Richtig, aber das "Gateway" ist wie gesagt eigentlich (zumindest von dem wenigen was ich weiß von deiner Konfig) falsch. Richtig wären Routen zu setzen und ein Gateway anzulegen, über den dein Netz für die pfSense erreichbar ist. Aber beim Interface selbst wird auf einem LAN eigentlich kein GW benötigt.

Ich hab mal in die Client Config "NOBIND" eingefügt. Dannach hat sich die Verbindung wieder aufgebaut. Mal sehen ob das hilft. Ich werde in jedem Fall die Logs mal prüfen.

Ohne die Config zu sehen ist das nur Raterei (Zaunpfahl …), aber hast Du bei 'Redirect info' einen URL mit Protokoll eingegeben und geht es evtl. ohne?

Und rein aus Interesse: Wie hast Du die Sperre genau umgesetzt?

Aus sicherer Quelle weiß ich dass Vodafone derzeit 800-1000% überbucht. Hat man Pech und es laden gerade einige im Segment, bricht es ein. Das machen aber in der Tat derzeit alle Kabelanbieter, leider.
Mit Docsis 3.1 kann sich das etwas bessern, das bleibt abzuwarten.

Hi JeGr,
@JeGr:

Das funktioniert auch alles wie erwartet, die Serverdienste, welche ich per NAT in PFSense freigegeben habe, sind aus dem Internet via IPV6 problemlos erreichbar.

Soweit ich das im Kopf hatte bezog sich das aber auf einzelne Adressen, nicht auf ganze Prefix Ranges oder?

Doch, offenbar schon.
Habe bei mir auf dem Server noch einen virtuellen Server am Laufen, beide sind sowohl via IPV4-NAT als auch per IPV6 aus dem Internet auf bestimmten Ports ansprechbar.

In der Fritzbox musste ich dafür nichts weiter machen, als die beiden von mir erwähnten Optionen beim Einrichten des Exposed Host anzuhaken.
In PFSense habe ich dann Aliase für beide Systeme angelegt, die auf die netzwerkinterne IPV4 und die geroutete IPV6-Adresse verweisen.
Dann habe ich noch Regeln für die Port Forwards eingerichtet, mit automatisch generierten Firewall Rules. In denen habe ich dann noch "Adress family" auf IPV4+IPV6 umgestellt, fertig.
Muss also in der Fritzbox gar nichts mehr konfigurieren, wenn ich einen Port öffnen möchte.

Nur müsste ich dann die Fritzbox als VOIP-Anlage hinter der PFSense betreiben und zusehen, dass ich SIP über NAT zum Laufen bekomme.

Jap, das wäre dann die einzige andere Variante, um die Routing/IP Geschichte sauber zu haben. Einen Tod muss man wohl leider sterben :/

Joa, alles klar!
Dann muss es wohl so sein :-)

Hast du zufällig eine Empfehlung für ein gutes VDSL-Modem? Gibt zwar einige Router, die sich als Bridge umkonfigurieren lassen. Am Liebsten wäre mir aber doch ein simples Teil ohne eigenes Webinterface etc., dass ich einfach an die WAN-Schnittstelle anschließen und alles Weitere (VLAN-Tag, Einwahl) in PFSense konfigurieren kann.
Kennst du sowas, oder ist mein Wunsch zu ausgefallen? :-P

Auf jeden Fall vielen Dank für deine Tipps, hat mir wirklich schon sehr weitergeholfen!

LG,
Robin

@mrsunfire:

Mein Log ist voll mit "dhcpleases Could not deliver signal HUP to process because its pidfile (/var/run/unbound.pid) does not exist, No such file or directory."
Der Fehler tritt dann auf, sobald ein Client via VLAN eine IP zieht.

Die unbound.pid existiert in der Tat nicht. Was sagt der Fehler aus? Ich habe sonst keine Probleme.

Ja stimmt schon. Hab wohl ein wenig … blöd reagiert. Tut mir leid. Hab halt gehofft jemand schreibt: Du die Fehlermeldung kommt bei mir nicht, oder bei mir klappt's auf alle Fälle, dann hätte ich nicht so im trüben gefischt! Aber das Ergebnis zählt und es funktioniert  :D

Moin,

@jahonix:

Wozu braucht man denn "starke Quadro-GPU für sieben 4K-Displays" in einem Router?

Kannst sie ja weg lassen, ansonsten: Augmented reality, Deep Packet Inspection per Operator, der kann dann hinterher sagen ich habs kommen gesehen …  :P

-teddy

@Grimson:

@Freaky21:

Folgende Problematik: Es geht um ein WLAN Netz welches 2,4 und 5GHz anbietet. Je nachdem was empfangstechnisch guenstiger ist, verbindet sich der Client entweder mit 2.4Ghz oder 5Ghz. 2 Netze heißt aber auch 2 Mac-Adressen beim Client.

Hat der Klient 2 WLAN Karten/Adapter, oder warum hat der unterschiedliche MACs bei den zwei Bändern? Alle mir bekannten Endgeräte benutzen die gleiche MAC unabhängig vom verwendeten Frequenzband.

Danke für den Hinweis. Scheint auch tatsächlich nur bei einem Gerät so zu sein. OK, dann ist das damit erledigt!

Klaus

"Problem" gelöst…

Seitdem jemand unseren WAN Router resettet hat, hatte dieser 192.168.0.0/24 als LAN Netz - genau das gleiche, wie ich es in pfsense nutze.
Das kann natürlich nicht gehen. Nun hat der WAN Router wieder 2.1 - und es geht ;)

Danke!!

Hallo,

die pfSense scheint nicht das Standard-Gateway in ihrem Netzwerk zu sein.

Der VPN-Endpunkt sollte das Standard-Gateway sein, ansonsten wird es etwas komplizierter.

Grüße

Tja, wie es aussieht, passen die möglichen Authentisierungsvarianten einfach nicht zusammen.
Auf dem Linux-Client habe ich im nm-applet nur entweder EAP oder Zertifikate als Möglichkeiten - nicht die Kombination. EAP-TLS gibt es da einfach nicht.
Auf Android kann ich auf EAP-TLS umstellen, aber dann werden nur Zertifikate genommen, auch kein Passwort.

Ich habe nirgendwo die Möglichkeit gefunden, die ich auf dem Linux-Server hatte:

rightauth = pubkey
  rightauth2 = eap-md5

Und auch die Möglichkeit der Client-Identifkation per ASN.1 DNB gitb es bei den pfSensen scheinbar nicht, d.h.

rightid = "C=DE, O=<o>, OU=<ou>, CN=<fqdn client="">"
  leftid = "C=DE, O=<o>, OU=<ou>, CN=<fqdn server="">"

klappt nur für den Server, nicht für den Client.</fqdn></ou></o></fqdn></ou></o>

Sehr praktisch :) Dann hoffe ich jetzt klappt dann alles :D

Alles klar.
Danke für deine Antowrten!

Hallo an alle,

vielen Dank für eure Infos und euren Input.
Ich werde nun mal die 1020 anfragen und im Laufe des Jahres auch mal die "alte" Firewall in der Zentrale angehen.

Gruß Sebastian

Ich habe es am WE mal umgestellt und die Vigor übernehmen jetzt den Verbindungsaufbau nebst DynDNS, mit den Ports zur pfSense in der DMZ. Läuft soweit alles ok und auch das Load Balancing funktioniert mit WAN1&2 als Gateway-Group  ;)

Es scheint, dass ich bei der statischen Konfig irgendwo nen Fehler drinn hatte.
Das Gateway war immer wieder mal offline.
Das muss ich mir nochmal in Ruhe ansehen.
Kann natürlich sein, dass das auch mit Snort zusammen hing.
Mal sehen.

Natürlich braucht der LAN einen Gateway. Der LAN GW ist die IP Adresse des Routers in dem lokalem Netzwerksegment (in meinem Falle des pfSense).  Dann braucht der WAN noch einen Gateway vom ISP, damit das Traffic von dem lokalen Netzwerk nach außen geroutet werden kann.

Dazu sage ich nur, dass du mal dringend dein Netzwerk/Routing Wissen überprüfen oder ausbauen solltest. Welchen Sinn macht es denn bitte AUF dem Gateway sich selbst nochmals als Gateway zu setzen!? Es hat schon einen Grund, wenn unter der Gateway Einstellung auf dem Interface steht:

"If this interface is an Internet connection, select an existing Gateway from the list or add a new one using the "Add" button. On local area network interfaces the upstream gateway should be "none". Gateways can be managed by clicking here."

Frei übersetzt: Beim LAN sollte hier "NONE" stehen. Nur bei einem Upstream/WAN Interface muss hier natürlich das Upstream Gateway eingetragen werden.

Aha? Und wie soll das Traffic aus dem lokalen Netz an die WAN Schnittstelle geroutet werden, wenn kein standardmäßiges Ausgangspunkt festgelegt wurde?

Ganz einfach: jedes LOKAL angegebene Netz des Geräts steht natürlich in seiner Routing Tabelle. Da muss ich selbst nichts mehr für tun, um das zu ergänzen. Und mehr als ein Upstream/Default Gateway braucht es in diesem Szenario nicht! :)

Edit: Ah, Grimson überlesen. Sorry.