Messages

1816

German - Deutsch / Re: Public IPs DMZ

« on: July 07, 2017, 12:56:20 pm »

> Es soll kein NAT auf die WAN Public IP stattfinden.

Dann musst du das Subnetz/die IP routen, anders wird es wohl nicht gehen und kein Schuh draus. Da du aber nichts zu deinem Public Netz schreibst, ist das schwer zu sagen was und wie man das sinnvoll machen kann.

> Gibt es für die DMZ eine Lösung dafür?

Es gibt gar viele Lösungen, wenn man denn das Problem genauer kennte

Grüße

1817

German - Deutsch / Re: Portforwarding über dDNS funktioniert nicht aus internem Netzwerk

« on: July 03, 2017, 10:13:51 am »

> Ich will aber in verschiedenen Netzen (LAN, Wireless, DMZ) darauf zugreifen.
> Mit dem override funktioniert es nur für ein Netz.

Warum? Das hängt ganz von deinem Override ab. Zumal du auch von extern bei mehreren Servern sinnvollerweise mehrere DNS Namen nutzen solltest, statt (nur) mehreren Ports.

Aber du kannst natürlich auch intern ein Forwarding erstellen auf einer internen IP der sense die freigegeben ist aus allen Netzen und dort dann mit den Ports arbeiten. Hört sich für mich nur extrem ungeschickt und aufwändig an.

Vielleicht kannst du nochmal etwas näher ausführen, was du eigentlich gebaut hast (mehrere Server in DMZ erreichbar machen via DynDNS) -> evtl gibt es eine bessere Möglichkeit die auch mit internem Einsatz besser klappt. Ansonsten bliebe dir immer noch das DNS Thema komplett zu lassen und statt dessen NAT Reflection zu nutzen. Ekliger, aber dann wenigstens konsistent genauso wie von extern zu nutzen.

Gruß Jens

1818

German - Deutsch / Re: CARP und LAGG?

« on: June 22, 2017, 02:01:26 pm »

@chrigu: Hat damals für mich keinen Sinn ergeben, macht es jetzt auch nicht Das Setup mit 2x2 Leitungen und das via LAGG auf CARP ist einfach seltsam. Ich habe 2 Kisten, damit die einspringen können, also lasse ich sie auch einspringen.

Für mich macht es keinen wirklichen Sinn, Zuleitung A und B als LAGG auf die gleiche Kiste zu bringen, wenn vom Anbieter A und B eh ein Failover ist (sollte es das nicht sein, weil verschiedene so betont wird, dann mea culpa). Aber die wenigstens Anbieter geben einem hier 2GBit als einzelne Adern, sondern haben eher eine Ausfallsichere Leitung die da draufsteckt. Darum die Frage.

Grüße

1819

German - Deutsch / Re: Configs auf neuen Cluster kopieren

« on: June 22, 2017, 01:57:02 pm »

Ich würde die Konfiguration vorher in XML Form anpassen und nicht hochfahren und dann rumspielen. Das minimiert die Problemzonen

1820

German - Deutsch / Re: Netzwerke nicht vollständig erreichbar

« on: June 20, 2017, 04:21:14 pm »

Komplette Deaktivierung des Filters schaltet auch NAT ab. Ich denke eher DA wird dein Problem herkommen, nicht aus den Filtern wenn da tatsächlich any any Regeln drauf sind und nicht nur tcp any any (IP besteht ja nicht nur aus tcp oder udp).

Mach mal komplett NAT aus, denn an der zweiten Firewall brauchst du m.E. nicht NATten, da du noch keine public IPs da überhaupt hast. Also reines Routing + Filtering.

Gruß

1821

German - Deutsch / Re: [Solved] High Availability: Status

« on: June 20, 2017, 10:38:06 am »

> Das habe ich nämlich nicht, weil die einblendbare Hilfe in der Config explizit sagt, dass man das nicht machen soll.
> Demnach werden Änderungen immer nur vom Master auf den Backup gesynct, nicht aber umgekehrt...

Richtig, eine wichtige Tatsache die man beachten sollte, wenn mal ein längerfristiger Failover passiert weil bspw. das Gerät A einen Schade hat. Änderungen an der Konfiguration werden dann nicht ohne weiteres zurückübertragen.

> The backup firewall is not accessible or not configured.

Grund dafür ist - sehr wahrscheinlich - dass auf dem Slave nicht nochmals ein Slave hinterlegt ist, da ein Master Master Betrieb nicht möglich/vorgesehen ist. Deshalb ist es korrekt, dass auf dem Backup Server nicht noch ein Backup Server erreichbar ist.

Möglich wäre soetwas allerdings für den Fall, dass man ähnlich einer Daisy-Chain am Backup Node noch einen weiteren Backup Node anbindet. Dann wird vom Master auch Backup1 und von diesem dann auf Backup2 synchronisiert. Der Sinn und Nutzen der Konstellation ist aber zu hinterfragen.

Grüße

1822

German - Deutsch / Re: High Availability: Status

« on: June 20, 2017, 09:52:02 am »

> aber mein Backup-Node meldet immer "The backup firewall ist accessible or configured".

Und wo tut er das?

1823

German - Deutsch / Re: Netzwerke nicht vollständig erreichbar

« on: June 19, 2017, 12:21:39 pm »

Auch wenn ich nichts dagegen habe, dich im pfsense Forum zu lesen, wird die Antwort zur Frage dort (zumindest von mir) nicht anders ausfallen als Dirk schon geschrieben hat Dein Problem liegt eher in dem einerseits m.E. überkomplizierten Aufbau mit zwei Firewalls (1) und deinem Windows Fileserver (2)

(1) ist kein Problem per se, macht aber auch keinen Sinn, zumindest nicht laut deiner Zeichnung. Dort zweigt an FW1 ein IOT Netz ab und nach unten geht eine DMZ. Diese DMZ ist aber nutzlos, weil nichts in ihr steht. Bei einem zweistufigen Aufbau mit 2 Firewalls wären genau dort bspw. die IOT Geräte und dahinter geschaltet mit zweiter Firewall dann das LAN. Dort (an der 2. Firewall) ist aber die nächste Obskurität: Nochmals zwei getrennte Netze für Server und Clients was prinzipiell natürlich gut und nicht verwerflich ist - macht bei der Architektur aber genausowenig Sinn, das Server Netz hier auf FW2 zu ziehen, da es technisch gesehen auch eher ein DMZ ist.

Einfacher - und bei richtigem Setup auch nicht weniger sicher - wäre alle Netze an einer Firewall abzuspalten. IoT, Server, Clients (LAN). Und damit sind dann auch alle Netze UND REGELN an einem Punkt in der Verwaltung und müssen nicht an 2 Punkten gepflegt werden.

(2) ist wahrscheinlich dein eigentliches Problem. Die Standard MS Windows Firewall ist so eingerichtet, dass das eigene Netz, in welchem DER SERVER steht, immer gern gesehen und freigegeben ist - andere Netze NICHT! Somit werden alle Netze != dem eigenen als "extern" angesehen und per default geblockt. Ich würde daher raten (nur zum TEST!) die Windows Firewall komplett abzuschalten und dann nochmals zu testen (mit der IP des Servers um DNS Probleme wie von Dirk genannt auszuschließen). Geht es und dann mit Namen nicht, haben wir (ggf zusätzlich) ein DNS Problem.

Grüße

1824

German - Deutsch / Re: hardware für firewall

« on: June 19, 2017, 11:44:22 am »

Dein Wunsch nach "Verschleierung" der IP (oder eher Verlagerung der GeoIP) kann mit einem ganz normalen VPN Zugang erfolgen. Sinnvollerweise eine Variante mit OpenVPN (machen die meisten Anbieter so), die kannst du dann auf der Sense einfach als Client konfigurieren, Interface zuweisen und dann entweder nur einige bestimmte oder allen Traffic über den VPN Anbieter laufen lassen. Je nachdem was du für eine Leitung und Bandbreite hast macht das mehr oder weniger Sinn. Mit meinen bspw. fast 500MBit/s wäre es schwierig einen VPN Anbieter zu finden, der mir die Geschwindigkeit garantiert Daher ist es dafür sinnvoller nur den Traffic umzubiegen, der Probleme macht. Allerdings gibt es ja offiziell keine GEMA Tafeln mehr auf YT (der Drops wurde gelutscht), andere Sperren sind eben GEO Blocks wofür ggf. eine US oder andere Adresse nötig ist. Allerdings ist auch das kein Allheilmittel, viele VPNs sind auch den GEO-Blockern bekannt und werden von diesen dann ausgeschlossen (Stichwort Netflix und Co).

Zur anderen Frage: Man kann die FB auch vorgeschaltet lassen und die sense dahinter als exposed Host laufen lassen. Läuft auch problemlos.

Grüße

1825

German - Deutsch / Re: APU2C4 USB Tethering?

« on: June 13, 2017, 12:52:15 pm »

Nein es ging mir um den Satz:

> ich würde gerne für eine kleine Vorführung der OPNsense bei einem Kumpel WLAN und WAN bereitstellen.

Daher hatte ich gedacht du HAST bereits eine WLAN Karte in der Kiste drin und willst die Tethern. Deshalb meine Annahme. Dass die APU2 kein WLAN per default hat sollte hinlänglich bekannt sein

1826

German - Deutsch / Re: APU2C4 USB Tethering?

« on: June 13, 2017, 10:43:50 am »

Aaah OK - natürlich - du meintest USB Tethering! Da hat mir die Hitze gestern doch einen Streich gespielt, da war ich kurz geistig abwesend Hatte mich noch gewundert, wo das Problem ist, WLAN Tethering zu machen. Dachte die APU hat WLAN  intgriert dafür. Dann dürfte das sehr wahrscheinlich eher nicht funktionieren wenn kein Gerät erkannt wird. Ansonsten könntest du noch mit lspci oder dmesg schauen ob überhaupt beim Anstecken irgendwas erkannt wird, aber ich habe dann eher weniger Hoffnung.

Freut mich dass die Appliance jetzt so rund läuft! Immer schön zu lesen

1827

German - Deutsch / Re: APU2C4 USB Tethering?

« on: June 12, 2017, 06:03:35 pm »

Wie hast dus denn fürs Tethering probiert? Ist ja nicht unbedingt ein sense spezifisches Problem

1828

German - Deutsch / Re: Default gateway down setting as default!

« on: June 01, 2017, 09:51:20 am »

@roswitina: Ich hatte mich auch schon gefragt, aber nicht gleich aus dem Fenster stürzen deshalb
Ich denke das kommt eher daher, dass Franco über einen anderen Thread hier gelandet ist und da noch im Kopf falsch gepolt war.

1829

German - Deutsch / Re: 1:1 NAT und Portforward

« on: May 30, 2017, 12:03:24 pm »

Das mag alles sein, aber ich habe mich denke ich jetzt schon mehrfach wiederholt, dass das einfach nicht geht, was du da anzetteln möchtest. Du kannst nicht einfach extern auf WAN3/4 ein anderes und bei beiden noch dazu das gleiche Netz nutzen um irgendwelche NATs zu bauen. IP Routing funktioniert so einfach nicht.

Klar kann ich bei einem Uplink/WAN Transfernetz noch ein anderes Netz drauflegen, aber dann muss das Netz auch beim Uplink Router bekannt sein und der muss die Pakete dann entsprechend adressieren, damit die pfSense die schon auf der anderen IP empfängt. Aber das passiert bei dir gar nicht (zumindest hab ich das nirgends gesehen). Oder es ist mir einfach immer noch spanisch, was genau das eigentlich bringen soll.

Nichts desto trotz: Es funktioniert NIE, das gleiche Netz an zwei unterschiedlichen Interfaces aufzulegen. Der einzige Weg wie so etwas gehen könnte ist mit echten IPs und BGP und dann müsste dir der IP Space gehören und du mit deinem Provider Upstream BGP sprechen. Dann kannst du gern mehrere Routen annoncieren und mal über Interface 3 oder 4 routen lassen. Aber das dürfte eine ganze Nummer zu groß sein.

PS: Danke Frank, erst nach absenden gesehen und genau nochmals das, was ich bereits mehrfach versucht habe zusammengefasst Danke auch für die Bestätigung dass ichs nicht falsch oder zumindest du genauso verstanden hast

1830

German - Deutsch / Re: 1:1 NAT und Portforward

« on: May 24, 2017, 04:16:06 pm »

Wofür denn dann überhaupt noch ein zusätzliches privates Netz da draufkleben wollen? Und wie soll der Traffic dann überhaupt auf diese anderen IPs kommen? Das macht alles so wenig Sinn?