@slu said in 2.4.4 - 2x VDSL über PPPoE | Monitoring eigene WAN IP?: Hab das mit den beiden IP's probiert, leider kommt dann auch immer wieder ein down obwohl das VDSL da ist. Dann hat das normalerweise auch gute Gründe, dass dann der Gateway Check das Gateway down nimmt. Ansonsten muss man eben den Check anpassen und die Parameter anpassen. Ich habe bei keinem Kunden mit externen IPs ein Problem, dass "einfach so" eine VDSL Line als down geflaggt wird. Wenn hat das einen guten Grund. Hab jetzt einfach jeweils die eigene feste WAN IP eingetragen, das ergibt jetzt zwar immer ein Ping von 0ms aber ich kann gut erkennen wann das VDSL weg bricht. Und was genau soll das bringen? Die IP verliert das Interface nur dann wenn das Interface durchs Modem ggf. komplett wegfällt und gar kein PPPoE mehr geht. Das sind aber die wenigsten Fehlerfälle. Häufiger ist eher die Ursache wie weiter oben, dass der Base Layer mit PPPoE zwar da ist, aber die Verbindung Müll bzw. so schlecht, dass kaum was durchkommt. Und dann soll das GW auch geswitcht werden. Das liest sich für mich eher nach verschlimmbessert ;)

Moin moin, ist ganz einfach, war auch mein erster NIC Tausch. Also, die Karten tauschen und beim Booten bemerkt pfSense, dass die Karte(en) neu sind und fragt welche WAN, LAN usw. ist. Die Einstellungen im pfSense bleiben alle erhalten. Ach so die Sicherung vorher nicht vergessen. Gruß Christoph

Ja genau, das ist wohl die einfachste Lösung, wenn du ein DynDNS verwendest. Grundsätzlich kann der Update-Dämon auch auf einem internen Host hinter der Firewall / dem Router laufen. Einige DynDNS-Provider bieten dafür Scripts für verschiedene Plattformen an. Diese müssen nur als Service eingerichtet und konfiguriert werden.

Natürlich, das sind dann immer die Annahmen die man durch Deduction oder sonstwie trifft oder ausschließt, allerdings wäre es schön zu wissen ob es generell auftreten kann oder nicht :)

@foresthus said in BUG - eigene FirewallRegeln, Timelimits und Traffic-shaping: aber ich konnte auf der Konsole (Monitor direkt an der pfsense angschlossen) beim Update von 2.4.3_p1 auf 2.4.4 diverse Library-Fehler sehen Dann hast du das Problem, das in verschiedenen Posts hier bereits besprochen wurde mitgenommen, dass deine pfSense bereits ein unvollständiges Update auf 2.4.4 gemacht hatte (weil es Abhängigkeiten bei pfBlocker, Acme etc. gab die dann das PHP Subsystem mitgezogen haben). Danach MUSS ein ordentliches vollständiges 2.4.4 Update gemacht werden um die Fehler zu beseitigen, oder man hat ein halbgares System, das nicht korrekt und vollständig geupdated wurde. Das hast du aber leider nirgends gesagt und beschrieben, sonst hätte ich da direkt auf meinen Post verweisen können, wo ich explizit davor gewarnt habe mit entsprechenden Quellen wie man vorgehen kann. Zudem finde ich es bei dem großen Sammelsurium an Paketen keine große Überraschung, dass bei einem Update was schief laufen kann bzw. man hier ggf. zweimal nachsehen sollte, ob wirklich alles sauber aktualisiert wurde - zumal du derart viele Packages hast (Squid, Ntop, pfBNG, Snort etc.) die alle in den Filter reingreifen, dass ich persönlich mir da dreimal überlegen würde, ob es nicht an meinem Setup liegt, dass es nicht funktioniert und nicht an einem Bug der übersehen wurde - zumal die Pakete nicht unter Ägide der Netgate Leute stehen, sondern der Community. Sollte man auch immer im Hinterkopf behalten, gerade bei einem größeren Update, was 2.4.4 (trotz kleiner Versionsnummer) ja durchaus (angekündigt) war. Und nein, das ist keine Kritik an dir, sondern lediglich ein Vorschlag zum Debugging für ein nächstes Mal :)

Hast du vor dem ausgraben von alten Threads mal in den angepinnten VOIP Thread geschaut, in dem lauter Lösungen zu VoIP mit Telekom und Co angegeben sind?

Hallo @Sessa45 , wenn ich deine Frage richtig verstanden habe, kann pfSense so etwas nicht. Du meinst wahrscheinlich so etwas wie z. B. SonicWall mit dem SSO Feature umsetzt. Damit ist es dann möglich Firewall-Regeln für Benutzer und Gruppen zu konfigurieren. Die einzige Möglichkeit so etwas ähnliches zu machen wäre wie @JeGr schon sagt über feste Zuweisungen von IP-Adressen für Benutzer. Das ist allerdings nicht wirklich bequem skalierbar auf größere Netzwerke. Alternativ kannst du auch, wenn deine Switche 802.1X mit dynamischen VLANs unterstützen, auf der pfSense verschiedene VLANs für die Gruppen anlegen, und die Benutzer vom Switch über 802.1X dynamisch in das gewünschte VLAN stecken lassen. Wäre auf jeden Fall auch eine Idee, wie man das etwas skalierbarer über größere Gruppen hinbekommt.

@mrsunfire ansonsten so: https://sysadms.de/2018/10/dnssec-vertrauensanker-im-pfsense-dns-resolver-ueberpruefen/ :-)

Bei Unitymedia ist es so dass VOIP über die Unitymedialeitung geroutet werden muss. Würde man über einen anderen ISP routen, ginge VOIP nicht mehr. Daher route ich auch explizit über Unitymedia.

@mug said in Erst Versuche PFSense: Möchte aber auch nicht Freischnauze drauf loslegen und irgendwas starten. Wer soll dir das Studium der Grundlagen abnehmen? Die Lebenszeit der am Forum beteiligten Personen ist nicht unbegrenzt um dir jeden Schritt zu erklären. Kann es sein, daß du dich mit Netzwerkgrundlagen nicht gut auskennst? Wenn ja, beginne dort und wende dich später pfSense zu. Bitte versteh diesen Einwand nicht als Nörgelei sondern als kritische Anmerkung. LG

Problem hat sich behoben. Der Switch hatte auf einem Port ein falsches VLAN. Beide Firewalls funktionieren nun korrekt :) Dankeschön

@mrsunfire Mit IPSec könnte das in der Tat schwierig werden, für OpenVPN hätte ich allerdigns tatsächlich ein paar Ideen in petto.

Dankeschön, funktioniert. Thank you, it works. -teddy

@mrsunfire said in DynDNS IPv6 support: Die Fritzbox kann inzwischen IPv4 und IPv6 zu DynDNS automatisch updaten. Wieso kann pfSense das nicht? Kann Sie, die ganze Zeit schon. Warum es mit deinem dyn.com nicht klappt ist ein anderes Problem (was ggf. an dem spezfischen DynDNS Plugin liegt). Ich habe aber keine Probleme 2 DynDNS Einträge anzulegen, einen für v4 und einen für v6 und meinen DNS Eintrag extern aktualisieren zu lassen. Das geht/ging schon die ganze Zeit. Und wie weiter oben bereits beschrieben, wird das einfach an der Eigenheit von dyn.com liegen, dass man nicht beide IPs übermitteln kann, weil sie nur ein guffeliges %IP% in der URL erlauben und da entweder v4 oder v6 drinstehen kann. :)

Ich empfehle eher den Blick auf die 1510, Lanner's PR released gerne neue Hardware bevor die überhaupt an Distributoren oder Reseller rausgeht, die dann mal einen Blick darauf werfen und wissen, welche Variante überhaupt Sinn macht und sie in den Handel aufnehmen. Und die wenigsten Händler bestellen wegen einer einzelnen Kiste. Daher eher wichtig, was du an Anforderungen hast und inwieweit das mit welcher tatsächlich vorhandenen und bestellbaren Hardware abzudecken ist, zudem nicht alles aus dem Katalog bei Lanner für den Desktop/Netzwerk Einsatz gedacht ist, sondern eben bei denen durch Großverträge auch für riesige Abnahmemengen extra designed wurde (und deshalb man auch oftmals Kisten hat, die annähernd ähnliche Specs haben). Wenn du wegen der 2 SFP Ports schaust -> 1510 gibt es wahrscheinlich in Bälde mit 4x Kupfer, 2x SFP und als 6x Kupfer Variante und wird wohl mit 4 oder 8-Kern Denverton released. Gruß

Hallo, nun ist das lang ersehnte Update installiert, jedoch wurde damit der Tab "LAGGs" überhaupt entfernt. Gibt es dazu Infos ob dieses Feature noch kommt, als ich das Produkt gekauft habe bin ich eigentlich davon ausgegangen, dass es kein Problem sein sollte LAGGs zu konfigurieren, da dies eigentlich Standard ist und mit pfSense auch möglich, wenn nicht so ein komischer Switch verbaut wäre...

Klar. Prinzipiell dürfte man gar kein Netzwerkanschluss mehr irgendwie nach außen führen. Und selbst dann... Ich mißtraue genauso den US Netzzubehörstellern (Cisco, HP und Co.) Neben den ganzen Sicherheitslücken, die einen Remotezugang öffnen, hat es da garantiert auch gewollte Hintertürchen. Gerade große Netzwerkrouter sind sicher sehr lohnende Objekte. Ich verfalle da jetzt auch nicht in Panik. Zumal USA und China ja momentan auch im direkten Handelsstreit stecken. Solche (Falsch-)Meldungen können allerdings eine Firma dann auch ruckzuck in Verruf bringen.

I spend a whole day to make it work. Thank you. It works now :)