@benjsing said in Dynamic DNS via stratu aktualisiert nur manuall: Interface to send update from: LAN Öh what? Hast du da mal sinnvollerweise WAN eingetragen und nochmal getestet? Steht ja nicht umsonst drunter: This is almost always the same as the Interface to Monitor! ich würde da eher mal wieder den Cron gerade setzen wie er vorher war (1x am Tag) und testen, ob es dann geht. Ich denke eher, das hast du schlicht falsch eingestellt. Denn wenn er zwar die IP vom WAN nutzt, aber auf LAN gebunden ist und das überprüft, macht das herzlich wenig Sinn :D

@do3lk said in HP NC375T Netzwerkadapter: HP NC375T Erstes Suchergebnis: https://forums.freebsd.org/threads/card-pcie-nc375t-not-recognized.28093/ Recht klar beschrieben. HP labelt gern mal FremdHW um. In dem Fall eine Uralte Netxen/QLogic Karte. Die hat keinen FreeBSD Treiber. Damit auch keine Funktion in pfSense. Daher - nö wird nicht laufen. Sorry :/ Cheers \jens

@Rygel said in 2 Wan im Lan zusammenfassen: Ubiquiti Networks UAP-AC-PRO, weiß & US-8-60W UniFi Switch Jup ist ein schönes Starter Set. Wenns auch kleiner tut (kommt auf die WLAN Bedürfnisse an) könnte ein UAP-NanoHD oder -FlexHD (das ist das Stab-Design zum Aufstellen wenn Deckenmontage vllt. ausfällt oder doof ist). Sind beides HD Geräte, können daher Geräte ggf. nen Tacken besser ansprechen. WiFi-6 Geräte kommen wohl erst zum Winter, die ersten APs wurden ja schon getestet und in kleiner Beta-Stückzahl verkauft. Der US-8 würde es auch tun, es sei denn du hast vor mehr als einen AP per PoE anzusteuern. Dann ist der 60W natürlich sinnvoll. Wenn du aber nur 5 Ports brauchst und Strom eh über nen Injektor machst, gibts jetzt auch die USW-Lite Serie (in Plaste statt Metall) oder die USW-Flex(-Mini). Gerade der letztere in der Mini Version hat zwar nur 5 Ports ist aber voll managebar wie jeder andere Unifi Switch via Controller. Und für den super günstigen Preis (liegt bei ~39) ist das Dauerargument "aber Switch mit VLAN kostet so viel) endgültig tot- :)

Da würde ich auch langsam eher auf Hardware und/oder Anschluß tippen und die mal durchmessen lassen. Ist durchaus nicht so ungewöhnlich dass Fehler/Probleme am Anschluß erst auftreten wenn etwas mehr Traffic drüberlaufen. Wundert mich auch, dass du Probleme hast, mit dem FritzVPN Editor Konfigurationen zu bauen/ändern, die dann mit MainMode laufen. Hat bislang auf allen Boxen geklappt, die ich getestet habe, egal ob DSL oder Kabel. Das macht mich ebenfalls stutzig.

@thomaslauer said in Alle Verbindungen in Syslog protokollieren: Ist das wirklich so? Natürlich. Die beiden Haken die du gesetzt hast beziehen sich wie der Text auch eindeutig sagt auf die "default block bzw. pass rules". Diese werden dann geloggt. Da steht aber nicht dass dann automatisch alles und jede Regel geloggt wird. :) Also muss in jede Regel die du geloggt haben willst auch ein "log" mit rein, sonst wird es ausgefiltert, was ja durchaus gewollt sein kann wenn man sich mit bestimmte Trashports oder Trash-Traffic/Grundrauschen etc. einfach nicht die Logs zukleistern möchte. :) Cheers \jens

@ips-ad said in pfSense mit HAproxy funktioniert nur kurze Zeit: bis es dann ein 504 Gateway Time-out gibt (obwohl die Checks in der HAProxy-Statistik ok sind). Öffne ich ein neues Inkognito-Browserfenster, dann klappt es wieder ein Weilchen, bis das Spiel von vorne losgeht. Sind die wirklich durchgehend OK? 504 ist eigentlich klarer Fall, dass das Backend nicht erreichbar ist/war. Hast du mal testweise den Backend Check einfach disabled (und damit quasi immer OK angenommen)? Tritt es dann auch auf?

Was hat denn jetzt NAT damit zu tun. Wenn eine RFC1918 IP an eine andere ran will? Oder hast du intern auch NAT aktiv? Ich habe aber such nicht den Auto NAT Mode der pfSense aktiv, ich nutze hier Hybrid Mode. Ggf. haut dir ja diese Auto Funktion dazwischen.

@linjection Die Lösung steht ja eh schon oben. Wenn es nicht funktioniert, bitte klarer formulieren, was das Problem ist. Auch das steht schon oben.

Diagnostics > System Activity Wenn du die Anzeige sortiert haben möchtest verwende top in der Shell. Nach Speicherverbrauch sortiert, mit dem speicherhungrigsten Prozess beginnend: top -o res Alternativ kann man einfach top aufrufen, dann o drücken für die Sortierfunktion und anschließend den Spaltennamen eingeben.

Die anderen beiden Kollegen sagen ja schon - ist nicht haltbar. Strafbar schon gar nicht, denn da gehts wieder in den Kontext von wegen "Umgehung von Sicherheitsmaßnahmen die technisch sinnvoll sind". Ist nicht der genaue Wortlaut aber der Punkt war schon mehrfach bei solchen Diskussionen ausschlaggebend. MAC Adressen filtern ist wie bspw ein DNS Block keine hinreichende Sicherheitsmaßnahme und die Umgehung so einfach dass sich daraus kaum ein Straftatbestand ableiten lässt. Zudem korrekt darauf hingewiesen wurde, dass man erst einmal a) rausfinden muss, dass(!) und wer überhaupt gespooft hat b) warum das problematisch ist c) das auf nen Schüler rückführen Wenn Administration von einem CP und simples Userhandling schon ein Problem sind, kann ich nicht erkennen wie das funktioniert. Das ist dann wieder Security through Obscurity und in ein paar Wochen so einfach ausgehebelt, dass spätestens dann doch über andere Möglichkeiten nachgedacht wird. Dann sollte man es gleich ordentlich machen :) Dass es generell mies ist, dass hier Tätigkeit ausgelagert wird an LuL und Personal in der Schule, was eigentlich Firmen machen sollten und es eine ordentliche Lösung vom Land aus geben sollte ist eigentlich das größere Thema und das ärgert mich immens. :/

Das war der Grund :)

Die GUI erreichst du also noch nicht. @Mansaylon said in Console / Installation Auflösung: Dazu kommt noch, dass in der Shell das US-Keyboard gültig ist und ich eine Schweizer Tastatur habe (obwohl ich bei der Installation die richtige Tastatur angegeben hatte). Das Problem kenne ich. Ich würde es aber dennoch damit versuchen. Ein passendes US Tasturlayout sollte im Netz zu finden sein. Dann weißt du, welche Taste du benötigst. Im Grunde geht es ja nur um die beiden Zeichen ">" und "", die anderen Tasten zugeordnet sind, jedenfalls entgegen dem deutschen Layout. VI wäre da wohl auch keine große Hilfe, denn die einzige Zeile im File steht AFAIK auch ganz unten. @Mansaylon said in Console / Installation Auflösung: Versuchte auch mal über das Bios den Boot-Vorgang über UEFI auszuschalten... bootete dann einfach nicht mehr. Soweit ich weiß, erfordert das eine Neuinstallation. Das könnte aber auch die Lösung für das Anzeigeproblem sein.

@Klaus2314 said in Prozesse bei 99% Memory usage beenden: Man kann also sagen, dass wenn eine laufende pfsense mit pfblocker bei 50% RAM liegt, dann bloß nicht rebooten? Nein weil nicht nur pfblocker im RAM läuft. Zudem holt sich das OS selbst auch RAM für FS Caching und Co wenn was zu holen ist. Man kann da nicht pauschal urteilen.

@unique24 said in Loggen von allen Zugriffen von außen: Es soll also nur er Initial Request (oder wie man das bezeichnet) protokolliert werden. Dann ist "Dauer" quatsch. Wenn nur der Syn / Handshake geloggt wird, wie willst du dann die Dauer messen? Wenn das sowieso nur um Ports/Traffic geht, der eh zugelassen ist und damit Statistik, dann mach ne Auswertung über Softflows. Softflowd draufmachen, Interface auswählen, Flows an Collector schicken, Profit :) Alternativ alles auf der Sense mit ntopng ggf. auslesen/basteln

@Bob-Dig said in Internen Traffic über NAT zurück ins LAN leiten: Kann ha proxy eigentlich auch funktionieren, wenn SNI verschlüsselt ist und kein offloading genutzt wird? Wenn SNI WIE verschlüsselt ist? Momentan gibt es AFAIK nur eine Variante SNI zu verschlüsseln und das ist ESNI. Wenn die Komponenten ordentlich ESNI sprechen, alle Komponenten APIs aufgerüstet sind und SplitMode ESNI läuft, sollten auch LBs gehen.

Moin, so, einstimmiger Beschluss: Kein Debugging, eventuell stelle ich das Szenario später nochmal nach. Jetzt wird eine pfSense hinter die Fritte gehängt weil der VPN Tunnel nur für ein Gerät nötig ist und das dann auch noch vom dortigen LAN abgetrennt werden soll. Warum man sich nicht gleich ausködelt... -teddy

Hi Ja zugegeben - das ist schon eine heftige Auslastung so - dennoch bin ich eigentlich (warum auch immer) davon ausgegangen dass die APU Dinger zumindest 400Mbit schaufeln können ohne dass es zu einbußen auf den anderen Ports kommt. ich habe heute noch ein wenig gegoogelt und das ganze scheint sich auf die 4C4 zu verdichten - hier ist laut einem Thread ein spezieller INTEL Chipset verbaut der in Verbindung mit BSD probleme macht und nur begrenzt Leistung liefert (offenbar nicht unter linux) Jedenfalls hat sich mein Bild von den APU´s jetzt gerade etwas verrückt - und nein - ich will nix geschenkt - dennoch machten die bisher einen wirklich guten Job - so langsam erklärt sich aber auch das ein oder andere bisher nicht erklärliche Verhalten das ich beobachtet habe ...

Ja kann sein. Ich lass es jetzt erst mal so. Ist eh der einzige Port den ich an der FB nutze und es gibt 3 weitere. Won't fix it if it ain't broken.