pfSense Gold Subscription

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - JeGr

Pages: [1] 2 3 4 5 ... 207
1
Deutsch / Re: openvpn Client mit MultiWAN *und* HA Failover
« on: Today at 09:32:08 am »
Ich glaube es sollte möglich sein, wenn du eine Floating Regel erstellst, ausgehend (nicht eingehend) auf den beiden WAN Interfaces und dort als ZielIP und Zielport den VPN Port (1194?) und in den advanced settings das Gateway zuweist.

Allerdings habe ich ein älteres Setup nochmal angesehen, dort hat es mit der Gateway Gruppe tatsächlich funktioniert. Wichtig ist aber, dass die GW Gruppe die CARP IPs beinhaltet, damit sollte dann auch das Standby Problem aus der Welt sein. Sprich: Tier 1 und Tier 2 setzen und NICHT Interface Address, sondern die jeweilige VIP aus dem WAN Netz nehmen!

Gruß

2
Deutsch / Re: Mail Notification ins LAN
« on: Today at 09:23:07 am »
Ich versende auch über nen externen Dienst der Postfix - genauso wie die Syno auch - nutzt mit 587/Submission. Alle Felder wie in meinem letzten Post benannt und SMTP over SSL aus, weil hier dann STARTTLS gesendet werden sollte. Funktioniert.

3
8.8.8.8 hat keine Probleme zumal das meist geographisch geroutet und aufgelöst wird. 9.9.9.9 hat da mehr Latenz. Wenn du 20% Paketverlust hast mit 8.8.8.8 dann meistens(!) nicht wegen dem Server.

4
Deutsch / Re: Mail Notification ins LAN
« on: Yesterday at 08:45:38 am »
dann mach doch TLS an (Submission auf 587) und sende die Mails an die Syno mit einem Benutzer den du dafür anlegst (pfsense) der eben nur minimale Rechte hat und nur mail nutzen darf. Macht man ja u.a. auch in einem AD, LDAP etc. mit den Lese-Usern o.ä. und wäre logischer als irgendwas komplett unauthentifiziert zu senden.

Die Syno macht zwar einiges "autmagisch" aber tortz allem ist da auch nur ein abgespecktes Linux drauf, was entsprechende Pakete mit schöner Optik bündelt. Und den verwendeten Server (meines Wissens Postfix) kann das auch. 

Mit

<internet Mailserver IP>
587
[ ] Enable SMTP over TLS (NICHT einschalten)
From Address
Receiver Address
Auth Login
Auth Pass
PLAIN

sollte es dann via Submission eigentlich recht problemlos laufen. Wie schon andernorts mal gesagt ist SMTPS/465 inzwischen für Mail Client Versand mit Auth eher unüblich. 25 ohne oder mit Starttls und Login oder 587 Submission sind eigentlich die gebräuchlichsten Varianten.

Und ich finde das "Klickibunti" der Syno nicht mal so schlimm. Ist ähnlich wie auf der pfSense - pf und andere Dienste könnten noch viel mehr, aber es wird eben auf das meiste reduziert, was man oft braucht. Macht die Syno mit komplexen Paketen wie Samba/AD, LDAP etc. hier auch und das nichtmal schlecht und vor allem oft mit guter/sicherer Voreinstellung für den Fall, dass man sie einfach mal ans Netz hängt.

Gruß

5
Deutsch / Re: Mail Notification ins LAN
« on: Yesterday at 04:48:31 am »
@bahsig: Da geht es nicht um Sinn oder Unsinn. Zum einen ist es irrelevant ob es verschlüsselt wird oder nicht, denn es ist minimaler Overhead - warum also nicht. Zum anderen geht es um sichere Voreinstellungen. Es gibt genug Menschen, die ein NAS o.ä. einfach ans Netz hängen und da Mails direkt forwarden, da möchte man ähnlich wie bei FritzBox und Co einfach ordentliche Voreinstellungen liefern. Mit der gleichen Argumentation könnte man auch sagen SSH intern braucht keiner Telnet tuts ja auch ;)

6
Deutsch / Re: openvpn Client mit MultiWAN *und* HA Failover
« on: Yesterday at 04:42:45 am »
> Was ich nicht hinbekommen habe, ist diese VPN Verbindung so hinzubiegen, dass sie auf Master und Backup verfügbar ist, aber nur auf dem Master aufgebaut wird.
> Die Artikel, die ich gelesen habe, sagen alle was davon, dass man für HA-Failover die Verbindung auf eine CARP-IP setzen soll, aber dann verliere ich an der Stelle ja die MultiWAN Funktionalität.

He? Moment, wie funktioniert denn dein OpenVPN Client dann "jetzt mit MultiWAN"? Was ist denn dein "MultiWAN IF"? Es gibt im Normalfall kein Interface für Multi-WAN, sondern lediglich eine Gateway-Gruppe. Die dir für OpenVPN nichts bringt. Könntest du das ausführen?

Ansonsten ist das korrekt was beschrieben steht, man konfiguriert den Client auf die CARP IP, dann wird auch nur der Active Node die Verbindung aufbauen. Abgehend kann man hier m.W. mit einer Floating Regel dann noch was tun, um das ggf. via Multi-WAN abgehend rauszubekommen, aber das müsste man nochmal testen.

Gruß

7
Deutsch / Re: Internet über PFSense hinter Endian grottenlangsam
« on: Yesterday at 04:37:07 am »
>Und was ich meine ist, der Aufbau der Seiten dauert, obwohl Squid in beiden transparent laufen.

Squid in Beiden? Also filterst du da jetzt alles doppelt? :o

8
Deutsch / Re: Internet über PFSense hinter Endian grottenlangsam
« on: December 08, 2017, 08:39:47 am »
Dem kann ich mich nur anschließen. Wir wissen nun höchstens, was du logisch/physikalisch da gemacht hast, aber nicht was die notwendigen Variablen drumherum sind. Leitung, Bandbreite, Verkabelung, Hardware, bli bla blubb. Bei halbwegs ordentlicher Hardware spielt die _Firewall_ der pfSense (der Paketfilter) so gar keine Geige. Da wäre schon eher die Squid betroffen bevor man Beeinträchtigungen durch den Filter spüren würde.

Gruß

9
Deutsch / Re: [solved] zwei Fritzboxen, zwei pfSense - MultiWAN und CARP
« on: December 08, 2017, 02:41:58 am »
> Ui, das ist mir noch nicht mal aufgefallen bisher 8-(

Ist wohl leider immer noch so. Ich hatte das erst vor 2 Wochen selbst bei unserer Labor 6490 Cable versucht, endlich v6 durchzurouten. Positiv: man bekommt es endlich recht gut hin, dass man ein /64er auf jedem Interface Bein abbekommen hat (WAN bekommt ein /64, nutzt aber zum routen die fe80, LAN, TEST, TEST2 bekamen alle durch ID 0, 9, f und Track Interface dann eigene Netze).
Die schlechte Geschichte war dann: abgehend klappt der ganze Kram, aber eingehend kann man sich zu Tode grützen, denn die nachgelagerten Netze werden im IP Filter der Fritzbox einfach nicht durchgelassen. Man muss wirklich MANUELL jedes einzelne Host Suffix eintragen. Erst nachdem ich den 64 Bit Host Teil der IP6 von einem Testsystem zur Freigabe in der Fritzbox eingetragen habe, konnte man von außen halbwegs die v6 Strecke pingen. Und ich habe nur begrenzt bis gar keine Lust, jedes einzelne Gerät, dass potentiell eine v6 erhalten kann jedes Mal in der Fritzbox "quasi" anzumelden. :( Es fehlt die Möglichkeit einfach ein gesamtes Netz/Prefix freizugeben bzw. durchzurouten. :(

10
Deutsch / Re: 8 VPN Verbindungen als Gateway nutzen
« on: December 08, 2017, 02:37:32 am »
> Das ist richtig. Leider kann ich die IP‘s nicht ändern. Es soll ausschließlich Policy basierend geroutet werden.

Und warum ist das "nicht änderbar"? Man kann nicht mit Policies routen, wenn man keine unterschiedlichen Policies definieren kann. Ich verstehe an der Stelle nicht, warum du für jede der 8 Verbindungen die gleichen Daten zugewiesen bekommst. Das ist für mein Verständnis schon implizit falsch, es sei denn du versuchst mit den gleichen Credentials 8x eine Verbindung, das wäre dann von deiner Seite aus Schmuh. Aber ansonsten kenne ich kein Setup mit OpenVPN - selbst von einem VPN Provider - der die 8x die gleichen Daten geben würde. Dann ist auf der Server Seite schon was große Grütze.

11
Deutsch / Re: PFsense Eignung Heimnetzwerk
« on: December 08, 2017, 02:33:45 am »
> Aber nichts desto trotzt kann ich doch das WLan meiner Homebox weiter benutzen, oder geht ihr davon aus, dass pfsense das DHCP macht?

Natürlich. Wenn ich eine ordentliche Firewall HINTER den Provider-Murks klemme, dann macht die auch alle Jobs. Und nicht die Murkskiste vornedran, der ich nicht vertrauen kann, weil sie nicht in meine Zuständigkeit gehört. Da der Provider da die Finger drauf hat, sehe ich die Box als WAN/Internet/potentiell gefährdend an, weil ich nicht genau sagen kann, wer was wo wie warum mit ihr macht. Da genügt mal wieder ein ISP und/oder Hersteller FuckUp und Upsi wird da WLAN drauf angemacht, ist eine Hintertür via TR069 oder sonst irgendein Murks offen, weil der Provider mal wieder ein ganz wichtiges Update remote eingespielt hat. Wenn man für sein Netz Ordnung schaffen und es absichern möchte, dann zieht man ja nicht unbedingt Dienste VOR die Firewall, die eigentlich dahinter laufen sollten.

> Der Router steht im Moment schon genau in der Mitte des Hauses, also habe ich da keine Positionierungsprobleme.

Schön aber da oben irrelevant. Das einzige was ich auf der Box / mit dem WLAN des Provider-Routers abwickeln würde (wenn überhaupt), ist ein Gäste WLAN, die sind selbst für ihren Kram verantwortlich :) Aber meine Sachen haben schön hinter der pfSense zu spielen und nicht davor.

Ansonsten ist der ganze Stunt ja ziemlich wiedersinnig. Du hast dann einen Netzbereich hinter deinem Providerrouter, in welchem irgendwelche WLAN Devices herumspuken, dann die pfSense, dahinter dann eine DMZ und ein LAN. Und wenn die WLAN Geräte dann in die DMZ bzw. ins LAN müssen, musst du dich erst von WAN Seite her durch die Firewall bohren. Eher nicht so schön. Sinnvoller ist alle Netze terminieren auf der pfSense und von da geht der Traffic dann über die Providerbox nach draußen und fein :) - zumal es eh ein Krampf wäre, die Netze hinter der pfSense dann via DHCP Relay nach vorne zur Providerbox zu geben.

12
Deutsch / Re: pfSense 2.4.2 als SIP Gateway benutzen?
« on: December 07, 2017, 08:41:40 am »
> sodass ich an sie ein SIP Telefon direkt anschließen kann.

Und wie willst du ein SIP Telefon an die pfSense anschließen (und warum)?

1) Warum nicht das Telefon direkt bei UM einwählen lassen oder
2) VoIP vor der pfSense machen?

Ansonsten gäbe es ja den SIProxd der da noch einspringen könnte wenns um mehrere Telefone geht.

13
Deutsch / Re: Ruleset verhält sich inkonsistent
« on: December 07, 2017, 08:38:17 am »
Wie gesagt, nach der IP VON der es kam oder ZU der es ging. Ich weiß ja gerade nicht was du suchen möchtest ;)

14
Deutsch / Re: PFsense Eignung Heimnetzwerk
« on: December 07, 2017, 08:37:39 am »
> Ich meine klar, könnte ja auch über die Homebox2 ins WLAN und von dort aus auf alles zugreifen, soll ich das so verstehen?

Nein, damit war gemeint, dass die pfSense bzw. das darunterliegende FreeBSD vieles gut kann. WiFi eher nicht. Deshalb würde ich das eher mit einem separaten AP machen, den man zudem dann ordentlich positionieren kann zwecks Abdeckung etc.

> Das sollte 2. Generation sein.

Nein, wie Mike korrekt sagt ist ALIX die Vorgängerin der APU. Bitte bitte - auch an alle die ein Problem haben und ihre Hardware schildern - schaut bei den PCEngines Sachen genau hin. Die Dinger heißen nicht ALIX APU oder sonstwas. Die Geräte von denen sind - dem Alter nach - WRAP (steinalt), ALIX (ganz alt), APU (alt), APU2 (aktuell) und APU3 (aktuell und PRIMÄR als Plattform für LTE/Telefonie gedacht). Irgendeine Kombination der Namen bringt alle nur durcheinander. Und alles was alt oder älter ist, solltest du tunlichst bei einer neuen Installation erstmal vergessen. Das macht IMHO absolut keinen Sinn damit anzufangen.

BTW: bei Amazon sind es meist die Shops selbst, die inserieren, da findet man eigentlich kein wirklich "gutes" Angebot. Dann kann man auch direkt bei den Händlern wie Varia und Co kaufen, meist sind die da noch ein klein bisschen günstiger.

Je nach Wunsch und später angestrebter Bandbreite und Pakete etc. würde ich entsprechende Hardware kaufen. Wenn du bspw. jetzt schon mit 400MBit Kabel oder >500Mbit FTTH planst, solltest du bspw. die APU2 ggf. im Schrank lassen und gleich etwas höher einsteigen. Genauso wenn du bspw. auf 2 Interfaces Gigabit brauchst und hier das Gigabit auch sauber ausnutzen willst oder die großen Pakete mit Snort und Co nutzen möchtest. Aber dann verlassen wir auch den Bereich "sehr günstig" :)

Gruß

15
Deutsch / Re: [solved] zwei Fritzboxen, zwei pfSense - MultiWAN und CARP
« on: December 07, 2017, 08:25:38 am »
> Sie sind nicht in der Lage, Portforwarding auf eine IP außerhalb ihres eigenen Subnets zu machen.

Das ist ja generell ein Routing Problem. Dein Routing Ziel kann nie außerhalb deines Netzes liegen, sonst weiß das Paket ja nicht wie es da hin kommen soll? Oder verstehe ich deren KB Eintrag nicht? Oder ist damit gemeint _trotz geroutetem nachgestellten Netz_ kann sie das nicht, weil sie die Routen nicht akzeptiert? Das würde dann Sinn machen.

Leider hat die FB mehrere solche Probleme, wie bspw. auch Traffic an ein weitergereichtes IPv6 Netz zu routen :( DAS wäre wichtiger, wenn der Paketfilter dort endlich mal abschaltbar wäre...


Pages: [1] 2 3 4 5 ... 207