@lungo Also ich weiß nicht wo da eine Netgate 2100 ist aber die Screenshots sind keine 2100, das ist eine 1100 mit nur einem internen Interface. Das ist ne ganz andere Chose wie ne 2100 die nen dediziertes WAN auf mvneta0 hat und den 4Port Switch auf mvneta1. Sind also 2 echte Interfaces, eines Gigabit, eines 2.5G das dann auf 4 Ports ausgeführt wird.

Dann sollte man vielleicht mal sehr simpel damit anfangen, ob WAN auf DHCP geschaltet hinter dem Vigor im Router Mode wenn der sich sauber eingewählt hat funktioniert.
Wenn du nen rotes X hast auf dem WAN, dann riecht das nach "ich hab keine Verbindung", dann kannst du einstellen was du möchtest, wird nix passieren. Solang da keine Verbindung ist, wird auch nichts PPPoE mäßiges passieren.

@m0nji said in Wireguard Fritzbox-pfSense:

@Bob-Dig wenn man in der WG Config bei "Address" die reale IP der Fritzbox einträgt anstatt der WG Transfernetz IP, dann NATed die Fritzbox nichts. Die Clients hinter der Fritzbox kommen mit ihrer realen IP bei der pfSense an.

Ok. Dachte, es gibt generell kein Transfernetz zur Fritte?
Sprich, wenn man keines benutzt, wird auch nicht geNATet? Interessant.

@slu said in IPv6 - Fragen - so langsam sollte ich mit IPv6 anfangen:

Verpasse ich meinen internen Interfaces (LAN, WLAN,..) eine öffentlich IPv6 oder eine fd00?

Kommt darauf an. Wenn man auf WAN Seiten nur ein WAN hat und dort eh ein statisches Prefix hat, dann weist man das auch intern normal zu bzw. konfiguriert es durch. Ist es dynamisch wirds "blöder", dann macht man das gern mit fd:: Netzen damit bei IP6 Prefix Wechsel von außen das interne Netz sauber weiter läuft. Bei MultiWAN geht es eh nur mit NPt oder mit doppelter IP6 da man irgendwie ja beide Prefixe zuweisen oder zumindest abgehend zuordnen muss.

Cheers

@slu ich bin ein windoof hater. ich habe mich damit nicht auseinander gesetzt. da musst du wahrscheinlich googeln um die infos zu bekommen.
ich muss halt ab und an was mit dem kram machen, mehr nicht.

pfBlocker läd IP Listen und DNS Listen ein, diese werden dann für den Block und den NX-Domain Rückgabewert auf dem Unbound verwendet.

Nur er zieht die Last halt beim Listen aktualisierten und nicht beim Durchsatz wie es mit Snort der Fall ist, der mit den Listen auch nichts anderes macht, nur halt viel mehr CPU Cycle frisst.

Hatten wir zwar schon mal, aber würde gut ins Meeting passen, da es wirklich ein komplexer Aspekt ist.

@JeGr
das OpenVPN ist sofort gelaufen und hat ganz gut ausgesehen, kann über die WebGUI und die CLI nicht klagen.
Vielleicht habe ich die Konfiguration welche Probleme macht auch noch nicht gefunden :)

Was mit tatsächlich etwas schwer fällt ist die Zonen Geschichten, das hatte ich damals bei OpenWRT schon "nicht" verstanden.

@thundergate Steht genau warum im Text: weil durch Umbau ein Switch frei wird (wahrscheinlich), kann einer weg und da die Dinger gut, gesucht und teils nicht lieferbar sind, ist gut gebraucht kaufen eben ne schöne Option. Und wenns hier an gute Hände geht wie der 24er bspw. dann umso besser. Kein Grund sinnlos E-Waste zu produzieren wenn jemand anderes ihn gut gebrauchen kann :)

In meinem Fall war der 24er übrig, weil er von einem 24 Pro Gen2 beerbt wurde und ich den dann bislang als Lab Switch genutzt habe, jetzt werkelt an der Stelle ein 8+2 Switch der 10G kann und daher war der unnötig. Und ein 8er könnte frei werden, wenn der durch einen 16er an der Stelle ersetzt wird weil dort einfach mehr Ports gebraucht werden als ursprünglich selbst optimistisch geplant war :)

Cheers

was würdet Ihr den da empfehlen, das "Telekom Glasfaser Modem 2" oder eine Mikrotiklösung?

@jegr said in AVM Fritzbox Kopplung (neuere FritzOS):

Bitte sag Bescheid, das ist wirklich relevant. Vor allem da ihr eigenes Tool! es voraussetzt, dass mans abschalten kann!? Wie behämmert ist das denn nu wieder...

Ich hatte wieder Nachricht, aber ich glaube, man sieht das bei AVM nicht so eng, weil die wohl nach wie vor der Meinung sind, das das alles problemlos über den GUI machbar ist und Ihr Tool nicht mehr gebraucht wird, sonst kämen nicht solche Fragen.

Daher diese nochmal Frage zusammengefasst: Hatten Sie die FRITZ!Box - vorausgesetzt die VPN.cfg ließ sich fehlerfrei unter der 7.50er importieren, der Umweg über die 7.29er ist hier nicht relevant - nach dem Import der CFG kontrolliert und wissentlich neu gestartet?

Es mag ja sein, das es bei denen im Labor alles funktioniert, die .cfg über den GUI einzuspielen, aber die Praxis sieht nun einmal anders aus, sonst wäre ich wohl der Einzige, der das Problem hätte.
Ich würde Ihnen ja ein wenig "Zuarbeit" liefern, weil Sie mich nach den Supportdaten fragen, dazu müsste ich aber noch einmal von Null anfangen und das kann und will ich meinen "Gegenüber" nicht mehr antun.
Wir wissen das es machbar ist, und wie es machbar ist und vielleicht schließen Sie ja Ihre Baustelle auch irgendwann einmal ab. Allein mir fehlt der Glaube, Fachkräfte sind rar. 😖
Gruß orcape

@bob-dig said in OpenVPN DCO in OpenVPN 2.6:

Also scheint es da doch ein paar dependencies zu geben.

Ich versteh nicht ganz was die das mit dem zitierten Block zu tun hat. Meine Aussage ist relativ klar, was das angeht. Es bringt IMMER etwas (siehe Grafik) aber am meisten, wenn es bidirektional eingesetzt wird. Was ist daran jetzt eine große Abhängigkeit? Jede Seite braucht OVPN 2.6 und das gibts aktuell noch nicht. 🤔

Mit war und ist OpenVPN leider zu kompliziert, aber wenn ich es mal wieder brauche, werde ich hier fragen. 😉

Das hatten wir schon mehrfach und das ist sicherlich ein Thema für dich, aber es passt halt auf - subjektive Behauptung - 90% des Rests nicht. Wireguard mag ein nettes Spielzeug sein wenn man allein dran rumbastelt aber wenn die Szenarien komplexer werden ist es eben nicht einfach / gut einsetzbar. Und IPsec ist für Einwahl immer noch unnötig komplex und eingeschränkt. Daher ist OpenVPN da schlicht der way-to-go. Was an simplem Tunnel oder Einwahl komplex sein soll muss ich nicht verstehen, aber dein spezifisches Setup fällt da auch nicht rein und das als Vergleich anzulegen passt eben - wie gesagt - für den Rest hier so gut wie nicht. :)

Cheers

@m0nji Schwierig. Ich musste immer wieder verschiedene Doku oder Wiki Tools verwenden und so 100% bin ich mit keinem warm geworden, weswegen Doku meistens liegen bleibt weil es einfach zu nervig/komplex einzupflegen ist und damit dann extrem viel Zeit drauf geht :/

Persönlich würde ich am Ehesten zu einem/einer Art Wiki tendieren, in welchem verschiedene Dinge für schnelles dokumentieren gegeben sein sollten/müssten:

einfache Links, Verlinkung und Strukturierung einfache Schreibweise für Formatierungen ohne stundenlang rumsuchen. Markdown, Textile egal, aber es sollte intuitiv sein und die meisten Sachen die man häufig braucht schnell und einfach während des Tippens schon flink supporten ohne dass man hinterher da extrem viel machen muss einfaches copy&paste (und damit upload) auch von Bildern. Siehe hier im Forum, immer noch eines der MAXIMAL nervigsten Punkte, wenn man nicht einfach Mal schnell und dreckig damit "was da ist" einen Screenshot o.ä. hochladen und speichern kann. Am Tollsten natürlich noch, wenn damit auch noch einfache Markups hinterher im Bild möglich sind aber das ist Glanzparade, kein muss. Wichtig wäre eher, dass man hinterher ggf. das Bild auch einfach austauschen kann wenn mans nachbearbeitet hat. einfaches copy&paste auch von Formatierungen für Dokus rund um Netze und Logik wärs natürlich toll, wenn ggf. ein Tool wie Diagram o.ä. enthalten wäre. Da das ja inzwischen oft HTML/JS Tools sind lassen die sich ja einfacher einbinden als früher. Aber ein Netzplan ggf. sogar mit klickbaren Elementen ist halt in einer Doku/Wiki ein Träumchen

Ich hab mal lange mit Dokuwiki gearbeitet, was wirklich recht angenehm war, aber da haben eben die letzteren Features doch (damals) sehr gefehlt. Bei einem Kunden hab ich ein Wiki gesehen, was sehr viele der obigen Punkte abgedeckt hat und wenn man dann sieht, wie der nebenbei während wir seine Kiste konfigurieren einfach mal mitschreiben bzw. zeichnen kann - holy, das hätte ich auch gerne gehabt. Habe leider vergessen zu fragen was da alles drin steckt, aber gerade die Sache mit einfachem Bildupload und in Bilder noch fix was reinschreiben/anmerken oder markieren mit Highlighter oder Pfeilen ist halt schon genial.

Aber da wäre ich auch extrem an Input von anderen interessiert, was auf die Punkte so zutrifft und was ihr so einsetzt. In der Firma aktuell unsere Knowledgebase im Ticketsystem sowie Redmine für Backend Tasks und dort dann die integrierte Wiki/Doku Funktion, da bin ich aber nicht so glücklich mit, da Redmine da nicht gerade extrem userfreundlich ist was einfaches anhängen von Daten angeht.

@andyger
Warum soll ich schlagen. :)

Unter Linux ging es auch mit der Wildcard, nur BSD bzw. die Sense zickte damals rum. Oder ich war noch zu doof, daran kann es auch liegen:)
Hab seit knapp 2 Jahren nichts daran geändert, schön dass es jetzt auch geht.

Mike

@m0nji Man muss bei dem ganzen Hetzner private Network Zeug dran denken, dass ALLES was von den Hosts/VMs kommt ERST zu Hetzners internem Gateway läuft und DANN ggf. zur pfSense. Deshalb auch der Routing-Tab. Deshalb bei einem /24er auch die /32er Maske bei den Hosts, damit diese nicht von Host zu Host selbst versuchen zu sprechen, sondern IMMER an Hetzners GW geroutet und von dort verteilt wird.

Das ist notwendig, da Hetzner die VM in jedem Standort erlaubt. Und wenn du ne VM in Finnland und eine in Deutschland hast und die beiden 10.20.30.11 und .12 hätte und ein /24er Netz konfigurieren würden, dann würden die beiden versuchen mit sich gegenseitig zu sprechen - was nicht geht weil nicht lokal.

Daher pusht Hetzner sein eigenes GW und die /32er Maske bei /16. Darum sollte man auch nichts auf .1 konfigurieren, da da eigentlich immer das Hetzner eigene GW sitzt.

Am Einfachsten hat das bei uns OOTB funktioniert wenn wir ein Netz definiert haben, dort die VMs einfach per Zuweisung im Interface mappen (auf ihre IPs) und die Hosts selbst auf DHCP schalten. Dann pusht Hetzner selbst die korrekten Settings über das Netzwerk Gateway das für die privaten Netze zuständig ist und alle Kisten können sich sehen. Nur auf der Sense muss man dann natürlich aufpassen, dass man nicht versehentlich die falschen Masken nutzt und daher das Routing falsch läuft. Korrekte statische Routen etc. sind da wichtig. :)

Cheers

@jegr said in TrustPID Seuche: näher beleuchtet:

oder ihr SMS/MMS Ersatz, den sie erst teuer verkaufen wollten, bis irgendwo mal durchgedrungen ist, dass die Leute lieber Instant-Messenger nutzen weil die kostenlos sind. Davon abgesehen ist SMS zwar stabiler (bekommt man auch mit GPRS noch zugestellt) aber dafür dann mehr als für ein Datenpaket zahlen ist weltfremd.

"Mehr zahlen" ist sehr zurückhaltend ausgedrückt. Wenn ich ein VCard als MMS verschicke (geschätzte 240 Byte Daten), kostet mich das heute noch 1 Euro extra. Und auf der anderen Seite habe ich Gigabytes an Datenvolumen im Vertrag für ein paar Euro, die ich niemals nutze.
Nach meinem Verständnis sind Daten gleich Daten und GPRS wird für MMS wohl auch nur genutzt, wenn nichts anderes da ist, was heute eher selten sein dürfte. Aber der Netzbetreiber sieht das offenbar anders.

Zu TrustPID selbst jetzt gesplitteter Beitrag:

-> https://forum.netgate.com/topic/172702/trustpid-seuche-n%C3%A4her-beleuchtet

Nur damit wir hier bei VPN allgemein bleiben :)

@nocling Ja, gibt es. Danke für den Tip!

@m0nji said in Audio: Was ganz anderes :):

BTW: die Apple Earpods gibts doch ganz normal bei Amazon: Apple Earpods

Jup da gibts aber viel Warnungen vor Fakes - ist halt die Frage wer der Verkäufer ist. Schade eben, dass die kaum mehr produziert werden.

Inzwischen ist wieder ein offline Setup ohne UI Account möglich.
Sehr schön das Ubiquiti hier reagiert hat.

@tpf said in Allgemein: Proxy als Teil der Sicherheit?:

Mit den zusätzlichen Signaturen kommt da schon was zusammen. Auch 0-Day (lizenzpflichtig)

Das würde mich interessieren, welche sind das denn?
Hast Du mir ein Link?

@slu said in Windows Updates only - Alias/Squid - andere Idee?:

Seither habe ich das mit einem Squid auf Debian realisiert und mich an der Netgate Anleitung [1] orientiert. Das klappt auch so irgendwie, ist aber extrem träge. Wenn man auf "Updates suchen" klickt passiert erstmal einige Sekunden gar nichts. Hat er dann endlich Updates gefunden lädt er stunden lang herunter "Wird heruntergeladen - 0%"....

Wundert mich nicht wirklich, wenn du auf HTTP/S only stellst, wird das wohl nicht ganz so zügig laufen. Das wird ja schon seit Windows 8(?) zusätzlich noch per P2P versucht zu beschleunigen von mehreren Quellen und wenn er da einige abtackert die er nicht erreichen kann, ist der Delay und die schlechte Rate klar.

Hatte MS da nicht ne Info URL drüber, welche IP Ranges/Domains das betrifft? Gibt ja auch die MS365, Office365 etc. Endpoint Liste, da sollte es hypothetisch ja ne Liste für Updates auch irgendwo geben :)

Ok da ich gefragt wurde wie ich mit einer FritzBox einen stabilen IKEv1 Main Mode zum laufen bringen konnte, hier die entsprechenden Schritte.

Zuerst wurde der Tunnel auf der pfSense wie folgt angelegt.
P1: IKEv1 IPv4 Mutual PSK Aggressiv FQDN AES256 SHA512 DH2 Lifetime 28800 DPD deaktiviert
P2: Tunnel IPv4 ESP AES256 SHA512 DH2 Life Time 3960 Auto Ping Host (Fritz LAN IP) Keep Alive aktiviert

Dann auf der Fritzbox GUI einen neuen S2S Tunnel erstellt:
PSK wurde aus der pfSense generiert übernommen, VPN-Verbindung dauerhaft halten aktiviert.

Dann sollte der Tunnel erstmal so laufen.
So habe ich diese auch lange betrieben, bis ich dann auf die Idee gekommen bin, denn in der Anleitung von AVM steht nix von der Einschränkung auf Aggressive Mode.
Nur das für die erste Aushandlung DH2 verwendet wird, dann kann auch DH14/DH15 verwendet werden.

Also gut, versuchen wir es mal.

Also mit dem "FBEditor-0.6.9.7k" die Konfig eingelesen, die folgenden 2 Zeilen geändert.
ALT:

mode = phase1_mode_aggressive; phase1ss = "all/all/all";

Neu:

mode = phase1_mode_idp; phase1ss = "dh14/aes/sha";

Konfig in die Box zurück gespielt, das es funktioniert hat merkt man da der Tunnel weg ist und sich die App aufhängt.

Also dann in der pfSense wie folgt anpassen.
P1: umstellen auf Main Mode und eine zweites P1 Proposal Set dazu erstellen so dass dann
AES256 SHA512 DH2
AES256 SHA512 DH14/DH15
vorhanden sind.

P2: P2 Proposal Set von DH" auf DH14/DH15 umstellen.

Noch mal alles kontrollieren und Applay Changes

Dann erstmal warten, denn die Fritz legt bei der Übernahme der Einstellung einen Neustart hin.
Bisher laufen die Tunnel seit dem mit Main Mode sauber, nach einem Neustart der pfSense kommen die wieder hoch und auch nach einem Neustart vom Cabel Modem.

Es geht also doch, ich hoffe ich sehe diese böse Variable im Log nie wieder...

Hier setzten viele die Geräte von UI ein:
UI

Die lassen sich über eine Controller Software schön zentral verwalten. Ich kann hier z.B. meine Eltern über eine zweite Site einfach mit verwalten, auch wenn der AP am anderen Standort hängt.

Das ist einfach zu geil...

Wird wohl auf Ubiquiti hinauslaufen.

@tobi said in Neuer Switch wird gesucht:

Klar jetzt kannst Du schreiben - da habe ich bestimmt was anderes gemacht - ich könnte mir keine Hände abhacken lassen, dass ich genau das gleiche gemacht habe. Viel anders kann man an der Stelle nicht machen.
Viel schlimmer finde ich aber, dass der Support bei meiner Frage ob das bei dieser Aktion "normal sei" es auch so bestätigt hat.

Das finde ich auch suspekt, aber vielleicht war das auch ein Kommunikationsproblem und es wurde was mißverstanden.

Würde aber dennoch schon gerne wissen was/ warum es die 3 mal zu so einem Effekt kam.

Da bin ich bei dir, das würde ich auch wissen wollen. Es hat mich nur sehr irritiert, da der Controller ja in der UI durchaus schon Dinge gruppieren kann. Und bis auf Geräte an dem Port oder Setting an dem ich etwas ändere sind natürlich auch betroffen. Aber dass wirklich komplett alle Geräte an den Ports die Verbindung verlieren kam jetzt noch nie vor, allerdings habe ich bei mir auch keinen PoE Switch am Start. Vllt. hatte es mit einem PoE Setting zu tun? Ich kann das ansonsten nur von einem etwas größeren Kunden berichten, der 5 48er Switche, 3 davon PoE in den Schränken hat und da würde ich schon ordentlich was zu hören bekommen wenn da bei jeder Controlleränderung alle Geräte, Server und VMs wegfliegen würden 😉

Aber ansonsten freut es mich, wenn es jetzt tatsächlich nicht mehr der Fall ist bei dir, auch wenn es unbefriedigend ist nicht zu wissen, warum das passiert ist.

Und danke, dass du uns up2date gehalten hast 😃

@slu said in Leistung eines IPU660 Board?:

Besonders gut passt ja die Description auf der Wikiseite, vor allem wenn man sich die 8x 1GBit auf 1 bzw. 2,5 GBit anschaut...

Das kommt tatsächlich drauf an, wie es umgesetzt ist. Normalerweise so, dass der Switch Chip voll angebunden ist. Wenn man also wirklich 8 Geräte für sein LAN da ran hängt ist das alles gut - der Haupttraffic läuft dann im LAN zwischen den einzelnen Ports ab uhd nur Internet geht via 1gbps nach vorne. Aber sobald man da komplexer baut muss man im Prinzip die 10g SFP+ anschließen sonst beschneidet man massiv den intra VLAN Traffic und die Performance. Aber ja alles eine Sache der Nutzung.

@tobi said in Zusätzlicher Komm.-Kanal?:

Und hin kommt man wie? Aus der Diskussion habe ich es irgendwie nicht entnehmen können - oder wollt ich mich so einfach ....... aus den Arm nehmen 👼

Meine Threema ID steht in meinem Profil - einfach antickern und sagen, dass man in die Firewall Geraffel Gruppe möchte

Hallo Herbert,

@herbert-0 said in Lancom Router Kaskade mit Pfsense:

Jetzt funktioniert soweit alles bis auf die Lancom VPN Clients

die funktionieren wie? IPsec? SSL VPN? OpenVPN?

Auf der WANSchnitstelle von der pfsense habe ich auch mal ipsec sowie RDP freigeschaltet, leider ohne Erfolg.

Warum? Du meinst ja dass die Clients sich verbinden. Und ich mutmaße mal, dass die sich mit dem LANCOM verbinden.
Andere Frage:

warum ist der Lancom überhaupt davor? warum nutzt du den für VPN wenn deine Geräte - vermute ich - hinter der pfSense dahinter stehen und nicht ein VPN auf der pfSense selbst? welche Netze sind auf dem Lancom konfiguriert? Ich denke mal mit der pfSense gibts ein Transfernetz und das eigentliche LAN ist hinter der Sense. Welche IPs/Netze haben wir da? wird vom Lancom eingehender Verkehr teils oder komplett auf die pfSense weitergereicht (exposed Host) gibt es auf dem Lancom eine Route zum LAN Netzbereich der pfSense, die auf die WAN IP der pfSense zeigt? Also etwa:

Internet --> (WAN-IP) Lancom (XFER-IP-LANCOM) --> (XFER-IP-PF) pfSense (LAN-IP-PF) --> LAN (LAN-Netz)

Wenn jetzt bspw. das XFER Netz ein: 192.168.178.0/24 ist und der Lancom die .1 und die pfSense die .254 darin hat und das LAN Netz ein 192.168.1.0/24 ist mit der Sense als .1, dann bräuchte der Lancom für sinnvolle Funktion eines VPNs eine Route, dass 192.168.1.0/24 auf die 192.168.178.254 geroutet werden soll, da er das LAN Netz nicht direkt sieht/kennt.

Umgekehrt braucht theoretisch die pfSense dann eine Route für den VPN IP Bereich, da sie den ebenso nicht kennt. Da sie aber eh schon alles (wiederum vermutlich) an den Lancom schickt, ist die Route überflüssig und kann entfallen.

Cheers
\jens

Vielen Dank @JeGr @mike69 . Wieder einiges dazu gelernt.. :)

Hab mir heute das erste mal HomeAssistant angeguckt, bisher hatte ich nur das jeweilige Webinterface genutzt.
Nun musste ich aber leidig feststellen, dass ich beim Ausschalten eines Gerätes wohl alle Geräte ausgeschaltet habe, inkl Server etc. 😠

Ist das normal bei HomeAssistant? Trau mich nun gar nicht mehr weiter zu probieren...

Edit: Problem war ein identisches "MQTT Full Topic" bei einigen Geräten gewesen.

was sind pins .... 🤐 🤐 🤐 🤐

@roline said in Netzwerk mit pfSense und Unifi:

Der eine Switch verbindet all meine Netzwerkdosen, NAS und der zweite Switch steht in meinem Büro.

Aber an irgendeinen gehen ja die APs. Da wäre dann ein PoE Switch sinnvoll damit du keine unnötigen Injectors brauchst. Dann würde ich da was mit PoE nehmen und die APs dort bündeln, wo auch die pfSense hängt, damit da nicht noch Uplink Bandbreite frisst.

@m0nji said in GIF & GRE Tunnels:

ich schau mir die OpenVPN Variante übernächste Woche noch mal genauer an. Im Urlaub habe ich da mehr Muße dazu ;)

Wer nicht ;)

Wegen der Sicherheit, muss ich eher jetzt mal noch die Firewall Rules überprüfen. Hier hatte ich großzügiger die Rules gesetzt, damit ich das als Fehlerquelle ausschließen kann.

ah das war gemeint, klar, das muss dann passen dass man sich nicht zu viel aufmacht.