pfSense Gold Subscription

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - JeGr

Pages: [1] 2 3 4 5 ... 208
1
Deutsch / Re: pfSense an Kabel Deutschland Modem
« on: Yesterday at 08:35:14 am »
Aye - my bad. :)

2
Ja, die Sache mit den Adressen beim Gateway hatte ich ja erwähnt, die ist aber generell bei HA Setups immer wichtig und zu beachten. Nicht nur bei Gateway Gruppen, sondern auch bei u.a. solchen Punkten wie Outbound NAT (da ist automagisch ja auch immer auf die IF Adresse genattet), bei Services, die sonst direkt auf der Sense laufen und deren IP nutzen, Proxy, etc. etc. - bei einem HA Setup muss man da gern nochmal alles überfliegen und wirklich nur da Interface Address auswählen, wo es wirklich gewollt ist. Ansonsten braucht es fast überall (meistens) die CARP IP.

Ist auch ein Punkt der uns bei Support Calls und Audits immer wieder auffällt (und auch die Fragen aufwirft, warum nach Failover XY nicht läuft). :)

Grüße

3
Deutsch / Re: PFsense mit IPSec Tunnel zur FB!
« on: Yesterday at 07:43:08 am »
@rubinho: Aye! Vor Weihnachten sind die gerne mal aus, werden oft als Geschenk für die Feiertage verpackt :D

Ein klein bisschen mehr Input darf es dann schon sein, ggf. auch mal ne Zeichnung o.ä. wie das eigentlich aussieht. Ich verstehe da jetzt nicht unbedingt, warum Android ein Problem mit IPSec bzw. dem Tunnel haben sollte

4
Deutsch / Re: pfSense an Kabel Deutschland Modem
« on: Yesterday at 07:41:27 am »
Naja das stimmt so leider nicht!

> - pfSense LAN-Interface im gleichen Subnetz wie die FB funtz nicht, d.h. pfSense 192.168.0.1/24 und FB 192.168.0.2/24. die pfSense in 192.168.1.1/24 und die FB in 192.168.0.1/24 funzt.

Du kannst NICHT dein WAN UND LAN Interface der pfSense ins gleiche Netz hängen. Das macht a) keinen Sinn und ist b) völlig un-route-bar, weil kein Device dann wüsste, ob es Pakete auf dem WAN oder LAN versenden soll - weil beide im gleichen Netzwerksegment hängen (und du quasi einen Loop gebaut hast).

5
Deutsch / Re: Portforwarding 1:1 NAT
« on: Yesterday at 07:39:48 am »
> Gibt es für mich jetzt noch eine andere Möglichkeit, die Ports zu öffnen?

Dann frage sie doch einfach folgendes:

> So all the services which need Public IP works fine, because customer has
> got his own Public IP, not shared with anyone else.

If that is the case then please tell me WHAT public IP I am allocated and if this IP is openend for external connections. Otherwise it's irrelevant if you're using CGN or 1:1 NAT because if you block all traffic from external sources AND don't forward it to my router's private IP address, I can't use it for incoming connections like IPSec tunnels.

Wenn Sie schon drauf beharren, dass es kein CGN sondern 1:1 NAT ist, dann sollte es ja in drei Teufels Namen nicht schwer sein, dir die externe IP zu nennen und dir zu beantworten, ob eingehend bei ihnen gefiltert wird oder nicht. Bzw solltest du bei Aufruf von bspw. checkip.dnydns.org ja deine externe Adresse sehen können und testen, ob du bei Verbindung darauf bei dir am Router was ankommen siehst.

Gruß

6
Deutsch / Re: Mail Notification ins LAN
« on: Yesterday at 07:34:41 am »
> Magst Du mich mal an die Hand nehmen? Gibt es ein HowTo zu diesem Thema?

Wenn du dazu Hilfe brauchst, immer raus damit :) Auch wenns vielleicht von deinem eigenen Thema etwas abweicht - aber schlußendlich ist das ja immer noch "dein Problemthread" :D

7
Deutsch / Re: Mail Notification ins LAN
« on: Yesterday at 02:44:19 am »
> Asche auf mein Haupt, schlecht bis überhaupt nicht recherchiert. Sorry :-[

Kein Problem darum hab ichs nochmal geschrieben :)

> Wenn das Zertifikat abgelaufen ist, funktionieren einige Applikationen nicht. Und wenn als CN die dyn. DNS-Adresse eingegeben wird, ist intern im LAN noch eine Ausnahmegenehmigung für Browser, Mailclient und Co erforderlich.

Mag jetzt OT sein: Darum lohnt es sich schon seit Jahren, ein internes Netz "richtig" mit einer echten Domain (à la lan.domain.de oder intern/home/bla.domain.de) zu betreiben und nutzen. Für genau deinen angesprochenen Fall habe ich hier im Lab-Setup darum die Konstellation (Beispiel): xy.dom.tld als interne Domain.
Warum das eine Rolle spielt? Genau wegen den Zertifikaten :) Hat man jetzt die Domain dom.tld bspw. bei einem unterstützten Provider (Cloudflare bietet das ja für den Hausgebrauch kostenlos an), kann man per DNS API von LetsEncrypt sich innerhalb Sekunden ein Zertifikat für server.xy.dom.tld ausstellen lassen. Durch einen internen DNS Resolver Override wird von intern die Auflösung für die Domain auf die interne IP des NAS gesetzt, von extern löst Cloudflare den Namen mit der echten IP auf (da CloudFlare via API auch "dyndns" macht). Damit löst die Domain überall so auf wie es gebraucht wird und man hat mit dem Zertifikat kein Problem :) Passt das dann auch mit dem DNS ordentlich, gibts meist auch mit LE keine Probleme mehr.

Vielleicht einfach nur als Denkanstoß oder zukünftige Planung: Macht das Leben im LAN definitiv wesentlich leichter und einfacher.

Gruß

8
Deutsch / Re: Portforwarding 1:1 NAT
« on: Yesterday at 02:39:10 am »
> So ganz unbekannt ist das in DE auch nicht, z.B. setzt die deutsche Glasfaser dieses Verfahren für die Standard Kunden ein :-(.

Um hier zu ergänzen: Gerade neue Anbieter wie u.a. die DG oder eben auch die Kabelanbieter, die keine großen v4 Adressräume mehr bekommen haben, sind darauf angewiesen Adressen zu sparen und primär per v6 zu arbeiten. Bekannt ist das "Problem" damit schon. Sinnvolle Lösung wäre ja alles langsam mal auf v6 zu bekommen ;) aber das wird leider auch sehr durch die ISPs verschleppt.

9
Deutsch / Re: Mail Notification ins LAN
« on: December 14, 2017, 06:03:41 am »
> Unter Version 2.5.3 können keine Pakete installiert werden, verweist auf die aktuelle Major Release. Also Update auf 2.4.2 und keine unverschlüsselte Mails sind mehr möglich. Was will man mehr. >:(

Das ist nicht korrekt und wurde schon an mehrfachen Stellen gepostet ;) Wenn du auf 2.3 bleiben willst UND Pakete brauchst, musst du im Update Handling auf 2.3 Legacy Tree umstellen, ansonsten wird das PKG Update natürlich meckern, weil es die neuen Pakete von 2.4 verwenden will, was nicht möglich ist. Einfach mal einen Schritt zurück machen, durchatmen und nochmal probieren :)

> Wenn der Server STARTTLS macht (weil er Verschlüsselung bei Authentifizierung erzwingt), benötigt er ebenso ein Zertifikat.

Dem habe ich auch nicht widersprochen :) Meine Aussage war auf die Fehlermeldung bezogen: wenn die pfSense die Verbindung nicht aufbauen kann weil bspw. eben fälschlich der TLS over SMTP Haken drin ist - der erzwingt bei Verbindung sofort TLS, STARTTLS wird über eine erst unverschlüsselt aufgebaute Leitung gesprochen. Daher meine Aussage, dass man bei Nutzung von bspw. Submission (587) aufpassen muss, was konfiguriert ist.

Ich kann wie mike auch schon schreibt bspw. problemlos bei GMail mit Submission meine Reports der pfSense einliefern. Klappt ohne Probleme verschlüsselt. Bei der Syno hatte ich es jetzt noch nicht mit dem Mail Paket zu tun, das müsste ich tatsächlich mal testweise installieren um das zu testen.

Auf der anderen Seite: Warum überhaupt ein "selbst signiertes Zertifikat"? Die Syno kann LetsEncrypt und damit sich selbst innerhalb Sekunden ein ordentliches Zertifikat abholen. Muss eben nur eine sinnvolle Domain haben.

Gruß

10
Deutsch / Re: Statische IPs hinter pfsense
« on: December 14, 2017, 05:57:19 am »
Also bei einem /25er Netz wo die public IPs hinter der pfSense sind ... - wenn das NICHT geroutet ist, dann gute Nacht, denn dann müsstest du jede einzelne IP erstmal auf der pfSense auflegen und dann 1:1 NATten.

Du schreibst aber die haben JETZT schon eine öffentliche IP, dann ist da mit NAT und Co aber eh nicht viel. Wie hattest du da vor die pfSense zwischenrein zu bauen? Und was wäre die Adresse dann der pfSense nach außen? Hätte die eine ganz andere und das /25er Netz ist da raufgeroutet? Dann wäre das sehr einfach machbar. Aber noch ist mir nicht klar, wie das Netz JETZT aufgebaut ist und was du wo zwischenrein bauen möchtest.

Gruß

11
Alternativ - aber das wäre wahrscheinlich jetzt zu viel Aufriss - könntest du nen softflowd auf der pfSense installieren und das zu einem anderen Rechner schicken (bspw. ein Raspi) und dort mit entsprechendem Tool mitloggen (bspw. nfdump/nfsen) oder das auch mal zum Test einen Tag lang auf nen Windows Rechner schicken und dort bspw. den kostenlosen Netflow Analyzer raufwerfen (oder für 30 Tage die Testversion vom Netflow Traffic Analyzer installieren). Da solltest du dann zumindest was die pfSense angeht alles was auf dem WAN raus und reingeht loggen können. Alles weitere müsste dann der Providerrouter oder etwas da dran machen.

12
Deutsch / Re: mehrere öffentliche IPs einrichten (Subnetz /29)
« on: December 13, 2017, 08:09:41 am »
> Am Providerrouter an der LAN-Seite liegt dann unser /29 Netz.

Also ist DEIN Gateway das des Providers (M-Net) und damit im gleichen Netz wie dein WAN. Alles klar. Dann ist die Antwort auf

> Nur wie kann ich jetzt die anderen öffentlichen IPs in der Firewall erfassen, um diese dann auch zu nutzen?

ganz einfach: Du definierst dir eine der IPs als Main-IP der pfSense wie gewohnt (bzw. wenn du ein /30er Netz hättest). Und die anderen nutzbaren Adressen (sind ja dann nur 4, eine ist der M-NET Router, eine deine pfSense als Main) werden unter Firewall / Virtual IP als "Alias IPs" angelegt. Das wars dann auch schon. Danach kannst du die IPs 1:1 NATten auf Geräte hinter der pfSense oder gezielt Dienste der pfSense (VPN bspw.) darauf binden und reagieren lassen.

Grüße

13
Deutsch / Re: mehrere öffentliche IPs einrichten (Subnetz /29)
« on: December 13, 2017, 07:41:31 am »
Nun haben wir jedoch einen Glasfaseranschluss mit einem /29er Subnetz erhalten. D.h. hätten wir so ja 6 nutzbare öffentliche IPs.
WAN ist entsp. bereits mit der ersten konfiguriert, läuft auch alles soweit (inkl. Portforwarding etc).

-> Kurze Frage vor Antwort dazu: Ist euer Gateway auch in DIESEM /29er Subnetz oder habt ihr primär eine andere IP auf dem WAN und das /29er ist zusätzlich geschaltet worden?

Stichworte dazu: geroutetes Subnetz (routed subnet) vs. Gateway im selben Netz

14
Deutsch / Re: Statische IPs hinter pfsense
« on: December 13, 2017, 07:16:10 am »
> Wir haben hier mehrere  Endgeräte die alle eine Statische, öffentliche IP Adresse haben, die Sie auch brauchen um sich in diversen Datenbanken zu authentifizieren.

Bei diesem Satz bin ich mir unschlüssig: HABEN die Geräte alle schon eine öffentliche Adresse aktiv und sollen diese behalten - und du willst nur den Filter dazwischenschalten - oder sollen die Geräte dann in ein internes Netz (privat) und sollen die Adressen dann durchgereicht bekommen? Wie ist denn momentan die Netzstruktur?

Evtl. wäre es dann auch sinnvoll, eine transparente Filterbridge zu bauen - das bräuchte dann aber sinnvoll 3 Interfaces.

Grüße

15
Deutsch / Re: PFSense 2.4.2 über PPPOE mit DLINK Modem / 20% Paketverlust
« on: December 13, 2017, 06:44:47 am »
@jahonix: Das sieht aber so aus als hättest du bei egal welchem Ziel (egal ob quad8 oder quad9) immer wieder Aussetzer und Latenzen? Autsch! :/ Wir haben hier im südlichen Raum bei einigen Kunden sowohl die quad8 als auch die 8844 als Monitor drin und bei den VDSLs läuft das eigentlich recht zuverlässig. Aber wahrscheinlich wirds in den Randgebieten mit abnehmenden Leitungswerten schlechter?

Gruß

Pages: [1] 2 3 4 5 ... 208