Das ist schonmal ein Anfang. Also der "alte" pfBlockerNG noch. Das ist wichtig. Ansonsten muss natürlich auch der DNS Resolver (Unbound) genutzt werden, sonst klappts mit DNSBL gar nicht. Zudem muss der Client dann logischerweise auch die pfSense als DNS nutzen und nicht dran vorbei was anderes aufrufen. Und zu guter letzt sollten auf Client und pfSense natürlich die DNS Caches auch initial mal leer sein, damit keiner noch mit alten Sachen antworten kann.

Kann/konnte ich so nicht rauslesen aus den 3 Posts. Denn für meine Interpretation stand da immer noch (sinngemäß): Wenn der Haken rausgenommen wird, kommt er aufs WAN auf die FB drauf. Hat aber wie gesagt damit nichts zu tun, da es um die Richtung geht, in welcher Regeln gelten. Und da hier ein Anfänger mit ersten Schritten zu Gange ist, mag ich sowas Mißverständliches klarstellen. Regeln genauso wie die Haken bei Bogon/Private Networks gelten nur eingehend auf diesem Interface. Und nur für Traffic der von dort ursprünglich ausgeht. Nicht für irgendetwas anderes, keine Antwortpakete oder sonstiges :)

@jegr said in Gateway MonitorIP nicht änderbar: Welche Version wird überhaupt eingesetzt? @powersense said in Gateway MonitorIP nicht änderbar: PF sense Version: 2.4.4-RELEASE-p2 -Rico

Schade... LG

Wie immer bei technischen Problemen, umso mehr umso besser. Screenshots der Config und ein ordentliches Log wäre mal ein guter Anfang. -Rico

@xfreeezer said in Atheros 9280 eingerichtet aber unter DHCP Server taucht das Wlan nicht auf: @mike69 Die eine Karte wollte nicht - Hatte sie über NRG Systems bezogen und das hat er auch festgestellt und mir gleich im austausch die jetztige zugesendet. Die läuft nun einwandfrei dank der hilfe von Rico :-) So soll es sein.

Hallo, Habe jetzt Mal angefangen den Radius zu konfigurieren, beim Testversuch bekomme ich zu der Eingabe radtest test test 127.0.0.1:1812 0 secret Folgendes Ergebnis: (0) No reply from server for ID 47 socket 3 Sent Access-Request Id 47 from 0.0.0.0:14417 to 127.0.0.1:1812 length 74 User-Name = "test" User-Password = "test" NAS-IP-Address = 192.168.1.1 NAS-Port = 0 Message-Authenticator = 0x00 Cleartext-Password = "secret" Ich habe diesen Fehler bislang nur in sehr alten Threads gefunden. In den Logs habe ich keine Ursache gefunden - habe aber ggf noch nicht das richtige Log gefunden. Ich vermute, dass die Firewall ursächlich ist. Auf WAN und LAN Seite habe ich eine neue Regel : UDP von:* nach:* Port: 1812-1813 definiert. Geholfen hat es nicht. Habt ihr eine Idee, was hier mein Fehler ist?

@Duff11 Ich habe eine Zusammenfassung der Einstellung gefunden, die dir vielleicht auch weiterhelfen könnte: https://beechy.de/deutsche-glasfaser-ipv6-vs-pfsense/

@jegr said in Modem für "SuperVectoring" ?: @Grimson also bei den Werten wäre ich sogar zu überzeugen, mein Kabel Internet herzugeben. Leider würde das wohl bis 2000-schießmichtot dauern, bis das in unserer Region auch nur annähernd so schnell ist. Wahrscheinlicher bekomme ich vorher von irgendeinem lokalen Anbieter Glasfaser ins Haus, nachdem die Teledoof seit Jahren die Aussage verweigert wann und ob überhaupt irgendwann mal VDSL oder Fiber zu haben wäre. Vodafone ist leider genauso schlimm, beide bieten hier gerade mal vermindertes ADSL mit max 12Mbps im Downstream, da hab ich heute schon mehr als Upstream Aber so lange die Digitalisierungspläne vom Bund immer wieder so schön nach hinten diskutiert werden wundert mich da gar nichts mehr ... Das war bei uns nicht anders, bis September 2017 gab es hier nur ADSL2 mit 1,5 Mbit/s im Downstream und 128 Kbit/s im Upstream, jedes bitten und betteln bei der Telekom sinnlos. Dann hat M-Net angefangen Flyer auszuteilen und einen echten Glasfaser-Ausbau in Aussicht gestellt. 4 Wochen später standen die Bagger von der Telekom da, die hatten nämlich schon 2 kleinere Gemeinden in der Nähe komplett an M-Net verloren. Ich hätte zwar doch lieber den Ausbau von M-Net gehabt, wegen echtem FTTH und somit Gigabit, aber überzeug mal die Leute in nem Bergkaff davon von der Telekom zu einem (für sie) unbekannten Anbieter zu wechseln. Zum Modem: Läuft also soweit stabil und gibt auch ordentliche Werte? Oder müsste da mehr oder weniger drin sein in der Tüte? Also der Vigor 165 lief jetzt schon gut 2 Wochen am 100/40er VDSL ohne mucken und murren, ich hatte im Up- und Downstream die volle Geschwindigkeit und zu heise einen stabilen Ping zwischen 5 ms und 6 ms. Der Vigor 130 war an der selben Leitung minimal langsamer, mit ca. 98/38 Mbit/s und einem stabilen Ping zu heise von 7 ms bis 8 ms, lief aber ansonsten auch seit Ewigkeiten stabil. Jetzt mit Supervectoring schafft der Vigor 165 aktuell die 250 MBit/s ohne Probleme, ich habe gerade erst vor ein paar Minuten den RE:2 Pre-Load mit 30,5 MByte/s durchgeführt. Dabei muss man beachten das ich die Leitung per Traffic Shaping (HFSC) auf ein Maximum von 248 MBit/s limitiert habe, damit VoIP noch Luft hat und der Ping stabil bleibt. Der Upload liegt weiterhin stabil bei 40 Mbit/s und der Ping zu Heise ist soweit auch weiterhin bei 5 ms bis 6 ms. Das ist aber natürlich noch keine Langzeiterfahrung, wurde ja heute früh erst geschaltet.

@jegr said in RDR, und weshalb eben nicht.: Ich mutmaße mit RDR meinst du Redirects? Ja, aber du kannst auf beides antworten. Kaffee war Heute komplett ohne Wirkung.

@jegr said in freeRADIUS & UniFi Hotspot 2.0: Da ich im Zug nach Hamburg sitze und dort eine Schulung halte, sind YT Videos eher schlecht, .. Schade Muss da wirklich jeder AP einzeln obwohl durch SDN verwaltet? ..und nicht über den Umweg Controller kommunizieren (wäre auch fatal, da das heißen würde, dass ohne Controller die APs nicht mehr funktionsfähig sind!). Naja so ist das aber. Ok gut, WLAN rennt auch ohne den Controller weiter. Ich kann mir jedoch kaum vorstellen das Spielereien wie Überwachung, Benachrichtigung oder ein Gästeportal ohne Controller noch funktionieren werden. Daher ist es recht unklug wen dieser Controller in allen VLAN's zu hause ist. Bei mir ist LAN das Admin-VLAN. Contoller & AP beziehen daraus ein fest vorgegeben IP. Daneben gibt es Kinder VLAN, Gäste VLAN und Firmen VLAN. Alle auch Kabelseitig tagged und mit eigenem DHCP/IP-Adress-Raum/DNS. Wenn sich nun ein Gast anmelden möchte, muss ich dafür in pfS eine Regel schreiben das VLAN30 (gäste) auf den Contoller in VLAN1 (untagged) auf port 8880 (login portal) zugreifen darf. IDie Vorstellung daß ich lediglich den Contoller als NAS/Client eintragen muss, liegt für mich entsprechend nahe. Anders wäre mir dies nicht logisch, da die UniFi APs -anders als beispielsweise die von NetGeier- keine eigen Webgui besitzen, und anstelle dessen über den "externen" Controller konfiguriert werden.

Zusätzlich kann man in den System Logs auch mal einfach nach seltsamen Logeinträgen durchsuchen der letzten Stunde oder so, bis einem das aufgefallen ist. Auch mal Dinge wie bspw. die Gateway Logs anschauen, ob es vielleicht ein Problem gab, dass das Gateway weg war/ist, DHCP/DNS Logs schauen, ob es da Fehler bei der Namensauflösung gibt usw usw :)

Super. Danke Dir! Marcus

Hi, welche Art der VIP hast du denn gewählt? Schon einen tcpdump auf dem WAN mitlaufen lassen wenn du das eine oder andere anpingst? Evtl. dreht da was Schleifen oder die anderen IPs werden seltsam anders geroutet. Ein mtr (wenn möglich) von der Quelle könnte auch mehr Indikatoren bringen.

@sessa45 said in Tracker in der config.xml: Das ist aber in Planung? In der Tat, ist es. easyrule ist eine gute Alternative. Mal schauen, ob das schon genügt. Wenn nicht, kann man sich auch pfSSH anschauen, die pfSense Developer Shell. Nicht sehr schön API-like und durchdesigned, sondern eher ein "rohes" Werkzeug um das Config XML direkt(er) zu editieren, aber damit Regeln oder Aliase zu erstellen oder modifizieren ist relativ gut machbar.

Hier auch noch mal zum vergleich die DSL Infos die mein SP Hybrid anzeigt: [image: 1548161463648-info.jpg]

Mit oder ohne tls-crypt? Auf tcp/443? Wie gesagt bei einigen genügt bereits tcp443 und tls-crypt sauber zu konfigurieren, um halbwegs vernünftige Verbindung zu haben.

Gerne, dir auch schönen Abend. -Rico

Ja so war es im Router des RZ war ein falsches Gateway eingetragen. Dies ist nun behoben, Firewall-Regeln erstellt und alles funktioniert. Danke Euch für die Unterstützung.

@gladius said in OpenVPN Client + STunnel Package: Kann diese Behauptung auch von anderen Forenteilnehmern bestätigt werden? Klingt für mich ziemlich abenteuerlich. Nein kann sie nicht. Klingt nicht nur ziemlich abenteuerlich, ist es auch.