Hallo! @cantor: Ich bin der Meinung, dass mit dieser Konfiguration DNS-Anfragen - da im Resolver der DNS-Forwarder disabled ist - über die DNS Root Server laufen. Mache ich da einen Denkfehler oder ist meine Konfiguration diesbezüglich o.k.? Wenn du als Root Server jene bezeichnest, die im General Setup eingetragen sind, ja. Hast du für das Setzen von "Disable DNS Forwarder" einen bestimmten Grund? Diese Einstellung wirkt sich nur auf die pfSense selbst aus. Nachdem du auch die FB als DNS Server gesetzt hast, ist für das Anfragenziel auch die Einstellung dieser zu berücksichtigen. Ich sehe keinen Sinn in dieser Einstellung. Um für das VPN VLAN DNS Leaks zu vermeiden, darf DNS-Zugriff auf die pfSense hier nicht erlaubt sein, solange du Anfragen der pfSense auf allen Interfaces raus lässt. Falls du auf dem VPN VLAN nicht DHCP einsetzt, kannst du DNS-Anfragen auch mit einer simplen NAT Portforwarding Regel an einem beliebigen DNS Server weiterleiten, den die Clients nur über die VPN erreichen können. Grüße

@viragomann: Das funktioniert über "Policy based routing".  […] Herzlichen Dank. Auf den ersten Blick scheint meine KKonfiguration wie gewünscht zu funktionieren. Am Wochenende werde ich aber noch ein wenig mehr testen. Gruß Jürgen

@blex: Und mit dem Wort Transportnetz hat ein ein schönes neuer Google Buzzword  ;D :D

Hi, das dup ack kann eventuell auch von einem Loadbalancer kommen. Vielleicht ist hier auch schon die Lösung. Das mitten im abrufen die Session hängen bleibt. Vielleicht kann euer interner Mailserver ja auch ein Limit. Sprich max 30 Mails pro connection abholen. Mit dem Traffic share kannst du die Auswirkungen reduzieren während du analysierst. Somit kannst du sagen max. 50mbit für alle imap Verbindungen. Somit hat du nicht Gleichzeit mit der Fehleranalyse UND den Usern / aka Leitung ist ausgelastet zu kämpfen  ;) Gruß blex

Hi, @blubb1992: Hi, okay, dann ist das so. Wenns nicht funzt, wissen das man das einfach setzen muss.  ;D Ich Danke Dir für Deine Hilfe. Vg Blubb1992 Wenn etwas mal nicht geht, solltest du einfach mal in das Firewall Log schauen. Meistens steht dort sehr genau wo das Paket geblockt wird und von welcher Regel. Man muss sich nur was einfuchsen und die Filter Funktion erkunden. Auch kann es hilfreich sein sich per SSH auf der pfSense einzuloggen und dort in der Shell mit dem Kommando tcpdump zu arbeiten um zu sehen welche Pakete auf welchem Interface auftauchen oder auch nicht. Gruß blex

Hi, ich habe das gestern auch so gemacht. Also von dem USB Stick komplett neu installiert. Gebootet. Dann ein LAN Kabel an den Port welcher für LAN bezeichnet wird. Default ist 192.168.1.1 für die pfSense. Also das Laptop fest auf 192.168.1.100 oder so setzen und die WebGUI aufmachen. Danach den Konfigwizard abbrechen und unter Diagnostic -> Restore anklicken und die xml Datei hochladen. Danach die original Kabel wieder dranstecken und auf den Reboot warten! Und weiter warten! Bei dem Restore werden Daten als auch installierte Pakete "wiederhergestellt" sprich die Pakete werden installiert. Am besten beobachtest du die pfSense über die Konsole (ipmi) oder über ein serieles Kabel. Gruß blex

Hi, ich kann meinem Vorrednern nur zustimmen. Das ist Sache von einem Mailserver! Folgende Punkte solltest du hier in betracht ziehen: Du willst den ganzen Traffic, verursacht durch SPAM nicht zu dir nach Hause leiten Mails zu verarbeiten kostet kaum CPU Zeit, die SPAM Bekämpfung schon! Und je nach Konfiguration nicht wenig Auf einem Vorgelagerten Mailgateway solltest du eine Liste aller "gültigen" Empfänger hinterlegen (als Datei). Ist der interne Mailboxserver nicht verfügbar bleiben die Mails in der Query bis der Tunnel wieder da ist, oder an einen anderen Failover Standort geschwenkt wird Du solltest alle eingehenden Mails auch durch einen Virenscanner laufen lassen. Rein wie raus kannst du Konfigurieren indem dein externer Host der MX Server für eingehende Mails ist und bei deinem internen Mailserver als "smart-relay" eingetragen ist. Bei vServern ist oft schon eine IPv6 Adresse mit dabei. Denke daran diese auch als MX Eintrag zu hinterlegen. Alles in allem lohnt ich ein externer vServer der z.B. Mail + Web macht. Gruß blex

Hi, wie so oft hat viragomann recht! @viragomann: Dafür müsstest du einen Proxy installieren, der das kann. Das Paket HA-Proxy wäre dafür geeignet, das arbeitet u.a. auch mit dem HTTP Protokoll. Ich arbeite sehr viel mit dem HA-Proxy auf der pfSense. Daher möchte ich hier noch auf ein zwei Punkte hinweisen. 1. Bei httpS musst du wegen den Zertifikaten aufpassen. Bei 2 Hosts lohnt sich noch kein Wildcard Zertifikat. Aber ab einer gewissen Menge solltest du darüber nachdenken 2. Die pfSense ist ne Firewall. Sie KANN das was du beschrieben hast, es ist aber auch zu überlegen ob du eventuell das HA-Proxy oder apache / nginx mit reverse Proxy auf einen dedizierten Host in der DMZ installierst. Diese können dann die Anfragen via reverse proxy an andere interne Host leiten 3. Je nach dem was du hier veröffentlichen willst / welche Sicherheitsanforderungen du hast, solltest du über den Einsatz von mod-security nachdenken. 4. Bei Mod-security kann man ein Setup machen wo der ha-proxy auf der pfSense die Anfrage auf dem WAN entgegen nimmt, ALLE dann an den mod-security Server in der DMZ schiebt und dann von dort die "sauberen" Anfragen auf dem LAN Interface annimmt und an die internen Webserver weiter gibt. (gibt es hier im Forum gute Informationen zu). Gruß blex

Hallo ich habe für einen Produktivbetrieb mal nach Wochen des Versuchens eine S2S Verbindung zwischen Pfsense und FB hergestellt bekommen. Nach viel Hilfe und suche im netz - manuellem an passen der Configs in der FB etc.. Letzendlich lief das ganze dann endlich stabil (mehr oder weniger) dann war aber sofort klar dass die Performance der FB nicht ausreicht - an einem 100MBIT anschluss schaffte die FB max 8Mbit-bis 10Mbit über das VPN. Ich habe die FB´s noch immer - setzte dahinter aber inzwischen PFSENSE für das VPN ein - läuft SUPER.

Oh. Okay jetzt habe ich dich verstanden. Das werde ich mir in den nächsten Tagen einmal näher ansehen. Vielen Dank dir & einen schönen Abend noch, 5p9

Hi, du flutest dein OPT1 und dein WLAN mit Broadcasts, genau deshalb sollte der Switch ja IGMP können. Ich denke, dass es ein Problem des Zyxel ist. Du kannst und solltest aber die Konfig und Rules der pfsense hier posten, sonst kann keiner was machen. Der Zyxel 1900 soll nur auf IGMP enabled, v3 und flood gestellt werden müssen. Wobei ich das flood für falsch halte, aber es kann ja erstmal zu Testzwecken an sein. Ob der 1910 genau so geht weiß ich nicht, ich habe auch kein Entertain. Gruß pfadmin

Muss ich auf dem LAN dann einen DHCPv6 Server laufen lassen? Muss nicht, wäre aber ggf. sinnvoll. Zumindest dass DNS/NTP an Clients gepusht wird, also Assisted. Bzw. was muss ich am WAN anfordern? DHCPv6, SLAAC? Das was die Provider vorgeben - das weiß ich ja nicht. Wenn ich bei Unitymedia im LAN nicht mit Tracked Interface arbeite, bekomme ich von ihnen gar keine IPv6 zugewiesen  :-\ Dann stimmt deine Einstellung nicht, DHCP6 sollte klappen - mit Einstellungen. Ah, das habe ich überlesen, dass beide Prefixe dynamisch sind. Das wird wahrscheinlich dann nicht laufen. Es sei denn der zugewiesene Prefix-Bereich für dich bleibt gleich und nur der Upstream-Prefix ändert sich. Gruß

@mad|V|aX: Nein, außer dass ich ein ähnliches Verhalten mit folgendem Setup sehe: Telekom Magenta Zuhause M, VDSL2 BNG (Easy Setup abgeschaltet im Kundencenter) DrayTek Vigor 130 (Modem7 Firmware) im Bridgemodus mit VLAN7 Tag pfSense 2.4.3, IGMPProxy, PPoE-Einwahl Telekom Media Receiver 401 direkt am pfSense (kein Switch dazwischen). Ist der MR ausgeschaltet gewesen, bekommt man zunächst kein Bild, nach einmaligem Umschalten (z.B. 1 -> 2) kommt dann was. Nach Standby flüssiger. Hängt ein (IGMP v3 fähiger) ZyXEL Gs1910-24 dazwischen, geht nix. Würdest du bitte entweder hier, oder in deinem extra Topic das Problem behandeln? Beides verwirrt. https://forum.pfsense.org/index.php?topic=147473.0

Ich nutze die 2.4.3. Lese mich mal in Deinen Workaround Thread ein…

@5p9 genau so ist es. Da es sich bei der WAN Adresse um eine private IP handelt, kann es schon sein, dass er dies nicht mitbekommt. WAN Adresse ist auf der Fritzbox als ExposedHost hinterlegt. Nope, das bekommt die pfSense trotzdem mit. Ist die WAN IP eine private IP wird der Check mittels Prüfung auf checkip.dyndns.org erledigt. Steht bei dem DynDNS Eintrag sogar extra dabei: Interface to Monitor: WAN -> If the interface IP address is private the public IP address will be fetched and used instead. Somit sollte das immer funktionieren und nicht manuell angestoßen werden müssen. Gerade checkip kann sonst auch mal zickig werden wenn zu oft angefragt wird. Ich nutze das hinter einer Kabel-Fritte schon seit Jahr und Tag zuverlässig

Danke. Das hat geholfen! Was ich auch noch übersehen habe, der default ist ja so wenn nichts definiert ist wird auch nichts zugelassen ;) VG, 5p9

@sanches: Komme ich auch im Bridgemodus an das WebInterface? Weiß ich nicht mehr, könnte sein. Wenn, dann so: https://doc.pfsense.org/index.php/Accessing_modem_from_inside_firewall

Ja, natürlich. Das ist ja der Sinn des 1:1 NAT. Für das ausschließliche Weiterleiten einer externen IP an eine interne ist das Port Forward da. Die ausschließliche Umsetzung einer internen auf eine externe IP macht das Outbound NAT. 1:1 macht beides.

ich würde erst einmal ausschließen, dass es die MySQL ist. MySQL bindet sich per default absichtlich nicht auf any IP. Und sowas remote aus dem Internet freizugeben ist schon sehr fragwürdig! Trotzdem würde ich erstmal innerhalb des Netzes testen, ob man von einem anderen System aus remote auf die MySQL verbinden kann. Wenn die Userrechte das nicht erlauben kannst du dich schwarz probieren.