Hallo "Forum"
hallo "JeGr"
Danke für euere Hinweise. Der USB-Stick hatte das Image als ISO drauf. Nochmal das img.gz runtergeladen und jetzt läuft die pfSense.

@JeGr:

Spätestens nach

Jetzt habe ich mir von meinem Provider A1 eine fixe IP geben lassen, diese wird per DHCP zugewiesen. Nachdem ich immer wieder eine andere

sehe ich das nicht als pfSense Problem. Wenn pfSense hier lediglich DHCP machen soll um eine Adresse zu bekommen, ist sie an der Stelle komplett raus. Alles andere muss A1 bzw. dein Webcube machen, bei dem ich dir leider nicht helfen kann.

Gruß

Das habe ich absolut genauso gesehen.
Die Business Hotline hat mir aber jetzt Recht gegeben. Ihr Problem ist, das anscheinend durch ein Updater vom Netz, der APN am Cube dauernd wieder überschrieben wird.
Was die fixe IP dann aber bringen soll, ist mir nicht klar

Wie an anderer Stelle schon geschrieben, eher wohl bedingt durch falsches / dupliziertes Routing. Ein Paket wandert ja nicht aus Jux und Dollerei einfach über eine Leitung ;) Also muss es irgendwo Routen geben, entweder in Phase 2 Einträgen oder im System, die das Paket über den falschen Tunnel schicken. Ohne Details zu Routing Table und den Phase 2 Entries ist das aber alles Glaskugelleserei.

Gruß

Wäre durchaus möglich, mit auch weil ich mich nicht darum gekümmert hab. Bloß aufgeschnappt und naja.. Sollte eine Verwechslung vorliegen dann jedoch bestimmt nicht mit einem LAGG, und beim HAProxy wäre ich mir nicht-mehr so sicher. Aber nein, dann doch eher als eine der wohl verflossenen Einrichtungshilfen für Traffic Shaper, Layer7 oder so-was. Wobei ich es eigentlich schon im Sinne der Lastverteilung in Erringung habe. Und zwar in dem Sinne das Engpässe um Multi-LAN -bspw an einer Messe wo das Gäste WLAN chronisch geflutet wird- möglichst zu vermeiden, und die Bandbreite des Routers optimal zu nutzen (das stärkere LAN obsiegt den schwächeren). Das wäre sicherlich interessant zu verfolgen, jedoch nicht der wichtigste Punkt, nicht meine Frage, und insbesondere OT. Nicht war ?  ;D ;)

Mittlerweile bin ich mir sehr sicher, dass das so war. :-)

Das Aufschreiben, Reden und Nachdenken haben mir dabei geholfen, dass ich das in Zukunft wohl besser einschätzen kann.
Danke nochmal für die Reaktion und den Verweis, dass die Adresse nicht zu dem Botnetz gehören muss, sondern zu Tor.

Hallo,

die Sense leitet den IPv6 Traffic über das (definierte oder Standard) Gateway. Wenn du nur ein Gateway über IPv6 erreichst bzw. nur eines mit IPv6 hast wird sie dieses nehmen.

Mangels Dualstack kann ich es aber leider selbst nicht nachstellen sondern nur beschreiben wie ich es, in der Theorie, angehen würde.

:) freut mich

Fehler gefunden. Vor lauter Bäumen den Wald nicht mehr gesehen.

IPsec Phase 2 Eintrag für das openVPN subnet habe ich vergessen.

Fun Fact: Von mehreren Dutzend Support Anfragen von Firmen zu pfSense + IPSec (oder auch OpenVPN) waren komischerweise <10% Fehler der pfSense. Allermeistens waren es die Gegenstellen, die

falsch konfiguriert waren (einfach) andere Werte zum Verbindungsaufbau genutzt haben (mittelschwer böse) andere VPN Strecken oder Routen, an die man nicht mehr dachte, die überlappt haben und deshalb für Chaos gesorgt haben oder sich die Gegenseite fast gar nicht um Standards geschert hat.

Insofern - lieber nochmal prüfen ;)

Ich weiß nicht ob es nach der Änderung immer noch so ist, aber zu unserer Zeit hat das hier am Sinnvollsten mit ESX + Hetzner geklappt:

zusätzliche Netzwerkkarte + IP ordern, weil eigene MAC und die Ursprungskarte ja von Hetzner für das Mgmt von ESXi konfiguriert ist zusätzliches Subnetz /29 o.ä. ordern und auf die IP der zusätzlichen Karte routen lassen pfSense als Routing VM im ESXi anlegen mit WAN auf zusätzliche Netzwerkkarte, zusätzliche IP als WAN IP für die VM interne Switche für VLANs anlegen (nach Bedarf) und intern die VMs via vSwitch dann an das/die (V)LANs der pfSense ankoppeln.

Dadurch dass die eigenlichen Adressen aus dem /29 dann geroutet sind, kannst du damit dann auf der Sense machen was du willst, ggf. auch einfach direkt 1:1 NAT auf einen Host oder eben in HAProxy verbraten. Da die pfSense als zusätzlicher Hop und Gateway für die internen Netze fungiert und extern mit ihrer IP+MAX der zusätzlichen NIC agiert, gabs/gibts da mit der Hetzner MAC Geschichte kein Problem.

Müsste man aber vorher vllt vom Support nochmal bestätigen.

Auch wenns schade ist denke ich, dass das momentan einfach noch nicht geht. :) Sorry

@m0nji: deine 3 Punkte sind sicherlich richtig, wobei ich 3) ergänzen würde um "Vorsicht beim Haken, dass der Resolver/Forwarder für die FW selbst NICHT genutzt wird". Ist der aktiv, sollte natürlich noch ein DNS eingestellt sein.

Die Aussage, dass pro WAN ein DNS eingestellt werden sollte, ist übrigens in den Dokus, das schneide ich mir nicht aus den Rippen ;)

Ist das nicht im Status ersichtlich? Ansonsten sollte das Log darüber Aufschluß geben können.

Der Kunde hat bereits eine bestehende pfSense. Ich will nur eine zweite hinzufügen als failover.

Das ist aber nicht ganz so trivial wie "ich hänge noch eine dazu und dann ist gut"! Da muss die Konfiguration und die Hardware auch ordentlich passen, sonst gibts da nur Probleme.

Die fixen externen IPs sind bisher als Virtuelle IP (Typ: Alias IP) auf der pfSense eingerichtet.

Verstanden.

Wenn ich nun ein Failover mache, muss ich die bestehende Virtuellen IPS von Typ "Alias IP" in typ "Carp" umwandeln?

Nein, es genügt eine davon zum Typ CARP umzuwandeln und bei den anderen Alias IPs als Interface nicht "WAN" auszuwählen, sondern die neu umkonfigurierte CARP VIP. Dann sind die anderen IPs Aliase des CARP Interfaces und ziehen mit diesem zusammen um wenn ein F/O notwendig ist.

Grüße

Thu Apr 12 12:23:19 2018 ERROR: Windows route add command failed [adaptive]: returned error code 1
Thu Apr 12 12:23:19 2018 ROUTE: route addition failed using CreateIpForwardEntry: Zugriff verweigert  [status=5 if_index=30]

Eindeutig Rechteproblem. Für Windows 10 bitte unbedingt den aktuellsten Client von OpenVPN mit Service installieren, dann sind auch keine Adminrechte des Benutzers notwendig (einmal während der Installation des Service, ja). Das liest sich aber eher nach einer Version < 2.4 von OpenVPN, bei der es noch keinen VPN Helfer Service gab.

Weil sich sehr wahrscheinlich die Netze/Prefixe überlagern und ähnlich wie bei duplicate IPs es manchmal geht und manchmal nicht. Das wäre meine Vermutung, das Konstrukt per se kann aber IMHO nicht sauber funktionieren.

Was Grimson da recht hart ausgedrückt hat ist, dass du "eigentlich" gar nichts hättest machen müssen. FA und FPA State Pakete bei 443/SSL Verbindungen sind gern mal im Log. Die KANNST du nicht wegblocken, außer du blockst gezielt diese States weg, was keinen Sinn macht (im Normalfall). Die Easyrule greift nicht, weil alle Regeln normalerweise NUR Syn Pakete matchen (Verbindungsaufbau). Hier sinds aber keine S sondern FA (Fin Ack) oder FPA (Push Fin Ack) Pakete. Also welche, die eh schon sagen, dass die Verbindung geschlossen werden soll(te). Daher völlig hinfällig. Die Pakete tauchen nur dann auf, wenn die Verbindung gelahmt hat und der Paketfilter vorher schon den State weggeworfen hat (meist weil bereits ein Reset oder Fin kam). Wenn dann noch eine verspätete Antwort vom Server kommt, dass man zustimmt die Verbindung zu schließen, dann gibts eben keine Zuordnung mehr und man wirft das Paket als unwichtig weg.

That's it und das steht eben so in dem Dokument drin: "This happens because on occasion a packet will be lost, and the retransmits will be blocked because the firewall has already closed the connection."

Zusätzlich kann das bei asymmetrischem Routing oder MultiWAN manchmal auftreten, das würde aber auf schlechte oder problematische Routen/Netwerksetups hinweisen.

Gruß

war die aktuellste Version, da hab ich die einfach genommen.

Das ist aber nicht die aktuellste Version ;) Darum die Frage. Somit solltest du vor Paketinstallation erstmal die aktuellste Version nutzen oder einstellen, dass du Legacy im 2.3er Baum bleiben willst.
Außer du redest von 32bit Installationen, das wäre aber auch wichtig zu wissen.

Bei keiner 2.3 oder 2.4er Version mit 64bit hatte ich Probleme das lcdproc Paket zu installieren, somit muss es was Lokales sein - die Fehlermeldung klingt als wäre das Filesystem readonly oder voll?

Gruß

Ich komme bisher mit dem "Original" Handbuch (über 650 Seiten!) völlig zurecht. Dieses ist bei einer "Gold-Membership" frei erhältlich (downloadbar) und immer einigermaßen aktuell am letzten Release. Wenn Dir die pfSense gefällt, Du das Projekt etwas unterstützen möchtest, wäre dies eine gute Wahl. Ansonsten findet man mit google eigentlich immer ein passendes Manual oder HowTo. Eine freie und voll umfängliche Anleitung habe ich bisher noch nicht entdeckt. Das Wiki ist teilweise gut, aber leider auch nicht ganz so komplett…