Subcategories

  • 103 Topics
    1k Posts
    JeGrJ
    Da Hetzner zur Zeit seinen DNS Kram vom alten Robot auf die neue Cloud Console migriert, geht einiges schief und kaputt. Zusätzlich ändert sich dann aber auch die URI und das Plugin in der pfSense kann dann logischerweise nicht mehr korrekt laufen. alt: dns.netzner.com/api/v1/ neu: api.hetzner.cloud/v1/ Daher bei Anpassung dann entweder auf "Custom" umstellen und das selbst über die neue API reinbauen, oder seinen DNS vllt. noch nicht migrieren (oder vllt. auch woanders hin migrieren). Persönlich versuche ich eher, Domainregistrierung und DNS getrennt zu halten. Cheers!
  • 80 Topics
    433 Posts
    JeGrJ
    Heute spontan OpenHouse im NSFW.pub. Gern einfach mal reinschauen, kann allerdings sein dass zwischendurch mal gerade keiner am "virtuellen Tresen" ist oder ich Getränke hole/wegbringe. Cheers :)
  • Willkommen im deutschsprachigen Forum!

    Pinned Locked
    7
    1 Votes
    7 Posts
    26k Views
    JeGrJ
    Kurze Ergänzung: ich entschuldige mich für die längere Abwesenheit seit ca. 6 Wochen, ich war leider alleine 4 davon fast durchgehend erkrankt und kaum in der Lage an irgendwas, geschweige denn einem Forum, mitzuarbeiten. Ich hoffe aber, dass ich den restlichen November nutzen kann um die Defizite aufzuholen und wieder auf den aktuellen Stand zu kommen. Diverse halb-gelöschte Themen und Beiträge habe ich jetzt erstmal bereinigt und hoffe, dass hier auch weiterhin alles freundlich und in angenehmer Art und Weise weitergeflossen ist :) Viele Grüße \jens
  • Netzwerk Diagramme zum Einfügen in eigene Posts

    Pinned
    5
    0 Votes
    5 Posts
    28k Views
    O
    Hi JeGr, ist eine Möglichkeit. Man kann das ganze auch noch etwas verfeinern und etwas "Farbe" reinbringen, in dem man einfach das Open-Source Programm "DIA" nutzt. Das gibt es sowohl unter Linux wie unter Windows..... Programm DIA ...und das Ergebnis eines vor längerer Zeit erstellten Netzwerkes sieht dann z.B. so aus.... [image: 1549477117474-netzwerk-resized.jpeg] Man sollte es vor dem Upload nur noch als .jpeg konvertieren, indem man das Ergebnis.dia in ein Ergebnis.jpeg exportiert, denn mit Ergebnis.dia, funktioniert kein Upload. Macht aber sicher für den Anfang etwas mehr Arbeit, wie Copy & Paste. ;-) Gruß orcape
  • Wie stelle ich Fragen, damit man mir helfen kann?

    Pinned
    2
    9 Votes
    2 Posts
    7k Views
    JeGrJ
    Eine kurze Ergänzung hierzu: Wenn ihr IP Adressen im Text (nicht in Screenshots) unkenntlich machen wollt, dann seid euch bitte bewusst, dass es sich kaum lohnt, RFC1918 (also private) Adressen zu zensieren - die kann eh niemand erreichen bis zu euch :) Wenn ihr feste statische IP4 Adressen oder IP6 Prefixe habt und die lieber rauslassen wollt, wäre es trotzdem hilfreich, wenn wir sehen würden, was da passiert um zu helfen. Daher am Besten: The blocks 192.0.2.0/24 (TEST-NET-1), 198.51.100.0/24 (TEST-NET-2), and 203.0.113.0/24 (TEST-NET-3) are provided for use in documentation. Diese Adressen nutzen. Wenn ihr bspw. die IP4 46.142.167.123 aktuell habt (vergesst es, das ist ne DSL Adresse auf der nichts erlaubt ist außer Ping und morgen ist die wieder weg ) und wollt das in den Logs verstecken, dann einfach "suchen und ersetzen" und durch bspw. 203.0.113.123 tauschen. "Sieht" immer noch nach public IP aus, wird aber nicht geroutet, ist ein Testnetz und daher unkritisch. Für alle anderen die aber flüchtig drüberlesen ist/wird es klar, dass hier eine public IP im Spiel ist. Genauso geht das für das IPv6 Documentation Prefix: 2001:db8::/32 das ihr komplett statt eurer eigenen IP6 bei der Dokumentation oder Fehlerbeschreibung nutzen könnt. Einfach die ersten beiden Blöcke eurer IP6 durch 2001:db8 ersetzen und fertig. Auch hier lohnt sich aber das Verstecken von fdXY::/16 Adressen nicht. Alles was mit fc/fd anfängt wird eh nicht geroutet. Cheers \jens
  • [HowTo] Automatischer PPPOE Reconnect bei Paketverlust

    Pinned howto pppoe script
    5
    0 Votes
    5 Posts
    9k Views
    M
    @s0nic Hallo, eine Frage, wenn ich versuche das Script auszuführen bekomme ich: /usr/local/bin/pingtest.sh: Command not found. muss man da noch berücksichtigen? Danke und schöne Grüsse
  • Routing WAN-WIREGUARD-LAN

    2
    0 Votes
    2 Posts
    33 Views
    micneuM
    @BernardoUI bitte mal screenshots von deinen Firewall Regeln usw. Bitte auch von outbound NAT
  • Mehrere WTS Server in RZ mit PFSENSE - wie websperren umgehen ?

    1
    0 Votes
    1 Posts
    21 Views
    No one has replied
  • sonewconn: Listen queue overflow

    1
    0 Votes
    1 Posts
    32 Views
    No one has replied
  • 0 Votes
    28 Posts
    2k Views
    E
    @Bob.Dig eine wirklich praktikable Lösung dafür, die Nextcloud im LAN auch per IPv4 unter dem FQDN zu erreichen habe ich nicht gefunden. Dafür nun aber eine Lösung für das eigentliche Problem, weswegen ich die Erreichbarkeit per IPv4 unter dem FQDN überhaupt herstellen wollte. Und das hat nichts mit der pfsense zu tun, sondern mit Android. Android-Geräte verlieren im WLAN regelmäßig nach einiger Zeit die öffentlichen, per SLAAC erhaltenen IPv6-Adressen und handeln dann auch keine neuen aus. Diese dummen Androiden, die ja bekanntlich auch kein DCHPv6 können, haben dann nur noch eine IPv4- und fe80-IPv6-Adresse. Über beide erreichen die aber eben nicht die Nextcloud um nachts per FolderSync zur NC zu sychonisieren. Bei Reddit: Android verliert ipv6 im WLAN habe ich nun den hoffetntich entscheidenden Lösungsansatz gefunden, nämlich fürs WLAN in den Router Advertisements die Router Lifetime deutlich zu verlängern, von default 1800 auf 9000 Sekunden.
  • Dyndns nach Update nicht mehr funktionell

    11
    0 Votes
    11 Posts
    2k Views
    E
    @JeGr said in Dyndns nach Update nicht mehr funktionell: Das ist nicht deprecated, sondern Viel Dank für deine Infos. Bin übers lange WE verreist und habe daher nur remote zugang zur pfsense. Dass ich deprecated schrieb liegt am Infotext in der pfsense selbst zum neuen if_pppoe Use if_pppoe kernel module for PPPoE client Checking this option will set the system to use the new if_pppoe kernel driver for PPPoE client connections. Keep it unchecked to use the deprecated PPPoE support from mpd5.
  • pfsense HA an Telekom Glasfaser Anschluß

    5
    1
    0 Votes
    5 Posts
    18k Views
    JeGrJ
    @chris1284 said in pfsense HA an Telekom Glasfaser Anschluß: Proxmox HA vernünftig aufgesetzt sind 3 nodes minimum, da man mit 2 nodes bei Ausfall kein Quorum (Mehrheit) zustande kommt und der Cluster read only geht (also die vms laufen, aber man kann nicht migrieren oder neue starten). Das kann man jedoch händisch "arbeitsfähig bleiben" (expected 1), wenn 1 node down ist. Jein. Ja du hast mit vernünftig aufgesetzt recht, Homelab ist aber != Business best-case setup. 2 Nodes gehen absolut und können auch bei Ausfall reagieren. Ausfall muss dann eben korrekt definiert und Fencing konfiguriert sein. Das geht. Und selbst wenn nicht, semi automatisch geht immer. :) @chris1284 said in pfsense HA an Telekom Glasfaser Anschluß: Bei bedarf fahre ich den 2. node hoch, migriere die VM, expect 1 setzen und fahre den 1. node runter/führe dort die Wartung durch. Danach alles zurück migrieren, node 2 wieder down Das geht natürlich auch. @chris1284 said in pfsense HA an Telekom Glasfaser Anschluß: Ein 3 Port WAN VLAN auf einem Switch und da dann Modem uplink, WAN Node 1 und WAN Node 2 dran. bei Life Migration dürfe dem Modem dann der Wechsel des nodes nicht auffallen (selbe Mac WAN pfsense) Mit Nodes meinst du die Proxmoxe? Ja klar, da reicht ein Hub oder "dummer" Switch mit simplem VLAN. Hauptsache die Nodes haben physikalisch das WAN gleich bei sich und könnten auf egal welchem Node/WAN dann via PPPoE das Interface anfahren zur Einwahl. @chris1284 said in pfsense HA an Telekom Glasfaser Anschluß: Das müsste gehen. Hub dazwischen wäre doch dann simpler? In der Tat :) @chris1284 said in pfsense HA an Telekom Glasfaser Anschluß: Das Szenario hatte ich auch schon, dann läuft aber entweder ein Router statt dem Modem oder ein Modem, 1 Router, 2 PVE. Double NAT hat man so oder so, das wollte ich vermeiden. Der erste Router müsste dann ja auch auf "Durchzug" stehen und alles durchreichen. Alle Welt schreit immer Zeter und Mordio bei Doppel NAT. Wenn du aber im Homelab kein Mega-Gamer mit Extrem-Anspruch bist, der P2P Port mäßig super-direkt überall erreichbar sein muss, ist egal wie viel NAT völlig egal dazwischen. Und bei einem Cluster-Paar ist ein vorgeschalteter Router eben "Pflicht" oder zumindest best-case setup, da man ansonsten auf dem secondary node kein Internet hat, was den Betrieb stark beeinträchtigt. Zum einen kann er dann nicht sofort übernehmen wie schon gesagt, zum anderen geht dir gerade einer der Pluspunkte vom Clustering kaputt: einfaches Failover und Update bei neuen Versionen. Normalfall: Update 2nd node, durchbooten, testen - hey geht - switchen auf 2nd node, 1st in maint setzen, upgraden, testen, zurückschwenken. Normaler Fall: 2x 1-3s Ausfall/Ruckeln. Best Case du merkst gar nix. Geht aber nicht, wenn nicht beide Nodes unabhängig Internet haben :/ Und die "Doppel-NAT" ist kein Drama, da du auf dem Router davor exposed Host machst, du bekommst also trotzdem alles ab (außer der Router kann so gar nix - dann verbrennen und anderes Gerät). Aber gehen wir von ner frittierten Fritte aus, dann exposed Host man die VIP und kann dann auf den einzelnen pfS Nodes trotzdem sauber (durch das NAT davor) ins Netz, während alles von extern via Exposed Host auf die VIP auf den aktiven Node reingeballert wird. Pluspunkt (bei einigen ISPs): Du setzt den/einen kompatiblen Providerrouter ein, den sie entweder selbst ersetzen, warten oder supporten müssen und sie können sich nicht rausmurksen wenns mal Probleme gibt. @chris1284 said in pfsense HA an Telekom Glasfaser Anschluß: Danke! Wenn mein Gedanke zum "downgraded" Proxmox Cluster mit 2 Nodes und VLAN für sauberen WAN switch bei Migration sauber funktioniert aus deiner Sicht, wäre das mein Weg, den ich teste. Klar feuer frei :) Wenn die 2 kleinen Nodes entsprechend verkabelt sind, sollte das kein Thema sein. @chris1284 said in pfsense HA an Telekom Glasfaser Anschluß: Danke sehr für deinen Input und den Denkanstoß Immer gern :) Aber es hat schon seinen Grund, warum selbst Netgate Personal sagt, dass im Homelab/zu Hause Clusterbetrieb einfach zu oversized ist. Da bist du so am puzzeln und basteln dass das geht... uff. :D Cheers!
  • WAN verliert IP Adresse - Netgate 7100

    10
    0 Votes
    10 Posts
    2k Views
    JeGrJ
    Dass DHCP o.ä. über private IPs vom ISP kommt ist kein Wunder, das ist häufig der Fall. dein lagg0.7 (vlan7 auf lagg0) muss dann wahrscheinlich dein WAN sein auf dem du DHCP aktiv hast? Oder wie ist sonst dein WAN konfiguriert? Der ISP macht also um 2h ggf. ein Renew oder eine Zwangstrennung oder gabs nen Grund warum genau da das WAN ne neue IP bekommen hatte? Der DHclient hat zumindest >24h als Lease Time bekommen und hätte daher erst am nächsten Tag um kurz nach 2h morgens wieder ein Renew gemacht. Der ISP hat aber anscheinend dann vorher schon die Adresse entzogen oder die pfSense hat sie verloren. Die Frage ist da eher, was VOR dem Gateway Alarm kam. Der kam ja dann wohl so kurz nach 12 und dann ging nix mehr. Daraufhin wurden dann auch alle WAN-abhängigen Sachen neu gestartet, aber die Frage ist, was genau vor 12:01:00/01 passiert ist, denn da kam der GW Alarm. Und da würde ich dann auch in den DHCP Logs schauen ob um 12h irgendwas passiert ist. Dass das so GENAU 10h sind, stinkt nämlich ein wenig. Das könnte dann sein, dass nach 10h irgendwas beim ISP expired wenn das nicht erneuert wird und die pfSense macht halt nichts bevor die Lease Time rum ist - warum sollte sie auch, sie hat ja die IP. Wenn der ISP aber irgendwelchen Dummfug veranstaltet und dann immer mal wieder auf irgendwas wartet um die IP "up" zu lassen (ja erzählen können die viel, dass sie NUR DHCP machen würden...), dann klapperts dann trotzdem. Wir hatten das bei seltsamen ISPs schon mit CARP/HA Adressen, die dann einfach "vergessen" wurden auf dem Interface, weil deren MAC Adresse nicht upstream geschickt wurde - da das nur beim setzen der VIP gemacht wird. Die VIP wurde dann vom ISP wegen "inactivity" einfach weggekillt. Wir haben dann ein Script gebaut, was in regelmäßigen Intervallen einen gratuitous ARP von der VIP schickt, dann war plötzlich alles gut. Und das war bei statischen IPs. Angeblich auch der ISP "nix gemacht!!!11elf". Hmm ;) Anderer Fall könnte sein, dass du von einem anderen Device einen DHCPNACK bekommst bzw. einen Release, der aber von ner anderen IP kommt. Dagegen könnte man reinwerfen, dass der DHCP NUR von der IP oben kommen darf - sofern die immer gleich ist. Das wäre dann auch ein Thema.
  • pfBlocker Config History Patch

    7
    5
    4 Votes
    7 Posts
    6k Views
    J
    @JeGr mein Ruf ist zu "schlecht" für einen echten Daumen hoch für diesen Thread. Also so... Danke Jens, Viele Grüße, Jörg
  • Konfiguration einer pfSense am Deutsche Giganetz MyNet 600

    35
    5
    0 Votes
    35 Posts
    5k Views
    E
    @Armin_ said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600: /var/etc/pppoe_restart_pppoe0 gibt es bei mir nicht Gibt es vermutlich erst, wenn du in Interfaces -> WAN -> PPPoE Configuration ein Custom reset eingerichtet hast. Dann erscheint das als eigener Punkt unter den Services -> Cron -> Settings [2.8.1-RELEASE][admin@pfSense.localdomain]/root: less /var/etc/pppoe_restart_pppoe0 #!/bin/sh /usr/local/sbin/pfSctl -c 'interface reload wan' /usr/bin/logger -t pppoe0 "PPPoE periodic reset executed on wan"
  • Update 2.8.0 -> 2.8.1

    1
    0 Votes
    1 Posts
    348 Views
    No one has replied
  • Glasfaser mit APU2E4 - welcher Durchsatz möglich?

    22
    0 Votes
    22 Posts
    13k Views
    JeGrJ
    @michaeljk said in Glasfaser mit APU2E4 - welcher Durchsatz möglich?: Fazit: Am 600/300 Anschluss erfüllt die APU2 noch ihren Zweck. Vermutlich wird dies am 1000/500 Anschluss nicht mehr der Fall sein, das prüfe ich dann nochmals bei einem zukünftigen Upgrade. Vor allem wenn die Box PPPoE selbst macht wird es da kritisch bei mehr als ca. halbem Gigabit. Auch wenn der neue Daemon potentiell weniger Overhead hat, ist die Lebenszeit aber langsam erreicht :) Für DSL tuts noch ;) aber schnellere Anschlüsse sollte man dann sich doch lieber in Richtung N150/vergleichbar oder höher orientieren. Cheers
  • Keine Zugriff mehr auf meine Pfsense, nach upgade auf 2.8.0

    10
    0 Votes
    10 Posts
    4k Views
    M
    @Rico Ich glaube jetzt hab ich es, das System bootet automatisch vom Stick und über die Serielle Verbindung kann ich die Installation auch starten (xterm war das Mittel der Wahl bei der Konsole, für mich) und werde durch die Installation geführt. Ich hoffe ich kann mein Backup dann auch wieder einspielen
  • Deutsche Glasfaser - WAN IPs

    1
    0 Votes
    1 Posts
    473 Views
    No one has replied
  • Traffic logging und Analyse

    3
    0 Votes
    3 Posts
    984 Views
    G
    @Woodsomeister Hi Vielen Dank für den Tipp... Ja das ist eine sehr gute Frage warum ich den VMs nicht trauen kann ... Das sind Webserver ein colaboration Server und ein virotualisiertes Synology.... Ich habe aktuell am ehesten das Synology in Verdacht... In den Web Serverogs und den ssh logs ist nix ungewöhnliches zu sehen ... Wie gesagt am ehesten das Synology oder einer der Webserver.... Ich schaue mir das an Ich melde .ich wieder
  • Was mach ich falsch? LAN_VPN subnet -> WireGuard WAN_VPN

    5
    7
    0 Votes
    5 Posts
    1k Views
    R
    @Bob.Dig THX.. Probier ich aus..
  • Netgate 2100 WAN-Fallback Problem

    5
    4
    0 Votes
    5 Posts
    1k Views
    JeGrJ
    @wuesti Ach Vertipper, die kommen vor :)
Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.