Messages

> Das habe ich nämlich nicht, weil die einblendbare Hilfe in der Config explizit sagt, dass man das nicht machen soll.
> Demnach werden Änderungen immer nur vom Master auf den Backup gesynct, nicht aber umgekehrt...

Richtig, eine wichtige Tatsache die man beachten sollte, wenn mal ein längerfristiger Failover passiert weil bspw. das Gerät A einen Schade hat. Änderungen an der Konfiguration werden dann nicht ohne weiteres zurückübertragen.

> The backup firewall is not accessible or not configured.

Grund dafür ist - sehr wahrscheinlich - dass auf dem Slave nicht nochmals ein Slave hinterlegt ist, da ein Master Master Betrieb nicht möglich/vorgesehen ist. Deshalb ist es korrekt, dass auf dem Backup Server nicht noch ein Backup Server erreichbar ist.

Möglich wäre soetwas allerdings für den Fall, dass man ähnlich einer Daisy-Chain am Backup Node noch einen weiteren Backup Node anbindet. Dann wird vom Master auch Backup1 und von diesem dann auf Backup2 synchronisiert. Der Sinn und Nutzen der Konstellation ist aber zu hinterfragen.

Grüße

> aber mein Backup-Node meldet immer "The backup firewall ist accessible or configured".

Und wo tut er das?

Auch wenn ich nichts dagegen habe, dich im pfsense Forum zu lesen, wird die Antwort zur Frage dort (zumindest von mir) nicht anders ausfallen als Dirk schon geschrieben hat ;) Dein Problem liegt eher in dem einerseits m.E. überkomplizierten Aufbau mit zwei Firewalls (1) und deinem Windows Fileserver (2)

(1) ist kein Problem per se, macht aber auch keinen Sinn, zumindest nicht laut deiner Zeichnung. Dort zweigt an FW1 ein IOT Netz ab und nach unten geht eine DMZ. Diese DMZ ist aber nutzlos, weil nichts in ihr steht. Bei einem zweistufigen Aufbau mit 2 Firewalls wären genau dort bspw. die IOT Geräte und dahinter geschaltet mit zweiter Firewall dann das LAN. Dort (an der 2. Firewall) ist aber die nächste Obskurität: Nochmals zwei getrennte Netze für Server und Clients was prinzipiell natürlich gut und nicht verwerflich ist - macht bei der Architektur aber genausowenig Sinn, das Server Netz hier auf FW2 zu ziehen, da es technisch gesehen auch eher ein DMZ ist.

Einfacher - und bei richtigem Setup auch nicht weniger sicher - wäre alle Netze an einer Firewall abzuspalten. IoT, Server, Clients (LAN). Und damit sind dann auch alle Netze UND REGELN an einem Punkt in der Verwaltung und müssen nicht an 2 Punkten gepflegt werden.

(2) ist wahrscheinlich dein eigentliches Problem. Die Standard MS Windows Firewall ist so eingerichtet, dass das eigene Netz, in welchem DER SERVER steht, immer gern gesehen und freigegeben ist - andere Netze NICHT! Somit werden alle Netze != dem eigenen als "extern" angesehen und per default geblockt. Ich würde daher raten (nur zum TEST!) die Windows Firewall komplett abzuschalten und dann nochmals zu testen (mit der IP des Servers um DNS Probleme wie von Dirk genannt auszuschließen). Geht es und dann mit Namen nicht, haben wir (ggf zusätzlich) ein DNS Problem.

Grüße

Dein Wunsch nach "Verschleierung" der IP (oder eher Verlagerung der GeoIP) kann mit einem ganz normalen VPN Zugang erfolgen. Sinnvollerweise eine Variante mit OpenVPN (machen die meisten Anbieter so), die kannst du dann auf der Sense einfach als Client konfigurieren, Interface zuweisen und dann entweder nur einige bestimmte oder allen Traffic über den VPN Anbieter laufen lassen. Je nachdem was du für eine Leitung und Bandbreite hast macht das mehr oder weniger Sinn. Mit meinen bspw. fast 500MBit/s wäre es schwierig einen VPN Anbieter zu finden, der mir die Geschwindigkeit garantiert ;) Daher ist es dafür sinnvoller nur den Traffic umzubiegen, der Probleme macht. Allerdings gibt es ja offiziell keine GEMA Tafeln mehr auf YT (der Drops wurde gelutscht), andere Sperren sind eben GEO Blocks wofür ggf. eine US oder andere Adresse nötig ist. Allerdings ist auch das kein Allheilmittel, viele VPNs sind auch den GEO-Blockern bekannt und werden von diesen dann ausgeschlossen (Stichwort Netflix und Co).

Zur anderen Frage: Man kann die FB auch vorgeschaltet lassen und die sense dahinter als exposed Host laufen lassen. Läuft auch problemlos.

Grüße

Nein es ging mir um den Satz:

> ich würde gerne für eine kleine Vorführung der OPNsense bei einem Kumpel WLAN und WAN bereitstellen.

Daher hatte ich gedacht du HAST bereits eine WLAN Karte in der Kiste drin und willst die Tethern. Deshalb meine Annahme. Dass die APU2 kein WLAN per default hat sollte hinlänglich bekannt sein :D

Aaah OK - natürlich - du meintest USB Tethering! Da hat mir die Hitze gestern doch einen Streich gespielt, da war ich kurz geistig abwesend ;) Hatte mich noch gewundert, wo das Problem ist, WLAN Tethering zu machen. Dachte die APU hat WLAN  intgriert dafür. Dann dürfte das sehr wahrscheinlich eher nicht funktionieren wenn kein Gerät erkannt wird. Ansonsten könntest du noch mit lspci oder dmesg schauen ob überhaupt beim Anstecken irgendwas erkannt wird, aber ich habe dann eher weniger Hoffnung.

Freut mich dass die Appliance jetzt so rund läuft! Immer schön zu lesen :)

Wie hast dus denn fürs Tethering probiert? Ist ja nicht unbedingt ein sense spezifisches Problem :)

@roswitina: Ich hatte mich auch schon gefragt, aber nicht gleich aus dem Fenster stürzen deshalb :D
Ich denke das kommt eher daher, dass Franco über einen anderen Thread hier gelandet ist und da noch im Kopf falsch gepolt war.

Das mag alles sein, aber ich habe mich denke ich jetzt schon mehrfach wiederholt, dass das einfach nicht geht, was du da anzetteln möchtest. Du kannst nicht einfach extern auf WAN3/4 ein anderes und bei beiden noch dazu das gleiche Netz nutzen um irgendwelche NATs zu bauen. IP Routing funktioniert so einfach nicht.

Klar kann ich bei einem Uplink/WAN Transfernetz noch ein anderes Netz drauflegen, aber dann muss das Netz auch beim Uplink Router bekannt sein und der muss die Pakete dann entsprechend adressieren, damit die pfSense die schon auf der anderen IP empfängt. Aber das passiert bei dir gar nicht (zumindest hab ich das nirgends gesehen). Oder es ist mir einfach immer noch spanisch, was genau das eigentlich bringen soll.

Nichts desto trotz: Es funktioniert NIE, das gleiche Netz an zwei unterschiedlichen Interfaces aufzulegen. Der einzige Weg wie so etwas gehen könnte ist mit echten IPs und BGP und dann müsste dir der IP Space gehören und du mit deinem Provider Upstream BGP sprechen. Dann kannst du gern mehrere Routen annoncieren und mal über Interface 3 oder 4 routen lassen. Aber das dürfte eine ganze Nummer zu groß sein.

PS: Danke Frank, erst nach absenden gesehen und genau nochmals das, was ich bereits mehrfach versucht habe zusammengefasst :) Danke auch für die Bestätigung dass ichs nicht falsch oder zumindest du genauso verstanden hast ;)

Wofür denn dann überhaupt noch ein zusätzliches privates Netz da draufkleben wollen? Und wie soll der Traffic dann überhaupt auf diese anderen IPs kommen? Das macht alles so wenig Sinn?

Das mag schon sein, dennoch kann man nicht die gleichen IPs an unterschiedlichen Interfaces verwenden, das klappt einfach nicht :)

Also man mag mich gern korrigieren oder ich verstehe es vielleicht immer noch nicht.
Aber nein, das was du willst kann und wird nie funktionieren. Es kann nicht sein, dass die Sense auf mehreren Interfaces wie WAN1/3/4 GLEICHZEITIG auf die gleiche IP reagiert. Das ist routingtechnisch einfach komplett unmöglich. Nein. Schon gar keine privaten Adressen plötzlich auf einem Interface auf dem Public IPs aufliegen. Das ist für mich einfach nur chaotisch und ich sehe den Sinn nicht.

Ich weiß nicht was von WAN1 kommt, aber du hast bspw. auf WAN3 irgendwas privates mit 10.100/16 und auf WAN4 öffentliche Adressen /22. Wie sollen über diese Leitungen jemals Pakete mit einer IP aus 10.96.100 erzeugt werden. Das macht einfach keinen Sinn.

Gruß

Genau das hatte ich auch im Hinterkopf, fabian. Wobei man das sogar über die API machen könnte ohne ein PHP Skript basteln zu müssen ;)

> JeGr und monstermania: Wer von euch sieht das auch so, wer nicht? Wer ist bereit sachlich zu diskutieren?

Diskutieren wir unsachlich? War mir zumindest bislang nicht bewusst. Finde ich eher unsachlich, das zu unterstellen.

> Jetzt mal ganz ehrlich: Warum einen negativen Thread posten um die eigene Meinung zu pushen?

Ich zumindest habe nur meine Meinung bzw. eine Idee/Anfrage mit eingebracht. Nämlich ggf. einmal über das Release und Versionsmodell nachzudenken, ob das der aktuellen Entwicklung, Gegebenheiten (wenig Testcases aus der Community über die ihr euch beklagt) und anderen Dingen wie genereller Stabilität etc. genüge tut. Wenn das gleich als Generalangriff gesehen oder gewertet wird, muss ich mich eher wundern. Natürlich ist das Kritik, aber keine bei der (zumindest ich mich nicht) hinstelle und trotzig mit dem Fuß aufstampfend verkünde, dass ich aber ein Eis will. Ich habe lediglich meine Bedenken geäußert. Wenn man/du die ignorieren willst oder als Angriff/Gretchenfrage/whatever abtun willst, dann sei es das. Finde ich aber ebenso bezeichnend, als das Thema gezielt zu Dirk oder mir zurückzuschieben, als würden wir hier Schiffe versenken spielen wollen.

Und wenn man nicht mal mehr im Spaß die Augen rollen darf, sollte man sie vielleicht gleich ganz zu machen... Gleich in die Defensive zu gehen und aus der Opferrolle heraus zu agieren steht euch nicht. Und dem Projekt ebenso nicht. Es gibt aus der von euch so vielgepriesenen offenen Community wie man lesen kann eben durchaus Bedenken und Äußerungen wie meine, die man sich mal einfach durch den Kopf gehen lassen sollte ohne sich gleich salty einzurollen. Und damit lass ichs hier auch gut sein.

BTW wenn dir das mit dem Thread nicht gefällt - was ich als Mod durchaus nachvollziehen kann! - warum nicht einfach den Diskussionsteil hiervon abspalten und mit eigenem Namen weiterführen? Hätte die ganze Zeit schon passieren können. *schulterzuck*

> Mit Firmware ist in den Fall OPNsense gemeint.  ::)

Was sowohl OPNsense als auf pfSense gemeinsam so in ihren Menüs nennen, also schon korrekt benannt ist :)

Zum Rest mag ich mich gar nicht äußern, das wird nur wieder falsch ausgelegt. Wenn ich die letzten Tage aber von meinen Testsystemen betrachte kann ich das zumindest teilweise bestätigen. Was ich durchaus schade finde.