@dennypage Thanks for the info. Yeah, it appears somewhat complicated with IPSEC. ARD works over IPSEC but without live status and system information, which is what we had hoped to get working over our old IPSEC tunnels. ARD works fully with OPENVPN for us. Has anybody else had some successes here? Thanks, Alfredo

@Gertjan I understand all of that. In the end, it was all locking up so frequently, i wiped everything and did a reinstall with 2.7.2. all has been solid ever since. I know there isn't anything to go on with this because I'm not providing any logs, but as I said in an earlier post, uninstalling all packages and rebooting as per the documentation, still resulted in errors during the upgrade. as of now, all is back up and running perfectly.

@abt said in VLAN Firewall Rules: Wenn ich in einem pfsense Forum von einem VLAN rede, gehe ich für mich davon aus, dass das VLAN natürlich auf der pfSense angelegt ist. Und die Regeln (firewall rules) sind natürlich auf dem entsprechenden Interface angelegt. Ein VLAN ist auch gern mal auf Switchen vergessen. Oder auf Switchen angelegt aber nicht auf der Sense. Woher genau sollen wir dein Setup kennen, wenn du es nicht näher beschreibst? Und genau "das entsprechende Interface" war schon mehr als einmal Thema hier. Man kann bei Problemen ja auch mal nicht wissen, ob Regeln korrekt auf dem richtigen Interface angelegt wurden oder ob eben doch vielleicht einfach ein Verständnisproblem dazwischen kam und man das statt dessen auf dem falschen Interface angelegt hat. Eben weil von dir keinerlei Konfig oder Screenshot oder Netzbeschreibung außer der FritzBox und den Geräten kam. Ich kann mir dein Setup eben nicht so ganz vorstellen, welche Geräte jetzt hinter der pfSense wo (in welchem VLAN) stehen und wohin wollen und was weswegen konfiguriert wurde. Das kann man mit ner kleinen Skizze, AsciiArt oder was auch immer eben helfen, damit jemand anderes versteht was ich gebaut habe. Aber "Ich habe alles richtig gemacht aber es geht nicht" - ja nun? Wo soll ich da ansetzen was das Problem ist? Darum frage ich eben nach bevor ich Dinge falsch annehme und deshalb denke, dass dort das Problem liegt. Und Regellogik kann ich nur erklären, wenn ich verstehe, was wo angelegt wurde und was wo verortet ist, sonst ist das schwerlich möglich, wenn ich alles erraten muss, dass ich nicht weiß. @abt said in VLAN Firewall Rules: Nun hatte ich aus versehen die Ablehnregel vor die Erlaubnisregel gesetzt und gespeichert. Und das funktioniert jetzt so. Ich komme ins Internet und kann keinen Rechner aus dem WAN erreichen. Die Ablehnregel besagt, dass alles IPV4* aus dem VLAN in das WAN geblockt werden soll. Trotzdem funktionieren DNS und NAT. Wer kann mir diese Logik erklären? Niemand, wenn du keinem verrätst, was du überhaupt als DNS konfiguriert hast, wohin NAT wie definiert ist und wie deine Regel zum Verbieten/Erlauben von irgendwelchem Zugriff auf "WAN" Seite aussieht. Ohne konkrete Details kann man nur raten oder rückfragen. Meine Glaskugel-Vermutung wäre WAN ist auf 192.168.178.0/24, das wurde per Regel verboten DNS ist auf VLAN Geräte IP der Sense gesetzt und das ist natürlich nach wie vor erlaubt, pfSense macht via Unbound selbst DNS, darum geht DNS NTP wird via DNS auf irgendwelche NTP Pools im Netz aufgelöst, darum geht NTP Internet geht, weil Internet nicht WAN ist. Also wahrscheinlich alles genauso wie es soll. Nur gehst du wahrscheinlich von ein paar falschen Annahmen aus (aka WAN=Internet oder WAN geblockt = Internet geblockt etc.) Von Freigaben ist keine rede gewesen. Wenn ich Traffic freigebe, mach ich eben eine Freigabe für Daten von a nach b. Dazu leg ich ne Regel an. Entschuldige, dass ich das so lax mal umgangssprachlich geschrieben habe und nicht Firewall Policies o.ä. Aber wenn die Antworten schon so potentiell ablehnend zurück kommen, ist vielleicht keine Hilfe gewünscht. Dann halte ich mich auch gerne raus, kein Problem. Cheers

Browsing the qat driver sources for FreeBSD and Linux, it sure looks like there simply isn't a driver for the VF PCI device IDs for c3xxx in the FreeBSD tree, but there is for Linux. Am I reading this correctly? Can pfSense even use all of the QAT engines in the c3xxx silicon at the same time to warrant passing through the entire hardware as is seemingly required? I was thinking it would be useful to leave some VFs for host ZFS use and possibly another guest application. Is it worth the effort to copy&paste the PF driver to make the VF version?

Indeed, not an easy way I'm aware of. I'd just reinstall clean to be honest. However you may need to wait for the 1.1 installer that has a 'low resource' mode to allow writing to a 4G eMMC.

Yeah unless you actually need that wifi card it's better to remove it. It doesn't work in 2.8 yet anyway and just uses resources.

Unless you need to accept inbound connections there it should only be an outbound NAT rule. Even if you did have inbound connections a port forward is often better. You shouldn't need to manually add any rules though as long as the gateway is added into the new interface. That will trigger the auto outbound rule to be added.

@SteveITS said in 2.8.0 fails to save SMTP Notification password: The test button text does say, "The last SAVED values will be used, not necessarily the values entered here." Ah, but that's not what actually happens. The just-entered new password IS used for the test, but then forgotten by the time you scroll down and "Save".

@RyanM said in HA Proxy and 503 error on pfSense: So let's say my domain is internaldomain.com Does domain resolve to your public IP in a public DNS? If it doesn't, you won't get a Let's Encrypt cert at all. Is HA Proxy good for what I am trying to do? So I have self-signed certs for several internal hosts/services. Yes. You can install self-signed certs on your backend servers and direct all traffic over HAproxy, even from internal. However, you must not enable "SSL checks" in the backend. The better way, however, would be to generate the internal certs with a CA on pfSense. Then you can confiugre HAproxy to trust the CA and accept the server certs. When getting error 503 "service not available", the backend either does not respond to heath checks or the service is not reachable, or something else in HAproxy is configured wrong. So first of all go to the stats page and check if the backend is shown up as "online". If not check the health check configuration.

Thanks but I'mafraid to say I've had a conversation with chatgpt about it and it didn't take long to find the solution, firstly as you suggested I binded to any interface, then created a dedicated firewall rule in the LAN interface. Then got Connection Attempt write UDPv4: No route to host (fd=6,code=65) in OpenVPN logs Which again chatgpt advised creating a default gateway route back to the UDM in System/Routing Hope this helps someone else in the future.

Indeed the memory can be an issue especially with larger upgrades. The memory usage during ZFS upgrades has been improved in 25.07 (to be released soon) to address the issue. You can check the system log for signs of processes being killed abruptly. If however you're still using UFS it's more likely to have been some other issue.

@stephenw10 Thanks. Just finished the reinstall and have Plus.

I made a mistake in my config, for the local network in the VPN config I enter 192.168.0.1/24 and should have been 192.168.0.0/24

I resolved this by accepting the T+Cs via https://www.maxmind.com/en/accounts/1205389/geolite2/eula

I am on 24.11. I have several consoles at home, PS5, PS4, Nintendo's. No issues at all. I just assigned a fixed IP to them put those IP in the ACL allow list. Outbound NAT with static port for the consoles. The only "issue" is that port mappings remain there for days. I have to manually cancel them. At the moment I did not find any solution to remove them via cron job scripts.

Now, I can start configure more rules on the FW + connecting the Netgate directly to my ISP Modem. Great Is there a recommende list of FW settings laying around? I saw several of the Youtube videos where they kind of had their own focus. Based on the description, this would be a GUEST network. Here’s an example for you: Note: GUEST users are not allowed to use pfSense’s DNS server. Instead, I’m using DHCP to provide a public DNS server for them. [image: 1753873577326-5f99a867-d081-4c33-ac6a-de697d0826fb-image.png] Internal network alias is an alias that contains all my local networks.