[solved] IPv6 Port Forwarding tatsächlich möglich
-
Und ich hab gleich eine Frage dazu:
Added support for IPv6 Port Forwards #10984Gibt es jetzt port forwards ohne NAT?
Oder anders gefragt, ich habe teilweise die Standard-Ports nach außen geändert, nach innen diese aber weiter genutzt. Das fiel mir dann bei IPv6 auf die Füße... -
@bob-dig
Scheint sich noch keiner ranzutrauen an die 2.5. :) -
@mike69 So ist es, erst einmal bis Ende des Jahres gut abhängen lassen. Wenn es gereift ist, kann man dann einen Versuch auf einer Testumgebung starten
. -
@nonick
Ich hab 2.5 gerade installiert, schaut gut aus. IPV6 sollte gehen, einen Versuch ist es wert. -
@pete35 Ich war im englischsprachigen Bereich unterwegs und da hat sich das mit dem warten wieder bestätigt. Gerade in einer produktiven Umgebung bei einer äußerst umfangreichen Konfiguration, muss man immer ein paar Monate warten.
-
Sehe ich das richtig, das ein guter Weg wäre, die Config zu sichern, dann quasi sauber neu zu installieren und anschließend die Config zu re-importieren?
Ich tendiere alles sauber from scratch zu machen, andererseits ist es teilweise echt komplex geworden. Denke daher, ich werde es mal versuchen mit dem Import. Ein Backup der VM bereitzuhalten sollte ebenfalls nicht das Problem sein. Bin mal gespannt, was sich nun genau bei IPv6 getan hat. Brauche ich zwar nach wie vor nicht, aber man will ja für die Zukunft gerüstet sein.
-
@nonick
Ich hab auch mitgelesen, aber die meisten Probleme sind einfach nicht auf das Upgrade zurückzuführen. Ich hab hier einige (...) Pfsensen, also auch mit IPSEC, Openvpn, Pfblocker, FRR, OSPF usw. und ich würden sagen, das geht schon. Falls was ist, muss man halt mal Logfiles kontrollieren. Da steht dann eh was los ist. Pfsense wurde ja nicht gestern erfunden. -
Ich habe aktuell 2 pfSense Umgebungen auf die 2.5 hochgezogen. Bisher ist mir nur IPSEC aufgefallen, was in beiden Umgebungen die gleichen Probleme macht. Musste die Tunnels letztendlich neu erstellen.
Generell ist auch die Statuspage von IPSEC grottenlangsam mittlerweile. -
Habe meine private sense auch auf 2.5.0 angehoben. Lief alles smooth durch und konnte bisher noch kein Fehlverhalten feststellen. Der sense-cluster im Firmen-HQ ist allerdings weitaus komplexer. Da warte ich noch paar Tage. Werde erstmal die in den Branchlokationen updaten.
Da kenne ich ganz andere Szenarien bei anderen FW Herstellern. Ich hoffe, die Qualität bei den künftigen Updates bleibt erhalten, auch wenn man demnächst zweigleisig fährt.
-
Hier läuft auch alles, bis auf die IPsec S2S Tunnel, nach dem neu erstellen laufen auf jeder Seite Daten raus, aber auf der Gegenseite kommen keine Rein.
Mobile IPsec Einwahl funktioniert.
Na wenn ich später mal mehr Lust habe, schaue ich mir Wireguard an und richte das auf beiden Seiten ein, das soll ja jetzt wirklich gut laufen.
-
Bei mir zeigt das DDNS Widget im Dashboard keine IPs mehr an.
-
@bob-dig
DDNS Widget geht perfekt bei mir, keine Bescherden, IPs werden angezeigt. -
So ich habe auch schon 3x CE Edition und einmal eine SG-1100 durch, soweit keine Probleme.
-
Bin wieder zurück auf 2.4.5. Neben dem DDNS Widget ging auch nicht mehr der HE-Tunnel und einige der VPN-Clients von alleine hoch, musste hier immer manuell nachhelfen. Hatte inplace geupgraded, davor nur alle Packages deinstalliert. Und obwohl der erste Eindruck nicht schlecht war, haben mich dann doch die auftretenden Probleme soweit verunsichert, dass ich zurück bin.
Ich würde ja auch alles von scratch neu einrichten, wenn ich wüsste, dass dann alles tatsächlich funktionieren würde.
Und bin nicht mehr dazu gekommen, mir die IPv6 Portforwards näher anzuschauen.
-
@bob-dig said in Neue pfSense Version erschienen:
Und ich hab gleich eine Frage dazu:
Added support for IPv6 Port Forwards #10984Gibt es jetzt port forwards ohne NAT?
Oder anders gefragt, ich habe teilweise die Standard-Ports nach außen geändert, nach innen diese aber weiter genutzt. Das fiel mir dann bei IPv6 auf die Füße...Port Forwards sind mit pf redirection/rewrite Regeln realisiert. Das ist per Definition nicht zwangsweise auch NAT. Somit streng genimmen lediglich ein Feature eine IP/Port Kombo eben auf ein anderes Ziel umzuleiten. Ist eben problematisch, weil im Sprachgebrauch jeder bei allem irgendwie NAT zu sagt. NAT (ausgehend) - also maquerading - ist aber was anderes als port forwards.
Scheint sich noch keiner ranzutrauen an die 2.5. :)
Quark, ich bin schon seit Monaten auf 2.5 und einige Kunden migriere/update ich gerade. Nur weil einige (laute) Zwischenrufer gern Panik schreien muss das nicht so sein. Die sind nur einfach lauter, deshalb hört man von den vielen, bei denen es "einfach geht" nichts - warum auch, die würden ja eh nur schreiben "jop, ging alles gut, nichts zu melden". :)
Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!
If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.
-
@bob-dig said in Neue pfSense Version erschienen:
Ich würde ja auch alles von scratch neu einrichten, wenn ich wüsste, dass dann alles tatsächlich funktionieren würde.
Keine Ahnung was bei dir läuft, aber wie gesagt, ich bin seit Monaten auf 2.5 ohne Problem.
So ich habe auch schon 3x CE Edition und einmal eine SG-1100 durch, soweit keine Probleme.
Die SG1100 war etwas dreckig, die musste ich dann neu installieren. Keine Ahnung was letzte Woche DO/FR los war, aber der Update von 180 Paketen war derart lahm, das kam nach Stunden nicht zum Ende (obwohl es langsam weiterlief, hing also nichts, war nur zu langsam).
Da kenne ich ganz andere Szenarien bei anderen FW Herstellern. Ich hoffe, die Qualität bei den künftigen Updates bleibt erhalten, auch wenn man demnächst zweigleisig fährt.
Ohja kann ich bestätigen. Gerade erst tollen Spaß mit Juniper Geräten gehabt. Wer macht bitte auch Hardware, deren Speicher so FU***NG klein ist, dass das eigene Firmware Update nicht reingeschrieben werden kann, sondern man das auf nen USB Stick auslagern muss. WTF?!
-
@jegr said in Neue pfSense Version erschienen:
Port Forwards sind mit pf redirection/rewrite Regeln realisiert. Das ist per Definition nicht zwangsweise auch NAT. Somit streng genimmen lediglich ein Feature eine IP/Port Kombo eben auf ein anderes Ziel umzuleiten. Ist eben problematisch, weil im Sprachgebrauch jeder bei allem irgendwie NAT zu sagt.
Anders gesagt, das geht schon die ganze Zeit, auch im GUI, dann wohl unter Firewall / NAT / Port Forward? Wenn ja, auf welches Interface müsste so ein Portforward für IPv6?
-
@jegr said in Neue pfSense Version erschienen:
Wer macht bitte auch Hardware, deren Speicher so FU***NG klein ist, dass das eigene Firmware Update nicht reingeschrieben werden kann, sondern man das auf nen USB Stick auslagern muss. WTF?!
lach so etwas habe ich auch noch nicht gehört.
Die Antwort auf deine Frage: Der KaufmannKenne ich von anderen Projekten, da wird 5% Hardware gespart aber man hat damit die nächsten Jahre 100% eine Freude ähm Bremse.
pfSense Gold subscription
-
@bob-dig said in Neue pfSense Version erschienen:
@jegr said in Neue pfSense Version erschienen:
Port Forwards sind mit pf redirection/rewrite Regeln realisiert. Das ist per Definition nicht zwangsweise auch NAT. Somit streng genimmen lediglich ein Feature eine IP/Port Kombo eben auf ein anderes Ziel umzuleiten. Ist eben problematisch, weil im Sprachgebrauch jeder bei allem irgendwie NAT zu sagt.
Anders gesagt, das geht schon die ganze Zeit, auch im GUI, dann wohl unter Firewall / NAT / Port Forward? Wenn ja, auf welches Interface müsste so ein Portforward für IPv6?
Hö? Auf welches Interface? Wer von uns beiden ist nun verwirrt? Was hat Interface mit IP4/6 zu tun? Na aufs gleiche wie bisher auch, oder was verstehe ich davon jetzt gerade nicht? :)
Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!
If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.
-
@slu said in Neue pfSense Version erschienen:
Die Antwort auf deine Frage: Der Kaufmann
Eher der Einkauf oder die, die aufm Geld sitzen. Aber bspw. Juniper Switchstacks 3000er oder 2000er Reihe sind mit so wenig internem Flash bestückt, dass man das FW Update entweder aufsplitten muss in 2 Teile (die beide dann geil an die Wand laufen können) oder man muss einen Stick stecken der dann als temp Speicher genutzt wird, weil die f**** firmware weder in RAM noch im Flash genug Platz hat und der das sonst nicht gewuppt bekommt. Unglaublich.
