1831
German - Deutsch / Re: 1:1 NAT und Portforward
« on: May 24, 2017, 01:45:22 pm »
Das mag schon sein, dennoch kann man nicht die gleichen IPs an unterschiedlichen Interfaces verwenden, das klappt einfach nicht 
Show Posts
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
1832
German - Deutsch / Re: 1:1 NAT und Portforward
« on: May 23, 2017, 04:33:58 pm »
Also man mag mich gern korrigieren oder ich verstehe es vielleicht immer noch nicht.
Aber nein, das was du willst kann und wird nie funktionieren. Es kann nicht sein, dass die Sense auf mehreren Interfaces wie WAN1/3/4 GLEICHZEITIG auf die gleiche IP reagiert. Das ist routingtechnisch einfach komplett unmöglich. Nein. Schon gar keine privaten Adressen plötzlich auf einem Interface auf dem Public IPs aufliegen. Das ist für mich einfach nur chaotisch und ich sehe den Sinn nicht.
Ich weiß nicht was von WAN1 kommt, aber du hast bspw. auf WAN3 irgendwas privates mit 10.100/16 und auf WAN4 öffentliche Adressen /22. Wie sollen über diese Leitungen jemals Pakete mit einer IP aus 10.96.100 erzeugt werden. Das macht einfach keinen Sinn.
Gruß
Aber nein, das was du willst kann und wird nie funktionieren. Es kann nicht sein, dass die Sense auf mehreren Interfaces wie WAN1/3/4 GLEICHZEITIG auf die gleiche IP reagiert. Das ist routingtechnisch einfach komplett unmöglich. Nein. Schon gar keine privaten Adressen plötzlich auf einem Interface auf dem Public IPs aufliegen. Das ist für mich einfach nur chaotisch und ich sehe den Sinn nicht.
Ich weiß nicht was von WAN1 kommt, aber du hast bspw. auf WAN3 irgendwas privates mit 10.100/16 und auf WAN4 öffentliche Adressen /22. Wie sollen über diese Leitungen jemals Pakete mit einer IP aus 10.96.100 erzeugt werden. Das macht einfach keinen Sinn.
Gruß
1833
German - Deutsch / Re: Kann man mit opnSense eigene DNS einträge erstellen (DynDNS ersetzen)
« on: May 23, 2017, 09:23:39 am »
Genau das hatte ich auch im Hinterkopf, fabian. Wobei man das sogar über die API machen könnte ohne ein PHP Skript basteln zu müssen 
1834
German - Deutsch / Re: [GELÖST] IPSec Bugs
« on: May 23, 2017, 09:22:53 am »
> JeGr und monstermania: Wer von euch sieht das auch so, wer nicht? Wer ist bereit sachlich zu diskutieren?
Diskutieren wir unsachlich? War mir zumindest bislang nicht bewusst. Finde ich eher unsachlich, das zu unterstellen.
> Jetzt mal ganz ehrlich: Warum einen negativen Thread posten um die eigene Meinung zu pushen?
Ich zumindest habe nur meine Meinung bzw. eine Idee/Anfrage mit eingebracht. Nämlich ggf. einmal über das Release und Versionsmodell nachzudenken, ob das der aktuellen Entwicklung, Gegebenheiten (wenig Testcases aus der Community über die ihr euch beklagt) und anderen Dingen wie genereller Stabilität etc. genüge tut. Wenn das gleich als Generalangriff gesehen oder gewertet wird, muss ich mich eher wundern. Natürlich ist das Kritik, aber keine bei der (zumindest ich mich nicht) hinstelle und trotzig mit dem Fuß aufstampfend verkünde, dass ich aber ein Eis will. Ich habe lediglich meine Bedenken geäußert. Wenn man/du die ignorieren willst oder als Angriff/Gretchenfrage/whatever abtun willst, dann sei es das. Finde ich aber ebenso bezeichnend, als das Thema gezielt zu Dirk oder mir zurückzuschieben, als würden wir hier Schiffe versenken spielen wollen.
Und wenn man nicht mal mehr im Spaß die Augen rollen darf, sollte man sie vielleicht gleich ganz zu machen... Gleich in die Defensive zu gehen und aus der Opferrolle heraus zu agieren steht euch nicht. Und dem Projekt ebenso nicht. Es gibt aus der von euch so vielgepriesenen offenen Community wie man lesen kann eben durchaus Bedenken und Äußerungen wie meine, die man sich mal einfach durch den Kopf gehen lassen sollte ohne sich gleich salty einzurollen. Und damit lass ichs hier auch gut sein.
BTW wenn dir das mit dem Thread nicht gefällt - was ich als Mod durchaus nachvollziehen kann! - warum nicht einfach den Diskussionsteil hiervon abspalten und mit eigenem Namen weiterführen? Hätte die ganze Zeit schon passieren können. *schulterzuck*
Diskutieren wir unsachlich? War mir zumindest bislang nicht bewusst. Finde ich eher unsachlich, das zu unterstellen.
> Jetzt mal ganz ehrlich: Warum einen negativen Thread posten um die eigene Meinung zu pushen?
Ich zumindest habe nur meine Meinung bzw. eine Idee/Anfrage mit eingebracht. Nämlich ggf. einmal über das Release und Versionsmodell nachzudenken, ob das der aktuellen Entwicklung, Gegebenheiten (wenig Testcases aus der Community über die ihr euch beklagt) und anderen Dingen wie genereller Stabilität etc. genüge tut. Wenn das gleich als Generalangriff gesehen oder gewertet wird, muss ich mich eher wundern. Natürlich ist das Kritik, aber keine bei der (zumindest ich mich nicht) hinstelle und trotzig mit dem Fuß aufstampfend verkünde, dass ich aber ein Eis will. Ich habe lediglich meine Bedenken geäußert. Wenn man/du die ignorieren willst oder als Angriff/Gretchenfrage/whatever abtun willst, dann sei es das. Finde ich aber ebenso bezeichnend, als das Thema gezielt zu Dirk oder mir zurückzuschieben, als würden wir hier Schiffe versenken spielen wollen.
Und wenn man nicht mal mehr im Spaß die Augen rollen darf, sollte man sie vielleicht gleich ganz zu machen... Gleich in die Defensive zu gehen und aus der Opferrolle heraus zu agieren steht euch nicht. Und dem Projekt ebenso nicht. Es gibt aus der von euch so vielgepriesenen offenen Community wie man lesen kann eben durchaus Bedenken und Äußerungen wie meine, die man sich mal einfach durch den Kopf gehen lassen sollte ohne sich gleich salty einzurollen. Und damit lass ichs hier auch gut sein.
BTW wenn dir das mit dem Thread nicht gefällt - was ich als Mod durchaus nachvollziehen kann! - warum nicht einfach den Diskussionsteil hiervon abspalten und mit eigenem Namen weiterführen? Hätte die ganze Zeit schon passieren können. *schulterzuck*
1835
German - Deutsch / Re: [GELÖST] IPSec Bugs
« on: May 22, 2017, 03:08:29 pm »
> Mit Firmware ist in den Fall OPNsense gemeint. 
Was sowohl OPNsense als auf pfSense gemeinsam so in ihren Menüs nennen, also schon korrekt benannt ist
Zum Rest mag ich mich gar nicht äußern, das wird nur wieder falsch ausgelegt. Wenn ich die letzten Tage aber von meinen Testsystemen betrachte kann ich das zumindest teilweise bestätigen. Was ich durchaus schade finde.
Was sowohl OPNsense als auf pfSense gemeinsam so in ihren Menüs nennen, also schon korrekt benannt ist
Zum Rest mag ich mich gar nicht äußern, das wird nur wieder falsch ausgelegt. Wenn ich die letzten Tage aber von meinen Testsystemen betrachte kann ich das zumindest teilweise bestätigen. Was ich durchaus schade finde.
1836
German - Deutsch / Re: Kann man mit opnSense eigene DNS einträge erstellen (DynDNS ersetzen)
« on: May 22, 2017, 03:02:25 pm »
OK dann wirklich mißverstanden. Das geht IMHO nicht ohne weiteres, außer du installierst dir ein DNS Server Package à la BIND, PowerDNS o.ä. und bindest dann entweder RFC2136 an oder schreibst dir / nutzt andere Skripte um die Eintragung von DNS zu erledigen.
Gruß
Gruß
1837
German - Deutsch / Re: Kann man mit opnSense eigene DNS einträge erstellen (DynDNS ersetzen)
« on: May 22, 2017, 11:01:53 am »
Du möchtest selbst DynDNS anbieten, verstehe ich das korrekt?
1838
German - Deutsch / Re: VLAN Konfiguration
« on: May 22, 2017, 11:01:02 am »
Du tust dir auf jeden Fall einen Gefallen, wenn du auch das LAN dann von Anfang an komplett wie ein "VLAN" behandelst und alle VLANs somit gleich. Dann hast du später keine Probleme mit "verhält sich anders" oder Überraschungen warum ein Port plötzlich einfach geht (weil er untagged ist) etc.
Und das Default VLAN 1 (und ggf. 0 soweit irgendwo als untagged VLAN genutzt) vermeiden. Spart ebenfalls Probleme
Und das Default VLAN 1 (und ggf. 0 soweit irgendwo als untagged VLAN genutzt) vermeiden. Spart ebenfalls Probleme
1839
German - Deutsch / Re: 1:1 NAT und Portforward
« on: May 22, 2017, 10:57:45 am »
Sorry nicht wirklich.
Du "definierst" einfach irgendein Subnetz, welches nirgends aufliegt oder geroutet wird. Auf mehreren Interfaces, was per se schonmal nicht funktionieren kann. Und das soll dann auto-magisch für Dienstleister und Anwender funktionieren.
Ich habe schon komplexer Setups mit Sensen in Betrieb aber was du hier versuchst verstehe ich leider nicht ein bisschen. Deshalb auch meine Nachfrage ob du das mit einer Skizze o.ä. verdeutlichen kannst. Visio, Gliffy, Ascii-Art, ganz egal. Aber es macht für mich einfach überhaupt keinen Sinn was du hier versuchst?
1:1 NAT macht Sinn, wenn du bspw. auf einem externen Interface ein IP-Netz geroutet bekommst mit public Adressen und diese 1:1 auf ein internes Netz gleicher Größe oder einfach auf einzelne definierte interne IPs mappen möchtest. Was du hier versuchst verstehe ich nicht, da auf den WAN Adressen ja bereits interne Netze definiert sind. Da nochmals eins draufzulegen und das dann auch noch irgendwie via 1:1 NAT in ein weiteres internes Netz reinzumanschen kann ich nicht nachvollziehen
Gruß
Du "definierst" einfach irgendein Subnetz, welches nirgends aufliegt oder geroutet wird. Auf mehreren Interfaces, was per se schonmal nicht funktionieren kann. Und das soll dann auto-magisch für Dienstleister und Anwender funktionieren.
Ich habe schon komplexer Setups mit Sensen in Betrieb aber was du hier versuchst verstehe ich leider nicht ein bisschen. Deshalb auch meine Nachfrage ob du das mit einer Skizze o.ä. verdeutlichen kannst. Visio, Gliffy, Ascii-Art, ganz egal. Aber es macht für mich einfach überhaupt keinen Sinn was du hier versuchst?
1:1 NAT macht Sinn, wenn du bspw. auf einem externen Interface ein IP-Netz geroutet bekommst mit public Adressen und diese 1:1 auf ein internes Netz gleicher Größe oder einfach auf einzelne definierte interne IPs mappen möchtest. Was du hier versuchst verstehe ich nicht, da auf den WAN Adressen ja bereits interne Netze definiert sind. Da nochmals eins draufzulegen und das dann auch noch irgendwie via 1:1 NAT in ein weiteres internes Netz reinzumanschen kann ich nicht nachvollziehen
Gruß
1840
German - Deutsch / Re: VLAN Konfiguration
« on: May 19, 2017, 12:58:25 pm »
Da das "wie" sehr von den Hosts und dem Switch abhängt, kann man das pauschal nicht sagen. Im Prinzip kannst du aber einfach ein (zweites) VLAN auf dem Switch anlegen und entsprechende Netzwerkports bspw. als Default VLAN in dein neues VLAN konfigurieren, so dass das dort angesteckte Gerät dann automatisch im richtigen VLAN ist. die pfSense muss dann entweder ein weiteres physikalisches Interface auf dem Switch bekommen, das ebenso konfiguriert ist oder man konfiguriert den VLAN Tag zusätzlich auf das Interface, auf dem sie am Switch eh schon hängt.
Wenn du das einführst würde ich aber dazu raten auch das LAN gleich sauber in ein extra VLAN =! 0/1 (Default) zu verfrachten. Dann hat man nicht das Problem dass untagged und tagged Traffic ggf. auf dem gleichen Interface laufen und hat auch keine seltsamen Phänomene mit VLAN1.
Wenn du das einführst würde ich aber dazu raten auch das LAN gleich sauber in ein extra VLAN =! 0/1 (Default) zu verfrachten. Dann hat man nicht das Problem dass untagged und tagged Traffic ggf. auf dem gleichen Interface laufen und hat auch keine seltsamen Phänomene mit VLAN1.
1841
German - Deutsch / Re: Kann man mit opnSense eigene DNS einträge erstellen (DynDNS ersetzen)
« on: May 19, 2017, 12:55:20 pm »
Wenn deine Domain bei Mittwald von dort auf deren DNSen Dynamic DNS nach RFC 2136 unterstützt, dann benötigst du entsprechend den Key der Zone und die Details für welche Zone oder Unterzone du Einträge erstellen/ändern darfst. Dann werden diese einfach im Reiter RFC2136 unter DynDNS eingetragen und die Sense überwacht das WAN auf Änderungen und pusht diese bei Veränderung automatisch in den DNS.
1842
German - Deutsch / Re: 1:1 NAT und Portforward
« on: May 19, 2017, 12:53:37 pm »
OK das ist schön dass du das so siehst, beantwortet aber meine Frage nicht
Du schreibst oben im ersten Post was von 10.96.100.2. Wo kommt also das Netz 10.96.100.x her und wie kommt das auf das WAN Interface (und welches)? Denn es kann logisch und technisch nicht sein, dass du das gleiche Netz auf zwei WANs ankommen haben möchtest.
Du schreibst oben im ersten Post was von 10.96.100.2. Wo kommt also das Netz 10.96.100.x her und wie kommt das auf das WAN Interface (und welches)? Denn es kann logisch und technisch nicht sein, dass du das gleiche Netz auf zwei WANs ankommen haben möchtest.
1843
German - Deutsch / Re: 1:1 NAT und Portforward
« on: May 18, 2017, 03:40:44 pm »
OK wenn das die WANs sind - wo kommen dann die extern erreichbaren public IPs her, die du da drauf mappen möchtest?
1844
German - Deutsch / Re: [GELÖST] IPSec Bugs
« on: May 18, 2017, 03:39:23 pm »
Da kann ich Dirk nur beipflichten. Größe ist überhaupt kein Merkmal, es gibt auch große Häuser mit >100 Mitarbeitern, die mit 10MBit/s Leitungen herumgurken und kaum was machen genauso wie kleine agile Unternehmen mit <20 Leuten, die Gigabit Glasfaser haben und Proxy und Co einsetzen wollen. Beiden kann ich problemlos eine Sense anbieten für das was sie einsetzen wollen. Oftmals sind sogar schwergewichtige Pakete wie Content Filter etc. gar nicht wirklich notwendig, wenn man bspw. einen pfBlocker auf Layer 3 schon richtig konfiguriert, eine entsprechende IP Liste (mit aktiver Subscription) reinhängt und ab die Katze. Warum soll ich auch Deep Package Inspection machen, wenn ich solche Seiten gar nicht erst aufrufen kann?
Und genau da ist man als Consultant, Specialist oder wie auch immer die hippen Bezeichnungen mitunter lauten gefragt, eben den Firmen zu verklickern "Hey natürlich könnt ihr <Firma> kaufen, habt Hardware X und Softwarelizenz Y als Kosten, aber ihr könnt das auch mit Sensen und angepasster Hardware machen! Da zahlt ihr Hardware + Integrationskosten durch die Firma."
Und bei den meisten, mit denen ich aus dem Umfeld gesprochen habe, ist eine Sense dann günstiger, selbst wenn sie monatlich noch nen Support oder Stundenkontingent einkaufen, weil es keine sinnbefreiten "Lizenzscheinchen" gibt, wo man eine Urkunde mit "+10 VPN Lizenzen" und Co bekommt. Das hat heute beim entsprechenden Berater gar nichts mehr mit "Kommerzielle Lösung" zu tun, sondern mit Support und Erfahrungslevel. Wenn der da ist und der Kunde das merkt, dann ist dem Wurscht ob da Cisco, Sophos oder *Sense draufsteht. Der will ja eh nur "dass es funktioniert".
Und genau da ist man als Consultant, Specialist oder wie auch immer die hippen Bezeichnungen mitunter lauten gefragt, eben den Firmen zu verklickern "Hey natürlich könnt ihr <Firma> kaufen, habt Hardware X und Softwarelizenz Y als Kosten, aber ihr könnt das auch mit Sensen und angepasster Hardware machen! Da zahlt ihr Hardware + Integrationskosten durch die Firma."
Und bei den meisten, mit denen ich aus dem Umfeld gesprochen habe, ist eine Sense dann günstiger, selbst wenn sie monatlich noch nen Support oder Stundenkontingent einkaufen, weil es keine sinnbefreiten "Lizenzscheinchen" gibt, wo man eine Urkunde mit "+10 VPN Lizenzen" und Co bekommt. Das hat heute beim entsprechenden Berater gar nichts mehr mit "Kommerzielle Lösung" zu tun, sondern mit Support und Erfahrungslevel. Wenn der da ist und der Kunde das merkt, dann ist dem Wurscht ob da Cisco, Sophos oder *Sense draufsteht. Der will ja eh nur "dass es funktioniert".
1845
German - Deutsch / Re: 1:1 NAT und Portforward
« on: May 17, 2017, 05:29:01 pm »
Ich lese immer 10.96.100.5 - du hast leider zur Konfiguration der WAN Interfaces so gar nichts geschrieben. Daher kann ich dazu immer noch nichts sagen, da ich immer noch nicht weiß, welche IPs oder ggf. Netze deine WANs haben und wie dann das 1:1 NAT konfiguriert sein muss. Auch ob vor den WANs noch irgendwelche Router, Medienkonverter oder sonstwas stehen wäre relevant. Eine Skizze o.ä. könnte hier wirklich helfen.
Ein Screenshot der 1:1 Regel könnte ggf. auch weiterhelfen.
Grüße
Ein Screenshot der 1:1 Regel könnte ggf. auch weiterhelfen.
Grüße