Also ich glaube und hoffe die Ursache gefunden zu haben. Kann es sein, dass nTop diese ganzen Anfragen generiert? Ich habe das Paket mal ausgeschaltet und werde ein paar Stunden beobachten.

*edit: Hmm, wohl doch nicht… aber die PTR-Anfragen sind scheinbar nicht mehr vorhanden.

Ich bin an dieser Stelle jetzt raus.

Da geh ich mit.  ;D 
Ich hatte gedacht das es Trolle nur auf Facebook gibt, aber das scheint ein rein gesellschaftliches Problem zu werden.
Wie in der Politik, die einen sahnen ab und die anderen machen die Arbeit.
Muss ich nicht haben.

supi, alles klar. ;)
Besten Dank.

@ hbauer

Was willst du allso mit dem Beitrag erreichen? Stänkern?

Ich hoffe mal, Du hast Deine "Goldwaage" richtig tariert. Ansonsten solltest Du Deinen "Schlips" etwas kürzen, damit ich da nicht mehr drauf treten kann.
Sorry, aber es fällt mir da nix mehr zu ein, zudem Du den Gag…

Das kann aber auch an meinen schlechten Ohren oder der geringen Bandbreitenbelastung liegen.

…ja selbst gepostet hast.
Ich hatte nur bemerkt, das Variant1 die einfacher zu realisierende Lösung ist und Du nicht noch zusätzlich Löcher in die Firewall bohren musst.
Letztlich muss der Threadersteller das sowieso für sich entscheiden.
Gruss und einen schönen Tag...
orcape

Hi, die VPN-Geschichte steht erstmal hinten an. Ich habe Zugriff aus das NAS. Ich habe anstatt einer NAT mit einer rule nur eine rule erzeugt. Und das klappt nicht.
Thema ist wie gesagt gelöst.

Hallo,

dafür bietet pfSense eine Zeitsteuerung für Firewall-Regeln.

Dazu musst du erst einen Schedule erstellen. Firewall > Schedules
Und dann eine Firewall-Regel, die den jeweiligen ausgehenden Traffic erlaubt. In der Regel-Konfig die erweiterten Optionen öffnen und bei "Schedule" den zuvor erstellten Scheduler auswählen.

Das macht natürlich nur Sinn, wenn hinterher keine Regel nachfolgt, die auch das Unerwünschte erlauben würde. Also ggf. eine Block-Regel dahinter setzen.

Grüße

@ollibraun:

Sollte ich hier eine solche einmal gebildete Adresse bei der Schnittstelle fest eintragen, oder wäre es besser, die MAC eines der beiden Hardware-Ports einzutragen?

Weder noch, die korrekte Lösung ist keine Bridge zu verwenden sondern alles über einen ordentlichen Switch anzuschließen. Router Ports sind keine Switch Ports und sollten auch nicht so verwendet werden, dazu gibt es mehr als genug Threads hier im Forum.

So läuft, hatte "nur" vergessen in der pfsense die freigaben zu setzen.

Danke jungs.

Hi,

@un1que:

Normalerweise solltest du diese problemlos löschen können, wenn die Zertifikate nirgendwo mehr zugeordnet sind. Schau mal nach, ob diese irgendwo noch in Verwendung sind.

Danke, das war das Problem.

Um die Daten zu sichern, schau mal hier nach: /var/db/vnstat

Wie du die Fehlermeldung wegbekommst, kann ich dir nicht sagen. Wenn aber nichts mehr hilft, dann wirst du um einen Reset (zu finden unter den TT Advanced Settings) nicht herumkommen.

Ansonsten bin ich eher enttäuscht von diesem Package. Mir sind auf diese Weise schon ein paar mal die Daten verloren gegangen, teilweise Probleme gehabt TT wieder zum Laufen zu bringen (die Zähler standen immer bei 0) oder die fehlende Auto-Backup Möglichkeit. Kurz zusammengefasst: sehr unzuverlässig.
Die Tatsache, dass die Bug Behebung mit der Diagrammanzeige so lange dauert (wird immer von Version zu Version nach hinten verschoben), sagt mir eigentlich, dass das Package nicht wirklich weiterentwickelt wird und man sich am besten nicht davon abhängig machen sollte.

Mittlerweile nutze ich RRD Summary und TT nur noch dazu, um mal den stündlichen oder täglichen Traffic auszuwerten.

"WAN net" ist lediglich das Subnetz, das am WAN Interface konfiguriert ist, nicht das Internet!
Um Zugriff auf eine beliebige Adresse im WWW freizugeben, musst du als Ziel "any" wählen.

Soll der Client aber keinen Zugriff auf andere interne Netze haben, müssen diese in einer vorangehenden Regel blockiert werden, oder bei Ziel in der Pass-Regel "invert" angehakt und die internen Netze (als Alias, wenn mehrere) ausgewählt werden.
Ich erstelle mir für solche Zwecke einen Alias, der sämtliche RFC 1918 Netze enthält und verwende diesen.

ok, ich suche die Infos zusammne

Als Hilfe für andere:

ich habe es hinbekommen! Zuerst versuchte ich einfach WAN2 keine IPv6 zuzuweisen. Doch dann bliebt für IPv6 immer nur WAN1 übrig selbst wenn dieses gestört war. Lösung war WAN2 IPv6 zu aktivieren und das dadurch erstellte Gateway nicht zu überwachen (always online). Danach IPv6 bei WAN deaktivieren. Somit gibt es in der Failover Gruppe ein WAN2 IPv6 Gateway auf das bei gestörtem WAN1 geswitcht wird. Da dieses aber keine IPv6 Funktionalität besitzt, wird automatisch auf IPv4 gewechselt. Sobald WAN1 komplett wieder da ist, geht es zurück auf das WAN1 IPv6 Gateway.

Hey blex,

genau, das funktioniert auch soweit. Problem ist, ohne Internet müssten die Clients die Seite/Server manuell im Browser aufrufen.
Normaler Weise rufen Apple Geräte das Portal alleine auf, Microsoft und Android Software je nach Version auch oder sie blenden eine Info ein, dass man sich ggf. in einem Portal einloggen muss und ob man dieses öffnen möchte. Das ganz funktioniert dadurch, dass die Geräte beim Herstellen einer WLAN Verbindung im Hintergrund eine Webseite beim Hersteller aufrufen und wenn sie die Seite bekommen ist Internet vorhanden, wenn sie was anderes zurück kriegen (durch Umleitung des DNS oder HTTP Request), das Captive Portal öffnen oder die Meldung anzeigen.
Wenn jetzt durch mangelndes Internet keine DNS Auflösung stattfindet, geht der HTTP Request logischer Weise nicht raus und man kann die Anfrage nicht auf das eigene Captive umleiten.
Nun könnte man die URLs, die abgefragt werden natürlich auch statisch im DNS eintragen, aber allein für Apple habe ich 64 unterschiedliche URLs rausgefunden (ggf. nicht mal vollständig) und ein statischer Eintrag auf Dauer ist natürlich auch nicht toll, wenn sich evtl. die IPs irgendwann mal ändern oder neue Seiten dazu kommen.

Danke schonmal. Das mit dem Paket RRD_Summary werd ich mir mal ansehen. Aber kann man ihr nicht auch beibringen, diese Stats einfach nicht zu löschen. ICh will sie halt im Dashboard als Gesamtwert haben über alle Zeit. Und nicht erst seit dem letzten Restart.

Jap ich habe einige Widgets am Start….genau darum ginge es mir ja ob man am Quellcode was machen kann um was hinzuzufügen

Bei solchen Kleingeräten wie Webcams kann es schon sein, dass der Remote-Zugriff nicht so ohne Weiteres möglich ist. Die haben ja oft nicht mal ein Gateway zum Einstellen. Wenn das der Fall ist, gibt es natürlich keine Kommunikation mit einem anderen Netzwerk ohne NAT.

Wenn beide Seiten der VPN in deiner Obhut stehen und du allen Geräten vertraust, ist die NAT-Lösung auch nicht weiter bedenklich.
Auch wäre es möglich, dass du NAT nur für jene Geräte anwendest, auf welche anders kein Zugriff möglich ist. Dazu packst du all diese IPs in einen Alias (Firewall > Alias > IP) und trägst diesen in der NAT-Regel als Ziel ein.

Gruß

@blex: was genau das ist, was ich oben bereits beschrieben hatte mit "Server muss einen festen passiven FTP Portrange festgeschrieben bekommen".

Hallo!

@cantor:

Ich bin der Meinung, dass mit dieser Konfiguration DNS-Anfragen - da im Resolver der DNS-Forwarder disabled ist - über die DNS Root Server laufen.
Mache ich da einen Denkfehler oder ist meine Konfiguration diesbezüglich o.k.?

Wenn du als Root Server jene bezeichnest, die im General Setup eingetragen sind, ja.

Hast du für das Setzen von "Disable DNS Forwarder" einen bestimmten Grund? Diese Einstellung wirkt sich nur auf die pfSense selbst aus.

Nachdem du auch die FB als DNS Server gesetzt hast, ist für das Anfragenziel auch die Einstellung dieser zu berücksichtigen.
Ich sehe keinen Sinn in dieser Einstellung.

Um für das VPN VLAN DNS Leaks zu vermeiden, darf DNS-Zugriff auf die pfSense hier nicht erlaubt sein, solange du Anfragen der pfSense auf allen Interfaces raus lässt.

Falls du auf dem VPN VLAN nicht DHCP einsetzt, kannst du DNS-Anfragen auch mit einer simplen NAT Portforwarding Regel an einem beliebigen DNS Server weiterleiten, den die Clients nur über die VPN erreichen können.

Grüße

@viragomann:

Das funktioniert über "Policy based routing".  […]

Herzlichen Dank. Auf den ersten Blick scheint meine KKonfiguration wie gewünscht zu funktionieren. Am Wochenende werde ich aber noch ein wenig mehr testen.

Gruß
Jürgen