@caso1990
Danke,
Funktioniert immer noch / still works (Hyper-V Server 2019)

Hier geht das, einfach die Domain als Suchdomäne an die Clients per DHCP ausrollen und schon lässt sich der statische DNS Eintrag immer sauber auflösen. Egal ob als FQDN oder Kurzname, was dann über die Suchdomäne zum FQDN vervollständig wird.

Daher auch bei der DNS Auflösung am Ende, wenn man FQDNs sucht immer einen . machen.

Die Option 43 ist echt simpel, in dem Link von Jens ist ja wirklich alles erklärt.

Dann noch im Controller den FQDN für den Controller hinterlegen und schon finden die immer wieder heim.

@n300 Da bin ich bei dir, den Alarmismus-Grad der Meldung fand ich auch etwas zu stark gemessen an "Umstellen sollte man erst wenn das Ding wesentlich mehr Features hat" (also je nach Einsatzzweck mit der kommenden 24.08) - das erweckt leider mitunter die Idee, man müsste hier akuter tätig werden, als es ist.

Mit ein paar Parameter mehr (da hätte ich auch selber drauf kommen können) sieht man sehr schön das pfBlockerNG schreibt und auch was passiert wenn man den Python Mode einschaltet:
https://forum.netgate.com/post/1182078

@eagle61 said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600:

LEISTUNGSBESCHREIBUNG MyNet und ProNet mit kundeneigenem ONT

Es wird der vom ISP gestellte ONT eingesetzt.
Die Deutsche Giganetz hat dem Anschlussinhaber kurz vor Vertragsbeginn einen Brief mit PPPoE-Zugangsdaten zugesandt.

@mike69 said in Deutsche Glasfaser am pfsense - IPv6 und "DHCPv6 Prefix Delegation size" bzw. "IPv6 Prefix ID":

Und wie soll der Anbieter ohne User/Pass wissen, wer am anderen Ende sitzt? Geht nur mit der Indentifikation des ONT oder des SFP Modules. MAC Adresse imho...

Das weiter oben von mir erwähnte Urteil des BVerfG aus 2023 ist eindeutig. Es gilt die freie Endgerätewahl in DE - auch für die DG. Auch DG muss es somit ermöglichen einen eignen NT anzuschließen, der den technischen Spezifikationen der jeweiligene Anschlusstechnologie entspricht und darf das nicht mittels Bindung an eine bestimmte Geräte-MAC-Adresse eines vom DG gelieferten NT unterbinden.

@BerndHu Schwierig zu sagen. Wir hatten auch schon Geräte auf dem Tisch, die dann bei uns problemlos liefen, da war es wahrscheinlich dann einfach Pech bei der Konsole. Machmal war auch was mit Wackelkontakt bzw. wir hatten es auch schon, dass ein Power/Reset Button ein Dauersignal rausgab. Wären alles mögliche Ursachen, kann man so remote schlecht sagen. Im schlechtesten Fall dann was anderes in Richtung Board oder Power. Da müsste ich raten oder müsste mir das Gerät selbst anschauen.

Cheers

@micneu
Das ich die Fritzbox nehme liegt hauptsächlich daran, dass sie da ist und bisher alle meine Anforderungen erfüllt hat. Ich bräuchte sie auch weiterhin, da schien es zu Beginn des Projektes "einfach" sie zu behalten und als VPN Endpunkt zu benutzen. Die Überlegung Sie ersetzen startet bei mir als erst jetzt 😌 Das mit den Netzen ist vorallem Gewohnheit. Als ich den Thread erstellt habe ging ich davon aus, das ich einen einfachen Fehler gemacht habe und das genaue private Netz nicht von belang ist. Naja, wieder was gelernt.

@JeGr said in Kein Verbindungsaufbau Telekom VOIP mit eigenen DNS Servern / PFSense als DNS Resolver:

Von DNS lese ich da gar nichts

Ich auch nicht. Aber DD4711 beschrieb aber Probleme mit der NAmensauflösung. Probleme, die ich von o2 (mein ISP) auch kenne, denn die verstecken ihren SIP-Server sip.alice-voip.de aus mir nicht nachvollziehbaren Gründen. Nur die DNS-Server von o2 lösen den Namen des SIP-Servers von o2 auf. Gleichzeitig beherrschen die DNS-Server von o2 kein DoT (DNS-over-TLS) und so weit ich weiß auch kein DoH (DNS-over-HTTPS).

Will man nun, wie ich, DNS-over-TLS erzwingen, kann man die DNS-Server von o2 nicht nutzen. Daher vermute ich DD4711 hat ein ähnliches Problem, was sich ja schon durch einen einfachen ping auf den SIP-Server der Telekom bestätigen lässt, denn sowohl auf ein ping auf sip.alice-voip.de wie auch auf tel.t-online.de bekomme ich die gleiche Antwort: Name or service not known, der STUN-Server (stun.t-online.de) wird hingegen korrekt aufgelöst zu 217.0.136.1.

Damit kann DD4711 derzeit keine funktionierenden VoIP-Verbindung hinbekommen, denn weder der SIP-Proxy, der Registrar, noch der Realm werden aufgelöst und es wird eine IP-Adresse von der pfsense zurückgeliefert.

Kleines Update, das WAN-Interface kann nun zumind. ohne Reboot (automatisiert) wieder zum Leben erweckt werden.

Hierzu das WAN-Interface fest (nicht "autoselect") auf die entsprechende Port-Geschwindigkeit der Gegenseite einstellen

Bildschirmfoto 2024-08-11 um 07.26.22.png

und die folgende Befehlssequenz ausführen (neu ist die Löschung des ARP-Eintrags der IP-Adresse des WAN-Interfaces).

/sbin/ifconfig $WAN_INT down sleep 10 /usr/sbin/arp -d $WAN_IP /sbin/ifconfig $WAN_INT up sleep 20 dhclient $WAN_INT sleep 20

Mit einem CRON-Job und einem Ping-Test-Skript läuft das bisher einwandfrei....

@eagle61
Hier noch eine Rückmeldung mit der Antwort von Deutsche Glasfaser.
Ich könnte ohne den Standard Modem mich einwählen, aber die geben nur AVM Fritzbox Alternativen.

c92e2aa0-5125-4b35-af14-d59bf62679b2-image.png
80f18c62-930c-4569-ab9c-5b482b1a961e-image.png

Aber Einwahldaten hat man... von daher hätte man es testen können. Ich werde das aber nicht machen, weil es ein wenig zu fortgeschritten wäre für mich allein. Vielleicht in der Zukunft.

@viragomann Danke, hat so funktioniert.

Verstehe immer noch nicht, warum man das nicht mit einer Firewall Instanz löst.
Vor allem, wenn man die gleiche Firewall für alle 4 Punkte einsetzt, ist das einfach nur deutlich mehr Arbeit, da jede Freischaltung bis zu 4 mal erfolgen muss.

Und warum man Proxmox direkt dem WAN aussetzen will, erschließt sich mir auch nicht.

Ich würde das alles über eine Firewall lösen, die auch das NAT übernimmt und dann gar keine WAN Adresse intern weiter reichen, wozu auch, jedenfalls nicht was IPv4 anbelangt.

In deinem Fall aber einfach per routing.
Würde aber in den 30er Netzen auf der einen Seit unten und auf der anderen Seite oben anfangen.
Kommt HA dazu, hast noch noch IPs frei und das auch gleich so planen das ich pro Seite 3 IPs frei habe, sprich die Transfer Netze ein wenig größer machen.

Du bekommst beim Verbindungsaufbau meistens eine IPv4-Adresse, eine IPv6-Adresse und ein IPv6-Präfix (hier /56) zugewiesen. Aus dem Präfix und der Präfix-ID werden die IPv6 /64 Netzwerke gebildet und dort dann die IPv6-Adressen.

Die IPv6-Adresse stammt nie aus dem IPv6-Präfix. Nutzbar ist die z.B. für DynDNS und VPN

@NOCling said in Exposed Host an Netgate oder AVM:

Ja klar kann man das mit der FeitzBox so machen und parallel zur pf auch Sachen betreiben und erreichbar machen.
Man kann sich auch selbst ins Bein schießen oder mit dem Messer rein hacken.

Bedeutet aber noch lange nicht das man es auch tun sollte.

Wobei, wenn wirklich kaum Vorwissen besteht, dann mag das über die Fritte sogar sicherer sein, weil man hier auch weniger falsch einstellen kann. Mit so einer Sense kann man halt auch viel falsch machen, weil man halt wirklich alle Möglichkeiten hat.

@micneu said in DynDNS GoDaddy {"code":"ACCESS_DENIED","message":"Authenticated user is not allowed access"}:

meine Empfehlung

wer zuerst den link zur anleitung findet ..

;)

@viragomann

Ich hab alles korrigiert und noch ein bisschen Grundlagenforschung betrieben. Das Problem wurde letztlich gelöst.

Danke!

Gruß

MS

@aglandorf said in NTP + DHCP:

Jetzt werd ich die Sache nochmal beobachten.

OK!