Subcategories

  • 102 Topics
    1k Posts
    micneuM

    Ich habe keine ahnung was 1&1 liefert, mein Provider hat einen Meidenkonverter Installiert (von GLAS --> Ethernet) somit kann ich direkt mit dem Ethernet Kabel in meine Sense gehen.

  • 80 Topics
    433 Posts
    JeGrJ

    Heute spontan OpenHouse im NSFW.pub. Gern einfach mal reinschauen, kann allerdings sein dass zwischendurch mal gerade keiner am "virtuellen Tresen" ist oder ich Getränke hole/wegbringe.

    Cheers :)

  • Wie 2 Parallele WAN-Verbindungen auf einem PFs 100% trennen

    5
    0 Votes
    5 Posts
    824 Views
    B

    Hallo,

    du hast also 2x WAN (WAN1 & WAN2 der Einfachheit halber) und zwei lokale Netzwerke, LAN und OPT1.

    Du hast per ausgehendem NAT gesagt, dass LAN1 mit der WAN1 IP nach außen auftritt und OPT1 mit der IP von WAN2.

    Du willst nun von LAN1 auf die WAN2 IP zugreifen und aus Sicht der pfSense von außen kommen, wie bspw. von einem Smartphone was sich per LTE eingebunden hat?
    Dann sollte das Thema NAT Reflection genau das "lösen":

    https://doc.pfsense.org/index.php/Why_can%27t_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networks

    Grüße

  • Client im Subnetz Firewall/NAT deaktivieren

    6
    0 Votes
    6 Posts
    1k Views
    JeGrJ

    Ich habe am LAN nur einen DHCP ipv4 Server aktiv der die Leases verteilt.

    Ist für IPv6 egal, hier wäre DHCP6 zuständig oder SLAAC mit Autokonfiguration wenn es einen Router gibt der v6 spricht und das entsprechend annonciert.

    Unter den Netzwerkeinstellungen hat mir das Aktivieren der Option "allow ipv6" und "ipv6 over ipv4" (was das IP-HTTPS Protokoll ja auch macht - Zitat: "transports IPv6 packets across non-IPv6 networks") inklusive der WAN Regel den Ipv6 Verkehr weiterzuleiten (zu Testzwecken) weitergeholfen.

    Das ist wieder Unverständnis. Die Aussage ist lediglich, dass v6 Daten via Tunnel / DirectAccess eben weitergegeben werden. Das läuft aber dann DURCH den Tunnel und gar nicht mehr an der pfSense vorbei, ergo ist es entweder egal oder DA stellt die Verbindung per v6 her, dann MUSS deine pfSense v6 am WAN und LAN haben und konfiguriert haben. Nochmal: wenn die Sense KEIN v6 kann (auf WAN Seite) dann ist es komplett egal, was du mit irgendwelchen v6 Schaltern einstellst :) Die zitierten Schalter hier sind für völlig andere Zwecke. IPv6 erlauben ist per default immer an und sollte auch NICHT angefasst werden. Das wegnehmen setzt lediglich einen unsichtbaren BLOCK IPv6 ALL Filtereintrag mit dem man nix anfangen kann (IMHO) und daher ist der kontraproduktiv.
    IPv6 über v4 WILLST du nicht. Entweder du hast v6 oder nicht. Einfach irgendeinen local private v6 Matsch via v4 NAT rauszuschieben bringt mehr Probleme als Lösungen. Entweder man fährt v6 (DualStack) oder nicht. Aber nicht irgendwas rumNATten, das führt genau zu solchen Problemen. Bei NAT von v6 in v4 wird zusätzlich der Header draufgesetzt, das Paket zu groß, muss fragmentiert werden, kommt dann in Größenprobleme wegen MTU etc. etc. - will keiner.

    Gruß

  • OpenVPN Clients per DHCP managen.

    2
    0 Votes
    2 Posts
    574 Views
    JeGrJ

    nun würde ich gerne DHCP etc. einstellen. Wie gehe ich da nun vor?

    Was willst du denn einstellen und warum!?

    Ziel ist es die OpenVPN Verbindung auszusperren bei allen Netzen außer "Cloud", da soll dann ein Pi mit NextCloud rein.

    Schön

    Dies habe ich mit FW Regeln auch schon gemacht: Siehe Screenshot.

    Nope. Du hast lediglich ein paar Adressen oder Netze gesperrt. Das ist nicht der Weg um alles zu sperren außer der NextCloud Kiste.

    Korrekt wäre sinnvollerweise:

    Source IP: Das (Transfer)Netz das beim OpenVPN Server vergeben wird: 192.168.2.0/28 hast du da drin. Warum auch immer. Ziel IP: NextCloud IP Erlauben

    Darunter

    Source IP: Transfernetz OpenVPN Ziel IP: any Blocken

    fertig. Schon kann jeder eingewählte VPN Client nur auf den NextCloud Service drauf.

  • IPV6 hinter FritzBox, aber wie?

    17
    0 Votes
    17 Posts
    12k Views
    magicteddyM

    Moin,

    @pfsnooker:

    ich habe eine ähnliche Konfiguration, nämlich eine Fritz!Box 6490 Cable hinter der eine Box mit pfsense hängt. Bei mir läuft IPV6, sogar unauffällig.

    nur kurz als Rückmeldung, habe eine neue 6490 von Vodafone bekommen und musste eh alles neu einrichten, IPv6 läuft, danke!

    -teddy

  • Unterbrechung bei Telekom VOIP Verbindung

    12
    0 Votes
    12 Posts
    2k Views
    P

    Hat mit der PFSense nix zu tun. Das stellst Du in der Agfeo ein. Muss irgendwo bei den allgemeinen SIP Einstellungen sein.
    Habe keine Agfeo, keine Ahnung.

  • Nach Periodic reset keine neu IPv6 Adresse

    24
    0 Votes
    24 Posts
    5k Views
    D

    Danke für den Hinweis, snort habe ich nicht installiert … die 15sec waren von mir nur nach Bauchgefühl gemessen die Zeit, in der ich recht zuverlässig einen neuen Präfix hatte, wenn alles glatt lief. Also ggf. die Pause bei Bedarf etwas anhheben.

    Gruß, Dirk Platt

  • Zufällige Reboots

    7
    0 Votes
    7 Posts
    1k Views
    P

    Es gibt einen ähnlichen Report im Free-BSD bugtracker. Hier der Link: https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=196468

  • HAProxy - Kein Zugriff auf def. Port / 2 WANs

    5
    0 Votes
    5 Posts
    993 Views
    ?

    Oh Gott, wie peinlich … ::)
    Du hast Recht, unter NAT hatte ich die Regel nicht deaktiviert. Schon klappts.

    Manchmal sieht man halt den Wald vor lauter Bäumen nicht ...  :)

    Danke für die Hilfe.

  • IPv6 hinter Fritzbox 7490 Telekom

    6
    0 Votes
    6 Posts
    2k Views
    M

    @Tobi:

    Hi,

    mein altes https://forum.pfsense.org/index.php?topic=126545.0 habt Ihr auch gelesen?
    Zumindest mit der 2.4 Beta funktioniert es hier seit mehreren Wochen 1A

    Ja alles schon versucht.
    Allerdings geht es bei mir nun, eben den WAN Port neu eingesteckt, weil ich was am Switch gemacht habe und siehe da, eine IPv6 Adresse. Fragt sich wohl wielange - denke bis ich eine neue bekomme…

  • Brauche Hilfe beim richtigen Traffic Shapping

    5
    0 Votes
    5 Posts
    1k Views
    D

    Hallo Zusammen
    Konnte mein Problem wie folgt lösen:

    Ein Hauptlimiter für alle VLANs, somit kann kein VLAN mehr als 60Mbit ziehen

    Einzelne Queues für die Priorität einzustellen.
    Bedeutet VLAN 1 kann 60Mbit ziehen, wenn jedoch ein anders VLAN 2 ebenfalls Bandbreite benötigt wird geschaut wie viel "Gewicht" das einzelne VLAN definiert hat und die 60Mbit werden dementsprechend aufgeteilt.
    Das selbe für den Upload.

    Vielleicht hilft das jemandem

    Gruss DarkMasta

  • Reverse Proxy und Snort

    1
    0 Votes
    1 Posts
    603 Views
    No one has replied
  • IGMP V2 oder V3

    4
    0 Votes
    4 Posts
    1k Views
    P

    Aktuell nicht

    Alternativ gibt es den mcproxy der aber unter Linux läuft.
    Entwerfe müsste der portiert werden, oder - keine Ahnung ob dies realistisch ist - man müsste ihn im Kompatibilitätsmodus auf FreeBSD laufen lassen.

    Aktuell sieht es nicht so aus, als ob irgendjemand der Maintainer von pfSense an dem Problem interessiert ist.

    Ich brauche selbst bis September eine Lösung, denn dann wird auch FTTH auf BNG umgestellt und dann fällt die Pfsense aus.

    Vermutlich werde ichnauf ipfire Switchen (müssen) gefällt mir aber eigentlich gar nicht.

  • Domain User Passwort ändern dauert ewig (pfSense - IPSEC - AWS)

    9
    0 Votes
    9 Posts
    2k Views
    C

    Keiner mehr ne Idee?  :-X

  • 2 WAN Gateway ins Internet - Host ein bestimmtes WAN zuweisen

    6
    0 Votes
    6 Posts
    1k Views
    K

    Jetzt gehts. Ich hab das Captive Portal noch dem fehlenden Interface zugeordnet.

    Supi und Danke.

  • 0 Votes
    4 Posts
    602 Views
    K

    Ich glaub ich habs gefunden.

    nslookup mail.carhs.de hats gebracht. Der fragt noch einen alten DNS Server im Netz ab.
    nslookup mail.carhs.de 192.168.0.221 (PFsense) bringt internen mailserver!

    Bestens

    Danke dir

  • Bandwithd und darkstat - Traffic nach Ziel anzeigen lassen

    5
    0 Votes
    5 Posts
    1k Views
    K

    OK,
    gut zu wissen. Ich Order gleich mal nach …

    Vielen Dank für den Tip. Das Packet ist super.

  • Zwei ISP / getrennte Netze privat - beruflich.

    5
    0 Votes
    5 Posts
    1k Views
    P

    Hi Rubinho,

    Danke für die Anmerkungen!!!

    Dann waren meine Entscheidungen heute wohl alle Richtig :-)

    D.h. ich werde mein Vorhaben versuchen mit pfsense umzusetzen.

    Was die Hardware betrifft habe ich mich für eine scope7-1010 entschieden. Ich bin gespannt war aufwendig sich die Realisierung darstellt. :)

    Gruß

    Peter

  • Verschiedenen Domainnamen

    17
    0 Votes
    17 Posts
    4k Views
    V

    Nein, der Override funktioniert, sobald er gesetzt ist. Voraussetzung ist aber, dass die internen Rechner die pfSense als DNS nutzen. Ist das der Fall? Wenn sie einen anderen DNS Server verwenden, bringt der Eintrag nix.

    Der DNS-Cache sollte am Client ggf. auch gelöscht werden.

  • Dual WAN mit Failover und je 1x WAN pro pfSense

    11
    0 Votes
    11 Posts
    2k Views
    JeGrJ

    @rubinho: das hat doch mit den Kisten nichts zu tun. Für VRRP oder HSRP - was das gleiche ist wie CARP - müssen die Kisten sich auch gegenseitig sehen.

    Ein Standard Failover Setup sieht man am Einfachsten unter

    https://doc.pfsense.org/index.php/Configuring_pfSense_Hardware_Redundancy_(CARP)

    Da sollte auch klar werden was gemeint ist: auf dem WAN wie auf dem LAN wird das jeweils GLEICHE Netz konfiguriert und jede Kiste bekommt eine eigene Adresse dazu gibts dann in jedem Segment noch eine VIP, die von Gerät A auf B wechselt.

    Failover-Fall wird festgestellt wenn sich auf dem konfigurierten Interface (WAN oder LAN) die Geräte nicht mehr sehen (Ping sowie Multicast). Das Sync Interface ist nur für pfSync da um States und Konfiguration abzugleichen. Bricht Sync weg, hat man einen Async Zustand was die States angeht, aber noch KEINEN Failover Fall. Erst wenn die Master Firewall ein Fail auf einem der Interfaces bemerkt und die Failover Kiste sie daher nicht mehr erreichen kann, dann schwenkt alles auf den anderen Knoten, wenn bei dem noch alles funktioniert.

    Was in deinem Fall nicht funktioniert morphmax ist genau das Setup von CARP auf dem WAN, weil deine beiden Firewalls, wenn du sie einfach nur an die WAN Uplinks dranhängst, in völlig anderen Netzen sind (nicht im gleichen Subnetz) und du darauf dann keine CARP Adresse konfigurieren kannst, da sich die Kisten per Multicast auch nicht sehen und austauschen können. Klar können die sich Pingen (externe IP1 zu 2) aber Multicast kannst du nicht über Netzgrenzen hinweg problemlos sprechen, das wird fast immer vom Provider gefiltert. Und sobald du kein CARP Interface auf dem WAN hast, kannst du kein Failover auf den Slave machen wenn WAN wegbricht. Du hättest dann nur den manuellen Weg das in der UI manuell zu machen.

    Wie lösen Firmen das Problem? Diese habe doch im Normalfall Leitungen bei mehreren Anbietern und von unterschiedlichen Standorten aus. Sitzt da dann den ganzen Tag einer im Keller und wartet darauf, dass die Internetverbindung tot ist und steckt dann den Stecker um?

    Das siehst du falsch an mehreren Punkten.

    a) Die meisten Firmen haben da einen HSRP/VRRP/CARP Cluster stehen an der Anbindung und haben 2 Leitungen vom gleichen Provider, der auf seiner Seite auch irgendeine Redundanz spricht. Also ein "H" vom Aufbau (2 Geräte Provider bringen 2 Leitungen die in 2 Geräte von dir gehen, alle Geräte untereinander als Cluster konfiguriert und mit zwei Switchen vornedran - der Querstrich - verbunden).
    b) Eine Firma betreibt ggf. mehrere Standorte, aber nutzt diese Leitungen (meistens) nicht für nen Failover von intern. Vor allem ist bei Firmen NIEMALS der State entbehrlich oder Verbindungen entbehrlich und egal. Wenn mein Kunde bspw. ein Video streamt ist der nicht begeistert wenn ihm ständig der Stream abreißt. Mehrere Standorte sind meist aus Gründen wie Geo-Location, Nähe zum Kunden wegen Latenz und Laufzeit etc. aufgesetzt und nicht als Failover für ein internes LAN.
    c) Firmen haben dann ggf. andere Verträge und routen IPs via BGP + OSPF je nach Größe. Alleine damit ergibt sich nochmals ein völlig anderes Setup und Möglichkeiten, denn dann hast du ggf. an den Standorten die gleichen IPs, die du dann rüber routen kannst.

    Zumindest habe ich im Datacenter Einsatz bislang noch kein Setup gesehen, bei dem ein Kunde FWL1 in Location 1 und FWL2 in Location 2 versucht als "Cluster" miteinander zu verbinden, schon allein weil die Laufzeiten zwischen den Standorten ggf. recht groß sind. Von dem Problem des Routings mal ganz zu schweigen :)
    Ich supporte ein ähnliches Setup, dort stehen aber JE ein Cluster in DC1 und DC2 und die sind wiederum mit einem Link zwischen den beiden DCs "verbunden", allerdings ist bei denen BGP eingerichtet: Wenn der Kunde seinen Uplink schwenken will auf DC2, dann schalten die BGP auf Cluster 1 ab und auf 2 an. Und prompt läuft alles in DC2 auf. Für sowas gibts Monitoring und semi-autonome Prozesse die das triggern, aber ein DC Failover machen die meisten nur händisch, da ggf. noch andere Dinge vorbereitet werden müssen oder Hand in Hand gehen.

    Und 2 Leitungen für ein LAN zu haben - das machen die meisten Firmen eben nicht an unterschiedlichen Standorten, sondern holen sich beides an einen Cluster/eine Firewall ran und nutzen GW Gruppen und MultiWAN.

    Grüße

  • PfSense 2.3.4 hängt sich auf

    9
    0 Votes
    9 Posts
    2k Views
    A

    Hallo,

    die Umstellung von DSL auf VDSL hat erst mal geklappt.
    In diesem Zuge habe ich per Konsole auf "factory defaults" resetted.
    Die bestehende XML-Konfig importiere ich nun Stück für Stück.
    Seitdem habe ich die DNS-Probleme nicht mehr.

    Ich hoffe, dass sich das Thema damit erledigt hat - auch wenn ich die Ursache nicht gefunden habe…

    Vielen Dank nochmals
    Alex

Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.