAN Interface konfiguriert ist, nicht das Internet!
Um Zugriff auf eine beliebige Adresse im WWW freizugeben, musst du als Ziel "any" wählen.

Soll der Client aber keinen Zugriff auf andere interne Netze haben, müssen diese in einer vorangehenden Regel blockiert werden, oder bei Ziel in der Pass-Regel "invert" angehakt und die internen Netze (als Alias, wenn mehrere) ausgewählt werden.
Ich erstelle mir für solche Zwecke einen Alias, der sämtliche RFC 1918 Netze enthält und verwende diesen.

ok, ich suche die Infos zusammne

Als Hilfe für andere:

ich habe es hinbekommen! Zuerst versuchte ich einfach WAN2 keine IPv6 zuzuweisen. Doch dann bliebt für IPv6 immer nur WAN1 übrig selbst wenn dieses gestört war. Lösung war WAN2 IPv6 zu aktivieren und das dadurch erstellte Gateway nicht zu überwachen (always online). Danach IPv6 bei WAN deaktivieren. Somit gibt es in der Failover Gruppe ein WAN2 IPv6 Gateway auf das bei gestörtem WAN1 geswitcht wird. Da dieses aber keine IPv6 Funktionalität besitzt, wird automatisch auf IPv4 gewechselt. Sobald WAN1 komplett wieder da ist, geht es zurück auf das WAN1 IPv6 Gateway.

Hey blex,

genau, das funktioniert auch soweit. Problem ist, ohne Internet müssten die Clients die Seite/Server manuell im Browser aufrufen.
Normaler Weise rufen Apple Geräte das Portal alleine auf, Microsoft und Android Software je nach Version auch oder sie blenden eine Info ein, dass man sich ggf. in einem Portal einloggen muss und ob man dieses öffnen möchte. Das ganz funktioniert dadurch, dass die Geräte beim Herstellen einer WLAN Verbindung im Hintergrund eine Webseite beim Hersteller aufrufen und wenn sie die Seite bekommen ist Internet vorhanden, wenn sie was anderes zurück kriegen (durch Umleitung des DNS oder HTTP Request), das Captive Portal öffnen oder die Meldung anzeigen.
Wenn jetzt durch mangelndes Internet keine DNS Auflösung stattfindet, geht der HTTP Request logischer Weise nicht raus und man kann die Anfrage nicht auf das eigene Captive umleiten.
Nun könnte man die URLs, die abgefragt werden natürlich auch statisch im DNS eintragen, aber allein für Apple habe ich 64 unterschiedliche URLs rausgefunden (ggf. nicht mal vollständig) und ein statischer Eintrag auf Dauer ist natürlich auch nicht toll, wenn sich evtl. die IPs irgendwann mal ändern oder neue Seiten dazu kommen.

Danke schonmal. Das mit dem Paket RRD_Summary werd ich mir mal ansehen. Aber kann man ihr nicht auch beibringen, diese Stats einfach nicht zu löschen. ICh will sie halt im Dashboard als Gesamtwert haben über alle Zeit. Und nicht erst seit dem letzten Restart.

Jap ich habe einige Widgets am Start….genau darum ginge es mir ja ob man am Quellcode was machen kann um was hinzuzufügen

Bei solchen Kleingeräten wie Webcams kann es schon sein, dass der Remote-Zugriff nicht so ohne Weiteres möglich ist. Die haben ja oft nicht mal ein Gateway zum Einstellen. Wenn das der Fall ist, gibt es natürlich keine Kommunikation mit einem anderen Netzwerk ohne NAT.

Wenn beide Seiten der VPN in deiner Obhut stehen und du allen Geräten vertraust, ist die NAT-Lösung auch nicht weiter bedenklich.
Auch wäre es möglich, dass du NAT nur für jene Geräte anwendest, auf welche anders kein Zugriff möglich ist. Dazu packst du all diese IPs in einen Alias (Firewall > Alias > IP) und trägst diesen in der NAT-Regel als Ziel ein.

Gruß

@blex: was genau das ist, was ich oben bereits beschrieben hatte mit "Server muss einen festen passiven FTP Portrange festgeschrieben bekommen".

Hallo!

@cantor:

Ich bin der Meinung, dass mit dieser Konfiguration DNS-Anfragen - da im Resolver der DNS-Forwarder disabled ist - über die DNS Root Server laufen.
Mache ich da einen Denkfehler oder ist meine Konfiguration diesbezüglich o.k.?

Wenn du als Root Server jene bezeichnest, die im General Setup eingetragen sind, ja.

Hast du für das Setzen von "Disable DNS Forwarder" einen bestimmten Grund? Diese Einstellung wirkt sich nur auf die pfSense selbst aus.

Nachdem du auch die FB als DNS Server gesetzt hast, ist für das Anfragenziel auch die Einstellung dieser zu berücksichtigen.
Ich sehe keinen Sinn in dieser Einstellung.

Um für das VPN VLAN DNS Leaks zu vermeiden, darf DNS-Zugriff auf die pfSense hier nicht erlaubt sein, solange du Anfragen der pfSense auf allen Interfaces raus lässt.

Falls du auf dem VPN VLAN nicht DHCP einsetzt, kannst du DNS-Anfragen auch mit einer simplen NAT Portforwarding Regel an einem beliebigen DNS Server weiterleiten, den die Clients nur über die VPN erreichen können.

Grüße

@viragomann:

Das funktioniert über "Policy based routing".  […]

Herzlichen Dank. Auf den ersten Blick scheint meine KKonfiguration wie gewünscht zu funktionieren. Am Wochenende werde ich aber noch ein wenig mehr testen.

Gruß
Jürgen

@blex:

Und mit dem Wort Transportnetz hat ein ein schönes neuer Google Buzzword  ;D

:D

Hi,

das dup ack kann eventuell auch von einem Loadbalancer kommen. Vielleicht ist hier auch schon die Lösung. Das mitten im abrufen die Session hängen bleibt.
Vielleicht kann euer interner Mailserver ja auch ein Limit. Sprich max 30 Mails pro connection abholen.

Mit dem Traffic share kannst du die Auswirkungen reduzieren während du analysierst. Somit kannst du sagen max. 50mbit für alle imap Verbindungen. Somit hat du nicht Gleichzeit mit der Fehleranalyse UND den Usern / aka Leitung ist ausgelastet zu kämpfen  ;)

Gruß blex

Hi,
@blubb1992:

Hi,

okay, dann ist das so. Wenns nicht funzt, wissen das man das einfach setzen muss.  ;D

Ich Danke Dir für Deine Hilfe.
Vg
Blubb1992

Wenn etwas mal nicht geht, solltest du einfach mal in das Firewall Log schauen. Meistens steht dort sehr genau wo das Paket geblockt wird und von welcher Regel. Man muss sich nur was einfuchsen und die Filter Funktion erkunden.

Auch kann es hilfreich sein sich per SSH auf der pfSense einzuloggen und dort in der Shell mit dem Kommando tcpdump zu arbeiten um zu sehen welche Pakete auf welchem Interface auftauchen oder auch nicht.

Gruß blex

Hi,

ich habe das gestern auch so gemacht. Also von dem USB Stick komplett neu installiert. Gebootet. Dann ein LAN Kabel an den Port welcher für LAN bezeichnet wird.
Default ist 192.168.1.1 für die pfSense. Also das Laptop fest auf 192.168.1.100 oder so setzen und die WebGUI aufmachen.

Danach den Konfigwizard abbrechen und unter Diagnostic -> Restore anklicken und die xml Datei hochladen.
Danach die original Kabel wieder dranstecken und auf den Reboot warten! Und weiter warten! Bei dem Restore werden Daten als auch installierte Pakete "wiederhergestellt" sprich die Pakete werden installiert.

Am besten beobachtest du die pfSense über die Konsole (ipmi) oder über ein serieles Kabel.

Gruß blex