Der Kunde hat bereits eine bestehende pfSense. Ich will nur eine zweite hinzufügen als failover. Das ist aber nicht ganz so trivial wie "ich hänge noch eine dazu und dann ist gut"! Da muss die Konfiguration und die Hardware auch ordentlich passen, sonst gibts da nur Probleme. Die fixen externen IPs sind bisher als Virtuelle IP (Typ: Alias IP) auf der pfSense eingerichtet. Verstanden. Wenn ich nun ein Failover mache, muss ich die bestehende Virtuellen IPS von Typ "Alias IP" in typ "Carp" umwandeln? Nein, es genügt eine davon zum Typ CARP umzuwandeln und bei den anderen Alias IPs als Interface nicht "WAN" auszuwählen, sondern die neu umkonfigurierte CARP VIP. Dann sind die anderen IPs Aliase des CARP Interfaces und ziehen mit diesem zusammen um wenn ein F/O notwendig ist. Grüße

Thu Apr 12 12:23:19 2018 ERROR: Windows route add command failed [adaptive]: returned error code 1 Thu Apr 12 12:23:19 2018 ROUTE: route addition failed using CreateIpForwardEntry: Zugriff verweigert  [status=5 if_index=30] Eindeutig Rechteproblem. Für Windows 10 bitte unbedingt den aktuellsten Client von OpenVPN mit Service installieren, dann sind auch keine Adminrechte des Benutzers notwendig (einmal während der Installation des Service, ja). Das liest sich aber eher nach einer Version < 2.4 von OpenVPN, bei der es noch keinen VPN Helfer Service gab.

Weil sich sehr wahrscheinlich die Netze/Prefixe überlagern und ähnlich wie bei duplicate IPs es manchmal geht und manchmal nicht. Das wäre meine Vermutung, das Konstrukt per se kann aber IMHO nicht sauber funktionieren.

Was Grimson da recht hart ausgedrückt hat ist, dass du "eigentlich" gar nichts hättest machen müssen. FA und FPA State Pakete bei 443/SSL Verbindungen sind gern mal im Log. Die KANNST du nicht wegblocken, außer du blockst gezielt diese States weg, was keinen Sinn macht (im Normalfall). Die Easyrule greift nicht, weil alle Regeln normalerweise NUR Syn Pakete matchen (Verbindungsaufbau). Hier sinds aber keine S sondern FA (Fin Ack) oder FPA (Push Fin Ack) Pakete. Also welche, die eh schon sagen, dass die Verbindung geschlossen werden soll(te). Daher völlig hinfällig. Die Pakete tauchen nur dann auf, wenn die Verbindung gelahmt hat und der Paketfilter vorher schon den State weggeworfen hat (meist weil bereits ein Reset oder Fin kam). Wenn dann noch eine verspätete Antwort vom Server kommt, dass man zustimmt die Verbindung zu schließen, dann gibts eben keine Zuordnung mehr und man wirft das Paket als unwichtig weg. That's it und das steht eben so in dem Dokument drin: "This happens because on occasion a packet will be lost, and the retransmits will be blocked because the firewall has already closed the connection." Zusätzlich kann das bei asymmetrischem Routing oder MultiWAN manchmal auftreten, das würde aber auf schlechte oder problematische Routen/Netwerksetups hinweisen. Gruß

war die aktuellste Version, da hab ich die einfach genommen. Das ist aber nicht die aktuellste Version ;) Darum die Frage. Somit solltest du vor Paketinstallation erstmal die aktuellste Version nutzen oder einstellen, dass du Legacy im 2.3er Baum bleiben willst. Außer du redest von 32bit Installationen, das wäre aber auch wichtig zu wissen. Bei keiner 2.3 oder 2.4er Version mit 64bit hatte ich Probleme das lcdproc Paket zu installieren, somit muss es was Lokales sein - die Fehlermeldung klingt als wäre das Filesystem readonly oder voll? Gruß

Ich komme bisher mit dem "Original" Handbuch (über 650 Seiten!) völlig zurecht. Dieses ist bei einer "Gold-Membership" frei erhältlich (downloadbar) und immer einigermaßen aktuell am letzten Release. Wenn Dir die pfSense gefällt, Du das Projekt etwas unterstützen möchtest, wäre dies eine gute Wahl. Ansonsten findet man mit google eigentlich immer ein passendes Manual oder HowTo. Eine freie und voll umfängliche Anleitung habe ich bisher noch nicht entdeckt. Das Wiki ist teilweise gut, aber leider auch nicht ganz so komplett…

Danke für eure Antworten. Mit der neusten Version gab es keinen erneuten Absturz. Ich werde mich nochmal melden, sobald ich es auf den produktiven Firewalls geprüft und umgesetzt habe.

Internet läuft, nur die Update-Funktion über SSH offer package-Installationen laufen manchmal nicht. Auf der SSH-console erscheint dann der SSL-Fehler. Per Browser kann ich alle SSL-Seiten öffnen.

Hallo, also ich taste mich langsam voran: Um auf Deine Frage zu antworten Viel mehr kann man dazu nicht sagen, da die Infos vom Internet Provider und das OS vom Server (wo finde ich die DUID) fehlen. UnityMedia ist mein Provider, der mir eine /59 Prefix zuweist. Die Fritzbox wiederum deligiert weitere Subnetze mit /62, sodass ich 3 verschiedene Subprefixe habe auf den drei Interfaces von der pfSense. Ich frage mich gerade welchen Wert ich für die "Prefix Delegation Size" bei dem DHCPv6 Server einstellen sollte 63 oder gar 64? Mein Server läuft auf einem Centos7, so dass mich die Antwort interessieren würde, wie man hier die DUID heraus bekommt (beim Googeln kam mir nichts verwertbares entgegen) Vielen Dank!

Hi viragomann, hattest recht, hatte NAT noch auf Manual Outbound NAT, wegen der SIP Geschichte. Vielen dank für den Hinweis. Grüße Rob

Hi, dein Bilder sind nicht zu gebrauchen, da unscharf. Prüfe die LAN-seitigen IPv6 der Fritz auf den Prefixteil, den du festlegen kannst. Ich vermute, dass die Fritz schon die "0" benutzt, die du bei der pfsense einstellst als IPv6 Prefix ID Gruß pfadmin

@Rob64: Firewall hat im VLAN 33: 192.168.33.250 Switch hat im VLAN 33: 192.168.133.1 Zielnetz: 172.16.1.0 Maske: 255.255.255.0 Gateway: 192.168.144.1 Ökonomischer geht das mit einer einzigen Summary Route: Zielnetz: 172.16.1.0 Maske: 255.255.248.0 Gateway: 192.168.33. Du schreibst etwas wirr. Vermutlich meinst du bei den roten Markierungen immer 192.168.33.x aber das ist halt nur meine Vermutung. In der letzten Zeile fehlt das entscheidende Byte an letzter Stelle. Wenn der Switch L3 routet, dann baut man eigentlich zwischen ihm und der Firewall ein Transitnetz auf, das nur dazu dient, die Daten zu routen. Da reicht auch eine /30, da in dem Transitnetz eh keine Hosts sitzen sollten. Wie hast du das mit dem DHCP Server auf der pfSense gelöst? Das ist ja sein initiales Problem (wobei das relativ einfach zu lösen ist, wir werden uns da noch hinarbeiten).

Vielen dank für die Antwort, ich habe entnervt aufgegeben und nutze im Moment nur noch einen normalen Router, habe mich viel informiert und glaube eine gute alternative für mich gefunden zu haben: https://www.ubnt.com/edgemax/edgerouter-x/ Der ist günstig & kann Multi-WAN mit Gigabit, zu dem auch Port Freigabe nach Interface, laut vielen Berichten im Internet müsste der Kleine das schaffen. Wenn nicht wird er eben wieder zurück geschickt. Trotzen vielen dank an euch.

@JeGr: ..oder den ganz abklemmen und v6 mal nur stateless announcen. .. Gibt es dafür ein Workaround? Denn eigentlich dürfte IPv6 nicht aktiv sein.  :o ??? ??? @JeGr: Das war auf jeden Fall ein völlig normaler und gültiger Handshake. Ist dann eher die Frage ob die PS4 daraufhin eine IP angenommen hat und mit welchen zusätzlichen Daten. .. Nein eine IP hat sie nicht bekommen. Aber die frage was sie erhalten hat erscheint mir hinsichtlich RADVD recht spannend.  :-\ .. Heureka ich hab's!  8) Der Verweis auf IPv6/RADVD war super. Hinterher ist ja alles einfacher. So auch hier: Wo kein Interface da kein Traffik. Auf Opt2 war nichts, aber irgendwie hat sich bei WAN der IPv6 Konfigurationstyp DHCP6 und bei Opt1 "Ermittle Schnittstelle" eingeschlichen. Letzteres ist für ein LAGG über Opt1,Opt2 wohl nicht ganz optimal. ;D DHCP6, der Gateway waren zwar off, und so konfiguriert das keine lokalen IPv6 DNS-Einträge für LAN-Interfaces generiert werden, dass hat aber nicht daran gehindert pausenlos IPv6 ICMP zu senden und zu blocken. Nachdem ich alle Interfaces auf IPv6 Konfigurationstyp "keine" gesetzt habe, hatten sich sämtliche vorherigen Probleme erübrigt. Über DNSSEC & DNS über TLS [kann ich berichten das es recht gut funktioniert, und zumindest Cloudflare’s DNS service kaum bremst. Ich erfuhr eher den Eindruck einer minimalen Beschleunigung. Das kann aber mit Quad9 ganz anders sein. Nebst dem möchte ich anmerken dass sich das System erst Einpendeln muss.  ;) Vielen Dank, ihr ward mir eine grosse Hilfe.  8)](kann ich berichten das es recht gut funktioniert, und zumindest Cloudflare’s DNS service kaum bremst. Ich erfuhr eher den Eindruck einer minimalen Beschleunigung. Das kann aber mit Quad9 ganz anders sein. Nebst dem möchte ich anmerken dass sich das System erst Einpendeln muss.  ;)<br /><br />Vielen Dank, ihr ward mir eine grosse Hilfe.  8)<br /><br />)

eine letzte Frage habe ich noch…..der Tunnel vom Handy wird jetzt aufgebaut aber der Traffic geht noch nicht da durch ....muss ich hier auch 2 Tunnel bauen ?

@CarstenK.: Die Lösung war das Häkchen bei "Disable Firewall Scrub Disables the PF scrubbing option which can sometimes interfere with NFS traffic." zu entfernen. Seitdem läuft es bei mir auch einwandfrei! Besten Dank!

Nein, das würde automatisch greifen. "Eingreifen" kannst du da nicht, das macht auch kein Sinn, denn du kommst ja bei einem Down des DSL nicht mehr drauf. Wie willst du dann eingreifen und was umstellen?

Dito wie WKN. Die scope7-1020 bspw. läuft auf einem N3000er und spielt hier ganz normal mit der CPU Taktung. Meist sind die allerdings von uns eh auf maximal eingestellt, damit das hoch/runtertakten entfällt.

pfSense ist drauf. Reicht den diese Board für eine gute Anbindung von 2 Standorten ? Kommt auf die Gegebenheiten an, wie Bandbreite, Pakete etc. Wie viel muss durch den VPN Tunnel etc. etc. Ich persönlich sage nein. Die APU1 ist EOL und wird auch nicht mehr repariert und supportet. Zudem kann die APU1 kein AES-NI und ist somit bei VPNs lahm. Wenns eine APU sein muss, dann APU2C4. Ansonsten würde ich aus subjektiver Erfahrung und RMAs eher eine scope7-1020 nehmen.