OT: Nunja, dass das nicht ganz so "EZ" ist, wie sich das manch einer vorgestellt hat mit den AODs (Always-On-Devices), sieht man ja am ersten Fall in de USA, in welchem Alexa als "digitale Zeugin" aussagen soll. Der Fall eines toten ehem. Polizisten, der angeblich ertrunken sein soll, wurde wichtig, als man Spuren eines Kampfes nachweisen konnte. Brisant: Im Außenbereich des Pools und Whirlpools, wo der Tote gefunden wurde, waren Amazons Echos/Alexas zum MusicStreaming im Einsatz. Jetzt möchte die Polizei per Durchsuchungsbefehl gern von Amazon die Sprachaufzeichnungen, die Alexa zur Tatzeit aufgenommen hat.
-> http://arstechnica.com/tech-policy/2016/12/police-ask-alexa-did-you-witness-a-murder/
=> Amazon hat sich m.W. bis dato nicht geäußert, ob sie der Aufforderung nachkamen und welche Daten Alexa tatsächlich gespeichert hatte.

Wieder zurück zum Thema: Eine Unterbringung im eigenen VLAN würde ich da wirklich forcieren und andere geeignete Kandidaten dorthin mitnehmen :)

@JeGr:
Ne, definitiv nicht. Es ist nur die pfSense über LAN angeschlossen und WLAN ist komplett ausgeschaltet. Telefonie wird nicht genutzt (wobei das wohl gar nicht in die Statistik der FB einfließen sollte). Ansonsten wüsste ich nicht, was sonst noch Traffic verursachen könnte.

Ich habe zunächst gedacht, es könnte daran liegen, der Zähler der FB würde einfach spinnen und falsch "rechnen". Aber dann sollte die Differenz doch proportional zu den täglichen Werten variieren, was aber nicht der Fall ist und ich auch kein System (bspw. mehr UL => größerer Unterschied) erkennen kann.

@athurdent:
Meine pfSense läuft seit 28 Tagen durch und die FB ähnlich lange ohne Unterbrechungen.
Ich glaube auch nicht an einen Rundungsfehler, da ich die täglichen Daten auswerte und es bereits dort teilweise erhebliche Unterschiede gibt. Auch unterscheiden sich meine monatlichen Werte bereits deutlich, nicht so wie dein RX…

PS. (Ist mir gerade beim schreiben dieser Antwort in den Sinn gekommen.)
Will hier jetzt keine Verschwörungstheorien anzetteln, aber kann das vllt. durch (Aus-)Benutzung des TR-069 zustandekommen? Es unterscheidet sich ja eh meist der TX-Wert, der RX-Wert nur sehr geringfügig. Glaube zwar nicht, dass sowas in die Statistik der FB mit einfließen würde, aber wer weiß…

@Chris: Ich glaub dir das ohne Frage, die Graphen sprechen ja für sich. Ich wundere mich nur, dass das wohl (evtl. regional) anschlußabhängig ist, ob das halbwegs gut erreichbar ist. Aber bei der Telekom wundert mich andererseits nichts mehr ;)

Aber eine vernünftige und halbwegs ausfallsichere Gegenstelle zu haben die man anpingen kann ist an der Stelle auch wirklich nicht einfach, vor allem wenn der ISP selbst das mit seinem Gateway so mies macht.

…und dann einen anderen Port wählen.

Kann er machen, aber Synology und Co. haben die 5000er Ports eben für ihre internen Dienste wie Management etc. genutzt.

@xonixlino: Dein Problem ist dein Port. Synology hat auf Port 5000 NUR HTTP gebunden, HTTPS läuft auf 5001. Versuchs mal mit deiner DynDNS Adresse+5001er Port :)

Hi, falls es um die gesamte übertragene Datenmenge geht, installier mal Status_Traffic_Totals. Ansonsten Status -> Monitoring.

@David127:

Das was Du geschrieben hast jahonix, würde ich gerne ausprobieren. Nur müsste ich genauer wissen wie man das anstellt.

Zuerst lerne bitte, nicht eine ganze mail zu zitieren. Das macht keinen Sinn, kann man sie doch einen Eintrag höher schon lesen.

Wenn Du speziell als Anfänger etwas ausprobieren möchtest, dann tue das. Aber Du musst das tun, nicht ich!
Ich habe mich in das Thema vor einigen Jahren auch genau so eingearbeitet: durch Ausprobieren und lesen. Da du die aktuelle Config ja ganz einfach sichern und zurückspielen kannst, ist eine Fehlkonfiguration auch nicht bedrohlich.
Was funktioniert denn nicht?

Für "spoon feeding" fehlt mir die Zeit (und auch die Motivation!).

@viragoman
danke erstmal. da werd ich noch mal suchen.

zum hintergrund :
hinter der pfsense hängen embedded geräte, da ist das auch schwer jetzt noch vpn clients zu implementieren …speicher..
ich habe allerding einen netzwerk stack drauf.
über einen I/O ( Input Output )pin habe ich einen  taster für die Funktion " service/update ".
dann rennt der los und macht eine verbindung zu X.X.X.X auf.

1.In dem fall sollte der VPN client im PFsense aktiv werden.
2. bei einer definierten idle time x sollte der vpn client disconnecten ( user hat z.B vergessen , den taster stop zu betätigen )

ich möchte mich nicht auf die gegenseite (vpn server ,die senden ja teilweise pings..)verlassen,

benötige eigentlich die richtige stelle wo ich ansetzen kann, implementierung ist dann sicher nicht das problem..socket aufmachen -> command senden-> check traffic

gruss
Andreas

Siehe: https://www.administrator.de/link/ssds-stresstest-%C3%BCberraschenden-ergebnissen-324874.html#comment-1163752
Ist eine extrem knappe Zusammenfassung des im Artikel verlinkten Heise Artikels zu Thema Lebensdauer von SSD

-teddy

@JeGr:

Wenn du dazu noch Intel NICs hast, kannst du zusätzlich aus der Doku noch die Feineinstellungen für die NIC Typen anwenden sowie generell die mbufs und Co. beobachten und mal nach oben anpassen:

https://doc.pfsense.org/index.php/Tuning_and_Troubleshooting_Network_Cards#Intel_igb.284.29_and_em.284.29_Cards

Waren die 870MBit/s gemessen mit aktivem Filter oder nur für nacktes Routing? Wenn der Filter aktiv war, könnten die durchaus hinkommen, da etwas Overhead für NAT/Filtering etc. schon draufgeht. ein pfctl -d auf der Console bspw. schaltet den Filter mal komplett ab (sollte man nur offline zum Testen machen, nicht wenn die Maschine am Internet hängt!) und sollte ggf. nochmal etwas Geschwindigkeit bringen.

Das ging durch den Filter. Allerdings ist das Ruleset recht überschaubar (nicht mal zehn Regeln). Es macht allerdings keinen Unterschied, ob es zwei oder zehn Regeln sind. Mit dem Verlust kann ich aber leben. Die Maschine hängt natürlich am Internet, die GB-Leitung ist ja die Internet-Leitung ;D

@jahonix:

@Timeboy-SH:

Betrachtet es mal als Feigheit vor dem Feind, aber ich habe die Kiste neu aufgesetzt

Ganz im Gegenteil! Und toll, dass es nun läuft.

Also ich vermute stark, dass es damit zusammen hing, dass ich die Zuordnung der Karte zum Netz geändert habe. Ich habe neue Karten verbaut und alles einmal durchmischt. Allerdings hat es beim LAN funktioniert und bei den beiden WAN Netzen hat es auch tadellos funktioniert. Warum es ausgerechnet bei dem "WLAN" LAN nicht funktioniert hat, das wissen die Götter (nur dummerweise sagen sie es mir nicht  ;D ).

Wenn ich die Zeichnung richtig verstehe, dann würde ich das so nicht bauen wollen.
Stell Dir lieber einen Accesspoint ins LAN, wenns AVM sein soll z.B. einen 1750e im LAN Bridge Betrieb.

@JeGr:

Klüger wäre es vielleicht auch nur die Ports freizugeben und weiterzuleiten, die auch gebraucht werden.

Hat er ja fast getan, denn erst NATten und danach mit Regeln einschrängen bewirkt das ja.
Wenngleich ich Die Recht gebe und nur die Ports NATten würde, die ich auch tatsächlich brauche.

bei carp hab ich halt das Problem, dass die NAC Adressen u.U. nicht fest sind. Ich brauche aber feste MAC Adressen, die ich bei meinem Provider UnityMedia einer IP zuordnen kann …

Doch! CARP hat ein definiertes MAC Prefix, dessen letzte Stelle durch die VHID definiert wird. Insofern sind die CARP MAC Adressen definitiv fest. Das ist ja auch der Grund, warum es zu Konflikten mit anderen HA Geräten mit CARP, VRRP oder HSRP kommt. Weil die alle das gleiche Prefix implementiert haben. :)

Grüße

Hallo,

also die APU.1 steht hier schon bei mir fertig im Rack, daher die spezifische Frage seinerzeit :)

Momentan habe ich dort die 3 bekannten Netzwerk-Ports, daran angeschlossen sind 1x LAN (alle Geräte zusammen), 1x WAN1 (DSL für VOIP) und 1x WAN2 (DSL/LTE-Hybrid). Zusätzlich hängt ein HP1810 24-Port-Switch bereits im Rack, das mit der Einrichtung der VLANs wäre damit kein Problem. Mir war lediglich unklar, ob der Traffic immer und ausnahmslos über die pfsense laufen muss, wenn man dort beispielsweise 1x LAN1, 1x LAN2 und 1x WAN benutzen würde und das NAS selbst bereits in beiden Netzen vertreten wäre. Man könnte natürlich den vorhandenen Switch gegen einen L3-Switch tauschen und die pfSense als reine Firewall vornedran nutzen, das wäre aber zusätzlicher Konfigurationsaufwand.

Bzgl. "heavy-Hitter auf einzelne LAN Ports": Damit meintest du gesonderte LAN-Ports an der pfSense? Womit wir dann wieder bei dem Problem wären, dass Hardware mit mehr als 3 Ports entsprechend im Preis steigen.

Der meiste Datentraffic spielt sich eigentlich im geschäftlichen LAN ab, der VOIP-Traffic wäre gesondert und eine handvoll Geräte bräuchte Zugriff aus das NAS bzw. 1-2 vServer würden dem Privatnetz zugeordnet, der Rest dem geschäftlichen. Das müsste aber dann wohl direkt auf dem Virtualisierungssystem vorgegeben werden. Der größte Flaschenhals wäre dann wohl, wenn beide LANs auf einem Port per VLAN eingerichtet wären und zwischen den Netzen entsprechender Traffic entsteht, rein rechnerisch würde sich dann die Bandbreite zwischen diesen halbieren?

ich mutmaße mal, dass das Problem eher daher kommt, dass die eigentlichen Mediathek Inhalte nicht von hbbtv.ardmediathek.de etc. kommt, sondern meistens über irgendwelche CDNs ausgestrahlt werden, die du in deinem Alias nicht mit drin hast.

Gruß

Kannst du auf der Console der pfSense via SSH/Shell folgendes ausführen:

/etc/rc.update_bogons.sh 0

und dann

pfctl -o basic -f /tmp/rules.debug

mal testen, ob er die Regeln dann laden kann?

Grüße

Auch mit der Subnetzmakse einfach /32 das ist ein Netz mit nur einer IP also z.B. 192.168.10.10/32 wäre nur die IP 192.168.10.10

@hsrtreml:

Hallo, bin gerade am verzweifeln:

Habe auf OPT1 und OPT2 je ein CP am laufen. Rules sind so definiert, dass kein Zugriff aufs LAN möglich ist
Starte ich nun Squid im transparenten Mode werden Zugriffe von den CPs (OPT1 und OPT2) auf LAN (Port 80) möglich!

Was mache in falsch?  Im LAN-Interface ist Port für pfense auf 11xxx umgeleitet und somit Anti-Lockout 11xxx, 80 eingetragen.

Vielleicht hat jemand ein Tipp?

Treml

Habe gerade im Forum erfahren, dass SQUID im "transparent mode" und Capitve Portal nicht funktioniert!!!

Du mußt das Firmware "…ADI..." von der PFSENSE-Downloadseite (nur für registrierte Kunden) nehmen; da kannst du das Board  (SG 4860, etc.) während der Installation auswählen. Dann müßten die Zuordnungen passen.

Grus HSRTreml