pfSense macht kein Internet aber VPN, IPSEC funzt!?



  • This post is deleted!


  • Ouh realtek. đŸ˜Č

    Wie sieht das bei dir aus?
    Firewall - NAT - Outbound



  • Das ist ne APU die nehmen halt RealTek...

    NAT.PNG



  • Dann zeig mal noch:

    System Routing Gateways

    und

    Interfaces DIAKONIE

    Sollte da auch nichts auffallen, bin ich raus, was aber nichts heißt. 😉



  • This post is deleted!


  • @Operator123 Kannst ja mal das Standard Gateway fest einstellen fĂŒr IPv4, nicht automatisch, und fĂŒr IPv6 nichts einstellen.
    Good Luck.



  • hatte ich doch schon gemacht funktioniert nicht :(



  • Routing hast du dir schon angesehen?
    https://docs.netgate.com/pfsense/en/latest/book/routing/route-troubleshooting.html

    Denn das hier immer das Lo0 als Quelle auftritt ist schon komisch, da hast du recht.



  • @NOCling
    War grade mal vor Ort hab alles nochmal neugestartet nur um das auszuschliessen, kein Erfolg.
    Das komische was ich aber eben erst bemerkte ist das man vom Host gar nicht auf die pfsense kommt.
    Von den hyper v virtualisierten VMs schon. Die Einstellungen aber passen alle.
    Bin immer mehr verwirrt...

    Mit dem Routing ist ein guter Tip aber weiß gar nicht wo ich da anfangen soll.

    Ich denke es bringt mir auch nichts ne neue sense aufzusetzen u dann die config einzuspielen. Irgendwas auf der sense ist scheisse aber auch nach vergleich mit einer funktionierenden ist mir nichts aufgefallen was es sein könnte.



  • This post is deleted!


  • glaub einfach die sense hat irgend ne macke... ich wĂŒrde die jetzt mal neu aufsetzen
    die config einfach wiederherszustellen das mache ich nicht.

    kann man ca u zertifikate importieren? möchte nicht das ganze vpn gedöhns komplett neu machen das funzt ja



  • Ja denke auch das ist der Wurm drin.

    Das sollte funktionieren, denke aber an die private Key wenn du die Zertifikate exportierst.



  • Ok danke fĂŒr die Erinnerung. Wie man eine ca importieren kann sehe ich aber wie kann ich ein Benutzerzertifikat importieren?

    Gruss


  • LAYER 8 Moderator

    Einfach den kompletten Zertifikatskram importieren, da sind alle drin, die die pfSense kennt. Wenn du das vom User rausgelöscht hast, dann ist es auch nicht drin. Kennen muss es die Sense nicht da es nur gegen die CA abgeglichen wird und solang die dieselbe ist, wird das Zertifikat erlaubt.

    Muss sagen vom durchlesen des Threads hab ich ein wenig Bauchschmerzen, zumal ich da sehen kann, dass das bei ner Einrichtung (Diakonie) lĂ€uft. So wie das konfiguriert ist mit dem Wirrwarr an Regeln und VerstĂ€ndnisproblemen, wĂ€re es vielleicht nicht schlecht da mal jemand nen Audit der Konfig machen zu lassen. Gerade wenn ich so kram sehe wie einfach hart weitergeleitete Ports die an ne Schliessanlage gehen? Die öffentlich im Netz zugĂ€nglich ist? Sorry das ist IMHO nicht OK selbst wenn das Ding ne http auth vornedran hat. Das sind Sachen bei denen man sich eher mal klar vor Augen halten muss, worauf wirklich alle aus dem Internet "direkt" zugreifen können mĂŒssen und was man besser hinter VPN packt. Auch der Medifox Kram, kann ich kaum annehmen, dass der wirklich von jedem Nutzer des Internets erreichbar sein muss. Sowas finde ich hochgradig gefĂ€hrlich, gerade wenns um Pflege und damit Datenschutz geht! Und das schreibe ich jetzt nicht, weil ich bzw. meine Firma damit ins Spiel bringen will. Ja wir bieten sowas an bzw. arbeiten da mit euch zusammen. Ja das kostet. Nein, ich mache deshalb hier trotzdem kaum/keine Werbung dafĂŒr weil ich das trenne.

    Aber wir haben u.a. auch einen Dienstleister des DRK als Kunden und wenn ich höre/lese, was die fĂŒr Datenschutz Auflagen haben, dann kann ich nicht glauben, dass eine Diakonie bzw Pflege so viel weniger AnsprĂŒche hat und dann bekomme ich bei sowas wirklich Bauchschmerzen und ein schlechtes Gewissen. Da wĂŒrde ich wirklich empfehlen mit jemand zusammen da eine sinnvolle Konfig zu erarbeiten und auszurollen, dann schlĂ€ft auch jeder sicherer. :)

    GrĂŒĂŸe
    \jens



  • Hallo,

    kurzes Update es lÀuft wieder mit einer neuen sense :). Was mich persönlich nervt obwohl nun alles funzt wie es soll das lt. Protokoll alles geblockt wird...

    block.PNG

    denyrule.PNG

    @JeGr

    Gebe dir da absolut Recht! Ich selbst habe das GerĂ€t wie auch die Umgebung erst vor kurzem beerbt. Vorher waren fĂŒr die TS zb die 3389 Ports nach aussen offen und ĂŒber die öffentl. IP erreichbar. VPNs gabs keine und IPsec auch nicht. Das Ding ist noch lange nicht fertig aber hexen kann ich auch nicht.

    Generell hÀtte ich persönlich nichts gegen Hilfe und strebe auch paar LehrgÀnge zur Sense an. Mit der arbeite ich selbst erst seit ca 3 Monaten.
    Was wĂŒrde sowas in etwa kosten? Ich wĂ€re schon interessiert zumal in meiner Firma keiner damit umgehen kann.

    Viele GrĂŒĂŸe


  • LAYER 8 Moderator

    @Operator123 said in pfSense macht kein Internet aber VPN, IPSEC funzt!?:

    kurzes Update es lÀuft wieder mit einer neuen sense :). Was mich persönlich nervt obwohl nun alles funzt wie es soll das lt. Protokoll alles geblockt wird...

    Das ist ja normal, deine PASS Regeln haben per default ja kein Logging aktiv. Darum wird auch nur Block geloggt.

    Was wĂŒrde sowas in etwa kosten? Ich wĂ€re schon interessiert zumal in meiner Firma keiner damit umgehen kann.

    Das kommt schwer drauf an, was wie lange und worĂŒber. Wenn Interesse besteht kann ich das natĂŒrlich auch gern mal weiterleiten, dann kannst du dich mit dem Kollegen austauschen. War jetzt wie gesagt nicht als Werbung gedacht :)

    Aber top dafĂŒr, dass die TS schon verschwunden sind! Das freut natĂŒrlich zu hören! 😃



  • Moin,

    @JeGr blöd gefragt aber wie aktiviere ich das Logging?

    zwecks nen Audit mĂŒsste ich schon grob eine Richtung wissen wohin die Reise geht.

    Kann man sowas per Fernveraltung machen VPN/TeamViewer etc?
    Ich hÀtte es schon gerne das sich jemand diese pfSense mal komplett durch sieht und mir Tipps gibt.
    Muss ja nicht ein hochoffizielles Audit sein worauf ich bzw. meine Firma sich berruft. Denke sowas ist in zwei Stunden abgehandelt oder wie ist da die Erfahrung?

    Viele GrĂŒĂŸe


  • LAYER 8 Moderator

    @Operator123 said in pfSense macht kein Internet aber VPN, IPSEC funzt!?:

    @JeGr blöd gefragt aber wie aktiviere ich das Logging?

    In jeder Regel hast du unten ein KÀstchen mit "Enable Logging for this rule". Ohne wir die Regel einfach angewandt ohne zu loggen - nutzt man gern um das Log bspw. etwas zu "sÀubern" damit man bestimmten Kram nicht mehr sieht, der einem das Log zuspammt. Umgekehrt kann man damit aber auch erlaubten Traffic loggen wenn man bspw. das Log irgendwo mittels Syslog bspw. hinexportieren möchte zum besseren Auswerten.



  • Ah vielen Dank.

    Sry bin etwas blöd hab die letzten Tage wenig geschlafen.



  • Ah es funzt u sieht schon viel besser aus :)