Netgate SG-1000 microFirewall

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - JeGr

Pages: [1] 2 3 4 5 ... 216
1
Deutsch / Re: pfSense als ESXi VM
« on: Today at 06:06:19 am »
ach du hattest die selbst gebaut und in der VM händisch installiert? :) Das hatte ich so gar nicht registriert :D

2
Deutsch / Re: Netcologne VOIP hinter PFSense
« on: Today at 06:05:29 am »
5060 eingehend solltest du eigentlich nicht brauchen, zumindest ist das nicht so ohne, weil sich potentiell jemand an deiner Box anmelden könnte. Da du aber ein eigenes VLAN dafür hast, ist die Chance da wohl eher gering :)

Auf "opt2" kannst du gar nichts legen ;) das ist eine Bezeichnung. Die jetzt irgendwas zugewiesen ist (oder noch frei ist) - keine Ahnung. Du hast ja aber dein VLAN Tagging wohl auf irgendeinem Interface konfiguriert und bekommst auf dieser Leitung das ganze rein? Dann musst du da vornedran eben noch einen VLAN fähigen Switch schalten, legst da die Colt Leitung auf, konfigurierst dir dann 2 Ports mit VLAN 10 und 20 als untagged und legst dann diese Ports auf WAN und dein zweites gewünschtes physisches Interface auf der pfSense. Ist aber komplett unnötig, denn es wird nicht anders gehandhabt als jetzt als VLAN. Du hast keinen wirklichen Vorteil davon außer das Tagging nicht auf der pfSense machen zu müssen.

Gruß

3
Die IPSEC Logs auf der Sense mal prüfen und nachschauen. Dort sollte eigentlich immer sichtbar sein, was die Sense als Proposal von der anderen Seite bekommen hat. Nicht nur Barracudas, sondern auch Checkpoints, Bintecs, Lancoms und Co. geben manchmal (obskurerweise) einen Mist darauf, was konfiguriert ist, sondern fahren das erste Proposal mit irgendwelchen Global Defaults an und erst im zweiten Versuch machen sie das was konfiguriert ist. Die pfSense ist dann aber manchmal schon im Deny und sagt "nö ist nicht konfiguriert, vergiss es". Ist uns nun schon mehrfach mit Geräten unterschiedlicher Hersteller so gegangen (Lancom und Bintec bspw. *grrr*) oder aber, es wird ggf. AES mit 256Bit konfiguriert, das andere System fragt aber: 128? 192? 256? Und die pfSense legt nach 128/192 schon auf. Deshalb mal den Proposal String checken, was von der Gegenseite tatsächlich ankommt und zum Testen die pfSense auf Listen-only schalten, dass sie selbst die Verbindung nicht versucht aufzubauen, sondern nur als Gegenstelle auf das Proposal der Gegenseite wartet.

Gruß

4
@trixters: haben schon genug Leute gemacht, allerdings eben nicht mit Wildcards sondern mit einzelnen Zertifikaten. SSL Termination via Proxy (meistens HAproxy) oder Loadbalancer ist nichts Abgefahrenes :) Und bei einer halbwegs passablen Umsetzung ist da kein Wildcard notwendig. Seit LE richtig am Start ist brauchen wir überall, wo wir sonst mit Wildcards genutzt haben inzwischen auf einzelne Zertifikate umgestiegen ohne große Probleme. Darum der Kommentar von LE bzw. mir: Wildcards nur wo es nötig ist :)

5
Deutsch / Re: HILFE bei freeRadius und zugriff auf AD über LDAB
« on: Yesterday at 09:48:07 am »
Im Usermanager werden u.a. auch die Authentication Methods konfiguriert. Dort kann bspw. auch ein LDAP/AD hinterlegt werden, um es bspw. mit OpenVPN o.ä. zu nutzen bzw. auszuwählen. Dort angelegt kann es dann auch mittels Diagnostics getestet werden.

6
Deutsch / Re: Zugriff auf PF-Sense aus anderem Subnetz
« on: Yesterday at 09:47:15 am »
Richtig, aber das "Gateway" ist wie gesagt eigentlich (zumindest von dem wenigen was ich weiß von deiner Konfig) falsch. Richtig wären Routen zu setzen und ein Gateway anzulegen, über den dein Netz für die pfSense erreichbar ist. Aber beim Interface selbst wird auf einem LAN eigentlich kein GW benötigt.

7
Deutsch / Re: Zugriff auf PF-Sense aus anderem Subnetz
« on: Yesterday at 04:14:06 am »
Warum hat dein Wartungsport ein Gateway? Er ist kein WAN und sollte somit keines benötigen. Alles andere sind eigentlich statische Routen und kein "Default" Gateway des Interfaces?

8
Deutsch / Re: HILFE bei freeRadius und zugriff auf AD über LDAB
« on: Yesterday at 04:10:30 am »
> Ich versuche einen freeRadius Server mit zugriff über LDAP auf eine Vorhanden AD zumachen.

Du versuchst was und warum? Das ist nicht ganz klar. Warum Radius und Benutzer nochmal im AD und nicht direkt AD?
Was willst du denn erreichen?

> Leider finde ich auch auf dem pfsence keine Möglichkeit zu testen ob die AD Verbindung geht.  :'(

Diagnostics / Authentication funktioniert nicht für dich?

9
Deutsch / Re: Netcologne VOIP hinter PFSense
« on: Yesterday at 04:07:26 am »
Wenn du VLAN 20 auf dem WAN definiert hast und via DHCP eine Adresse bekommst, dann bekommt die ja logischerweise auch ein Gateway. Dann ist das das Default GW des "2. WANs" - und dann ist es auch relativ egal ob das eine 172er Adresse ist oder nicht. Wenn die FB hinter der pfSense steht, muss sie eben entweder via PBR (policy based routes) über WAN2 / VOIP rausgeschickt werden bzw. 1:1 geNATtet werden oder sonstwie auf das zweite WAN konfiguriert werden. Ansonsten wird die natürlich über WAN1 also PPPoE raus wollen und darüber keine VoIP Verbindung hinbekommen.

Das VLAN20 ist dann einfach wie ein zweites WAN zu behandeln, entsprechend gelten alle Sachen die sich auf MultiWAN beziehen :)

Gruß

10
Deutsch / Re: Zugriff auf PF-Sense aus anderem Subnetz
« on: Yesterday at 02:26:20 am »
Hi,

die Firewall sperrt dich nur dann aus (Zugriff auf die WebUI) wenn die Regel das so verlangt. Da du leider nichts über deine Regeln schreibst, ist das also schwer zu sagen. Ich vermute aber, dass du ggf. als Source das entsprechende mgmt_NET als Quelle definiert hast, und da sitzt du natürlich nicht drin. Ein "any" an der Stelle sollte dann helfen.

Gruß

11
Deutsch / Re: pfSense als ESXi VM
« on: Yesterday at 02:25:01 am »
Ist mir bislang noch nicht untergekommen, mit der OVA von pfSense selbst zumindest ist es mir nie aufgefallen. Werde das aber ggf. Freitag mal prüfen.

Gruß

12
Deutsch / Re: Netcologne VOIP hinter PFSense
« on: February 20, 2018, 04:06:04 am »
> Die PPPOE Einwahl über das VLAN 10 funktioniert , das VLAN 20 für VOIP habe ich auch eingerichtet und bekommen da auch eine IP über DHCP.
> Wie bekomme ich jetzt die über DHCP bezogene Adresse aus dem VLAN 20 von Netcologne zur Fritzbox?

Öhm... VLAN20 für VOIP? Du bekommst also auf einem VLAN10 via PPPoE internet und VLAN20 ... was genau für VoIP? Ne eigene Leitung? Und warum dann nicht direkt die Fritzbox ans VLAN20 hängen?
Könntest du das etwas ausführen? :)

13
Ich denke eher nicht, dass du sie deaktivieren solltest, sondern aktivieren ;) Damit die entfernte pfSense eine sich ändernde IP deiner lokalen pfSense erlaubt und damit der Client "OK" bleibt. Deaktivieren heißt ja, dass ein Client seine IP NICHT ändern darf/soll. Allerdings stimme ich da zu, das Phänomen kenne ich so gar nicht. Ist OpenVPN eingewählt bekommt man auch normalerweise eine IP zugewiesen und gut.

Wenn der Client auf der entfernten Seite UNDEF ist, würde ich in dem Zustand dringend die Logs sowohl der Einwahl als auch des Clients checken, da MUSS drinstehen, was zugewiesen wurde oder warum nicht. Und daraus wirst du dann denke ich schlauer, warum das so ist. Clientseitig mit verb 3 oder verb 4 die Logmeldungen hochsetzen und schauen, was beim Login passiert.

Gruß Jens

14
Deutsch / Re: Automatisches Backup
« on: February 20, 2018, 03:57:21 am »
Richtig, weil auf einer Firewall nicht jeder "Krimskrams" (wie eben Tools die nicht benötigt werden) per default installiert ist. Deshalb "diese irgendwelchen Wege", die eben allesamt ohne zusätzliche Pakete oder Hilfsmittel auskommen. Es hat schon guten Grund, warum niemand freiwillig eine Konfiguration mit Passwörtern etc. freischwebend via Mail versenden möchte.

Es gibt lokal nur das Skript /usr/local/bin/mail.php was man nutzen könnte, da müsste dann die Konfiguration reingepiped werden. Da ich gerade auf Installation bin kann ich das leider nicht wirklich durchtesten. Das Skript nutzt aber die Einstellungen wie unter Advanced / Notifications definiert.

Gruß

15
Deutsch / Re: Statisches IPV6-Subnet von Fritz!Box an PFSense delegieren
« on: February 19, 2018, 08:55:41 am »
> Das funktioniert auch alles wie erwartet, die Serverdienste, welche ich per NAT in PFSense freigegeben habe, sind aus dem Internet via IPV6 problemlos erreichbar.

Soweit ich das im Kopf hatte bezog sich das aber auf einzelne Adressen, nicht auf ganze Prefix Ranges oder?

> Nur müsste ich dann die Fritzbox als VOIP-Anlage hinter der PFSense betreiben und zusehen, dass ich SIP über NAT zum Laufen bekomme.

Jap, das wäre dann die einzige andere Variante, um die Routing/IP Geschichte sauber zu haben. Einen Tod muss man wohl leider sterben :/

Grüße

Pages: [1] 2 3 4 5 ... 216