Ich will sicherstellen, dass kein Netzsegment es schafft die komplette Leitung zu belegen.
Das Verwaltungsnetz braucht eine stabile Internetverbindung um Banking/Terminalserver/EMail-Verbindungen
ohne Probleme nutzen zu können. Die anderen Netze sollten eigendlich nur normales Web nutzen.
So wie ich das bisher verstanden habe ist der Limiter ein reiner Begrenzer, man kann nur soviel Traffic
erzeugen/nutzen wie vorgegeben (ich glaub etwas ähnliches macht DTAG bei der VDSL-Ltg auch,
max ist 100MBit und nutzbar ist 50MBit lt. Modem).

Soweit wie ich es bisher gesehen habe, erfordert der Traffic-Shaper by Interface etwas mehr Konfiguration.
Ist damit natürlich feiner bezüglich der nutzbaren Dienste. Die grobe Einstellung per Limiter reicht mir aber
erstmal.

btw. Was meinst Du mit "Slots dynamisch vergeben"? Die Einstellungen bei mir sind doch statisch, oder miss
verstehe ich was?

IPv6 aktivieren im WAN Interface
DHCP Configuration Typ: DHCPv6
Und unter Advanced. –> siehe Screenshot

image.png
image.png_thumb

Schon, wenn Du es transparent schaltest und das VLAN Tagging in der pfSense machst, dann brauchst Du kaum noch auf das web-IF des Modems zugreifen, also kannst/könntest Du Dir das Einrichten einfach sparen.
Die DSL-Link Statistiken sind für die meisten nicht ISP Techniker kaum relevant und was anderes gibt's da nicht.

Ansonsten wenn das auftritt das Logging der Regel anschalten und schauen ob geblockt wird. Zusätzlich dann einen Blick in die States werfen und schauen mit was sich die 13er IPs verbunden hat und sehen, ob das auf deine Filterregel trifft.

Grüße

@Bonsai:

Bis meine eine pfsense aus der Reparatur zurück ist, habe ich nur shared-key auf einem Windoof 2008 Server aufgesetzt.

Dann ist das ja gar keine pfSense Frage.  ;D

Aber versuch es mal mit

push " <route lokales_lan=""><maske>" push "dhcp-option DNS <dns-ip>"</dns-ip></maske></route>

Ohne Domäne wird die Namensauflösung damit aber auch nicht gehen.

Das IPMI hab ich mir noch nicht angesehen. Ich nehme an, das ist die Remote-Servicefunktion ähnlich dem IMM wie ich es von unseren IBM/Lenovo Server her gewohnt bin!? Werde ich auf jeden Fall noch machen.

Ja eigentlich sogar recht ähnlich. Vielleicht nicht ganz so umfangreich wie ein IMM mit Lizenz aber für das meiste recht es Dicke.

OK PXE und Co waren klar, ich dachte das waren jetzt tatsächlich noch System Spezifika mit bei, die hätten mich interessiert ;)

@mr.:

Ist's mir immer noch nicht ganz klar, ob der C2758 fur meinen Zweck genung singlethreaded Leistung hat.

Schwierig zu beurteilen, auch weil der unterschied zum C2558 nicht so groß ist wie man sich das denken würde. Selbiges gilt auch bezüglich C2558 vs APU2 (wobei der Atom dann doch klar gewinnt). Dennoch der neue C2000 Server Atom überrascht, und setzt sich sehr deutlich vom alten Kriechgangimage ab. An den Xeon-D kommt er aber dennoch nicht ran. Wen du 500mbps mit squid, clamav und/oder snort forderst, könnte dir eine APU2 knapp reichen. Selbiges jedoch über VPN/AES verschlüsselt, könnte der C2558 bereits zu knapp sein. Ich würde da eher auf den Xeon setzen.

schau mal unter /var/unbound in den Dateien nach, ob der Hostname dort auch aufgelistet wird

Der ZTE MF823 kommt als USB Ethernet daher, einfach einstecken und WAN auf DHCP stellen.
Ich musste jedoch voher den PIN deaktivieren, sonst kommt der Stick nicht sauber hoch.

Moin,

meine Updates haben auch eine gefühlte Ewigkeit gedauert, teilweise runter auf 200kbit, ich fühlte mich fast in die alten Mailboxzeiten zurückversetzt: http://computermuseum.htw-berlin.de/index.php/Detail/Object/Show/object_id/229 da war mein Einstieg :'(

-teddy

DHCP Server Einstellung:

Default Lease Time (default: 7200s)

Einfach auf höheren Wert einstellen. 86400 wäre ein Tag.

Moin,

der "Controller" https://www.ubnt.com/enterprise/software/ ist erst mal eine kostenlose Software die auf einem Rechner im Netz läuft. Die Unifi APs habe kein Webinterface für die Einstellungen, das machst du über den Controller. Zusätzlich bietet der Controller noch einige Funktionen wie Monitoring, Roaming, Gastportal. Solltest Du keinen Rechner dafür haben gibt es noch https://www.ubnt.com/unifi/unifi-cloud-key/. Aber Du hast einen Raspi …

-teddy

@hidalgo: Danke für die Info. Dann verstehe ich aber trotzdem nicht, warum man partout den nachgeschalteten IPCop belassen möchte nur um vornedran dann noch eine pfSense zu bauen, die das alles auch selbst machen könnte (mutmaßlich). Das verkompliziert das Setup - wie man sieht - und ist kontraproduktiv bei der Fehlersuche. Trotzdem wäre es sinnvoll erst einmal ein kurzes Diagramm zu bekommen und eine Liste, was wie wo getestet wurde und geht und was genau nicht geht, um hier weiter zu helfen :)

Das hängt von der gewünschten Konfiguration ab. Was willst du denn erreichen?

Ja, ein Alarm-System wäre gut … beim Ausfall von Diensten oder Werteabweichungen von einer Regel... Das als Plugin ...

Dann musst du für das Update den Resolver gegen den Forwarder tauschen …
Nach dem Update wieder wechseln... die Einstellungen bleiben ja und während des Updates sollte man das Ding eh nicht unbedingt im LAN lassen. Nur einen PC/Laptop anschließen.

So wie ich das verstanden habe, ist das Problem dann in der _5 behoben und mann muss das nicht noch mal so machen.

Was gefällt dir denn am NUT Package nicht? Oder schlicht nicht nachgesehen, dass es auch andere Pakete für USVs gibt? Mit NUT kann ich bspw. sogar eine APC USV remote monitoren, die in meinem Fall an einem Synology NAS direkt per USB angeschlossen ist.

Klar, das passiert auch mit kommerziellen Zeug. Da schiebt man es dann auf den Hersteller und hat (vermeintlich) guten Support, denn man hat ja bezahlt. OpenSource / frei verfügbar ist halt in den Managerköpfen gleichbleibend mit "Frickelzeug". Die würden lieber 50k€ für ne schrottige Bezahlfirewall hinblättern anstatt was vernünftiges, kostenloses einzusetzen.

Ahoi, gerade wegen dem kommerziellen Support von pfSense und dass es (zumindest offiziell) pre-made Hardware damit nun gibt, waren bei einigen Kunden/Firmen gerade erst Gründe (leider), pfSense ernst zu nehmen. Wenn man denen mit reiner Software kommt, egal wie gut, ist da oft noch Luft im Kopf. Kostet nichts - kann nichts. Bastelladen. Wen kann ich da haftbar machen wenn der Mist nicht geht. Etc. etc. und weitere solche Sätze einfügen. Dass sie bei bspw. MS auch niemand haftbar machen können wenn Word mal wieder abschmiert und den wichtigen Brief ins Nirvana reißt wird dabei gekonnt ignoriert.

Ansonsten finde ich schade, dass bei einem Weggang immer gleich die übliche Leier an "könnte sein" Argumenten aufkommt. Ich sehe nicht, dass Chris da "unterschiedliche Interessen" hatte, sonst hätte er damals schon mit Scott zusammen gehen können bzw. das Joint Venture mit Netgate überhaupt nicht eingehen müssen. Vielleicht (ist ja gerade so ein gern genutzes Wort) ist es auch schlicht umgekehrt und er ist einfach die ständigen Kämpfe gegen die Aluhut-Windmühle leid. "Ihr seid US Coder, garantiert uns mal schriftlich, dass da nirgends ne NSA Backdoor drin ist", "Hey ihr mit der Lizenz wollt alles jetzt auf Kommerz machen, die freie pfSense stirbt, der Code wird Closed Source" bli bla blubb.

Meiner unwichtigen Meinung nach wird umgekehrt genauso ein stressiger und nerviger Schuh draus, bei dem man dann irgendwann zum Punkt kommt, dass es einem keine Freude mehr macht, weil man zu viel Zeit damit verbringt, alle mögliche Aluhüte wie Whack-A-Mole's erschlagen zu müssen. Und mit der Lizenzänderung zu ACL2 ist - ebenso IMHO und IANAL - damit hoffentlich auch endlich mal ein wenig mehr Ruhe. Auch wenn dieser schon wieder im gleichen Satz mit Kommerzialisierung genannt wird, ist er m.E. eher ein gegenteiliger Schritt hin zur Sicherstellung, dass der Code frei bleibt und nicht geschlossen und abgekapselt wird. Und das ist wohl auch den oberen pfSense Chefs klar, dass sie mit einem anderen Schritt hin zu Closed Source alle zu anderen Lösungen treiben würden.

Insofern halte ich es da sehr wie slu: ich sehe keinen akuten Nachteil gerade, die Entwicklung geht gut voran und abwarten, was dann demnächst mit ARM und Co noch auf der Bildfläche erscheint. Anderenfalls hat man durchaus genug andere Optionen.

Welchen externen NTP sprichst Du denn an?

Bei mir ist das in der Konfiguration de.pool.ntp.org
Unter Status -> NTP sollte entsprechende Verbindung auch erscheinen.

Ansonsten wäre ein Blick in das NTP Log noch hilfreich.

ntp.jpg
ntp.jpg_thumb