The pfSense Store

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - viragomann

Pages: [1] 2 3 4 5 ... 171
1
OpenVPN / Re: Can not access Local network
« on: Yesterday at 11:13:11 am »
So you should be able to access it from the VPN client.

Was it set this way already as you've taken the capture you posted above?
If the camera has a gateway option and it is set to pfSense you should also see responses there.

2
OpenVPN / Re: Domain overrides with openvpn
« on: Yesterday at 10:41:19 am »
So the clients obviously can't resolve it. Consider that they have to use the FQDN, not only the host name, also the domain part.

3
OpenVPN / Re: Can not access Local network
« on: Yesterday at 10:36:57 am »
Is the pfSense internal network interface IP set as gateway on the camera??
I'd to ask you this question three times now - still not knowing what's the thing.

4
OpenVPN / Re: Domain overrides with openvpn
« on: Yesterday at 08:25:24 am »
Provide them your internal DNS server.
But ensure that it also can resolve public names.

5
Deutsch / Re: Mail Notification ins LAN
« on: Yesterday at 05:07:17 am »
Hallo,

die Idee war darauf begründet, dass die Einstellungen zur Verschlüsselung für SMTP und Submission getrennt gemacht werden können. Geht aber wohl nicht.

Wenn sich Client und Server nicht auf eine Verschlüsselung einigen können, gibt es keine Übertragung.

Wenn du auf dem Syno Server nichts machen kannst, sende die Nachrichten eben auf einen externen Server. Soweit ich es verstanden habe, hast du ja Mailkonten auf einem öffentlichen Server, der deine Mails empfängt und von dem sie die Syno abholt. Dieser hat wohl ein Zertifikat einer vertrauenswürdigen Stammzertifizierungsstelle und würde sich freuen, die Mails anzunehmen.  ;)

Grüße

6
Ja, die rrd Files werden auch ohne dem Package angelegt.

Der Zähler scheint aber zeitweise zurückgesetzt zu werden, bei ein Neustart vielleicht. So eindringlich habe ich mich auch noch nicht damit beschäftigt, manchmal passt die Anzeige aber absolut nicht.
Du kannst aber auch selbst einen Blick in die rrds werfen, oder downloaden und mit einem anderen Werkzeug auswerten. Liegen in /var/db/rrd. Zumindest kannst du im File überprüfen, wie weit es zurückreicht.

Grüße

7
OpenVPN / Re: Can not access Local network
« on: Yesterday at 02:55:36 am »
The VPN is another netword segment than the LAN. To send packets to devices in another network segment you need a gateway. In your case this must be the internal IP of pfSense.
If the camera doesn't provide a gateway option or the gateway should not be the pfSense IP, you have to do NAT.

8
OpenVPN / Re: Can not access Local network
« on: December 13, 2017, 05:40:07 pm »
Is the pfSense internal interface IP set as default gateway on the camera?

On which interface have you taken that capture?

9
Hallo,

der Datenverkehr wird in den *_traffic.rrds gesammelt.
Mit dem Package RRD Summery lässt sich schön der gesamte Verkehr eines Interfaces für den laufenden und den letzten Monat getrennt anzeigen. Vorausgesetzt natürlich, die RRDs reichen soweit zurück.
Die Funktion findet man nach Installation des Pakets im Status-Menü.

In Status > Traffic Graph kann man die aktuelle Bandbreite einzelner IPs ablesen, ist aber nur eine Momentaufnahme.

Ein Tool, das den Traffic je IP oder Gerät über eine Zeitperiode summiert und zur Anzeige bringt, kenne ich nicht.

Grüße

10
Deutsch / Re: Mail Notification ins LAN
« on: December 13, 2017, 10:34:36 am »
Was JeGr vorschlägt, ist heute die bevorzugte Methode Mail von einem MUA auf einem Server einzubringen. SMTP ist eigentlich für Verbindungen zwischen Servern gedacht.
Allerdings habe ich nicht verstanden, wie er das mit dem STARTTLS meint. Wenn der Server STARTTLS macht (weil er Verschlüsselung bei Authentifizierung erzwingt), benötigt er ebenso ein Zertifikat.

Ich weiß immer noch nicht, ob der Server auch unverschlüsseltes SMTP (ohne Authentifizierung) erlauben würde, bzw. ob es konfigurierbar wäre. Falls ja, könntest du noch folgende Variante versuchen:
Du stellst sämtliche MUA Clients (die sich eben auch von extern verbinden möchten) auf Port 587 um, weiterhin mit Auth und Verschlüsselung. Diese akzeptieren ja das Zertifikat.
Du sperrst Port 25 von außen und erlaubst am SMTP Server anonyme Verbindungen.
Dann kannst du den User und Passwort in der Notification Konfig rausnehmen.

SMTP ohne Auth und ohne Verschlüsselung sind dann nur noch von intern möglich. Vorausgesetzt, du benötigst keine weiteren SMTP-Verbindungen von außen.

11
Deutsch / Re: Mail Notification ins LAN
« on: December 13, 2017, 07:46:18 am »
Hast auch einen Neustart versucht?
Ansonsten bin ich am Ende mit den Weisheiten. :(

12
Deutsch / Re: Statische IPs hinter pfsense
« on: December 13, 2017, 06:32:29 am »
Hallo,

so wie ich das verstehe, möchtest du NAT machen, also intern ein privates Netz verwenden.

Dann musst du jede öffentliche IP dem WAN Interface als virtuelle hinzufügen. Firewall > Virtual IPs. Hier den Typ "IP Alias" wählen und die IP und das richtige Subnetzmaske und nach Belieben eine Beschreibung angeben.

Dann richtest du am besten für jedes Geräte, das ein öffentliche IP habe soll, ein 1:1 NAT ein. Einfach Interface = WAN, die externe IP und darunter Single host und die interne IP angeben und wieder eine Beschreibung nach Belieben.

Grüße

13
Deutsch / Re: Mail Notification ins LAN
« on: December 13, 2017, 06:13:57 am »
Jetzt bin ich aber verwirrt:
Der Server hat draussen nichts zu suchen. Sammelt von mehren Mailaccounts die Mails per pop3-Abruf und stellt sie mir zu Verfügung.
Da stehen bei mir User und Passwort. Authentifizierung ist am Mailserver aktiviert da von draußen zugegriffen wird.
Die Aussagen widersprechen sich doch.
Hast du nun doch eingehende SMTP-Verbindungen aktiv, oder nur POP3 od. IMAP? Das sollte sich getrennt konfigurieren lassen.
Wenn du aber per SMTP-Clients darüber Mails verschicken willst, benötigst du die Authentifizierung, keine Frage, ansonsten könnte es jeder.

Etwas ähnliches wie Grimson hatte ich auch schon angedacht, ich hätte allerdings versucht, das Zertifikat oder das der ausstellenden CA als zusätzliche Datei im entsprechenden Verzeichnis abzulegen. Welches das in FreeBSD zu sein hat, weiß ich aber leider auch nicht.
Vielleicht findest du im Netz Infos dazu mit den richtigen Suchbegriffen, die deine FreeBSD Version anstatt pfSense enthalten.
Aber auch das könnte bei einem OS-Update überschrieben werden.

Nachdem in FreeBSD auch OpenSSL am Werken ist, vermute ich, dass es ähnlich ist wie in Linux sein (ist aber auch von Distro zu Distro ein wenig unterschiedlich). Bei einigen Linux-Distros funktioniert es so:
  • Das Stammzertifikat der CA, die das berüchtigte Zertifikat ausgestellt hat, im USR-Zertifikats-Verzeichnis ablegen. Das kann ggf. auch das Zertifikat selbst sein. Ein Root CA Zert gibt es in deinem Fall wohl nicht. In pfSense könnte das /usr/local/openssl sein.
  • Im Verzeichnis, in dem die Applikationen nach den Zertifikaten suchen (in Linux ist das typischerweise /etc/sll/certs, hier könnte das /etc/ssl sein), einen Symlink setzen, der auf dieses Zertifikat verweist.
  • Den Zertifikatsspeicher aktualisieren: update-ca-certificates --fresh

Vom Grundsystem, FreeBSD, her muss das so ähnlich funktionieren, ob es die pfSense zulässt, kann ich nicht sagen.

14
Firewalling / Re: Block by "Default deny rule IPv4"
« on: December 12, 2017, 09:39:40 am »
You need the static route on PC2!

As mentioned the traffic will not go through pfSense.
The blocks you see in the log are the response packets, which PC2 sends to pfSense, presumably cause its the default gateway. However, since the request packet hasn't passed pfSense it has no state for that connection and blocks it.

15
Firewalling / Re: Block by "Default deny rule IPv4"
« on: December 12, 2017, 07:40:24 am »
10.0.0.0/8 - 16 Million IPs?  ::)

Overall, you've a strange setup with the two routers. Would be better to use two pfSense in HA with Multi-WAN.

In you setup packets from 192.168.88.9 to 10.10.2.3 won't go through pfSense. So it wouldn't filter the traffic.

Obviously 10.10.2.3 is configured to use pfSense as default gateway and it sends its response packet to it, since it has no route to 192.168.88.9.
So the solution with this setup would be to add a route to the PC2 for the subnet 192.168.88.0/24 pointing to 10.10.9.99.

I hope, you don't want to reach all 16 Million hosts.  ;D

Pages: [1] 2 3 4 5 ... 171