Subcategories

  • 107 Topics
    1k Posts
    S

    📌 Ziel:
    Ich möchte mDNS-Discovery VLAN-übergreifend ermöglichen, damit ein PlexAmp-Client auf einem Raspberry Pi im IoT-VLAN über die PlexAmp-App auf meinem Smartphone über den Plex-Server im LAN automatisch entdecken und sich verbinden kann.

    Sobald sich mein Handy und der Plexamp Client (Headless) im selben Netzwerk befinden, funktioniert das Streaming.

    🧑‍💻 Netzwerkübersicht:
    Komponente Details
    Firewall pfSense (aktuell, mit Avahi-Paket)
    Switch/AP UniFi (Controller & Geräte aktuell)
    HomeNetz LAN – 192.168.8.0/24 (Plex + Roon Core)
    IoT IoT – 192.168.10.0/24 (Raspberry Pi mit Plexampheadless)
    Avahi Installiert auf pfSense, reflektiert zwischen LAN und IoT

    ✅ Konfiguration bisher:
    pfSense:
    Avahi installiert und aktiv
    mDNS-Repeater für LAN und IoT aktiviert
    Firewall-Regeln:
    any-to-any zwischen VLANs
    Zusätzlich: UDP 5353 → 224.0.0.0/8 mit „Allow packets with IP Options“

    UniFi:
    SSID „KugelMensch_IoT“ → VLAN IoT
    WLAN-Optionen:
    ✅ Multicast-Erweiterung aktiv
    ❌ Client-Isolation deaktiviert
    ❌ Multicast/Broadcast-Filter deaktiviert
    ✅ Erweiterte IoT-Konnektivität aktiv
    IGMP Snooping: (standardmäßig aktiv)

    🔧 Zusätzliche Firewall-Regeln getestet:
    Im VLAN IoT:
    ✅ UDP 5353 → 224.0.0.251, „Allow packets with IP Options“
    ✅ UDP 32414 → 192.168.8.0/24 (Plex GDM Discovery)
    ✅ TCP 32400 → Plex Server
    ✅ UDP 9003 + TCP 9100–9200 → Roon Core
    🧪 Beobachtungen:
    Multicast-Traffic wird sichtbar über tcpdump
    Clients empfangen die Antworten aber ggf. nicht korrekt
    IGMP Snooping evtl. blockierend (aber noch nicht deaktiviert getestet)

    Es scheint nichts zu funktionieren. Hat jemand noch eine schlaue Idee?

    Vielen Dank im voraus.

  • 80 Topics
    433 Posts
    JeGrJ

    Heute spontan OpenHouse im NSFW.pub. Gern einfach mal reinschauen, kann allerdings sein dass zwischendurch mal gerade keiner am "virtuellen Tresen" ist oder ich Getränke hole/wegbringe.

    Cheers :)

  • Telekom Entertain mit MR401 und pfsense 2.4.2

    5
    0 Votes
    5 Posts
    960 Views
    R

    Ja stimmt schon. Hab wohl ein wenig … blöd reagiert. Tut mir leid. Hab halt gehofft jemand schreibt: Du die Fehlermeldung kommt bei mir nicht, oder bei mir klappt's auf alle Fälle, dann hätte ich nicht so im trüben gefischt! Aber das Ergebnis zählt und es funktioniert  :D

  • Interessante Hardware?

    4
    0 Votes
    4 Posts
    693 Views
    magicteddyM

    Moin,

    @jahonix:

    Wozu braucht man denn "starke Quadro-GPU für sieben 4K-Displays" in einem Router?

    Kannst sie ja weg lassen, ansonsten: Augmented reality, Deep Packet Inspection per Operator, der kann dann hinterher sagen ich habs kommen gesehen …  :P

    -teddy

  • DHCP und 2 Mac Adressen

    3
    0 Votes
    3 Posts
    598 Views
    F

    @Grimson:

    @Freaky21:

    Folgende Problematik: Es geht um ein WLAN Netz welches 2,4 und 5GHz anbietet. Je nachdem was empfangstechnisch guenstiger ist, verbindet sich der Client entweder mit 2.4Ghz oder 5Ghz. 2 Netze heißt aber auch 2 Mac-Adressen beim Client.

    Hat der Klient 2 WLAN Karten/Adapter, oder warum hat der unterschiedliche MACs bei den zwei Bändern? Alle mir bekannten Endgeräte benutzen die gleiche MAC unabhängig vom verwendeten Frequenzband.

    Danke für den Hinweis. Scheint auch tatsächlich nur bei einem Gerät so zu sein. OK, dann ist das damit erledigt!

    Klaus

  • 0 Votes
    9 Posts
    829 Views
    S

    "Problem" gelöst…

    Seitdem jemand unseren WAN Router resettet hat, hatte dieser 192.168.0.0/24 als LAN Netz - genau das gleiche, wie ich es in pfsense nutze.
    Das kann natürlich nicht gehen. Nun hat der WAN Router wieder 2.1 - und es geht ;)

    Danke!!

  • Probleme mit CARP Status

    Locked
    9
    0 Votes
    9 Posts
    1k Views
    S

    Hallo zusammen,

    vielen Dank für eure Hilfe fehler lag wirklich in der Verkabelung. Hatte eine der beiden auf einen Port in einem anderen VLAN. Es funktioniert nun alles einwandfrei. DAnke für den Tipp mit den IP Alias werde das die Tage mal angegehen.  ;) ;)

    Gruß
    schnaepper

  • Komme bei OpenVPN Einwahl nicht auf ein angeschlossenes Netz

    2
    0 Votes
    2 Posts
    401 Views
    V

    Hallo,

    die pfSense scheint nicht das Standard-Gateway in ihrem Netzwerk zu sein.

    Der VPN-Endpunkt sollte das Standard-Gateway sein, ansonsten wird es etwas komplizierter.

    Grüße

  • Ipsec VPN Einstellungen für Connect mit nm-applet

    2
    0 Votes
    2 Posts
    472 Views
    N

    Tja, wie es aussieht, passen die möglichen Authentisierungsvarianten einfach nicht zusammen.
    Auf dem Linux-Client habe ich im nm-applet nur entweder EAP oder Zertifikate als Möglichkeiten - nicht die Kombination. EAP-TLS gibt es da einfach nicht.
    Auf Android kann ich auf EAP-TLS umstellen, aber dann werden nur Zertifikate genommen, auch kein Passwort.

    Ich habe nirgendwo die Möglichkeit gefunden, die ich auf dem Linux-Server hatte:

    rightauth = pubkey
      rightauth2 = eap-md5

    Und auch die Möglichkeit der Client-Identifkation per ASN.1 DNB gitb es bei den pfSensen scheinbar nicht, d.h.

    rightid = "C=DE, O=<o>, OU=<ou>, CN=<fqdn client="">"
      leftid = "C=DE, O=<o>, OU=<ou>, CN=<fqdn server="">"

    klappt nur für den Server, nicht für den Client.</fqdn></ou></o></fqdn></ou></o>

  • Dual VDSL Telekom keine feste IP auf zweiter Leitung möglich

    6
    0 Votes
    6 Posts
    700 Views
    JeGrJ

    Sehr praktisch :) Dann hoffe ich jetzt klappt dann alles :D

  • Zwei lokale Netze über ein CARP-IF

    7
    0 Votes
    7 Posts
    890 Views
    N

    Alles klar.
    Danke für deine Antowrten!

  • Hardware für Anbindung Aussenstelle?

    15
    0 Votes
    15 Posts
    1k Views
    ?

    Hallo an alle,

    vielen Dank für eure Infos und euren Input.
    Ich werde nun mal die 1020 anfragen und im Laufe des Jahres auch mal die "alte" Firewall in der Zentrale angehen.

    Gruß Sebastian

  • Multi WAN & Load balancing - Verständnisfragen

    5
    0 Votes
    5 Posts
    1k Views
    C

    Ich habe es am WE mal umgestellt und die Vigor übernehmen jetzt den Verbindungsaufbau nebst DynDNS, mit den Ports zur pfSense in der DMZ. Läuft soweit alles ok und auch das Load Balancing funktioniert mit WAN1&2 als Gateway-Group  ;)

  • Ping www.ARD.DE = FALSE - PING www.zdf.de = OK

    9
    0 Votes
    9 Posts
    1k Views
    T

    Es scheint, dass ich bei der statischen Konfig irgendwo nen Fehler drinn hatte.
    Das Gateway war immer wieder mal offline.
    Das muss ich mir nochmal in Ruhe ansehen.
    Kann natürlich sein, dass das auch mit Snort zusammen hing.
    Mal sehen.

  • WAN IP 0.0.0.0

    9
    0 Votes
    9 Posts
    2k Views
    JeGrJ

    Natürlich braucht der LAN einen Gateway. Der LAN GW ist die IP Adresse des Routers in dem lokalem Netzwerksegment (in meinem Falle des pfSense).  Dann braucht der WAN noch einen Gateway vom ISP, damit das Traffic von dem lokalen Netzwerk nach außen geroutet werden kann.

    Dazu sage ich nur, dass du mal dringend dein Netzwerk/Routing Wissen überprüfen oder ausbauen solltest. Welchen Sinn macht es denn bitte AUF dem Gateway sich selbst nochmals als Gateway zu setzen!? Es hat schon einen Grund, wenn unter der Gateway Einstellung auf dem Interface steht:

    "If this interface is an Internet connection, select an existing Gateway from the list or add a new one using the "Add" button. On local area network interfaces the upstream gateway should be "none". Gateways can be managed by clicking here."

    Frei übersetzt: Beim LAN sollte hier "NONE" stehen. Nur bei einem Upstream/WAN Interface muss hier natürlich das Upstream Gateway eingetragen werden.

    Aha? Und wie soll das Traffic aus dem lokalen Netz an die WAN Schnittstelle geroutet werden, wenn kein standardmäßiges Ausgangspunkt festgelegt wurde?

    Ganz einfach: jedes LOKAL angegebene Netz des Geräts steht natürlich in seiner Routing Tabelle. Da muss ich selbst nichts mehr für tun, um das zu ergänzen. Und mehr als ein Upstream/Default Gateway braucht es in diesem Szenario nicht! :)

    Edit: Ah, Grimson überlesen. Sorry.

  • PFsense Eignung Heimnetzwerk

    19
    0 Votes
    19 Posts
    3k Views
    GrimsonG

    @JeGr:

    Source: any (denn das Paket kommt egal was vornedran läuft AUS dem Internet, nicht vom WAN oder sonstwo her)

    Stimmt, ich sollte nach einer Kombi aus Spät- und Nachtdienst nicht mehr posten. :D

  • Kleines Workaround letsencrypt update

    11
    0 Votes
    11 Posts
    2k Views
    JeGrJ

    @Parsec wenns nur um das WebUI Cert der Sense geht, das kann das ACME Package ohne zusätzlichen Proxy. Der Service hört selbst auf den Port. Wobei ich auch hier es angenehmer finde, den Port auf 81 umzulenken damit er nicht "daueroffen" ist.

  • VOIP bei UM durch Fritzbox hinter pfsense

    9
    0 Votes
    9 Posts
    1k Views
    B

    Hallo,

    das Tut für Voip via T… habe ich gelesen...

    Habe die FB jetzt als Client und fürs Gast-WLAN zusätzlich an die pfsense gehangen.

    Leider kann die FB 6490 das nur separat.
    Jetzt kann ich auch die eingehende Telefonie empfangen.

    Dankeschön für die Hilfe.

  • Pfsense auf einer Checkpoint 1120 Appliance?

    3
    0 Votes
    3 Posts
    1k Views
    magicteddyM

    Moin,

    Hier ist ein Beschreibung, zwar keine offizielle Quelle aber mach einen vernünftigen Eindruck  https://www.cpug.org/forums/showthread.php/18672-Check-Point-1100-Appliance-FAQ Demnach ist die CPU eine ARM926EJ-S rev 1

    A: The sizing recommendation is based on number of users.
    A: 1120 Appliance -> Up to 10 Users, 28 SPU (SecurePower Units)
    A: 1140 Appliance -> Up to 25 Users, 34 SPU (SecurePower Units)
    A: 1180 Appliance -> Up to 50 Users, 37 SPU (SecurePower Units)

    ;D SPU, was ein Schmarrn

    -teddy

  • Zwei pfsense Firewalls mit VPN verbinden, eine hinter Fritzbox

    3
    0 Votes
    3 Posts
    948 Views
    JeGrJ

    Kann mir mal einer sagen wie sich diese Konfigurationsart nennt damit ich mir entsprechende Guides anschauen kann? Gibt es da schon was ich mir anschauen kann?

    Wie Virago sagt, OpenVPN Site2Site machen und die Seite B hinter der FB spielt Client. Für den Zweck dass du Site2Site dann auch noch routen willst, wäre es auch sinnvoller OVPN via Preshared Key zu machen, ansonsten hat auch da Virago recht, dass man sonst gern SSL-based spricht. In dem Fall aber würde ich PSK vorziehen. Auf der Client Seite müsste es sogar ein Setting geben, um das Default GW auf den Tunnel zu legen, dann muss das remote Netz nicht mit 0.0.0.0 angegeben werden, da bin ich aber gerade da unterwegs gerade unschlüssig.

    Gruß

  • Redundanz - Neustart einer Firewall setzt IPSec-Tunnel außer Gefecht

    12
    0 Votes
    12 Posts
    949 Views
    JeGrJ

    Das würde sich aber dann beim WLAN beißen. (Unterscheidung "Intern" und Gast-WLAN)

    Warum? Beides sind für mich unterschiedliche VLANs demzufolge dann auch unterschiedliche IP Ranges. Damit ist es auch möglich, WiFi-LAN im Wunschfall ggf. zu Bridgen oder ordentlich zu routen und auf den WiFi-Guest Interface dann bspw. ein Portal o.ä. aufzuziehen wenn gewünscht.

    Die VLAN IDs und IP Ranges waren jetzt nur Demo, aber ich würde das eben über das dritte IP Segment codieren und dann einheitlich machen, dann hat man es im Debugging Fall auch leichter.

    Ich hatte nicht vor, die Konfig zu übernehmen, sondern parallel neue Hardware beschaffen und neue Konfig aufbauen, ohne Import der alten.

    Guter Plan! Hört sich solide an. Jetzt nur noch runterbrechen in kleinere Häppchen wie Hardware beschaffen, Testaufbau, etc. und loslegen :)

  • RIPv6 / RIPNG routing

    7
    0 Votes
    7 Posts
    837 Views
    GrimsonG

    @jenszahner:

    Nur jetzt stellt sich die "doofe" Frage, wo muss ich das Ding "eintragen", so das es beim Neustart auch hochkommt und idealerweise auch Updates von PfSense überlebt.

    Schau dir einfach mal die Packages genauer an, da ist was passendes dabei.

Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.