Subcategories

  • 107 Topics
    1k Posts
    S

    📌 Ziel:
    Ich möchte mDNS-Discovery VLAN-übergreifend ermöglichen, damit ein PlexAmp-Client auf einem Raspberry Pi im IoT-VLAN über die PlexAmp-App auf meinem Smartphone über den Plex-Server im LAN automatisch entdecken und sich verbinden kann.

    Sobald sich mein Handy und der Plexamp Client (Headless) im selben Netzwerk befinden, funktioniert das Streaming.

    🧑‍💻 Netzwerkübersicht:
    Komponente Details
    Firewall pfSense (aktuell, mit Avahi-Paket)
    Switch/AP UniFi (Controller & Geräte aktuell)
    HomeNetz LAN – 192.168.8.0/24 (Plex + Roon Core)
    IoT IoT – 192.168.10.0/24 (Raspberry Pi mit Plexampheadless)
    Avahi Installiert auf pfSense, reflektiert zwischen LAN und IoT

    ✅ Konfiguration bisher:
    pfSense:
    Avahi installiert und aktiv
    mDNS-Repeater für LAN und IoT aktiviert
    Firewall-Regeln:
    any-to-any zwischen VLANs
    Zusätzlich: UDP 5353 → 224.0.0.0/8 mit „Allow packets with IP Options“

    UniFi:
    SSID „KugelMensch_IoT“ → VLAN IoT
    WLAN-Optionen:
    ✅ Multicast-Erweiterung aktiv
    ❌ Client-Isolation deaktiviert
    ❌ Multicast/Broadcast-Filter deaktiviert
    ✅ Erweiterte IoT-Konnektivität aktiv
    IGMP Snooping: (standardmäßig aktiv)

    🔧 Zusätzliche Firewall-Regeln getestet:
    Im VLAN IoT:
    ✅ UDP 5353 → 224.0.0.251, „Allow packets with IP Options“
    ✅ UDP 32414 → 192.168.8.0/24 (Plex GDM Discovery)
    ✅ TCP 32400 → Plex Server
    ✅ UDP 9003 + TCP 9100–9200 → Roon Core
    🧪 Beobachtungen:
    Multicast-Traffic wird sichtbar über tcpdump
    Clients empfangen die Antworten aber ggf. nicht korrekt
    IGMP Snooping evtl. blockierend (aber noch nicht deaktiviert getestet)

    Es scheint nichts zu funktionieren. Hat jemand noch eine schlaue Idee?

    Vielen Dank im voraus.

  • 80 Topics
    433 Posts
    JeGrJ

    Heute spontan OpenHouse im NSFW.pub. Gern einfach mal reinschauen, kann allerdings sein dass zwischendurch mal gerade keiner am "virtuellen Tresen" ist oder ich Getränke hole/wegbringe.

    Cheers :)

  • Crowdfunding Hardware für pfSense?

    3
    0 Votes
    3 Posts
    1k Views
    T

    Hatte Urlaub  ;D

  • Probleme mit Multi WAN , failover

    6
    0 Votes
    6 Posts
    1k Views
    H

    auch nochmal eine gute Erklärung:

    http://opensourceforu.com/2016/08/configuring-pfsense-dual-wan-failover-mode/

    funktioniert bei mir einwandfrei mit Captive Portal und SQUID

  • IPSec+Nat

    3
    0 Votes
    3 Posts
    805 Views
    C

    Hat alles geklappt, der Dienstleister hatte falsche IPs.

    Danke!

  • VLAN 1

    2
    0 Votes
    2 Posts
    929 Views
    jahonixJ

    @groovesurfer:

    Mein Problem ist, dass ich leider VLAN 1 nehmen muss (anderes Setup verlangt es).

    VLAN1 ist default in eigentlich allen Geräten und lässt sich nur schwer oder gar nicht ändern oder entfernen. Auch bei Cisco.
    Daher ist die erste VLAN-Regel immer: nutze VLAN1 für nichts anderes als gar nichts.
    Verhaue denjenigen, der Dir VLAN1 in einem Setup vorschreibt.

    Andererseits sollte es trotzdem funktionieren, wenn Du alle Einstellungen richtig vorgenommen hast.
    Das Tutorial scheint auf den ersten Blick korrekt zu sein, zumindest der pfSense Teil.
    Der Cisco VLAN part ist an einigen Stellen nicht ganz vollständig.

    Gib mal an der Switch-Console ein:
      show vlan
    und poste die Ausgabe.

  • Mehrere webserver/mailserver/ftp hinter pfsense

    6
    0 Votes
    6 Posts
    1k Views
    jahonixJ

    @DCG:

    … www.bla1.de via ftp verbinden moechte, ...

    Ich hatte nur auf Deine 3 Beispiele  www.bla1.de  etc geschaut und die Protokolle überlesen.
    Für verschiedene Web-Server sollte haproxy gut funktioniert.
    Die Unterscheidung nach Protokoll (ftp, mail, …) machst Du einfach über das NAT.
    Dann geht http zu server1 und ftp zu server2, mail mit den diversen ports auf server3.

  • Kein Ping über IPSec Mobile Tunnel

    2
    0 Votes
    2 Posts
    588 Views
    Q

    Ich habe noch eine extra Regel:

    Adress Familiy:  ipv4

    Protocol: ICMP

    ICMP type:  any

    Bin mir nicht sicher warum ich die zusätzlich drin hab… versuchs mal.

  • PfSense Authentifizierung am AD funktioniert nur teilweise

    4
    0 Votes
    4 Posts
    4k Views
    A

    Das hast Du falsch verstanden. Viragomanm meinte wohl, dass Du der Gruppe ( und damit den in der gleichnamigen Gruppe im AD enthaltenen Usern )  im User-Manager bei Groups unter "Assigned Privileges" Zugriff auf die entsprechenden CP-Seiten geben musst.

  • Kauferfahrung

    4
    0 Votes
    4 Posts
    1k Views
    H

    Hier kurz meine Erfahrung:

    Zollabwicklung -> EORI-Nummer in Dresden beantragen;
    Hardware wurde von Netgate per FEDEX schnell geliefert;

    aber

    Mainboard war mit zu kleinen Schrauben im Gehäuse befestigt und hat sich während dem Transport gelöst;
    Schrauben und Mainboard lagen lose in dem Gehäuse;

    Beschwerde bei Netgate ergab:
    "kommt öfters vor"
    sind bereit das Gerät "kostenfrei" umzutauschen, ich solle aber noch testen, ob dies wirklich notwendig sei

    Ergebnis:
    Systemhardware für ca. 1000 EUR sollte schon perfekt ausgeliefert werden;
    Abwicklung via ZOLL und mögliche Rückabwicklung erzeugt Kosten;

    Empfehlung:
    besser in Deutschland kaufen.

  • Neues Netzwerkdesign VLAN oder physisch getrennt?

    10
    0 Votes
    10 Posts
    7k Views
    H

    @jahonix:

    Welchen Durchsatz kann Deine Internet-Anbindung bereitstellen?
    Erwartest Du viel (oder überhaupt) Traffic zwischen den Netzsegmenten?

    Wenn Du genug Interfaces an der pfSense für dedizierte Segmente hast und Switchports auch reichlich zur Verfügung stehen, dann mache es physikalisch getrennt. Damit schaffst Du Dir auch keinen Flaschenhals, wenn Traffic einen Trunk zweimal durchläuft (von einem Segment ins Nächste).
    Wenn Du aber sowieso nur upstream auf eine VDSL Leitung oder so konzentrierst, dann wäre das ziemlich wurscht.

    Unüberschaubar oder schlecht zu managen ist eine VLAN Lösung nicht, man muss ggf. einmal mehr nachdenken, bevor man Einstellungen ändert.
    Wenn Du mit gescheiten AccessPoints mehrere SSIDs ausstrahlen willst, dann kommst Du fast nicht um einen Trunk zum AP herum, und dann taggst Du sowieso schon. Dann kann man das auch gleich konsistent überall machen.
    Ferner lässt sich ein Management VLAN einrichten, auf dem man (nur) die Hardware administriert. Das funktioniert mit physikalischer Verteilung nur eingeschränkt und/oder mit großem Aufwand, wenn überhaupt.

    Vielen Dank Chris; ich werde es zunächst physisch getrennt lassen und iterativ, mit dem Kauf VLAN-fähiger Switches und den "steigenden" Anforderungen mich ins Thema VLAN wagen… (zumindest eine Bridge an einem dd-wrt-AP mit zwei physischen Kabeln und zwei SSID habe ich schon hingekriegt).

    Beste Grüsse
    Nikolaus T.

  • Spotify Connect, Youtube auto discovery zwischen verschiedenen Subnets

    1
    0 Votes
    1 Posts
    1k Views
    No one has replied
  • Snort Hilfe gesucht

    2
    0 Votes
    2 Posts
    919 Views
    A

    Hat sich erledigt.

  • Manueller Neustart einzelner VPN-Zugänge

    1
    0 Votes
    1 Posts
    362 Views
    No one has replied
  • WAN Probleme bei Kabeldeutschland (Vodafone)

    2
    0 Votes
    2 Posts
    768 Views
    V

    Hallo!

    @fuxz:

    Wie sollte der Cronjob korrekt hinterlegt werden?

    Installiere dir das Cron-Paket. Dann findest du einen Cron-Eintrag im Services-Menü.

  • Beratung pfsense - Entertain 2.0 - OpenVPN

    2
    0 Votes
    2 Posts
    932 Views
    P

    Hi,

    du bist ja sicher schon auf https://forum.pfsense.org/index.php?topic=110259.msg653273#msg653273 gestoßen. Damit hat sich dein Vorhaben bis auf Weiteres geerdet.

    Als Modem geht der Vigor 130 und ein APU1d, wobei die Verschlüsselungsleistung evtl zu gering ist (keine HW Verschlüsselung). Da gibt es evtl bessere Tipps.

    Gruß
    pfadmin

  • Tftp-proxy Eintrag im Log

    1
    0 Votes
    1 Posts
    589 Views
    No one has replied
  • Kaufberatung Firewall

    10
    0 Votes
    10 Posts
    2k Views
    JeGrJ

    Da ich nun auf der. Vormerkliste für FTTH 1Gbit/s stehe, muss ich mir vermutlich bald was neues einfallen lassen  :)

    Warum? Wie gesagt der C27xx ist toll. Nur für max. Leistung nicht der Avoton, der ist eben für Server und Virt. gedacht, sondern der Rangeley, der ist mit QuickAssist für genau das konzipiert. Deshalb unterscheidet Intel den ja auch. Und da gerade pfSense + FreeBSD mit Intel an QuickAssist Support gearbeitet haben, passt das wie Faust auf Auge.

    Zudem gab es schon Tweets, dass ein 2758er mit AES-GCM via IPSEC fast auf Linespeed VPN schafft (also Gigabit). Sehe daher nicht, dass du da upgraden müsstest von der Kiste, wenn aber doch lege ich dir als Step-Up den Xeon-D von Supermicro ans Herz. Verkaufen wir auch für viele Kunden und die sind happy-as-can-be mit der Kiste, zumal die 6 NICs Gigabit + 2 NICs 10Ge + IPMI mitbringt. Großartiges Ding!

    http://www.supermicro.com/products/system/1U/5018/SYS-5018D-FN8T.cfm

    Und ja wir verkaufen die u.a. auch :P Darf man ja erwähnen. Läuft toll das Ding und (ein großes) Plus: Das IPMI ist nicht Java/Flash only, sondern hat sogar ne ordentliche HTML5 Console! :O :D

    @Spitzbube:

    Es soll was können und mich vor Angriffen bewahren. Hatte nämlich im Mai diesen Jahres einen, bei dem ich die Konsequenzen erst gestern erfahren durfte.

    Darfst du dazu mehr sagen? Angriffe "bewahren" ist vage. Wenn damit DDOS gemeint ist - nichts schützt davor. Außer Stecker ziehen - aber das ist ja schon implizit.

    450 Mbit Up und Down 20MBit

    Könnte das evtl mehr werden? Was möchtest du evtl. noch als Zusatzpakete einsetzen? (IDS/IPS, Proxy, etc.)? Sind wir ggf. im Firmenumfeld? Spielt also evtl. Garantie ne Rolle (3-5 Jahre?)

    Wenn du dazu noch was sagen könntest, wäre das toll. Wenn eines oder mehrere davon zutreffen, würde ich persönlich eher den Step up zu was größerem machen und nicht mit einer APU2 anfangen. Der ein oder andere hier hat ja nun auch schon eine 7525 wie man in der Signatur lesen kann und bislang hab ich davon nur Lobreden gehört. Zudem hat die 7525-D mit 6 Interfaces schon viel Möglichkeiten auch noch zu wachsen oder später größere Setups zu handeln (CARP Cluster mit zweitem Gerät etc.)

    Grüße

  • Hilfe bei VPN Einrichtung

    40
    0 Votes
    40 Posts
    6k Views
    U

    Ja, wie man ein Interface anlegt und so - das wusste ich schon. Ich war nur irritiert, ob ich nicht evtl. noch sonstige Einstellungen unter Rules oder sonst wo tätigen muss. Aber das ist mittlerweile erledigt. Nun zum Thema mit Multicast…

    Danke für den Tipp mit IGMP Proxy. Das hat mich jetzt leider nicht weitergebracht (habe alle möglichen Varianten ausprobiert). Danach bin ich auf die Erweiterung Avahi für die pfSense gestoßen, welche ja wohl genau das tun soll - alle Multicasts auf allen bzw. ausgewählten Interfaces verfügbar machen.
    Also habe ich das Package installiert und ausprobiert, aber auch dieses bringt mich keinen Schritt weiter. Leider nach wie vor nichts über das OpenVPN Interface verfügbar.
    Generell scheint das Package aber seinen Dienst vorbildlich zu verrichten. Habe heute einen VLAN eingerichtet und von dort konnte ich problemlos solche Dienste wie Airprint oder Airplay erreichen, bis ich das entsprechende VLAN-Interface unter Avahi ausgeschlossen habe (warum läuft es eigentlich nach dem Ausschlussprinzip? :-).

    Idee, was ich noch versuchen könnte?

  • APU: Empfehlenswerte WLAN miniPCI-Karte für 5Ghz?

    7
    0 Votes
    7 Posts
    3k Views
    F

    Bei mir läuft der UniFi Controller sogar nur auf einem Rapsberry PI.
    Zumal das Ding nicht immer laufen muss.
    Man kann damit die Access Points konfigurieren und braucht den dann nicht mehr zwingend.
    Schön ist es aber wegen Statistik und so.

  • Frage zum Routing

    9
    0 Votes
    9 Posts
    2k Views
    magicteddyM

    Moin JeGr,

    ich habe noch eine Zeitschaltuhr über, Nachts Kaffee kochen lassen, abkühlen lassen, nach dem Aufwachen intravenös "genießen"  8)

    -teddy

  • Update openvpn-client-export v. 1.3.12

    1
    0 Votes
    1 Posts
    376 Views
    No one has replied
Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.