Messages

... nach oben schieb...

Hallo,

meines Wissens gilt das nur für offene Netze. Ich habe derzeit keine genauen Infos wie es bei Firmen gehandhabt wird.
Ist aber egal... Ich möchte die Logs länger vorhalten. Ist das möglich? Wenn ja wie?

Danke & Gruß

Dirk

Hallo,

Bedingt durch die Störerhaftung muß ich die ein paar Wochen aufbewahren.
wo kann ich die Aufbewahrungszeit der Proxy-Logs definieren?

Gruß
Dirk

Hallo,

ich möchte mich an diesen Thread dranhängen. Ich finde ebenfalls nicht die Einstellung, wo ich eine IP/Range whitelisten kann.
Auch die Suppesliste finde ich nicht. z.B.
suppress gen_id 1, sig_id 2010937, track by_dst, ip 1.2.3.4, count 1, seconds 60

... oder Die Sperrzeit: z.B. 1h sind die IPs die matchen gesperrt.

Hello,

since 18.1.6 LCDProc there is a plugin... great!!
I see on display "Thanks for using opnsense"

But has anyone a hint how to configure it?

Ich hoffe das Hilft dir bei der Entscheidung.

Ja das hilft... danke...

Hallo
nachdem pfSense die 32bit-Architektur abgekündigt hat, ist meine Frage ob dies auch bei Euch in der Planung ist. Wir haben verschiedene Appliances (Meist Sophos-Rücklauf), die zwar 32bit sind, aber von der Leistung noch völlig ausreichen.

Danke... das hört sich doch gut an.
Mitte Dezember bekomme ich wahrscheinlich die HW und Ende März werde ich wohl umziehen. Also relativ ausreichend Zeit einen Migrationsprozess zu erarbeiten.

Bis jetzt sehe ich noch keinen Showstopper (z.B. kein BGP)... zwar viel Handarbeit, aber OK... Vor einem Jahr sah das noch anders aus. Das Projekt hat sich richtig gemacht.

vom Prinzip ist das bei pfsense ziemlich simpel gestrickt

Es wird der Status einer VIP überprüft und je nach dem wird der Deamon rauf oder herunter gefahren. Wenn alles in Ordnung ist, habe ich zwar auf dem Backupserver einen roten Lutscher beim BGP-Service, aber das ist in OK....

...mit Unterstützung würde ich das auch bestimmt über ein shell script hinbekommen...

Da BGP rein TCP ist sollte es keine Probleme mit IPSec haben, ist mir nix bekannt.

Meines Wissens geht es um nicht um TCP selber, sondern um das Routing...
Scheinbar kommt die Routingtabelle mit den SAs ins gehege... so mein Halbwissen.

BGP mit Carp ist eher unüblich. Normalerweise macht man 2 Neighbor und nur intern Carp (oder Ospf)

Ja, das kann ich mir vorstellen, jedoch ist dies historisch gewachsen und bis jetzt mit dem System (active/passiv-Cluster) sind wir gut gefahren. Ich wüsste auch nicht, wie ich dies jetzt aufdröseln kann/soll.
z.B. Ich mach nicht nur Routing, sondern auch Firewall, IPSec, NAT und Reverse Proxy.

Meinst du vielleicht das da mit IPSEC?
https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=223835

Wenn Du mich mit der Frage ansprichtst... Ich meine das
https://sysadminblog.net/2016/05/pfsense-2-3-ipsec-dropouts/
Ich weiss jetzt nicht, ob das ein reines Problem in der Kombination von OpenBGPD und Strongswan, oder generell Routing und IPSec.

Gruß
Dirk

Hallo,

zu meiner betreuten Infrastruktur gehört ein 2 node cluster (CARP) mit pfSense und OpenBGP (eigenes AS).

Nun klebe ich seit etwa 2 Jahren an der Version 2.2.6 da es erheblich Probleme mit BGP (scheinbar egal welche Software) in Verbindung mit IPSec.
https://forum.pfsense.org/index.php?topic=109908.0
https://redmine.pfsense.org/issues/6223 (da war auch noch CB mit im Boot :-/ )

Ich habe seit Beginn die Entwicklung von opnsense mit Interesse beobachtet, jedoch den Aufwand (15 Nics, ca 25 VLANs, 50 IPSec-Tunnel, 10 OpenVPN) und den eventuellen Ärger gescheut.
Da jetzt neue Hardware angeschafft wird, liebäugle ich wieder. Mittlerweile ist ja mit Quagga auch BGP dabei.

• Gibt es in der Kombination BGP (Quagga) mit IPSec auch hier Probleme. In den Foren bin ich auf jeden Fall nicht fündig geworden.
• Bei pfSense gibt es bei der Kombination von BGP und CARP die Option, daß der BGP-Deamon beim inaktiven Knoten unten ist/bleibt. Ist dies auch hier irgendwie konfigurierbar?
• Gibt es Migrationstools, oder ist es immer noch möglich die Sicherung zu importieren? Bei meiner Komplexität wohl eher nicht.