pfSense macht kein Internet aber VPN, IPSEC funzt!?
-
@Operator123 Kannst ja mal das Standard Gateway fest einstellen für IPv4, nicht automatisch, und für IPv6 nichts einstellen.
Good Luck. -
hatte ich doch schon gemacht funktioniert nicht :(
-
Routing hast du dir schon angesehen?
https://docs.netgate.com/pfsense/en/latest/book/routing/route-troubleshooting.htmlDenn das hier immer das Lo0 als Quelle auftritt ist schon komisch, da hast du recht.
-
@NOCling
War grade mal vor Ort hab alles nochmal neugestartet nur um das auszuschliessen, kein Erfolg.
Das komische was ich aber eben erst bemerkte ist das man vom Host gar nicht auf die pfsense kommt.
Von den hyper v virtualisierten VMs schon. Die Einstellungen aber passen alle.
Bin immer mehr verwirrt...Mit dem Routing ist ein guter Tip aber weiß gar nicht wo ich da anfangen soll.
Ich denke es bringt mir auch nichts ne neue sense aufzusetzen u dann die config einzuspielen. Irgendwas auf der sense ist scheisse aber auch nach vergleich mit einer funktionierenden ist mir nichts aufgefallen was es sein könnte.
-
This post is deleted! -
glaub einfach die sense hat irgend ne macke... ich würde die jetzt mal neu aufsetzen
die config einfach wiederherszustellen das mache ich nicht.kann man ca u zertifikate importieren? möchte nicht das ganze vpn gedöhns komplett neu machen das funzt ja
-
Ja denke auch das ist der Wurm drin.
Das sollte funktionieren, denke aber an die private Key wenn du die Zertifikate exportierst.
-
Ok danke für die Erinnerung. Wie man eine ca importieren kann sehe ich aber wie kann ich ein Benutzerzertifikat importieren?
Gruss
-
Einfach den kompletten Zertifikatskram importieren, da sind alle drin, die die pfSense kennt. Wenn du das vom User rausgelöscht hast, dann ist es auch nicht drin. Kennen muss es die Sense nicht da es nur gegen die CA abgeglichen wird und solang die dieselbe ist, wird das Zertifikat erlaubt.
Muss sagen vom durchlesen des Threads hab ich ein wenig Bauchschmerzen, zumal ich da sehen kann, dass das bei ner Einrichtung (Diakonie) läuft. So wie das konfiguriert ist mit dem Wirrwarr an Regeln und Verständnisproblemen, wäre es vielleicht nicht schlecht da mal jemand nen Audit der Konfig machen zu lassen. Gerade wenn ich so kram sehe wie einfach hart weitergeleitete Ports die an ne Schliessanlage gehen? Die öffentlich im Netz zugänglich ist? Sorry das ist IMHO nicht OK selbst wenn das Ding ne http auth vornedran hat. Das sind Sachen bei denen man sich eher mal klar vor Augen halten muss, worauf wirklich alle aus dem Internet "direkt" zugreifen können müssen und was man besser hinter VPN packt. Auch der Medifox Kram, kann ich kaum annehmen, dass der wirklich von jedem Nutzer des Internets erreichbar sein muss. Sowas finde ich hochgradig gefährlich, gerade wenns um Pflege und damit Datenschutz geht! Und das schreibe ich jetzt nicht, weil ich bzw. meine Firma damit ins Spiel bringen will. Ja wir bieten sowas an bzw. arbeiten da mit euch zusammen. Ja das kostet. Nein, ich mache deshalb hier trotzdem kaum/keine Werbung dafür weil ich das trenne.
Aber wir haben u.a. auch einen Dienstleister des DRK als Kunden und wenn ich höre/lese, was die für Datenschutz Auflagen haben, dann kann ich nicht glauben, dass eine Diakonie bzw Pflege so viel weniger Ansprüche hat und dann bekomme ich bei sowas wirklich Bauchschmerzen und ein schlechtes Gewissen. Da würde ich wirklich empfehlen mit jemand zusammen da eine sinnvolle Konfig zu erarbeiten und auszurollen, dann schläft auch jeder sicherer. :)
Grüße
\jens -
Hallo,
kurzes Update es läuft wieder mit einer neuen sense :). Was mich persönlich nervt obwohl nun alles funzt wie es soll das lt. Protokoll alles geblockt wird...
Gebe dir da absolut Recht! Ich selbst habe das Gerät wie auch die Umgebung erst vor kurzem beerbt. Vorher waren für die TS zb die 3389 Ports nach aussen offen und über die öffentl. IP erreichbar. VPNs gabs keine und IPsec auch nicht. Das Ding ist noch lange nicht fertig aber hexen kann ich auch nicht.
Generell hätte ich persönlich nichts gegen Hilfe und strebe auch paar Lehrgänge zur Sense an. Mit der arbeite ich selbst erst seit ca 3 Monaten.
Was würde sowas in etwa kosten? Ich wäre schon interessiert zumal in meiner Firma keiner damit umgehen kann.Viele Grüße
-
@Operator123 said in pfSense macht kein Internet aber VPN, IPSEC funzt!?:
kurzes Update es läuft wieder mit einer neuen sense :). Was mich persönlich nervt obwohl nun alles funzt wie es soll das lt. Protokoll alles geblockt wird...
Das ist ja normal, deine PASS Regeln haben per default ja kein Logging aktiv. Darum wird auch nur Block geloggt.
Was würde sowas in etwa kosten? Ich wäre schon interessiert zumal in meiner Firma keiner damit umgehen kann.
Das kommt schwer drauf an, was wie lange und worüber. Wenn Interesse besteht kann ich das natürlich auch gern mal weiterleiten, dann kannst du dich mit dem Kollegen austauschen. War jetzt wie gesagt nicht als Werbung gedacht :)
Aber top dafür, dass die TS schon verschwunden sind! Das freut natürlich zu hören!
-
Moin,
@JeGr blöd gefragt aber wie aktiviere ich das Logging?
zwecks nen Audit müsste ich schon grob eine Richtung wissen wohin die Reise geht.
Kann man sowas per Fernveraltung machen VPN/TeamViewer etc?
Ich hätte es schon gerne das sich jemand diese pfSense mal komplett durch sieht und mir Tipps gibt.
Muss ja nicht ein hochoffizielles Audit sein worauf ich bzw. meine Firma sich berruft. Denke sowas ist in zwei Stunden abgehandelt oder wie ist da die Erfahrung?Viele Grüße
-
@Operator123 said in pfSense macht kein Internet aber VPN, IPSEC funzt!?:
@JeGr blöd gefragt aber wie aktiviere ich das Logging?
In jeder Regel hast du unten ein Kästchen mit "Enable Logging for this rule". Ohne wir die Regel einfach angewandt ohne zu loggen - nutzt man gern um das Log bspw. etwas zu "säubern" damit man bestimmten Kram nicht mehr sieht, der einem das Log zuspammt. Umgekehrt kann man damit aber auch erlaubten Traffic loggen wenn man bspw. das Log irgendwo mittels Syslog bspw. hinexportieren möchte zum besseren Auswerten.
-
Ah vielen Dank.
Sry bin etwas blöd hab die letzten Tage wenig geschlafen.
-
Ah es funzt u sieht schon viel besser aus :)