Moin, und Danke für die Antwort. Das bedeutet ich verwende Let's Encrypt auf der pfSense um das Zertifikat für die subdomain erstellen zu lassen und nicht das Zertifikat vom Server direkt wie früher. Den Punkt für SSL offloading im "Unter" Frontend habe ich gefunden. Vermutlich im Primary Frontend SSL offloading angehakt lassen, für alle Frontends für die ich ein Wildkard Zertifikat habe ändert sich nichts nur für das eine Frontend wird dann im "Unter" Frontend noch mal SSL offloading angehakt und das andere Zertifikat ausgewhält, richtig? Gruß Jochen

@snah0815 Nach meiner kurzen Recherche stimmt das so nicht ganz. Schau am besten noch mal in die Dokumentation deines Anbieters, was genau erwartet wird, und lies dir auch den Erklärungstext auf der Konfigurationsseite durch. [image: 1770369559605-scr-20260206-jlso.png] PS: hast du es jetzt hinbekommen? @snah0815 Ist das damit erledigt, oder bestehen noch Probleme?

Hi, @Jawad9999 said in System crashed after Software update: Hallo leute , mein Netgate Firewall router 4100 ist nach einem Software Update hängen geblieben , software ist 23 noch was, Was heißt gecrasht, hängen geblieben etc? Also wie ist jetzt die Ausgangslage? Geht gar nichts mehr? Bootet nicht mehr? Bootet aber er kommt nicht hoch? Geht es ein klein wenig genauer? :) kann mir jemand sagen was ich tun soll damit ich den wieder gängig machen kann? Wenn du - hoffentlich! - ein Backup der Config hast, was man vor einem Update immer ziehen sollte, dann installier einfach neu mit dem aktuellen Stand (23.x ist enorm veraltet!) und spiel danach einfach die Config wieder ein. Das ist der schnellste und einfachste Weg und räumt gleich noch Altlasten weg. Cheers

Um das nochmal kurz festzuhalten: für Pakete und Updates braucht pfSense Internet. WIE sie das bekommt ist an der Stelle egal. Man kann auch einfach wie @micneu das beschrieben hat das WAN ins aktuelle Netz (LAN?) hängen und sich dann das LAN temporär auf irgendwas anderes konfigurieren, damit man an die UI kommt und den Rest konfigurieren kann. Hat man alles soweit auf Paketstand und Co, kann man das WAN auch erstmal wieder abklemmen und dann alle anderen Interfaces soweit einrichten wie benötigt, damit man keine IP Konflikte bekommt. Zu empfehlen ist aber, die ersten zwei Interfaces (WAN/LAN) gleich auch auf WAN und ggf. Management Netz zu konfigurieren, da diese Interfaces fest sind und eine kleine Sonderbehandlung haben ("lan" hat bspw. immer die anti-lockout Regeln, die auf nem management Interface besser aufgehoben sind als in einem Client oder Server Netz). Cheers

Exakt was @Bob.Dig sagt. Statt dem uPNP Quark einfach genau das tun, was unter "alternative Methoden / manuelle Portfreigabe" steht und statt irgendeinem Automatik-Gedöns einfach feste Ports nehmen. Wesentlich einfacher und sinnvoller, weil sich dann der Port nicht nach Mond- und Sonnenstand verändert ;) Schwieriger wirds, wenn man keine echte IPv4 hat. Mit IPv6 gehts wohl auch, aber da ist dann mit "statisch" nicht viel drin. Bzw. ein ganz schöner Aufwand. Da ist es dann wie es in der Anleitung steht wieder einfacher, Tailscale oder Netbird zu nehmen und einfach die Leute mit denen man zusammenspielen will einzuladen und gemeinsam im gleichen P2P Netz zu sein. Cheers

@JeGr @heiko3001 Sehr mies dass dies öfter mit den Fritzboxen bei Vodafone vorkommt. Hat jemand schon Erfahrungen gesammelt mit der Vodafone Station? Die unterstützt ja einen echten Bridge Modus und sollte ja vor der pfSense ausreichen

Ich hab das Update heute vollzogen, bis jetzt schaut es sehr gut aus. Gruß Mike

Moin @DanielJoni, meine pfsense (2.8.1) hängt direkt an einem Modem (Vigor 167) bei 1&1. Die verwenden auch VLAN ID7. Wenn man das Vigor 167 mit den Default-Vorgaben auspackt und anschließet. erkennt das automatisch diese VLAN ID7 und konfiguriert sich entsprechend. Das folgende darf es dann in der Config der pfsense NICHT geben: Interfaces/VLAN -> Parent: igc0 -> VLAN tag 7 Sollte sich die Fritte als Modem ähnlich verhalten, musst du das VLAN am WAN entfernen,

@Bob.Dig ; @micneu Die CoDel Rules sind bei mir (entsprechend der Anleitung )auch floating rules, die für alles gelten was hinter der pfSense liegt. Das macht ja so auch Sinn und funktioniert auch tadellos. Ich muss aber zugeben, dass mir das Thema floating rules ein Buch mit 7 Siegeln ist, und ich aufgrund der Warnungen zu diesem Thema auch vermeide solche Rules zu erstellen - da bin ich einfach unsicher. Ich habe jetzt aber trotzdem eine vergleichbare floating Rule gebaut: wenn ich die Destination * setze, greift das auch prima - natürlich wieder für das gesamte Netzwerk. Mein Ziel ist es aber, diese Bandbreitenbeschränkung nur auf bestimmte interne Clients/IP's (via Alias) anzuwenden. Sobald ich aber diesen Alias in der floating Rule als Destination eintrage, wird die Rule offenbar nicht mehr angewendet. (Wenn ich die Doku richtig lese, dann könnte das wohl am NAT liegen - dass also das eingehende Paket als Ziel die externe IP der pfSense hat, und nicht die interne IP des Clients. Bei dem dort erwähnten Thema Marking and Matching steige ich dann aber leider vollkommen aus) Allerdings habe ich habe mir nochmals angesehen, wie ich das vor ein paar Wochen auf der pfSense mit lediglich einer WAN / LAN Verbindung eingerichtet habe - dort ist diese Bandbreitenlimitierungsregel definitiv eine Rule am LAN IF Nachdem es dort aber gar keine floating rules (CoDel) eingerichtet sind, hab' ich jetzt auch versucht einfach einmal meine CoDel Rules (floating) zu deaktivieren. Und siehe da, sobald die floating CoDel Rule (auf der Schnittstelle über die der Traffic aktuell stattfindet) deaktiviert ist, greift auch die Bandbreitenlimitierungsregel am LAN IF vollständig - also nicht nur Upload wie bisher, sondern auch Download... Jetzt bleiben bei mir aber nur noch Fragezeichen im Kopf...

@slu ganz genau. Daher bin ich jetzt ganz froh, dass praktisch überhaupt keine Writes mehr stattfinden. Der Wearlevel ist schon auf 87% runter nach 3 Jahren.

@schwielownet said in Wireguard Problem mit neuen Peers: Du siehst, man kommt da mit Logik irgendwie nicht weiter... gibt es irgendwo eine Möglichkeit, serverseitig mal den Loglevel hochzuschrauben und detaillierte Logs anzuschauen? Das ist genau das Problem bei Wireguard. Es gibt keine. Du findest keine Logs, weil WG so gut wie keine ausgibt/schreibt. Der Daemon ist extrem "sparsam" was Information angeht. Darum sieht man nur Schätzwerte (wie bspw. den letzten Verbindungshandshake), aber da die IP sich ständig dynamisch ändern kann etc. gibt WG da kaum was raus. Mit ein Grund, warum das Ding komplett PITA zu debuggen ist. Leider. Du kannst nur in den Wirguard Settings das Hiding der Peers und Secrets ausstellen, vllt. findest du da ggf. dann noch Infos im Log wenn was doch nicht stimmt. Evtl. auf dem Peer dann ein unpassendes Subnetz oder falsche Maske o.ä. vergeben, aber das Debugging von WG ist einfach ein Krampf wenn was nicht geht, egal welcher Hersteller (bspw. auch bei Unifi und Co). Bei meinem letzten Versuch wars dann schlicht, dass ich mich bei einem Client um eine IP ver"dacht" habe und die falsche Adresse mit Subnetz angegeben hatte - dann lief natürlich nix. Aber wenn man nichts sieht im Log ist man halt echt blind :/ Cheers

@JeGr Gestern Abend habe ich die gesamte CARP Installation durchgeackert, passte aber alles. Die Broken Mac Adressen standen in der ARP Tabelle von pfSense. Active Backup hat immer auf einen Client zugegriffen, der down war. Das Problem ist somit gelöst und vielen Dank für den Hinweis, mit der Sudo Deinstallation. Alles Gute dir

@BlaSh said in KEA DHCP bleibt auf Standby-FW: Hi. Soweit ich das sehe, hat doch KEA gar nichts mit CARP zu tun, oder? Say what know? Warum sollte Kea nichts mit HA zu tun haben? Oder mit CARP? In einem Cluster ist das natürlich relevant, dein Gateway, dein DNS etc. ist ja ne Cluster IP. Dein Kea soll normalerweise HA laufen in einem Cluster - darum hat man ja einen - etc. etc. Kea hat ja explizit eine CARP/HA Konfiguration die gesetzt sein sollte. Wie soll er sonst wissen, wer den Job zu tun hat und wer nicht? :) Cheers

@eagle61 said in Umstieg auf Glasfaser - ws ist zu beachten ?: Genau das meine ich doch auch. Dann geht dann halt kein VoIP mehr - sie agieren dann als Modem, Deshalb gibt es bei Cable.-Fritten (wenn der ISP mitspielt) die zweite IPv4. Eine behält die Fritte, die andere geht an den nachgelagerten Router.Die IP die die Fritte behält ist für VoIP, etc. OK dann mißverstanden. Anyway Kabelboxen kann man hier nicht vergleichen, denn wie schon weiter oben gesagt, werden die von Fritz einfach an die Betreiber rausgegeben und die machen die Bestückung und Änderungen in der Firmware. Was dann geht entscheidet bspw. Vodafail. Die Firmware ist auch von VF, Fritz schickt sein Update da hin und die ändern was sie da ändern wollen. Du kannst zwar ne nackte Box kaufen unbranded, dass die funktioniert sagt dir der Provider dann aber auch "eher unwahrscheinlich, da biste dann allein" und dann kannst du gleich was ganz anderes kaufen. :) Bei DSL/Glas ist das anders weil man sich da wieder halbwegs an Standards hält. Auch wenn ich PPPoE für nen Krampf und nicht nen Standard halte. Aber da gibt es zwar "branded" Boxen wie bspw. 1&1, die haben dann aber meistens eher nur ne Sonderlocke für schnelle Konfig vom Provider eingebacken, du kannst aber problemlos das manuell machen. Lässt man die Fritte nur noch als Modem agieren, hätte man doch auch gleich vor die sese nur einen ONT (z.B. Glasfaser-Modem 2 der Telekom) klemmen können. Das kostet weniger als 40 Euro. Die Fritte ein Mehrfaches. Nicht ganz. Klar kostet das weniger, aber wenn du "Ruhe" mit dem ISP haben willst, ist es meist einfacher dessen vorgeschlagene Box zu nehmen, sofern die noch "akzeptabel" ist. Die 0815 Telekom Box bspw. eher nicht. Aber wenn der Provider dir ne Fritte für lau obendrauf gibt, dann nimmst du meistens die mit, weil das wenigstens das kleinere Übel ist. Gerade wenn du bspw. noch ne echte v4 bekommst. Oder wenn du dahinter mit nem Cluster rumspielst. Nur Beispiele. Wenn einem da der ISP Support egal ist kann man natürlich machen was man will, aber bei jedem Mal wenn die was ändern und die Verbindung nicht mehr klappt steht man wieder alleine da und muss hoffen, dass man nicht in irgendeinen Callcenter oder Support Bot abgeschoben wird, weil man ja unsupportete Geräte nutzt. @eagle61 said in Umstieg auf Glasfaser - ws ist zu beachten ?: Was die Sicherheit des LAN*s angeht, ist es doch vollkommen egal ob ich eine Fritte im Bridge-Mode oder einen ONT/Modem vor der Sense habe. Um Sicherheit gehts da gar nicht, wie gesagt, das Thema ist da eher ISP Support und Umgang mit eigenen Endgeräten. Und da erlebe ich immer wieder Dramen auch mit unseren Kunden, die echt zum Heulen sind. Da wird man eben pragmatisch und nimmt das kleinste Übel. Cheers