Deutsch

pfsense hinter Glasfasermodem 2 Telekom

micneu — Wed, 11 Mar 2026 13:02:06 GMT

@schugk hast du im WAN die Haken bei den „Block …“-Optionen entfernt (ich weiß nicht, was Standard ist, bei mir sind sie gesetzt)? Leider hast du meine weiteren Fragen noch nicht beantwortet – bisher konnte ich nur sehen, dass du VLAN 7 konfiguriert hast.

odroid H3 with RealTek NIC an pfsense

micneu — Wed, 04 Mar 2026 16:35:57 GMT

@krabat wir sind hier im Deutschen Bereich, @JeGr kann man den in den englischen Bereich verschieben?

Update pfSense Netgate 6100

micneu — Wed, 04 Mar 2026 09:40:27 GMT

Jetzt bin ich aber neugierig, was das für eine Umgebung ist, die nicht offline gehen darf und trotzdem PPPoE einsetzt. Die letzte Umgebung, die ich kannte und die nicht ausfallen durfte, war meine alte Firma - dort hatten wir allerdings keine PPPoE‑Verbindung, sondern eine Darkfiber, da durfte auch nichts offline gehen.

Netcologne Glasfaser mit DS-Lite

ijobs — Sat, 28 Feb 2026 18:02:02 GMT

Ja, hatte schon einmal vor einem Jahr das Thema. Da habe ich aber nur Infos zu PPPOE bekommen und den Ratschlag Full Dual Stack zu erfragen. Wo es mir drauf ankommt ist das Thema IPv4 im IPv6 Tunnel. PFsense verarbeitet wohl die Info zum AFTR Server nicht automatisch.

pfSense und Windows Server DNS

JeGr — Wed, 18 Feb 2026 19:55:49 GMT

@BulkAndi75 said in pfSense und Windows Server DNS: Ich denke aber, für ein kleines Netzwerk, ist dieses Konzept durchaus vertretbar. Mittlerweile habe ich DHCP und DNS über einen Windows DC laufen und funktioniert unter OPNsense ganz gut und stabil. Ich bin aber dabei beide FWs zu testen und pfSense zickt da noch. Definitiv ein setting Thema. Würde ich auch sehen, unserer Lab Erfahrung nach zickt OPN gern etwas mehr als pf in Virtualisierung, da sich die Projekte da etwas unterscheiden. Da sieht man dann auch den unterschiedlichen Unterbau (FBSD 16 inzwischen bei pf). Hängt aber auch stark vom HV ab. KVM (Proxmox, o.ä.) sehe ich eher weniger Probleme. Bei HyperV gabs da schon etwas mehr. Und manchmal hat man auch seltsam ominöse Probleme in kleineren HV Projekten wie Virtuozzo und Co. @BulkAndi75 said in pfSense und Windows Server DNS: Backup und Restore über Veeam geht ruck zuck. Das ist eine Möglichkeit, ich würde aber empfehlen separat dazu noch die config.xml über einen Job zyklisch wegzusichern damit man damit nochmal eine saubere Config hat und als Basis nutzen kann ohne gleich die ganze Maschine wiederherzustellen. Ansonsten ist das klein und fein und sollte ohne große Probleme laufen. Cheers

haProxy und verschiedene SSL Zertifikate für Backends

JeGr — Tue, 10 Feb 2026 15:06:10 GMT

@Jochen77 du kannst auch deine Domain bei einem anderen Anbieter sehr einfach mit einem Wildcard Zert ausstaffieren und das auch auf der Sense mit ACME. Du brauchst dazu lediglich deine andere Domain, bei der der Check ja sauber funktioniert und kannst die andere Domain bzw. deren acme-challenge dorthin umleiten. Da du die andere Domain ja augenscheinlich via IP64 o.ä. mit Zertifikat ausstatten kannst, klappt das dann via challenge-alias dann auch mit der anderen Domain. Man leitet quasi mit einem CNAME Eintrag die Challenge Abfrage auf die andere Domain um, stellt das im ACME package entsprechend ein und ACME erstellt dann einen sauberen DNS Eintrag zum Prüfen an der richtigen Stelle. Beispiel: DomainA.de - geht problemlos mit wildcard via DNS64 (oder irgendwas anderes mit API) DomainB.de - geht nicht, weil dooferProvider keine ordentliche API hat. Dann erstellt man ein acme-challenge.DomainB.de Eintrag als CNAME, lässt diesen auf acme-challenge.DomainA.de zeigen und konfiguriert in ACME dann einen Job, der Wildcard.DomainB.de anfordert, macht aber einen Haken bei Challenge Alias und trägt dort DomainA.de ein und wählt dann die korrekten API Infos für DomainA ein. LetsEncrypt bekommt dann die Anfrage für DomainB, sieht dass der acme-challenge ein CNAME ist, fragt den Eintrag von DomainA ab und nickt dann entsprechend das Zertifikat für DomainB ab. Klingt kompliziert, ist aber eigentlich recht simpel. Und dann kann man auch problemlos in HAproxy auch alles ordentlich mit Zertifikat und Offloading einrichten ohne Sonderlocken. Cheers

Dynamische DNS funktioniert nicht bzw. nicht mehr mit dnshome.de

micneu — Tue, 03 Feb 2026 19:17:57 GMT

@snah0815 Nach meiner kurzen Recherche stimmt das so nicht ganz. Schau am besten noch mal in die Dokumentation deines Anbieters, was genau erwartet wird, und lies dir auch den Erklärungstext auf der Konfigurationsseite durch. [image: 1770369559605-scr-20260206-jlso.png] PS: hast du es jetzt hinbekommen? @snah0815 Ist das damit erledigt, oder bestehen noch Probleme?

Hamnet und Wireguard im Netzwerk

do3lk — Mon, 02 Feb 2026 20:34:55 GMT

Hallo zusammen,

Ich möchte Hamnet per Wireguard bei mir mit der Pfsense ins Lan einbinden.
Im Hamnet werden 44.er IP Adressen vergeben.

Mein Aufbau:
Drytec Vigor (Modem)
Pfsense 5 Vlans
Verschiedene Switch

Ich habe Wireguard installiert und auch schon einen Tunnel und ein Peer eingerichtet.
Verbindung steht.
Ein Interface (tun_wg0) habe ich angelegt, da habe meine zugeteilte WireGuard adresse hinterlegt.

Eine Firewall Regel unter Wireguard habe ich angelegt mit Any.

So komme ich aber nicht ins Hamnet, irgendwas passt noch nicht, kein Ping auf 44.er Hamnet Adressen möglich.

Was könnte noch fehlen? Anbei mal Screanshots meiner Config

Ich möchte von allen VLANS ins Hamnet kommen.
Fehlt mir noch ein Routing?

System crashed after Software update

JeGr — Sun, 18 Jan 2026 08:46:44 GMT

Hi, @Jawad9999 said in System crashed after Software update: Hallo leute , mein Netgate Firewall router 4100 ist nach einem Software Update hängen geblieben , software ist 23 noch was, Was heißt gecrasht, hängen geblieben etc? Also wie ist jetzt die Ausgangslage? Geht gar nichts mehr? Bootet nicht mehr? Bootet aber er kommt nicht hoch? Geht es ein klein wenig genauer? :) kann mir jemand sagen was ich tun soll damit ich den wieder gängig machen kann? Wenn du - hoffentlich! - ein Backup der Config hast, was man vor einem Update immer ziehen sollte, dann installier einfach neu mit dem aktuellen Stand (23.x ist enorm veraltet!) und spiel danach einfach die Config wieder ein. Das ist der schnellste und einfachste Weg und räumt gleich noch Altlasten weg. Cheers

pfsense config ohne WAN

JeGr — Fri, 16 Jan 2026 20:55:39 GMT

Um das nochmal kurz festzuhalten: für Pakete und Updates braucht pfSense Internet. WIE sie das bekommt ist an der Stelle egal. Man kann auch einfach wie @micneu das beschrieben hat das WAN ins aktuelle Netz (LAN?) hängen und sich dann das LAN temporär auf irgendwas anderes konfigurieren, damit man an die UI kommt und den Rest konfigurieren kann. Hat man alles soweit auf Paketstand und Co, kann man das WAN auch erstmal wieder abklemmen und dann alle anderen Interfaces soweit einrichten wie benötigt, damit man keine IP Konflikte bekommt. Zu empfehlen ist aber, die ersten zwei Interfaces (WAN/LAN) gleich auch auf WAN und ggf. Management Netz zu konfigurieren, da diese Interfaces fest sind und eine kleine Sonderbehandlung haben ("lan" hat bspw. immer die anti-lockout Regeln, die auf nem management Interface besser aufgehoben sind als in einem Client oder Server Netz). Cheers

Probleme bei Onlinespiel (NAT Type: Restricted No UPnP)

JeGr — Thu, 15 Jan 2026 19:46:33 GMT

Exakt was @Bob.Dig sagt. Statt dem uPNP Quark einfach genau das tun, was unter "alternative Methoden / manuelle Portfreigabe" steht und statt irgendeinem Automatik-Gedöns einfach feste Ports nehmen. Wesentlich einfacher und sinnvoller, weil sich dann der Port nicht nach Mond- und Sonnenstand verändert ;) Schwieriger wirds, wenn man keine echte IPv4 hat. Mit IPv6 gehts wohl auch, aber da ist dann mit "statisch" nicht viel drin. Bzw. ein ganz schöner Aufwand. Da ist es dann wie es in der Anleitung steht wieder einfacher, Tailscale oder Netbird zu nehmen und einfach die Leute mit denen man zusammenspielen will einzuladen und gemeinsam im gleichen P2P Netz zu sein. Cheers

Portfreigaben mit MultiWAN

elansing — Sun, 11 Jan 2026 19:50:57 GMT

Hallo Zusammen,

ich brauche mal wieder euren Rat.

Aktuell habe ich zwei Internetzugänge, eine "langsame" VDSL mit Öffentlicher IP und eine schnelle 5G-Verbindung.
Über die 5G-Verbindung wird eine WireGuard Verbindung ins RZ aufgebaut. Der Server im RZ leitet alle Ports über den Tunnel an die pfSense (ohne SNAT).

Jetzt möchte ich meine Server extern erreichbar machen. Sowohl über DSL, wie auch über 5G(mit dem Server im RZ).

Leider klappt das nicht so, wie es soll. - Mir ist wichtig, dass die pfSense + dahinter liegende Server die IP der "User" sieht. (Wegen IP-Basierten Regeln etc.).

Lasse ich das per SNAT laufen, und die Anfragen laufen über die WireGuard IP vom RZ-Server, dann klappt alles. Nur ohne SNAT nicht. - Hier scheint das Problem zu sein, dass die pfSense egal was ich tue immer über WAN_DSL antworten zu wollen.

Habt ihr einen Rat/Idee, wie das klappen könnte?

PPPoE Probleme [Telekom CompanyFlex]

eagle61 — Tue, 09 Dec 2025 12:26:05 GMT

Moin @DanielJoni, meine pfsense (2.8.1) hängt direkt an einem Modem (Vigor 167) bei 1&1. Die verwenden auch VLAN ID7. Wenn man das Vigor 167 mit den Default-Vorgaben auspackt und anschließet. erkennt das automatisch diese VLAN ID7 und konfiguriert sich entsprechend. Das folgende darf es dann in der Config der pfsense NICHT geben: Interfaces/VLAN -> Parent: igc0 -> VLAN tag 7 Sollte sich die Fritte als Modem ähnlich verhalten, musst du das VLAN am WAN entfernen,

Bekomme Download Limiter nicht zum laufen...

EyeTap — Sat, 06 Dec 2025 18:51:10 GMT

@Bob.Dig ; @micneu Die CoDel Rules sind bei mir (entsprechend der Anleitung )auch floating rules, die für alles gelten was hinter der pfSense liegt. Das macht ja so auch Sinn und funktioniert auch tadellos. Ich muss aber zugeben, dass mir das Thema floating rules ein Buch mit 7 Siegeln ist, und ich aufgrund der Warnungen zu diesem Thema auch vermeide solche Rules zu erstellen - da bin ich einfach unsicher. Ich habe jetzt aber trotzdem eine vergleichbare floating Rule gebaut: wenn ich die Destination * setze, greift das auch prima - natürlich wieder für das gesamte Netzwerk. Mein Ziel ist es aber, diese Bandbreitenbeschränkung nur auf bestimmte interne Clients/IP's (via Alias) anzuwenden. Sobald ich aber diesen Alias in der floating Rule als Destination eintrage, wird die Rule offenbar nicht mehr angewendet. (Wenn ich die Doku richtig lese, dann könnte das wohl am NAT liegen - dass also das eingehende Paket als Ziel die externe IP der pfSense hat, und nicht die interne IP des Clients. Bei dem dort erwähnten Thema Marking and Matching steige ich dann aber leider vollkommen aus) Allerdings habe ich habe mir nochmals angesehen, wie ich das vor ein paar Wochen auf der pfSense mit lediglich einer WAN / LAN Verbindung eingerichtet habe - dort ist diese Bandbreitenlimitierungsregel definitiv eine Rule am LAN IF Nachdem es dort aber gar keine floating rules (CoDel) eingerichtet sind, hab' ich jetzt auch versucht einfach einmal meine CoDel Rules (floating) zu deaktivieren. Und siehe da, sobald die floating CoDel Rule (auf der Schnittstelle über die der Traffic aktuell stattfindet) deaktiviert ist, greift auch die Bandbreitenlimitierungsregel am LAN IF vollständig - also nicht nur Upload wie bisher, sondern auch Download... Jetzt bleiben bei mir aber nur noch Fragezeichen im Kopf...

Gateway geht offline (Packetloss), ist aber erreichbar

kira12 — Thu, 27 Nov 2025 13:08:14 GMT

@Kraeuter ja, die habe ich mit meinem Kabelanschluß genutzt, selbe Qualität wie Fritzbox. die Verbindung hatte alle paar Minuten aussetzer. Erst mit dem TC4400 lief der Anschluß stabil. Gruß ré

Wireguard Problem mit neuen Peers

JeGr — Tue, 25 Nov 2025 12:03:40 GMT

@schwielownet said in Wireguard Problem mit neuen Peers: Du siehst, man kommt da mit Logik irgendwie nicht weiter... gibt es irgendwo eine Möglichkeit, serverseitig mal den Loglevel hochzuschrauben und detaillierte Logs anzuschauen? Das ist genau das Problem bei Wireguard. Es gibt keine. Du findest keine Logs, weil WG so gut wie keine ausgibt/schreibt. Der Daemon ist extrem "sparsam" was Information angeht. Darum sieht man nur Schätzwerte (wie bspw. den letzten Verbindungshandshake), aber da die IP sich ständig dynamisch ändern kann etc. gibt WG da kaum was raus. Mit ein Grund, warum das Ding komplett PITA zu debuggen ist. Leider. Du kannst nur in den Wirguard Settings das Hiding der Peers und Secrets ausstellen, vllt. findest du da ggf. dann noch Infos im Log wenn was doch nicht stimmt. Evtl. auf dem Peer dann ein unpassendes Subnetz oder falsche Maske o.ä. vergeben, aber das Debugging von WG ist einfach ein Krampf wenn was nicht geht, egal welcher Hersteller (bspw. auch bei Unifi und Co). Bei meinem letzten Versuch wars dann schlicht, dass ich mich bei einem Client um eine IP ver"dacht" habe und die falsche Adresse mit Subnetz angegeben hatte - dann lief natürlich nix. Aber wenn man nichts sieht im Log ist man halt echt blind :/ Cheers

KEA DHCP bleibt auf Standby-FW

JeGr — Mon, 24 Nov 2025 09:51:17 GMT

@BlaSh said in KEA DHCP bleibt auf Standby-FW: Hi. Soweit ich das sehe, hat doch KEA gar nichts mit CARP zu tun, oder? Say what know? Warum sollte Kea nichts mit HA zu tun haben? Oder mit CARP? In einem Cluster ist das natürlich relevant, dein Gateway, dein DNS etc. ist ja ne Cluster IP. Dein Kea soll normalerweise HA laufen in einem Cluster - darum hat man ja einen - etc. etc. Kea hat ja explizit eine CARP/HA Konfiguration die gesetzt sein sollte. Wie soll er sonst wissen, wer den Job zu tun hat und wer nicht? :) Cheers

PHP Error im Carp Modus

Echoslave — Fri, 21 Nov 2025 15:01:10 GMT

@JeGr Gestern Abend habe ich die gesamte CARP Installation durchgeackert, passte aber alles. Die Broken Mac Adressen standen in der ARP Tabelle von pfSense. Active Backup hat immer auf einen Client zugegriffen, der down war. Das Problem ist somit gelöst und vielen Dank für den Hinweis, mit der Sudo Deinstallation. Alles Gute dir

Frage zur Switchkonfig Netgate 7100

JeGr — Thu, 20 Nov 2025 08:32:12 GMT

@johndo Verständnisfrage: du willst dass der Port 3 separat (als eigener Single-Port) agiert und der die VLANs x (17,18,...) getagged sprechen soll? Das ist das was ich aus der Konfig gerade lese? Denn das Default VLAN 1 hast du ihm weggezogen, das steht da nicht mehr in der Liste. Nur das "Mgmt" (Group 2) - aber wenn das dein gewünschtes Untagged ist, stimmt das. Wichtig wäre noch im "Ports" Bereich zu schauen, dass das richtig eingestellt ist. Sobald man vom Default abweicht, muss da der entsprechende VLAN mode aktiv werden und die Ports korrekt anzeigen. Aber wenn es sich ansonsten korrekt verhält wie du möchtest, sieht das nicht verkehrt aus. Cheers :)

Umstieg auf Glasfaser - ws ist zu beachten ?

JeGr — Wed, 19 Nov 2025 16:54:03 GMT

@eagle61 said in Umstieg auf Glasfaser - ws ist zu beachten ?: Genau das meine ich doch auch. Dann geht dann halt kein VoIP mehr - sie agieren dann als Modem, Deshalb gibt es bei Cable.-Fritten (wenn der ISP mitspielt) die zweite IPv4. Eine behält die Fritte, die andere geht an den nachgelagerten Router.Die IP die die Fritte behält ist für VoIP, etc. OK dann mißverstanden. Anyway Kabelboxen kann man hier nicht vergleichen, denn wie schon weiter oben gesagt, werden die von Fritz einfach an die Betreiber rausgegeben und die machen die Bestückung und Änderungen in der Firmware. Was dann geht entscheidet bspw. Vodafail. Die Firmware ist auch von VF, Fritz schickt sein Update da hin und die ändern was sie da ändern wollen. Du kannst zwar ne nackte Box kaufen unbranded, dass die funktioniert sagt dir der Provider dann aber auch "eher unwahrscheinlich, da biste dann allein" und dann kannst du gleich was ganz anderes kaufen. :) Bei DSL/Glas ist das anders weil man sich da wieder halbwegs an Standards hält. Auch wenn ich PPPoE für nen Krampf und nicht nen Standard halte. Aber da gibt es zwar "branded" Boxen wie bspw. 1&1, die haben dann aber meistens eher nur ne Sonderlocke für schnelle Konfig vom Provider eingebacken, du kannst aber problemlos das manuell machen. Lässt man die Fritte nur noch als Modem agieren, hätte man doch auch gleich vor die sese nur einen ONT (z.B. Glasfaser-Modem 2 der Telekom) klemmen können. Das kostet weniger als 40 Euro. Die Fritte ein Mehrfaches. Nicht ganz. Klar kostet das weniger, aber wenn du "Ruhe" mit dem ISP haben willst, ist es meist einfacher dessen vorgeschlagene Box zu nehmen, sofern die noch "akzeptabel" ist. Die 0815 Telekom Box bspw. eher nicht. Aber wenn der Provider dir ne Fritte für lau obendrauf gibt, dann nimmst du meistens die mit, weil das wenigstens das kleinere Übel ist. Gerade wenn du bspw. noch ne echte v4 bekommst. Oder wenn du dahinter mit nem Cluster rumspielst. Nur Beispiele. Wenn einem da der ISP Support egal ist kann man natürlich machen was man will, aber bei jedem Mal wenn die was ändern und die Verbindung nicht mehr klappt steht man wieder alleine da und muss hoffen, dass man nicht in irgendeinen Callcenter oder Support Bot abgeschoben wird, weil man ja unsupportete Geräte nutzt. @eagle61 said in Umstieg auf Glasfaser - ws ist zu beachten ?: Was die Sicherheit des LAN*s angeht, ist es doch vollkommen egal ob ich eine Fritte im Bridge-Mode oder einen ONT/Modem vor der Sense habe. Um Sicherheit gehts da gar nicht, wie gesagt, das Thema ist da eher ISP Support und Umgang mit eigenen Endgeräten. Und da erlebe ich immer wieder Dramen auch mit unseren Kunden, die echt zum Heulen sind. Da wird man eben pragmatisch und nimmt das kleinste Übel. Cheers

Carp IP antwortet nicht auf ping

Pittiplatsch — Mon, 03 Nov 2025 13:59:43 GMT

@viragomann Danke für deine ausführliche Beschreibung. Das was du beschrieben hast, hört sich nach vielen Änderungen in den Einstellungen an. Ich hab mich dazu entschlossen die beiden VMs zu entsorgen und alles nochmal auf physischen Rechnern aufzubauen. Ich habe etwas Angst, dass es zu Problemen bei anderen VMs kommt wenn man so viele Einstellungen ändert. Danke nochmal für die Hilfe und viele Grüße.

aktiven wireguard Tunnel zwischen HA master und backup umschalten

nobanzai — Wed, 29 Oct 2025 19:19:48 GMT

Danke für die Antwort. Aktuell komme ich zu nix, aber wenn wieder luft ist, werde ich mir das mal genauer anschauen mit den Filtern.

Routing WAN-WIREGUARD-LAN

micneu — Sat, 25 Oct 2025 16:51:27 GMT

@BernardoUI bitte mal screenshots von deinen Firewall Regeln usw. Bitte auch von outbound NAT

Mehrere WTS Server in RZ mit PFSENSE - wie websperren umgehen ?

JeGr — Sat, 25 Oct 2025 16:36:35 GMT

@gtrdriver said in Mehrere WTS Server in RZ mit PFSENSE - wie websperren umgehen ?: Ein angepasstes proxy.pac script welches die kritischen Webseiten definiert und diese über den auf der lokalen Glasfaser Seite liegenden Squid Proxy schickt. Autsch. Und das Spiel wird weiter gehen. Wie gesagt ist der letzte "heiße Scheiß" leider residential Proxies bei dem man dann von normalen Endkundenanschlüssen aus crawlt bzw. seine Bots, Webscraper, LLM Agents und Co agieren lässt. Wir hatten solche (ich nenne es) "Angriffe" schon. Die sind extrem ausgetüftelt, dass man sie nicht IP technisch blocken kann - sonst schließt man schlicht alle Endkunden aus. Extrem nervig. Der ganze Scheiß macht leider das nutzbare Web immer mehr kaputt :/ Cheers

sonewconn: Listen queue overflow

tpf — Tue, 21 Oct 2025 15:11:33 GMT

@JeGr Moin, danke, aber mir ist nichts aufgefallen. Muss weiter suchen. Sobald ich die Lösung habe, melde ich mich wieder.