PFsense Hardware
-
@viragomann
Vielen Dank für deine Unterstützung.Ich bin mir nicht sicher ob ich deine Erläuterungen richtig umgesetzt habe.
Für die IPSec VPN auf der pfSense benötigst du auch die beiden Regeln für 127.0.0.0/8 für jedes WAN Interface. Schließlich kommt die Verbindung von der pfSense, nicht von einem Netz dahinter.
Falls noch nicht gemacht, musst du auch in der IPSec P1 Konfiguration die CARP VIP einstellen.
IPSec Phase 1
Ich habe das Interface von WAN1DSL auf die CAPR Adresse geändert, meinst du das?
Ist normal. Das ist die IP, von der die Antwort kommt. pfSense schickt eigene Pakete immer von der Interface IP, solange es keine Masquerading gibt (Outbound NAT), ist aber auch nicht nötig.
Das erklärt vieles, Danke für diese Antwort!
-
@sub2010
Alles okay. -
@sub2010 Zum CARP:
Outbound NAT:
- Alles was nicht localhost ist (127.0..0.1 / ::1) auf die CARP VIP ändern/umschreiben, sonst Murks beim Failover
- Localhost Kram auf Interface IP lassen!
- VPNs müssen auf die CARP IP konfiguriert sein, nicht auf WAN :)
--
Ansonsten: wo kommt im Bild oben eigentlich die 2. 4 Port NetzwerkKarte her?
-
Vielen Dank für die Korrekturen. Deine Änderungen habe ich im Roten Kasten angepasst,
- Ich bin mir aber bei ::1 unsicher, soll ich dort auch die CARP Adresse eintragen? Und wenn ja, welche?
- Muss ich bei dem Sync Netzwerk (192.168.5.0/29), habe ich keine CARP Adresse, und somit muss ich dort nichts vornehmen, richtig?
-
@sub2010 said in PFsense Hardware:
Ich bin mir aber bei ::1 unsicher, soll ich dort auch die CARP Adresse eintragen? Und wenn ja, welche?
Hatte ich geschrieben:
Alles was nicht localhost ist (127.0..0.1 / ::1) auf die CARP VIP ändern/umschreiben, sonst Murks beim Failover
@sub2010 said in PFsense Hardware:
Muss ich bei dem Sync Netzwerk (192.168.5.0/29), habe ich keine CARP Adresse, und somit muss ich dort nichts vornehmen, richtig?
Sync braucht überhaupt kein NAT. Du möchtest ja nicht, dass im Sync Netz jemand anders ist als deine Firewalls und die müssen darüber auch nicht Internet sprechen - ergo gar kein NAT.
Das ist einer der Haupt-Punkte von manuellen Regeln vs. automatic: Die Möglichkeit entscheiden zu können was man überhaupt braucht. Sync? Unnötig. VPN Einwahlnetze? Wenn die nicht Internet über eines der GWs reden müssen, sondern nur zur Einwahl ins interne Netz gedacht sind - raus. Und so weiter. Automatic haut einfach alles was intern als Netz angelegt ist in die NAT Liste. Will/braucht man das? Eben nicht :) Deshalb besser mit auto starten und dann runterbrechen was überhaupt benötigt wird.
Wenn aus deinen internen Netzen niemand bspw. IPsec machen muss, sondern das die Firewall selbst macht und es auch kein anderer soll -> Die 500(ISAKMP) Regel für die internen Netze (192.168...) raus. Braucht man dann schlicht nicht. Und wenn man dann ein Alias mit allen internen Netzen anlegt, die überhaupt geNATtet werden sollen, dann hat man das schnell runtergebrochen auf eine Regel pro Gateway.
Cheers
-
@jegr
Danke dir für deine Ausführungen, ich habe die Grundlage Verstanden.
Aber die Umsetzung scheint bei mir nicht zu klappen .Hier mein Test Ergebnis:
IPSEC Verbindung:
VPN Verbindung steht, aber es kommt kein Einkommender Verkehr an?
IPSEC Config:
Gibt es einen Unterschied in der Konfiguration wenn ich sage Local Network und dann meine Netz aufschreibe, oder wenn ich LAN subnet auswähle? Erfolg hatte ich damit nämlich nicht.
Outgoing NAT
@JeGr Ich habe deine Ausführungen umgesetzt!
WAN Failover Config:
Habe ich geändert, ohne Erfolg, aber laut meiner Denkweise muss hier ebenfalls die CARP Adresse rein, richtig?
IPSec SAD´s:
Durch ein bisschen Spielerei, habe ich bei beiden VPN das erwirkt, leider hat dies keinen Einfluss.
IPSEC Rules
Muss hier nicht das Interface WAN1DSL eingestellt werden? Also mein Netz 192.168.2.0/28 zwischen Router und Firewall?
Noch eine wirkliche Anfänger Frage, kann es sein das durch die unterschiedliche Netzmaske zwischen Router Firewall und Lan eine Problem auftritt?
Hier ein nettes Bildchen
-
Hallo Zusammen,
ich weiß ich kann nicht von euch verlangen mir zu helfen. Und manchmal ist diese Unterstützung von euch auch mehr als ich verdient habe.
Ich arbeite bereits seit einem Jahr an einer Firewall-Lösung mit einer VPN Verbindung zu 2 Standorten (Eltern und Schwiegereltern). Und nun bin ich an einen Punkt gekommen, wo ich Stück für Stück aufgebe.In meinem Test weiter oben hat die VPN IPSec Side2Side Verbindung problemlos funktioniert, und ich war total Stolz auf mich und meine Leistung. Meinen Willen die UDM Pro zu verkaufen und mich auf ein neues System einzulassen.
Als ich dann noch gesehen habe, das ich eine Hochverfügbarkeit erreichen kann war ich Feuer und Flamme.
Und ich habe auch nicht damit gerechnet wieder auf solche VPN Probleme zu stoßen, die ich mir nicht erklären kann.
Ich habe die letzte Woche damit verbraucht mir die Dokumentation zu durchforsten, konnte aber keinen Fehler in meiner Konfiguration finden.Besteht die Möglichkeit das ihr mir noch mal helft?
Ich bin bereit euch auch ein Bierchen/Kaffee zu spenden.Sonst wäre meine einzige Hoffnung, noch das AVM Wire-Guard ausrollt und ich dadurch das "Routing" Problem umgehe. Was alles andere als Zufriedenstellend ist. Sonst würde ich mich damit abfinden, dass eine Firewall für mich nichts ist.
https://winfuture.de/news,126929.html -
- warum willst du es da du ja nicht viel ahnung haben solltest unbeding so aufwendig umsetzen?
- mache es doch mit bur einer sense. ich gebe zu alles habe ich mir nicht durchgelesen (da ja schon einige hier unterstützt haben die richtig fähig sind).
- warum benötigts du denn unbeding failover so wie ich es verstanden habe ist es doch für dich privat und nicht für deinen job?
- ich habe bei mir zuhause einen ganz simplen aufbau (KIS "Keep it simple")
es soll funktionieren und mehr nicht. - dein failover mit einer 2. wan leitung kannst du ja auch ohne CARP machen
- wie du in meinem grafischen netzwerkplan kannst du sehen das ich auch ubnt ap´s einsetze
┌──────────────────────────┐ │ │ │ WAN / Internet (PPPoe) │ │ Willy.tel │ │ 1000/250Mbit/s Glasfaser │ │ │ └─────────────┬────────────┘ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ WAN ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─│─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─WAN─ ─ ─ ─ ─ ─ ─ ─ ─ │ ╔═══════╩═════════════════════════════════╗ ┌────────────────┐ ┌────────────────┐ ║ pfSense 2.5.2║ ╔ ═ ═ ═ ═ ═ ═ │ │ │ UBNT │ ║ Intel NUC BNUC11TNHV50L00║ Stand:║ │ TrueNAS ├───┤EdgeSwitch 8 XP ├───╣ LAN: 192.168.3.1/24║ ║ 11.12.2021 │ │ │ │ ║ Gäste LAN (VLAN33): 192.168.33.1/24║ ═ ═ ═ ═ ═ ═ ╝ └────────────────┘ └───────┬─────┬──┘ ║DynDNS über Cloudflare mit eigener Domain║ ┌────────────────┐ │ │ ║ VPN's:║ │ Fritzbox 7490 │ │ │ ║ 2 x Fritzbox (7490 & 6591) IPSec║ │ (Nur VoIP) ├───────────┤ │ ║ 1 x OpenVPN Road Warrior (172.16.3.0/24)║ │ │ │ │ ║ 1 x WireGuard Road Warrior║ └────────────────┘ │ │ ║ (172.16.33.0/24)║ ┌────────────────┐ │ │ ╚═════════════════════════════════════════╝ │ UBNT │ │ │ ┌────────────────┐ ┌────────────────┐ │UniFi Cloud Key ├───────────┤ │ │ Switch │ │ 1 x UBNT │ │ │ │ └───────┤Netgear GS110TPP├───┤UniFi AP-Flex-HD│ └────────────────┘ │ │ │ │ │ ┌────────────────┐ │ └─────────┬──────┘ └────────────────┘ │ 2 x UBNT │ │ │ ┌────────────────┐ │UniFI AP AC Pro ├───────────┘ │ │ │ │ │ └──────────┤ Clients │ └────────────────┘ │ │ └────────────────┘ Created with Monodraw
-
@micneu said in PFsense Hardware:
Monodraw
Hallo @micneu,
vielen Dank für dein Feedback.
Ich habe eine Version:
Ich möchte in erster Linie für mich, aber auch für die gesamte Familie. Eine gemeinsame Plattform schaffen.
Darunter fallen: Dienste z.B. Chat, Fotoverwaltung, Drive, Backup usw. und ganz wichtig mich Weiterzubilden.
Die ganze Plattform soll Ausfallsicher und möglichst Zuverlässig sein. Ähnlich wie eine Cloud, indem kritische Systeme Ausfallsicher vorliegen.
2.
Ich hätte nicht gedacht, dass es solche Probleme gibt.
Da in Evaluierungsphase die IPSec Side 2 Side Verbindung funktionierte. Und darauf habe ich aufgebaut, und habe mich dann weiter vorgearbeitet zum Thema HA und Failover Verbindung.3.
Durch meinen Home Office Arbeitsplatz kommt natürlich eine HA Lösung + eine zweite Internetverbindung auch dem Job zu Gute. Wir kämpfen in meinem Ort häufig mit Stromausfällen. Und die Aktiven DSL Komponenten fallen damit regelmäßig mit aus. Bei mir gibt es einen LTE Mast, der mit einem Notstrom ausgerüstet ist.4.
Für mich ist der KIS ein super Ansatz, und deshalb möchte ich es auch so einfach wie möglich haben.
Ich hab bei dem Thema HA nicht bedacht, dass es solche VPN Probleme gibt. Und ein Rückbau wäre für mich ein Schlag ins Gesicht, da ich mir die Hardware gekauft habe und diese in ein neues Gehäuse gebaut habe, was sehr aufwendig war.6.
Danke, sowas hilft ungemein. Da man nicht sich nicht so alleine fühlt.
Durch deinen KIS Ansatz, würde ich, wenn ich mir das erlauben darf, die Switche ersetze. Und für die Netzwerk-Infrastruktur nur auf einen Hersteller setzen.
Hast du die PPPOE Einwahl mal durch ein Router mit einem zweiten NAT getauscht und geprüft ob die VPN Verbindung dann noch läuft? Ich habe die Vermutung das es eventuell daran liegt. -
@micneu
Bin da voll bei dir. Ich habe dem Thread zwar nicht entnehmen können, wofür die IPSec genau benötigt wird, es dürften aber private Zwecke sein, und da verstehe ich diesen Aufwand mit HA auch nicht.Auch wenn ich für die Firma eine IPSec auf einem HA-System betreibe, für privat habe ich eine einfache pfSense laufen.
Ich habe mir einen Desaster Recovery Plan zurecht gelegt, für den Fall, dass meine Hardware ausfallen sollte, um das Nötigste weiter betreiben zu können, bis ich eine neue bekomme.
Da kann ich aber auch durchaus Abstriche machen und eine kurze Ausfallzeit in Kauf nehmen. -
@sub2010 said in PFsense Hardware:
Durch meinen Home Office Arbeitsplatz kommt natürlich eine HA Lösung + eine zweite Internetverbindung auch dem Job zu Gute. Wir kämpfen in meinem Ort häufig mit Stromausfällen. Und die Aktiven DSL Komponenten fallen damit regelmäßig mit aus. Bei mir gibt es einen LTE Mast, der mit einem Notstrom ausgerüstet ist.
Stromausfälle sind gewiss ein Argument für eine USV, aber um die Leitung umzuschalten, sollten auch simplere Mittel ausreichen. So häufig wird das doch nicht vorkommen?
Was mir bei deinem IPSec Status oben aufgefallen ist: die erste verwendet die LAN IP.
Ob das die Ursache des Übels ist, weiß ich nicht. Kann da aber auch nicht viel mehr beitragen, mir ist der Thread schon zu unübersichtlich geworden, das aktuelle Problem hat mit dem Thema gar nichts mehr zu tun und es gibt auf Ansätze zu wenig Feedback. -
HA kann man auch bei IPsec umsetzen, aber dafür müssen es dann die Gegenspieler auch können.
z.B. Mobike Support, geile Sache wenn es funktioniert. Mein Handy kann das, so laufe ich dann (wenn ich vergessen den Tunnel wieder zu deaktivieren) den ganzen Tag von einem WLAN über LTE ins andere und habe immer den Tunnel aktiv.
Aber genau das wird mit der AVM Implementierung auf deinen Gegenstellen voll auf die Fresse fallen. Da ist man froh, wenn es überhaupt läuft.
Wenn du vor Ort solche Probleme hast, dann ist das als HA Standort schon gleich bei der Planung raus.
Das fängt schon hier an.Standort muss so gelegen sein, dass er nicht absaufen kann, dann brauche ich 2 Internetleitungen die Hochverfügbar sind, schnell entstört werden und über verschiedene Wege Zugeführt werden. LTE kann man so gar nicht mit rechnen, denn wenn alles zusammen bricht und jeder auf LTE rum hängt, geht da schnell nix mehr.
Zudem ist auch die Stromversorgung über mehr als ne USV dann im Notfall sicher zu stellen.Lasse mich mal überlegen, wann ist mir der letzte Router mit Defekt ausgefallen?
Noch nie, bisher jedenfalls. Wurden immer getauscht, weil von der Zeit oder den Anforderungen überholt.Habe ich das weiter oben, wo du angefangen hast das S2S mit den Fritz Kisten zusammen zu basteln was von HA geschrieben, überlesen?
So hätten wir dir das ganze ggf. noch rechtzeitig ausreden können.Aber da du die Kisten ja jetzt hast, kannst du das ja mal aufschieben. AVM hat ja Wireguard angekündigt, kann aber noch was dauern, das könnte dann bei dir ggf. auch HA Tunnel für deine Satelliten Standorte bereit stellen.
Bis dahin fürchte ich, wird das aber mit den AVM Kisten nix.
Klappt es denn mit dem HA Setup und Mobile IPsec inkl. Mobike Support bei dir?
Ansonsten kannst du ja dein Setup in eine Aktiv/Backup Konzept umstellen. Die zweite Kiste ist jetzt da, ok.
Fällt die erste aus, Konfig drauf, Kabel umstecken läuft.Bis dahin hast du eine LAB Kiste mit der du Sachen testen kannst, Update, Dev Version usw.
Denn auch das gehört zu einer echten HA Umgebung dazu. -
und auch mit wireguard wirst du in einem ha cluster nicht glücklich (nach meinem wissen ist es nicht möglich wireguard in einem ha cluster ordentlich zu nutzen)
-
Ich habe jetzt beim groben Drüberlesen zwar nicht so ganz verstanden, was und warum HA ein Problem mit IPSec sein soll, aber das ist es im Normalfall auch nicht, wenn man auf die ein zwei Stolpersteinchen acht gibt. Ansonsten wüsste ich nicht, wo es ein Problem geben sollte.
Bei HA macht man im Normalfall auch kein PPPoE mehr auf dem WAN sondern lässt das vorgeschaltet von einer Box erledigen, am besten vom ISP selbst, dann kann man den dafür belangen wenns nicht läuft.
Cheers
-
Hallo Zusammen,
ich habe noch nicht aufgegeben. Auch wenn viele das Thema abgeschrieben haben, möchte ich euch meinen Fortschritt bzw. meinen Stillstand nicht vorenthalten.
Ich glaube ich finde keinen Ansatz um alle Abzuholen. Ich probiere es trotzdem
Momentan geht es um IPSec mit zwei entfernten FritzBoxen. Mein PFsense besteht aus einem HA, und hat eine Internetleitung hinter einem Vigor (Doppeltes NAT).Phase 1 und Phase 2 werden Erfolgreich aufgebaut.
Nun ist mir aufgefallen dass ein NAT-T Notwendig ist. Kann es deswegen zu Problemen kommen?Des weiteren erhalte ich keine Daten (2 roter Kasten) beim Eingehenden Netzwerkverkehr. Als ob die Pfsense alles blockiert. .
Unter Rules habe ich alles freigeben.
.Im DrayTek habe ich die CarpIP Adresse als Exposed Host (DMZ Host) eingetragen. Somit müsste der Fehler bei dem Routing der Pfsense liegen.
Weder von meinem lokalen zum entfernen Netzwerk kann gepingt werden, noch anders rum.
-
Hallo Zusammen,
ich habe euch gesagt das ich mich melde wenn es Fortschritte gibt. Und nun habe ich eine Frohe Kunde !
Meine VPN Verbindung läuft im HA Modus mit beiden FritzBoxen.Um den Fehler einzugrenzen habe ich folgendes getan. Das HA aufgelöst und neu angefangen.
Beim Neuanfang ist mir folgendes aufgefallen, meine 2te WAN Verbindung war als LAN deklariert.
In der GUI kenne ich diesen Punkt gar nicht. Und ich habe bei meinem neuen Versucht darauf geachtet das diese korrekt konfiguriert wird.
.Ich habe mich dann auf eine Firewall konzentriert.
- Ich habe keine Floating Rules benutzt sondern, dass einzige was ich konfiguriert habe sind die IPSec Rules: und natürlich die VPN Einstellungen...
- Dann hat mich ein Arbeitskollege unterstützt und wir haben eine VPN Verbindung zwischen 2 PFsensen aufgebaut. Das funktionierte, Ping und alles andere ging durch (Dank der Rules).
- Die Verbindung zu FritzBox machte immer noch Probleme (Verbindung wurde aufgebaut, aber Ping ging nicht durch). Es stellte sich heraus, dass einmal die DynDNS Abruf über die Pfsense Mist ist. Diese wurde nicht Zeitnah aktualisiert, sodass es zu Fehlern gekommen ist.
Zweites ist die Konfig der Fritz Box extrem empfindlich.
Ich habe die Konfig der FritzBox wie von @JeGr beschrieben mit dem FritzBox Tool erstellt. Leider war dies nicht immer Erfolgsversprechend, sodass ich die FritzBox mehrmals Neustarten und die gleiche Konfig "immer" wieder einspielen musste. Und siehe da es funktioniert .
Danach habe ich mich wieder an das HA gemacht, es aufgebaut und grundlegend konfiguriert. Die VPN Verbindung konnte nach ein wenig fummeln wiederhergestellt werden. Und heute habe ich die 2te VPN Verbindung ans laufen gebracht.
Mein Fazit: Durch meine Unwissenheit habe ich einige Fehler gemacht, die mir hier auch aufgezeigt wurden.
Aber das größte Stolperstein war die FritzBox Konfig. Mit ein wenig mehr Erfahrung hätte ich da schon früher drauf kommen können.Ich möchte euch ganz Herzlich für all eure Anregungen und Tipps bedanken.
Ohne euch hätte ich schon aufgegeben. @JeGr @NOCling @viragomann @micneu @m0nji - Ich habe keine Floating Rules benutzt sondern, dass einzige was ich konfiguriert habe sind die IPSec Rules: und natürlich die VPN Einstellungen...
-
Erst am am Samstag habe ich nur nächsten Fritz einen Tunnel aufgebaut, eben eingerichtet und läuft direkt.
Auf Fritz Seite habe ich einfach die GUI verwendet, brauchst halt die passenden Settings auf der Sense.
IKEv1 Aggro AES256 SHA512 DH2 und das gleiche noch mal in P2.Daher verstehe ich das rumgemache mit dem total veraltetem AVM Tools nicht. Willst du den Tunnel stabil ans laufen bekommen, kannst du eh keinen Main Mode verwenden oder andere DH Werte.
-
@sub2010 said in PFsense Hardware:
Momentan geht es um IPSec mit zwei entfernten FritzBoxen. Mein PFsense besteht aus einem HA, und hat eine Internetleitung hinter einem Vigor (Doppeltes NAT).
Warum ist das doppelte NAT? Der Vigor ist doch per default nen Modem? Router Mode aktiv? Dann macht das Sinn.
@sub2010 said in PFsense Hardware:
Phase 1 und Phase 2 werden Erfolgreich aufgebaut.
Okay...? Und wo ist dann das Problem?
@sub2010 said in PFsense Hardware:
Nun ist mir aufgefallen dass ein NAT-T Notwendig ist. Kann es deswegen zu Problemen kommen?
Nein, das ist normal wenn eine Seite hinter NAT sitzt - und laut deiner Beschreibung sitzt dein HA Cluster ja logischerweise hinter NAT mit dem Vigor.
@sub2010 said in PFsense Hardware:
Des weiteren erhalte ich keine Daten (2 roter Kasten) beim Eingehenden Netzwerkverkehr. Als ob die Pfsense alles blockiert. .
Naja wenn du keine Regeln machst die IPsec Traffic erlauben dann wird auch alles blockiert.
@sub2010 said in PFsense Hardware:
Unter Rules habe ich alles freigeben.
Und welches Interface soll das sein? Und warum ist da ein GW ausgefüllt? Das macht doch da gar keinen Sinn?
@sub2010 said in PFsense Hardware:
Im DrayTek habe ich die CarpIP Adresse als Exposed Host (DMZ Host) eingetragen. Somit müsste der Fehler bei dem Routing der Pfsense liegen.
Nein, warum soll es ein Routing Problem geben? Gäbe es eines hättest du auf den Sensen kein Netz. Da dein Tunnel mit P1/2 hoch kommt, hast du kein Routing Problem.
@sub2010 said in PFsense Hardware:
Beim Neuanfang ist mir folgendes aufgefallen, meine 2te WAN Verbindung war als LAN deklariert.
Das ist nicht "als lan deklariert", das 2. Interface das man zuweist ist ein interner pfSense Notation IMMER das "lan" während das erste das "wan" ist und alle anderen sind "optX". Das ist völlig normal so, auch wenn man normalerweise nicht auf die Idee kommt erstmal alle WANs anzulegen, wenn einen das Setup deutlich fragt, welches das WAN und dann welches das LAN(!) ist. ;) Danach wird das WAN2 meistens als opt1 konfiguriert und danach alles weitere was man so hat (Sync, DMZ, etc.)
@sub2010 said in PFsense Hardware:
Ich habe keine Floating Rules benutzt sondern, dass einzige was ich konfiguriert habe sind die IPSec Rules: und natürlich die VPN Einstellungen...
Du cropst schon wieder das Interface raus. Die Regeln zu zeigen ohne das Interface bringt nicht viel ;) Bitte in Zukunft dran denken. Das könnte jetzt das WAN, LAN, whatever Interface sein :)
@sub2010 said in PFsense Hardware:
Ich habe die Konfig der FritzBox wie von @JeGr beschrieben mit dem FritzBox Tool erstellt. Leider war dies nicht immer Erfolgsversprechend, sodass ich die FritzBox mehrmals Neustarten und die gleiche Konfig "immer" wieder einspielen musste. Und siehe da es funktioniert .
Was der Grund ist, warum ich schon mehrfach das FB VPN verflucht habe, weil es einfach inkonsistent wie Hölle ist. Ja :/
@sub2010 said in PFsense Hardware:
Mein Fazit: Durch meine Unwissenheit habe ich einige Fehler gemacht, die mir hier auch aufgezeigt wurden.
Einen hast du übersehen - deine Regel oben mit dem GW war bspw. Schrott ;)
Ansonsten muss bei HA darauf geachtet werden, dass als IF die CARP IP gewählt wird statt WAN dann klappts auch mit dem Failover. Und das VPN mit FB eben insgesamt schrottig ist. Vielleicht wirds in Zukunft ja minimal besser mit Wireguard aber nunja... :)Cheers
-
@NOCling
Danke für deine Antwort.
Die FritzBox Einstellungen habe ich genauso gewählt wie du. Bei mir hat es nicht über die Weboberfläche funktioniert. Und ich konnte bei der Diagnose nicht ausschließen ob es an der Pfsense (HA) oder an der FritzBox liegt.
Das Tool wurde mir empfohlen. Und damit hat es nun geklappt.
Und nun weiß ich, dass ich das die FritzBox wie oben erwähnt ein Scheiß VPN liefert@jegr
Danke das du dir wieder Zuviel Mühe gemacht hast mir zu Antworten. Finde ich es super dein SuppportWarum ist das doppelte NAT? Der Vigor ist doch per default nen Modem? Router Mode aktiv? Dann macht das Sinn.
Durch das HA, läuft der Vigor im Router Modus (Keine PPPOE Einwahl)
Phase 1 und Phase 2 werden Erfolgreich aufgebaut.
Das Problem war, dass ich kein Ping ins fremde Netz ging. Und deshalb war ich die ganze Zeit davon überzeugt das es an der FritzBox liegen musste.
Die Lösung war Zweiteilig, einmal wurde mein DynDNS Adresse nicht korrekt aufgelöst (PFsense), und zum anderen hatte die FritzBox Probleme mit der Konfig. Die DynDNS Auflösung konnte ich beheben indem mein Server den Dienst übernommen hat. Da gibt es auch ein Know Error von der Pfsense.
Und die Konfig der FritzBox habe ich gelöscht und wieder importiert. Neustart und dann hat es funktioniert.Und welches Interface soll das sein? Und warum ist da ein GW ausgefüllt? Das macht doch da gar keinen Sinn?``` Das IPSec Interface
Du cropst schon wieder das Interface raus. Die Regeln zu zeigen ohne das Interface bringt nicht viel ;) Bitte in Zukunft dran denken. Das könnte jetzt das WAN, LAN, whatever Interface sein :)
Ich arbeite an meiner Darstellung :smirk: Die Pfsense läuft nun seit 2 Wochen und ich bin ganz zufrieden. Stück für Stück arbeite ich an Feineinstellungen, und benutze ein paar Addons wie pfBlockerNG.
-
@sub2010 said in PFsense Hardware:
Durch das HA, läuft der Vigor im Router Modus (Keine PPPOE Einwahl)
Korrekte Wahl
@sub2010 said in PFsense Hardware:
Die DynDNS Auflösung konnte ich beheben indem mein Server den Dienst übernommen hat. Da gibt es auch ein Know Error von der Pfsense.
Was ist/war da das Problem? DynDNS ist eigentlich Drop Dead Simple. Hatte ich selten Probleme damit, spätestens mit ner Custom Config läuft es auf der Sense eigentlich immer. Ist an der Stelle aber tatsächlich nicht schlimm, da der eigentliche Frontrouter ja theoretisch eh der Vigor wäre. Dann ist es auch recht egal wer DynDNS macht, klassisch mag man das ggf. nur alles auf der Sense machen :)
@sub2010 said in PFsense Hardware:
Ich arbeite an meiner Darstellung
Die Pfsense läuft nun seit 2 Wochen und ich bin ganz zufrieden. Stück für Stück arbeite ich an Feineinstellungen, und benutze ein paar Addons wie pfBlockerNG.
Sehr gut :) Immer am Ball bleiben.