*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)
- Mitglied seit
- 11.10.2007
- Beiträge
- 1.295
Ich wollte hier noch etwas hinzufügen, vlt. hilft das mal jemand der ähnliche Probleme hat. Nach dem BIOS Reset lief soweit alles wesentlich besser, keine ewigen Aussetzer mehr, DNS Fehler und im Heimnetzwerk ist jetzt eigentlich alles perfekt. Aber eine Sache hat immer noch sporadisch Probleme gemacht und das war hauptsächlich im Online Gaming und im Home Office wenn ich Google Meet genutzt habe bemerkbar und zwar hatte ich immer wieder sekundenweise Aussetzer, das verhalten war aber anders als vor dem BIOS reset. In Google Meet äußerte sich das vorallem so, dass in Calls ständig das Videobild der anderen Teilnehmer weg war und nur ein Hinweis kam, dass ich Verbindungsprobleme hätte, die Tonspur ging aber weiterhin klar. Das Internet an sich lief während der Zeit aber ganz normal einigermaßen flüssig. Dann hab ich mal in meiner Fritz Box alles durchgeklickt, und gesehen dass in der Kabel-Information Übersicht extrem viele nicht korrigierbare Fehler auftreten (war im Millionenbereich und die FB lief zum Zeitpunkt gerade mal wenige Stunden durch weil ich sie am Vormittag schon resettet hatte.Ich melde Vollzug, es läuft alles wunderbar jetzt. Auch Pihole hat keine Fehlermeldung mehr, dass seine Queue volläuft. Es waren tatsächlich diese scheiß BIOS Einstellungen
Danke an alle, die versucht haben mir zu helfen. Irgendwie bin ich jetzt aber auch froh, dass ich nicht zu blöd war ne Sense zu konfigurieren (abgesehen von der Hardware)
Und dann fiel es mir wie Schuppen von den Augen, als ich damals die neue Hardware für die Sense gekauft habe, hab ich auch die Fritzbox anders positioniert und daher ein neues 5m Koaxkabel gekauft.
Mutmaßlich war das totaler Schrott weil nun hab ich es wieder mit dem 3m Vorgänger Kabel in Betrieb und die Fehler sind quasi verschwunden bzw. in nem irrelevanten Bereich. Nun läuft seit gestern Abend alles extrem flüssig, hatte seitdem überhaupt keine Aussetzer mehr. Es ist echt keine gute Idee zu viel Hardware gleichzeitig zu ändern, an dieses scheiß Kabel hab ich gar nicht mehr gedacht
D.h. ich hatte die ganze Zeit zwei Probleme, einmal intern das fehlerhafte Powerprofil auf der Sense Hardware und einmal ein schrottiges Koaxkabel. Ich vermute mal, dass davon vorallem der UDP Traffic betroffen war, weswegen die Videocalls und Online Gaming besonders mies liefen. Ich hoffe, jetzt ist endlich mal alles erledigt
Hat ja immer noch ganz viele Fehler drin.
Die sind aber normal. Scheinbar werden im Kabelnetz so ne Art Testpakete geschickt die die FB dann korrigiert und so eine niedrige Anzahl von Fehlern ist völlig i.O. Wenn man ein Problem hat wie ich vorhin, sind die nicht korrigierbaren Fehler schnell im 6-7 Stelligen Bereich nach wenigen Stunden. Ärgerlich ist vorallem, dass ich mich hier überhaupt noch mit dem Koax Scheiß rumschlagen muss, wir haben im Keller eigentlich schon Glasfaser liegen aber weil man sich den Ausbau bis in die Wohnung spart, hab ich die 1,8Gbit Leitung jetzt weiterhin über Kabel
Netgate Releases pfSense Plus Software Version 25.11
docs.netgate.com
25.11 New Features and Changes | pfSense Documentation
toscdesign
Enthusiast
Tausche das Netzteil aus, die mitgelieferten sind schrott.
Ich hab ein altes Netzteil einer USB Festplatte fran gehängt (gleiche Spannung, gleiche Leistung) und der Verrbauch ist von ca. 20W auf 11W runter.
Dann noch ein bissel im BIOS und unter Proxmox optimiert und bin nun bei 8W Idle
Ein neues Feature in der Plus, welche nun auf FreeBSD 16 aufsetzt, ist Endpoint-Independent (Port Restricted Cone) Mapping Network Address Translation (EIM-NAT) für UDP-Verbindungen.Netgate Releases pfSense Plus Software Version 25.11
25.11 New Features and Changes | pfSense Documentation
Dieses kann man an Stelle von z.B. Static Port Outbound NAT konfigurieren.
Es gehört wohl zu einem der ersten Features, welches Netgate von pf aus OpenBSD in das neuste FreeBSD übernehmen lässt, weitere sollen folgen.
Was es erlaubt ist eine bessere Konnektivität zu erzielen, wenn es um UDP Hole Punching geht. Davon können Online Games, VoIP, etc. profitieren. Dabei wird einem ursprünglichen Source Port beim SNAT immer ein fester, anderer Source Port zugewiesen. Das erlaubt, auch ohne das klassische Static Port Outbound NAT, ein vereinfachtes UDP Hole Punching, da der betreffende Port sich eben nicht mehr ändert und damit von einem Rendezvous-Server an weitere Teilnehmer kommuniziert werden kann.
Das Problem an Static Port Outbound NAT ist, dass es effektiv nur für einen einzigen Hosts verwendet werden kann. Wenn aber mehrere Hosts im privaten LAN existieren, die auch noch das selbe online Game zocken wollen, oder mehrere VoIP Sessions stattfinden, dann braucht es weitere Lösungen für IPv4 und eine solche ist jetzt (erst) für FreeBSD gegeben.
Vergleich OOTB OutboundNAT zu EIM-NAT
Zuletzt bearbeitet:
Ja genau, das Problem mit UDP Verbindungen zu einem Rendezvous Server (hoste einen Sim der darauf aufbaut) auf meinem Server hinter doppelt NAT beschäftigt mich auch schon länger. Hatte da schon ellenlange Diskussionen mit der KI bezüglich STUN/TURN/Holepunching über UDP, und wie sich das alles nennt. Für die meisten User läuft es gut. Kann aber sein, dass sich welche Clients die den selben Provider haben (selbes CGNAT) sich untereinander nicht joinen können. Oder User die einen Handyhotspot zur Verbindung nutzen kann es auch treffen. Und wie von Dir richtig angemerkt haben auch Nutzer aus dem selben privaten Segment (LAN) Probleme. Obwohl der Sim einen LAN Modus hat, aber der funktioniert eher bescheiden bis gar nicht.
Auch das mit Outbound NAT und allem hatte ich durchgetestet. Bin aber allerdings kein Profi. Hatte aber auch schon Threads hierzu im Forum, wir haben es bislang nicht besser hin gekriegt.
So wie ich verstanden habe, connecten sich die Clients untereinander direkt. Haben die mal eine Sitzung offen, kann ich den Server herunterfahren, die Clientsitzungen laufen munter weiter, ohne dass die Nutzer NAT mässig was beregelt hätten oder gar eine eigene IP haben. Finde ich noch ganz spannend die Technik. Die ganzen Parameter wie Flugrichtung, Geschwindigkeit, Höhe, Modell, Wetter, das wird alles zwischen den Clients direkt verhandelt.
Ich selber hänge ja hinter doppelt NAT. Ich komme zwar auf den Rendezvous Server, aber kann anderen nicht beitreten, bzw. sie mir nicht. Nutze dazu VPN, dann geht es. Will aber dann mal den Provider wechseln, damit ich die Sense die Einwahl machen lassen kann um von dem blöden doppelt NAT weg zu kommen.
Nutze leider die OPNsense, das neue Feature hätte ich gerne angetestet. Aber ein Wechsel zur pfsense kommt nicht in Frage. Hatte ellenlang evaluiert zwischen sophos, pfsense und opnsense. Bin dann aber bei der OPNsense gelandet, mit der bin ich soweit ganz zu frieden.
Bastelbude halt.
Auch das mit Outbound NAT und allem hatte ich durchgetestet. Bin aber allerdings kein Profi. Hatte aber auch schon Threads hierzu im Forum, wir haben es bislang nicht besser hin gekriegt.
So wie ich verstanden habe, connecten sich die Clients untereinander direkt. Haben die mal eine Sitzung offen, kann ich den Server herunterfahren, die Clientsitzungen laufen munter weiter, ohne dass die Nutzer NAT mässig was beregelt hätten oder gar eine eigene IP haben. Finde ich noch ganz spannend die Technik. Die ganzen Parameter wie Flugrichtung, Geschwindigkeit, Höhe, Modell, Wetter, das wird alles zwischen den Clients direkt verhandelt.
Ich selber hänge ja hinter doppelt NAT. Ich komme zwar auf den Rendezvous Server, aber kann anderen nicht beitreten, bzw. sie mir nicht. Nutze dazu VPN, dann geht es. Will aber dann mal den Provider wechseln, damit ich die Sense die Einwahl machen lassen kann um von dem blöden doppelt NAT weg zu kommen.
Nutze leider die OPNsense, das neue Feature hätte ich gerne angetestet. Aber ein Wechsel zur pfsense kommt nicht in Frage. Hatte ellenlang evaluiert zwischen sophos, pfsense und opnsense. Bin dann aber bei der OPNsense gelandet, mit der bin ich soweit ganz zu frieden.
Bastelbude halt.
Zuletzt bearbeitet:
- Mitglied seit
- 11.10.2007
- Beiträge
- 1.295
toscdesign
Enthusiast
Ich hab mal ne Frage (oder mehrere), vielleicht verstehe ich das aber auch nur total falsch. Thema IPv6
Hintergrund ist, das ich in 4 Monaten meinen DSL Vertrag wechsle und endlich vom dem miesen Telekom Peering wegkomme.
Normalerweise wollte ich zu O2 wechseln, da es dort noch richtiges Dualstack gibt, aber deren Preise sind extrem gestiegen (auch mit Angeboten)
und oft wird der Anschluss über Kabel realisiert, das ich auf keinen Fall wieder haben möchte.
Daher habe ich mich ein wenig über 1&1 schlau gemacht, welche ja nur noch DSlite schalten, insbesondere wenn man einen günstigen Vertrag über eine der Drillisch Töchter wie z.B. sim.de, winsim oder premiumsim abschließt.
Immerhin hat 1&1 in seinem Netz inzwischen PCP aktiv (meines wissens der einzige Provider in Deutschland) und man bekommt 20 Ports auf der geteilten IPv4 Adresse zugewiesen, welche man für IPv4 Portfreigaben nutzen kann.
Aktuell habe ich nur IPv4 aktiv (der Einfachheit halber) würde gerne aber schon mit IPv6 "spielen" um in 4 Monaten nicht mit runtergelassenen Hosen dazustehen.
Meine OpnSense hängt hinter einer Fritzbox als DSL Modem (war günstig und funktioniert stabil), aber bekanntermaßen eben mit Doppel-NAT.
In der Fritzbox wie auch in der OpnSense ist alles IPv6 relevante noch abgeschaltet.
Meine Fragen zu IPv6 mit der OpnSense wären stand heute erstmal:
Ich hatte schon mal vor langer Zeit mit IPv6 gespielt (damals noch ohne OpnSense), das ganze aber ziemlich schnell wieder fallen gelassen, da es wirklich für mich extrem anders als das gelernte IPv4 Wissen (als nicht ITler) war. Aber eigentlich will ich ja was lernen und mich auf das Thema einlassen.
Daher habe ich heute fast den genzen Tag mir Material zu dem Thema angeschaut/gelesen und es sind mir die oben aufgelisteten Fragen einfach nicht klar geworden.
Natürlich auch mal die KI bemüht, aber selbst diese blickt bei dem Thema nicht richtig durch bzw, widerspricht sich dauernd selbst.
Ich will jetzt keine Musterlösung von euch, auch wenn es für mich schön einfach wäre, aber ich würde einfach gerne mal bei dem Thema durchblicken wie ich es eben bei IPv4 auch kann. Im Grunde hätte ich gerne IPv4 und IPv6 parallel laufen (was ja heute Standard sein sollte) damit bei mir alles auf dem aktuellen Stand ist.
Hintergrund ist, das ich in 4 Monaten meinen DSL Vertrag wechsle und endlich vom dem miesen Telekom Peering wegkomme.
Normalerweise wollte ich zu O2 wechseln, da es dort noch richtiges Dualstack gibt, aber deren Preise sind extrem gestiegen (auch mit Angeboten)
und oft wird der Anschluss über Kabel realisiert, das ich auf keinen Fall wieder haben möchte.
Daher habe ich mich ein wenig über 1&1 schlau gemacht, welche ja nur noch DSlite schalten, insbesondere wenn man einen günstigen Vertrag über eine der Drillisch Töchter wie z.B. sim.de, winsim oder premiumsim abschließt.
Immerhin hat 1&1 in seinem Netz inzwischen PCP aktiv (meines wissens der einzige Provider in Deutschland) und man bekommt 20 Ports auf der geteilten IPv4 Adresse zugewiesen, welche man für IPv4 Portfreigaben nutzen kann.
Aktuell habe ich nur IPv4 aktiv (der Einfachheit halber) würde gerne aber schon mit IPv6 "spielen" um in 4 Monaten nicht mit runtergelassenen Hosen dazustehen.
Meine OpnSense hängt hinter einer Fritzbox als DSL Modem (war günstig und funktioniert stabil), aber bekanntermaßen eben mit Doppel-NAT.
In der Fritzbox wie auch in der OpnSense ist alles IPv6 relevante noch abgeschaltet.
Meine Fragen zu IPv6 mit der OpnSense wären stand heute erstmal:
- Bekommt die OpnSense hinter der Fritzbox das komplette Präfix oder nur eine Adresse?
- Muss ich mein ganzes Heimnetz IPv6 fähig machen oder kann man das irgendwie Tunneln
- Falls ich IPv6 in der OpnSense konfigurieren muss, ändern sich dann die IPv6 Adressen der Geräte dahinter, wenn sich das Präfix des Providers mal ändert?
Wie behandle ich diesen Fall in den Firewallregeln? - Wie verhält sich das mit den IPv6 Adressen bei meinen VLANs da ja alle aus dem gleichen Präfix stammen?
Oder muss ich einen internen DHCPv6 Server aufsetzen?
Ich hatte schon mal vor langer Zeit mit IPv6 gespielt (damals noch ohne OpnSense), das ganze aber ziemlich schnell wieder fallen gelassen, da es wirklich für mich extrem anders als das gelernte IPv4 Wissen (als nicht ITler) war. Aber eigentlich will ich ja was lernen und mich auf das Thema einlassen.
Daher habe ich heute fast den genzen Tag mir Material zu dem Thema angeschaut/gelesen und es sind mir die oben aufgelisteten Fragen einfach nicht klar geworden.
Natürlich auch mal die KI bemüht, aber selbst diese blickt bei dem Thema nicht richtig durch bzw, widerspricht sich dauernd selbst.
Ich will jetzt keine Musterlösung von euch, auch wenn es für mich schön einfach wäre, aber ich würde einfach gerne mal bei dem Thema durchblicken wie ich es eben bei IPv4 auch kann. Im Grunde hätte ich gerne IPv4 und IPv6 parallel laufen (was ja heute Standard sein sollte) damit bei mir alles auf dem aktuellen Stand ist.
Einen Teil des Prefix: /57 vom /56.
Da wo Dir Konnektivität wichtig ist, würde ich auf Dual-Stack wert legen, also PCs, Phones, etc.
Ja. Und bei 1u1 ändert der sich täglich. Ein Umgang damit ist weniger auf einzelne IP-Adressen zu setzen und mehr auf ganze Subnets, also das Subnet X darf das, Subnet Y aber nicht.
Es gibt auch Lösungen für einzelne Hosts in der OPNsense, ist mir aber gerade nicht geläufig.
Der Prefix wird ja aufgeteilt unter deinen LANs (und VLANs), da musst Du dir keine Gedanken machen. Jedes LAN bekommt einen eigenen /64. Der /57 von oben enthält 128* /64.
Grundsätzlich würde ich auch mal beim ISP nachfragen, ob Du nicht vollen Dual-Stack bekommen kannst, weil Du den brauchst für Tele-Arbeit etc. Bei 1u1 selbst funktioniert das oft.
Zuletzt bearbeitet:
toscdesign
Enthusiast
Inzwischen nicht mehr, insbesondere wenn du ein Drillisch Angebot nutzt.
Aber danke für deine Erklärungen, die bringen mich weiter als das was ich bisher so gelesen habe 👍
@toscdesign Hier gibt es was dazu.
IPv6 ist schon nen Batzen an Neuerungen, aber mit der Zeit lernt man das.
Die Chinesen haben jetzt ihren eigenen Sandkasten. Die haben uns die längste Zeit zugespammt. Simples droppen wär ja was für die Memmen Admins.
Zuletzt bearbeitet:
Was machen die denn, dass die nen anderen Server "verdient" haben. In ihrer Landessprache schreiben?
Ja, die flooden extrem die Lobby, bis die Gameclients abstürzen. Oder kommen halt in die Sessions rein, wechseln 10x in 10 Sekunden das Plane, joinen, leaven direkt hintereinander. Das ruckelt halt jedes mal bei uns, die Aktionen. Die meisten sind ganz nett und geben sich Mühe, aber wenn die nach 02:00 Morgens bis 12:00 den Server in Beschlag nehmen/nahmen, haben die halt massiv den Spielbetrieb gestört. Und immer 10 Ghost Sessions.
Wie gesagt, hätte die ja auch einfach droppen können, aber das war mich dann doch zu restriktiv. Ist auch der ganze Nachwuchs, aus dem Rest der Welt interessiert das Hobby nur alte Männer. Ich mach das ganz sicher nicht aus Spass. Also doch schon irgendwie. Hasse ja Polizisten, aber bisschen Verkehr regeln ist doch ganz witzig.
Da sind auch nur 10% echte Piloten dabei (bin ja selbst keiner), der Sim ist halt in vielen Internet Cafes installiert. Die probieren das aus, und spamen halt mal die Lobby zu, weil ihnen nichts besseres einfällt. Die einen unterhalten sich auch, die anderen testen wie lange es geht, meinen Chatbot zum abstürzen zu bringen.
Und ja, hab mir den Schritt 3x überlegt. Stand jetzt werde ich die Trennung beibehalten, durchaus.
Und btw. hat Dein Post so ein negatives Beigeschmäckle: kannst gerne meine Posthistory hier im Luxx checken. Bin der Letzte hier, der mit negativen Statements gegen Chinesen auffällt, rly. Von mir hörst Du da nämlich nur "meine chinesischen Freunde" und "Ein Hoch auf die Chinamänner"... Die Schiene lass ich mir nicht andichten.
Wie gesagt, hätte die ja auch einfach droppen können, aber das war mich dann doch zu restriktiv. Ist auch der ganze Nachwuchs, aus dem Rest der Welt interessiert das Hobby nur alte Männer. Ich mach das ganz sicher nicht aus Spass. Also doch schon irgendwie. Hasse ja Polizisten, aber bisschen Verkehr regeln ist doch ganz witzig.
Da sind auch nur 10% echte Piloten dabei (bin ja selbst keiner), der Sim ist halt in vielen Internet Cafes installiert. Die probieren das aus, und spamen halt mal die Lobby zu, weil ihnen nichts besseres einfällt. Die einen unterhalten sich auch, die anderen testen wie lange es geht, meinen Chatbot zum abstürzen zu bringen.
Und ja, hab mir den Schritt 3x überlegt. Stand jetzt werde ich die Trennung beibehalten, durchaus.
Und btw. hat Dein Post so ein negatives Beigeschmäckle: kannst gerne meine Posthistory hier im Luxx checken. Bin der Letzte hier, der mit negativen Statements gegen Chinesen auffällt, rly. Von mir hörst Du da nämlich nur "meine chinesischen Freunde" und "Ein Hoch auf die Chinamänner"... Die Schiene lass ich mir nicht andichten.
Zuletzt bearbeitet:
Ich meinte das schon Ernst, ist ja häufig das Problem wenn es keine Sprachspezifischen Server gibt. Ich spiele z.B. hin und wieder Heroes of the Storm (das Blizzard Spiel) und da gibt es halt einen EU Server wo einfach komplett Kontinentaleuropa drauf ist. D.h. du hast ständig Russen die kein Englisch können und daher keine Team Kommunikation möglich ist. Und da du "spammen" genutzt hast bin ich davon ausgegangen, dass es genau darum geht.
Nein, würde die gerne alle vereint fliegen lassen. Aber spamen war durchaus wörtlich gemeint. Also die einen spamen da die Gamelobby mit 1000000 Zeichen zu.
Spiele übrigens auch HoS. Bin da der Heal, der dauernd geflamed wird. Drum flügerli ich meistens, da weiss man wenigstens, wieso man verliert. Gibt nichts was ich mehr hasse als 4/5 an einem World Quest Event.
Spiele übrigens auch HoS. Bin da der Heal, der dauernd geflamed wird. Drum flügerli ich meistens, da weiss man wenigstens, wieso man verliert. Gibt nichts was ich mehr hasse als 4/5 an einem World Quest Event.
- Mitglied seit
- 11.10.2007
- Beiträge
- 1.295
OPNSense wurde ja via Snapshot auf letzte funktionierende Version wiederhergestellt – dann habe ich ein Update von AdGuard gemacht und habe gleichzeitig die Blocklisten umgestellt.
Das „normale Surfen“ lief dann deutlich besser als mit meinen alten Blocklisten.
Einige Tage später wollte ich JDownloader nutzen – es wurde ein Update eingespielt und seither kam dann immer die Fehlermeldung „keine Internetverbindung“.
Dann mal kurz sämtliche Blocklisten in AdGuard deaktiviert – keine Änderung.
Kurz Hotspot mit dem Handy => JDownloader läuft wieder.
Jetzt muss ich mir mal das Protokoll in OPNSense ansehen.
Aber, wie kann das sein, wenn ich vorm OPNSense-Update einen Snapshot der funktionierenden Firewall mache und nach fehlgeschlagenem Update genau diesen Snapshot wiederherstelle!?
JDownloader hat ja vorher funktioniert.
LG
Nutze ebenso beides und hier funktioniert alles wie es soll. OPNSense ist bei mir auf dem letzten Patch-Stand. JDownloader ebenso.
- Mitglied seit
- 11.10.2007
- Beiträge
- 1.295
Danke, das erklärt natürlich warum ein wiederhergestellter Snapshot einer zuvor fehlerfrei funktionierenden Firewall plötzlich diesen Fehler hat.
Genau, da es die einzige logische Erklärung ist. Hätte das Ganze irgendwas primär mit der OPNsense zu tun, dann hätte das Zurückgehen ja das Problem schon beseitigt.
Das Problem mit DNS ist, wenn man es nicht verstanden hat, dann kann einen das jederzeit beißen. Eine falsche Konfiguration kann nämlich auch eine Weile einfach weiter funktionieren. Und ein schwieriges Thema ist es nicht, einfach mal lernen, wie so eine DNS-Abfrage funktioniert.
Gen8 Runner
Urgestein
- Mitglied seit
- 12.08.2015
- Beiträge
- 1.242
Hat jemand von euch Wireguard zwischen zwei Standorten am Laufen?
Ich habe das gemäß dieser Anleitung versucht:
Paar kleine Änderungen waren natürlich dabei, die LAN Subnets sind bei mir anders und hinzu kommt, dass ich am einen Standort (bisher) nur über einen VPN mit privater IPv4 auch wirklich IPv4 realisieren kann und am anderen Standort CGNAT ist. Und das lässt sich auch nicht ändern, da man IPv4 dort nur im Businesstarif anbietet.
Langer Rede kurzer Sinn:
Ich hab es nun so konfiguriert, dass der Server am Standort wo es nur CGNAT gibt, mit dem Server verbindet, welcher die richtige IPv4 hat. Die beiden Peers verbinden sich auch, die Verbindung steht und ich kann von der jeweils anderen PFSense die andere anpingen, läuft sauber durch.
Aber Daten oder der Ping von einem normalen Rechner im jeweiligen Netzwerk funktioniert nicht.
Habt ihr noch Ideen?
Static Routes habe ich auf beiden PFSense hinterlegt, in der Firewall ist auch beim jeweiligen Wireguard-Interface eine Freigabe für alles hinterlegt, Änderungen im NAT haben auch nichts bewirkt.
Routingtabelle passt auch soweit:
Subnet des externen Server - Wireguard-Tunnel-IP - MTU 1440
Gibt's irgendwo noch nen Log für Wireguard? Oder wo könnten die Pakete hängen?
PFSense zu PFSense pingen funktioniert, aber beim Rest kommt halt nix durch.
Ich habe das gemäß dieser Anleitung versucht:
Paar kleine Änderungen waren natürlich dabei, die LAN Subnets sind bei mir anders und hinzu kommt, dass ich am einen Standort (bisher) nur über einen VPN mit privater IPv4 auch wirklich IPv4 realisieren kann und am anderen Standort CGNAT ist. Und das lässt sich auch nicht ändern, da man IPv4 dort nur im Businesstarif anbietet.
Langer Rede kurzer Sinn:
Ich hab es nun so konfiguriert, dass der Server am Standort wo es nur CGNAT gibt, mit dem Server verbindet, welcher die richtige IPv4 hat. Die beiden Peers verbinden sich auch, die Verbindung steht und ich kann von der jeweils anderen PFSense die andere anpingen, läuft sauber durch.
Aber Daten oder der Ping von einem normalen Rechner im jeweiligen Netzwerk funktioniert nicht.
Habt ihr noch Ideen?
Static Routes habe ich auf beiden PFSense hinterlegt, in der Firewall ist auch beim jeweiligen Wireguard-Interface eine Freigabe für alles hinterlegt, Änderungen im NAT haben auch nichts bewirkt.
Routingtabelle passt auch soweit:
| 192.168.90.0/24 | 10.6.210.1 | UGS | 24 | 1440 | tun_wg0 |
Gibt's irgendwo noch nen Log für Wireguard? Oder wo könnten die Pakete hängen?
PFSense zu PFSense pingen funktioniert, aber beim Rest kommt halt nix durch.
Ja.
Wenn das S2S ist, dann würde ich NAT vermeiden oder abschalten. MTU für WireGuard ist in der Regel 1420, ggf. kleiner.
Was sagen denn die Allowed IPs? Diese ggf. einfach durch 0.0.0.0/0 ersetzen, da die pfSense ja eh keine Routen setzt.
Aktiviere auch Keep Alive (25s) auf der Sense mit dem CGNAT.
Zuletzt bearbeitet:
Gen8 Runner
Urgestein
- Mitglied seit
- 12.08.2015
- Beiträge
- 1.242
NAT habe ich auf dem Server mit CGNAT ausgeschaltet ; auf dem Hauptserver brauche ich es allerdings, alleine wegen einiger VPN Instanzen. Dennoch ist auch auf dem Hauptserver für das Wireguard-Interface nichts mehr in Sachen NAT konfiguriert.
1420 werde ich gleich mal probieren.
Allowed IP's habe ich jeweils das "gegenüberliegende" LAN Subnet eingetragen und den eigentlichen Wireguard-Tunnel (10.6.210.0). 0.0.0.0/0 werde ich mal testen.
Keepalive 25 war auf dem CGNAT Server bereits aktiviert, dennoch danke für den Hinweis, dass das so richtig ist.
Ich meinte auch nur den S2S-Tunnel.
Wobei Du dort nur die IP der Gegenseite mit /32 einträgst und nicht das ganze Transitnetz. Da sich die Sensen aber wohl gegenseitig erreichen können, scheint das nicht dein Problem zu sein und mit 0.0.0.0/0 bist Du auf der ganz sicheren Seite.
Gen8 Runner
Urgestein
- Mitglied seit
- 12.08.2015
- Beiträge
- 1.242
Ah sehr gut.Ich meinte auch nur den S2S-Tunnel.
Wobei Du dort nur die IP der Gegenseite mit /32 einträgst und nicht das ganze Transitnetz. Da sich die Sensen aber wohl gegenseitig erreichen können, scheint das nicht dein Problem zu sein und mit 0.0.0.0/0 bist Du auf der ganz sicheren Seite.
Ich hab jetzt mal die 0.0.0.0/0 hinterlegt und den Rest gelöscht. Leider immer noch kein Ping von einem Rechner im jeweiligen Subnet möglich, Zeitüberschreitung...
Aber Interface scheint echt stabil zu stehen mit der RTT von knapp 42ms.
Ärgert mich, dass das nicht läuft, liegt sicherlich nur an einer winzigen Firewalleinstellung.
Die Windows-eigene Firewall selbst blockt so einiges aus fremden Subnets, ggf. mal zum Testen abschalten.
Auch interessant ist die Firewall-State-Table, wie ich heute lernen musste.
Aber auch sämtliche Logging-Optionen von Firewall-Regeln können aufschlussreich sein.
Ähnliche Themen
- Artikel
[User-Review]
Synology ActiveProtect Appliance DP320 im Lesertest
