But not sending .118 down the vpn, shouldn't send it to your gateway.. Try splitting the whole local network 192.168.80.0/24

Also when you do that - take a look at the route table

route print

from a cmd line

@werter
Спасибо большое за помощь!
Наслаждаюсь результатом.

Для тех, кто столкнётся с подобной проблемой - надо прописывать Outbound NAT с локальной сети на удалённую на интерфейсе OpenVPN.

@stephenw10 Yeah - i know (usb dongle isnt good) but its all ive got at the moment...trying to keep the power down if i can....thin client being even better....ive got an 8gb dimm spare so i can stick that in there...as its a thin client if i were to reboot - does everything "have to load back up" or should it be nice and quick..?

I must confess with the dongle running on the internal lan on a 350 meg connection its running very well. When i had it the other way round that was crap...i was getting max 5meg down from my isp. The only thing i can see at the moment is that i cant get the traffic shaping working (i dont think the wizard likes the usb dongle) but ive heard you can force it...

@werter
Место есть.

Как почистить?
После переустановки и чистки правила не сохраняются?

@m0nji gibt es bei sophos eine Liste was in der Home Version von SG bzw XG zur Zeit inklusive ist, finde gerade nur alte Listen und da sind bei UTM Home noch viele Dinge drin, die heute nicht mehr drin sind

@enjawd said in LAN Connection Drops when OPENVPN(client) connected:

I saw guide for VPN configuration seems like they only did NAT outbound to manual and set firewall rules to VPN gateway for OpenVPN interface

And those guides suck in my profession and personal opinion ;)

There is no reason to use manual, just setup a hybrid to nat traffic you want to go out your vpn connection.

Forcing traffic via a firewall, ie policy routing without mentioning any thing about rules above that to allow access to say pfsense or other local networks.

I would suggest you read over the policy routing part of the docs.

https://docs.netgate.com/pfsense/en/latest/multiwan/policy-route.html

Pay attention to the bypass policy route section
https://docs.netgate.com/pfsense/en/latest/multiwan/policy-route.html#bypassing-policy-routing

The 2100 has a similar CPU to the 1100 but has a separate WAN port (the 1100 has a 2 port switch configured with VLANs to separate the traffic).

Is the Arris bridging, passthrough, or NAT to the 2100?

I'd be tempted to reset to factory defaults just to rule out any configuration issue? (diagnostics->factory default)

You could also open a ticket with Netgate support to take a look.

@axel910 Ciao, invia screenshot di come hai configurato gli ip su pfblocker e l'ip che non blocca cosi si ha un idea più chiare per poterti aiutare

@andresmorago

No matter how you connect, the transport packets, that is UDP port 1194, will see the hops. Anything carried within the VPN will not. Think of mailing an envelope. The envelope may have multiple post marks, as it makes it's trip. An envelope within it will only have a post mark from the point where it was put into the outer envelope.

@viragomann

Hi.

I hadn't followed that guide, I had completed everything but disable the hardware checksum offload, once disabled it did the trick, all working fine now.

Does that mean the connection was just simply timing out?

Thank you for the hint, much appreciated.

Phill

@teamits Hello Steve, yes I tried with Chrome, Safari, Edge and Firefox and was the same.
Then I tried from another computer without Dashlane password manager extensions and works fine, then the problem is the Dashlane extension.
Thanks for the support.
Enjoy

@jdh
pour le moment, je n'ai rien essayé.
Je pense ne pas maitriser assez lz sujet pour me lancer comme ça dans des essais
c'est pour ceci que je commence par des questions, pour en savoir plus.

mon but serai de pouvoir acceder, localement, en HTTPS a mon serveur web (mais pas avec un certificat auto signé afin de ne pas obtenir la page de mise en garde du navigateur disant que le site est potentiellement dangereux)

@apietsch
Moinsen,
obwohl die openVPN Macher auch TCP ermöglichen, raten sie afaik doch weiter eher zu udp.
Vielleicht ist die Verzögerung hier zu begründen?

https://openvpn.net/faq/what-is-tcp-meltdown/

It shouldn't really make much difference.

You can see it trying to restart Unbound faster than it can start though.

What symptoms do you see after this happens? What's not working that makes you reload the ruleset?

Steve

This will be helpful. Read through the entire firewall section. There are also practical examples in the documentation.

https://docs.netgate.com/pfsense/en/latest/firewall/index.html

We'll be here to answer specific questions when you're ready. Screen shots of your rules are almost always needed to help debug.

pfSense does ingress filtering by default. On the LAN network any rules are evaluated as packets enter the network from clients on that network, for example.

@kurisuchan
Okay never mind I solved it. Apparently when i created the CA I did not fill out all the optional fields.
So I created a new CA with all fields filled in, also created a new server certificate and also filled in all the fields and now it works.

You can sign up at https://www.maxmind.com/en/geolite2/signup. It's free. ("Visit the following [Link to Register] for a free MaxMind user account. Utilize the GeoIP Update version 3.1.1 or newer registration option.")

pfBlockerNG is programmed to download from MaxMind. There wasn't a signup process until about a year ago when MaxMind instituted it. You can manually create your own feeds on Firewall/pfBlockerNG/IP/IPv4 but I've not bothered reinventing the wheel.

@nosense-0
Hallo und willkommen im Forum!
Hier ist dein Post allerdings im falschen Bereich oder in der falschen Sprache. Die allgemeine Forumssprache ist Englisch. Deutsche Artikel solltest du nur im dafür vorgesehenen Bereich posten: https://forum.netgate.com/category/7/deutsch
Vielleicht kann ein Moderator deinen Beitrag verschieben, vielleicht kann auch @JeGr das machen, der für den deutschen Bereich zuständig ist.

Zu deinem Problem, soweit ich da was beitragen kann.
@nosense-0 said in NETGEAR GS108Ev3 Verständnisfrage nur mit LAN IP auf Tagged Port:

Wenn man bei einem GS108Ev3 im 802.1Q ein VLAN ID 10 erstellt, unter VLAN Membership alle Ports zu dieser ID 10 mit der Option T hinzufügt, sowie unter Port PVID alle Ports die PVID 10 zuteilt und zum Schluss alle Ports aus der VLAN ID 1 löscht (das heißt es steht weder ein "T" noch "U" drin, die Ports sind "leer":

Was du da gemacht hast, passt ganz gut zu deinem Usernamen. Sorry, musste sein, lag auf der Hand.
Es bewirkt, dass ausgehende Pakete auf allen Ports mit VLAN 10 getaggt werden und alle eingehenden Pakete auf allen Ports ebenso mit VLAN 10 getaggt werden. Nein, das macht null Sinn.
Du solltest dir erstmal die VLAN-Basics und die Funktionen des Switches aneignen. Dafür ist das hier aber wirklich nicht das richtige Forum.

Ich versuch aber mal ein wenig Aufklärung (soweit ich es kenne, diesen Switch verwende ich nicht):
PVID: der Switch tagged auf dem jeweiligen Port Pakete, die von einem angeschlossenen Gerät reinkommen mit der entsprechenden VLAN-ID. D.h. an dem Port ist ein Gerät angeschossen, das nicht VLAN "spricht".
T: der Switch verbindet den jeweiligen Port mit dem entsprechenden VLAN und schickt die Pakete für dieses VLAN tagged hinaus. Üblicherweise kommen auf diesem Port auch mit der entsprechenden VLAN-ID getaggte Pakete rein. D.h., an dem Port ist ein Gerät angeschlossen, das VLAN "spricht". Über einen solchen Port gehen üblicherweise mehrere VLANs drüber.
U: der Switch verbindet den jeweiligen Port mit dem entsprechenden VLAN, schickt die Pakete aber ungetaggt hinaus. D.h. an dem Port ist ein Gerät angeschossen, das nicht VLAN "spricht".

Beispielhafter Anwendungsfall:
2 VLANs: ID 10, 20. Am Port 1 hängt die pfSense.
Auf der pfSense konfigurierst du auf dem mit dem Switch Port 1 verbundenen Interface beide VLANs.
Am Switch setzt du den Port 1 T für beide VLANs, 10, 20.
Am Port 2 schließt du ein Gerät an, das VLAN 10 angehören soll. Also setzt du ihn für VLAN10 U und PVID 10.
Am Port 3 hängt ein Gerät, das mit dem VLAN 20 verbunden werden soll. Also VLAN20 U und PVID 20.

Nun könnte man meinen, wozu PVID und U gesondert setzen, wird eh immer zusammen auf einem Port benötigt. Nicht immer, es gibt auch Anwendungsfälle, wo das nicht der Fall ist.

@nosense-0 said in NETGEAR GS108Ev3 Verständnisfrage nur mit LAN IP auf Tagged Port:

Warum kann ich bitte dann noch immer auf den GS108Ev3 z.B. auf den Port 2 von meinem Computer, welcher kein VLAN hat, auf das Web Interface des GS108Ev3 zugreifen?

Der Rechner gehört mit deiner Einstellung dem VLAN 10 an, wenn auch nicht sauber. Warum er Zugriff auf das Webinterface des Switches hat, hängt von weiteren Konfigurationen ab. Bspw. ist für das Webinterface ein VLAN gesetzt? Oder kann der Rechner über die Firewall darauf zugreifen? (> FW-Regeln: wenn auf VLAN 10 alles erlaubt ist, darf und kann er das natürlich)
Wie sieht die gesamte Netzwerkkonfiguration aus?

The external config locator will check attached fat32 devices for a config.xml file and automatically pull it in at boot:
https://docs.netgate.com/pfsense/en/latest/backup/restore-during-install.html#restore-using-the-external-configuration-locator-ecl

But that is only after installing. There is no way to install pfSense entirely headless.

What are you installing onto?

Steve

Was ist das denn genau für ein Modem, also Modell und Firmware?

Was zeigt die pfSense denn beim Monitoring von System und Quality WAN?
Also Latenz, Paketloss usw.

ClamAV only sees proxied traffic so, no, you can't do that.

Steve

Per https://docs.netgate.com/pfsense/en/latest/trafficshaper/advanced.html#shaper-rule-matching-tips you have to use tagging to prioritize based on the LAN IP of the NAS.

If you know the IPs of the cloud service you could lower the priority based on those, but I would expect those to change over time.

@moto

I'd suspect hardware. One thing you can do is run memtest for a while, to see if any errors turn up.

Firewall>Rules>Lan bölümünden yapabilirsiniz.

Kurallar satır sırasına göre çalışır. O yüzden "Block" kuralının en altta olması lazım.

MAC kilidini, Dhcp Server'den Mac-Ip eşleştirmesi ile yapabilirsiniz.

Forumda arama yaparsanız, sorunuzla alakalı birçok konuya ulaşabilirsiniz.