Messages

Please draw what you want to do :)
i think thats the easiest way to let us know what your plan is :)

UPDATE:

i attached some screenshots of the "top" command and the RAM usage on the UI.
I dont know if theses values are normal :)

maybe someone can help

Edit:
I think the problem is Squid, look how many "pinger" processes are runnning (squid ist deactivated)

Hi,

i have a small Firewall with an Celeron J1900 and 8 GB RAM.
Without any special services, just some FIrewall Rules.

But the System keeps crashing, i cant enter the WebUI until i restart all services over the Console. After that i can access it but the RAM and SWAP usage is at 99%.

IDK what to do :/

After a reboot its okay for some days, but than the system crashes :/

VIelleicht hats unter
System - Einstellung - Verwaltung den Authentifizierungsserver rausgeschmissen. :)

deine Subnetzmaske in der Regel passt nicht.
Du gibts aktuell alles von 10.6.9.0 bis 10.6.9.255 frei

Setze die Maske auf /32 für eine einzige IP :)

Du musst den UDP Port welcher vom VPN verwendet wird auf der WAN Seite für einkommend frei geben.

Außerdem die notwendigen "ALLOW" Regeln einrichten

Try to run Sensei in L2 mode, maybe then its working

Generell wird zur Änderung eines Netzes geraten, aber...

_{https://docs.netgate.com/pfsense/en/latest/vpn/openvpn/connecting-openvpn-sites-with-conflicting-ip-subnets.html}

Danke dir

Werde mir das nächste Woche Mal anschauen

Schönes Wochenende

Gesendet von meinem MI 9 mit Tapatalk

... eine schnelle Suche in den Interwebs führt zu 1:1 NAT, dass nur teilweise funktioniert. Einzige saubere Lösung: Ein Netz umbenennen...

Danke für die Antwort.
Würde es doch ganz gerne ausprobieren, wie man die Ziel IP ändert, habe genau dazu aber bisher noch nichts gefunden oder einfach ein Brett vorm Kopf.

Hallo zusammen,

ich bin gerade dabei 2 gleiche Netze per OpenVPN miteinander zu verbinden.

Folgende Config habe ich bereits

Netz A: 192.168.0.0/24
Netz B: 192.168.0.0/24


1:1 NAT (A-Seite)
Externes Netz:    192.168.1.0/24
Quelle:      192.168.0.0/24
Ziel:      192.168.1.0/24


Auf der B Seite kommen die Pakete auch aus dem 192.168.1.0 Netz, daher passt das NAT auf der A-Seite also.
Allerdings ist die Ziel IP dann ja auch aus dem 192.168.1.0 Netz, womit die B-Seite dann ja nichts anfangen kann.
Wie kann ich also auf der B-Seite  es so umschlüsseln, dass alle Pakete mit der Ziel IP 192.168.1.0/24 die Ziel-IP in 192.168.0.0/24 bekommen.

Also ich möchte von Netz-A das Gerät 192.168.0.5 (aber aus Netz-B erreichen), also gebe ich 192.168.1.5 ein. Das Paket geht auch sauber rüber an die Firewall auf der B-Seite, dort müsste die Ziel-IPdann von 192.168.1.5 wieder auf 192.168.0.5 geändert werden.
Geht das überhaupt?

Moin,

wenn man die Alias Liste in die original redirekt Regeln einsetzt (als Ziel) und dann bei Ziel umkehren den Haken setzt?

Ändert sich dann das Verhalten?

LG,
Ralf

Danke für die Antwort.

Verstehe nur noch nicht so ganz was du meinst. Also bei der no-rdr Regel (die 1. von den 3) sozusagen nur den Haken bei "Ziel umkehren" rein?

Weil vom Prinzip funktioniert die Nat Regel ja, allerdings fällt sie alle paar Minuten mal für einige Sekunden aus.

Hallo zusammen,

und zwar habe ich den Proxy als Transparenten HTTP und HTTPS Proxy am laufen. Da manche Anwendungen damit  nicht so ganz klar kommen, pfelge ich dazu eine Alias Liste wo die Domains hinterlegt sind, welche dann nicht über den Proxy gehen.

Dazu habe ich eine "no rdr" Nat Regel welche vor den beiden Proxy Regeln steht (siehe NAT.png) und eine Regel die diesen Traffic erlaubt.

Allerdings scheint diese Regel ab und zu mal außer gefecht zu sein. D.h. meistens gehen die freigegebenen Domains nicht über den Proxy, alle paar Minuten werden diese dann für einige Sekunden an den Proxy geleitet. Woran kann sowas liegen, habe es bereits mit und ohne NAT-Reflection getestet (hat damit aber glaube ich eh nichts zutun)

Es scheint also, dass die NAT-Regel nur für einige Sekunden nicht greift, danach sofort wieder. Darf aber bei der aktuellen config aber eigentlich nicht sein. oder irre ich mich und habe einen Punkt übersehen?


Danke euch:)

Wildcards will not work. Just full domain names

Gesendet von meinem MI 9 mit Tapatalk

Maybe you can try  Block specific MIME type reply in access control config?

Thanks
Do you know how they have to look like?

I added this to my ACL List

.*\.exe$

but its not working. Any idea? :)