Subcategories

  • 107 Topics
    1k Posts
    S

    📌 Ziel:
    Ich möchte mDNS-Discovery VLAN-übergreifend ermöglichen, damit ein PlexAmp-Client auf einem Raspberry Pi im IoT-VLAN über die PlexAmp-App auf meinem Smartphone über den Plex-Server im LAN automatisch entdecken und sich verbinden kann.

    Sobald sich mein Handy und der Plexamp Client (Headless) im selben Netzwerk befinden, funktioniert das Streaming.

    🧑‍💻 Netzwerkübersicht:
    Komponente Details
    Firewall pfSense (aktuell, mit Avahi-Paket)
    Switch/AP UniFi (Controller & Geräte aktuell)
    HomeNetz LAN – 192.168.8.0/24 (Plex + Roon Core)
    IoT IoT – 192.168.10.0/24 (Raspberry Pi mit Plexampheadless)
    Avahi Installiert auf pfSense, reflektiert zwischen LAN und IoT

    ✅ Konfiguration bisher:
    pfSense:
    Avahi installiert und aktiv
    mDNS-Repeater für LAN und IoT aktiviert
    Firewall-Regeln:
    any-to-any zwischen VLANs
    Zusätzlich: UDP 5353 → 224.0.0.0/8 mit „Allow packets with IP Options“

    UniFi:
    SSID „KugelMensch_IoT“ → VLAN IoT
    WLAN-Optionen:
    ✅ Multicast-Erweiterung aktiv
    ❌ Client-Isolation deaktiviert
    ❌ Multicast/Broadcast-Filter deaktiviert
    ✅ Erweiterte IoT-Konnektivität aktiv
    IGMP Snooping: (standardmäßig aktiv)

    🔧 Zusätzliche Firewall-Regeln getestet:
    Im VLAN IoT:
    ✅ UDP 5353 → 224.0.0.251, „Allow packets with IP Options“
    ✅ UDP 32414 → 192.168.8.0/24 (Plex GDM Discovery)
    ✅ TCP 32400 → Plex Server
    ✅ UDP 9003 + TCP 9100–9200 → Roon Core
    🧪 Beobachtungen:
    Multicast-Traffic wird sichtbar über tcpdump
    Clients empfangen die Antworten aber ggf. nicht korrekt
    IGMP Snooping evtl. blockierend (aber noch nicht deaktiviert getestet)

    Es scheint nichts zu funktionieren. Hat jemand noch eine schlaue Idee?

    Vielen Dank im voraus.

  • 80 Topics
    433 Posts
    JeGrJ

    Heute spontan OpenHouse im NSFW.pub. Gern einfach mal reinschauen, kann allerdings sein dass zwischendurch mal gerade keiner am "virtuellen Tresen" ist oder ich Getränke hole/wegbringe.

    Cheers :)

  • APU1C - LAN Interface LED

    3
    0 Votes
    3 Posts
    1k Views
    F

    Also, bei 100MBt ist die AN, bei Gbit ist die aus, und die linke ist immer an für Aktivität?

    Das ist aber ziemlich dumm gemacht? Sollte viel besser Orange bei 100Mbit, Grün bei 1Gbit.

    Das 'leuchtet' mehr ein ;-)

  • PfSense Cluster

    3
    0 Votes
    3 Posts
    935 Views
    X

    Als Master meine ich den VPN Server mit dem sich die Clients (die anderen RZ's) verbinden.

    Welche Server hinter welcher Blase stehen soll dabei vollkommen irrelevant sein - da sich das VPN über die 3 RZ's strecken soll. Es geht mir nur erst einmal um die Router Konfiguration - die Webserver Cluster, etc. kommt später.

    Bsp.:

    Anfrage - DNS - pfsense-1-1 - load-balancer-rz1 - webserver-rz1 Anfrage - DNS - pfsense-2-1 - load-balancer-rz2 - webserver-rz2 Anfrage - DNS - pfsense-3-1 - load-balancer-rz3 - webserver-rz3

    Das wäre an sich kein Problem. aber um die Daten synchron zu halten würde hinter webserver-rzX ein Fileserver Cluster stehen, welches über VPN mit den anderen Fileserver repliziert.

  • PfSense mit vorgeschalteter Firewall (NAT/Portforwarding)

    1
    0 Votes
    1 Posts
    699 Views
    No one has replied
  • OpenVPN - LAN Firewall Logs geflutet

    5
    0 Votes
    5 Posts
    1k Views
    S

    Im LAN gab es oben noch eine Any to Any Pass Rule. Hatte die nur wieder entfernt, da die Einträge trotzdem gekommen sind.
    Tut mir leid, dass es in meinem Post so rüber gekommen ist als hätte ich nur das probiert.

    Mittlerweile hat sich die Situation allerdings geklärt. Schuld waren falsche Outbound NAT Rules.
    Nachdem ich gemerkt habe, dass ich Outbound NAT gar nicht brauche und alle Regeln entfernt hatte kamen auch keine Log Einträge mehr in der Firewall :)

    Trotzdem danke :)

    Gruß

  • Keine Kommunikation zwischen LAN und DMZ möglich

    7
    0 Votes
    7 Posts
    1k Views
    C

    Hey,

    ich mische mich jetzt mal direkt mit ein, das spart sicherlich Kommunikationszeit…

    Wir versuchen nicht das Netzwerk aufzurüsten oder zu verbessern, es geht lediglich darum die bestehende iptables-Firewall gegen eine pfsense-Lösung auszutauschen.

    Natürlich gebe ich dir recht, dass diese Konstellation mit einer solchen DMZ nicht wünschenswert ist und dies niemand freiwillig nachbauen wollen kann. Allerdings haben wir diese bestehende Struktur und momentan nicht die Möglichkeit etwas zu ändern. Irgendwo in der Planung (damals, vor unserer Zeit) ist gewaltig was schief gelaufen und durch mangelnde Kommunikation hat sich das nicht verbessert. Das Abteilungsnetz hat keine Möglichkeit zu wachsen und auch für die DMZ ist (bisher) kein anderer IP-Adressbereich verfügbar (gewesen). Uns sind in der Hinsicht die Hände gebunden.

    Man könnte jetzt darüber diskutieren, ob es dann nicht eine Alternative wäre, dass man das Abteilungsnetz in drei eigene Subnetze aufteilt und die DMZ ebenfalls. Allerdings steht dann der Aufwand die Konfiguration anzupassen und alles was sonst noch da dran hängt, was wir jetzt noch nicht überblicken können gegenüber dem Aufwand, den IST-Zustand der iptables-Firewall auf pfsense abzubilden. Hierbei ist die Umstellung auf pfsense unsere Wahl...

    Wie du selbst gesagt hast, so wie wir das abgebildet haben geht es. Zumindest theoretisch, praktisch haben wir mit pfsense dabei noch Probleme. Und genau da bräuchten wir die Hilfe...

    Gruß
    cBoLsmUiEc

  • Clients im WLAN Interface finden sich nicht

    3
    0 Votes
    3 Posts
    662 Views
    M

    Kann geclosed werden! Im WLAN Interface muss der Haken bei "Allow intra-BSS communication" natürlich gesetzt werden  ;D

  • Routing mit Virt IP

    4
    0 Votes
    4 Posts
    943 Views
    JeGrJ

    Nicht schimpfen - es ist unschön und ich hasse es - aber es ist wie es ist.
    Ich schimpfe nicht ;) ich staune nur. Trotzdem verstehe ich dann nicht, warum ihr das nicht mit VLANs schöner lösen und damit das leidige Problem mit mehreren Subnetzen auf dem gleichen Interface umgehen könnt?

    Grüße

  • Brauch mal Hilfe - WLAN, Interface konfiguriert, kein connect

    10
    0 Votes
    10 Posts
    2k Views
    JeGrJ

    In den Firewall Regeln werden Blocks angezeigt. Wenn keine passieren, wird der Traffic wohl durchgelassen.

    Allerdings schreibst du

    Jetzt komm ich noch vom WLAN in das LAN und wollte das unterbinden mit einer weiteren Regel.

    Dann ist die Regel falsch, denn du verbietest nur LAN ADDRESS. Also den Zugriff vom WLAN auf die LAN Adresse der Firewall. Nicht auf das LAN network.

  • Captive Portal - Invalid credentials

    3
    0 Votes
    3 Posts
    837 Views
    K

    So,

    bin weiter gekommen. Ich hab den Benutzer heinz statt in der von mir erstellten Gruppe CaptivePortal Group mal in die Admin Gruppe genommen. Hier gehts.

    In der CaptivPortalGroup hatte ich das CapivePortal Login drin. Was braucht man denn noch so?

    Grüße

    Heinz

  • Lan-Lan Verbindung einrichten

    2
    0 Votes
    2 Posts
    823 Views
    O

    Hi tschuya,
    versetz Dich doch mal in die Lage eines Außenstehenden, der Dein Vorhaben nicht kennt.
    Hier fehlt einfach noch etwas Input, um mit Deinen Schilderungen klar zu kommen.

    auf welcher Hardware läuft die pfSense vielleicht mal ein kleiner Netzwerkplan, um Dein Vorhaben etwas zu verdeutlichen. was spielt die Zywall für eine Rolle
    Mit Deinen bisher gelieferten Daten einfach nur Rätselraten…. ;)
    Gruß orcape
  • PfSense 2.1.4 Problem mit IPSec

    3
    0 Votes
    3 Posts
    1k Views
    H

    Scheinbar tritt das Phänomen nur im Main Mode auf. Sobald ich auf den Aggressive Mode wechsel, baut sich die Verbindung auf. Das muss doch auch im Main Mode gehen.  :o

  • [Gelöst] FreeRadius User über Edit file bearbeiten

    10
    0 Votes
    10 Posts
    1k Views
    JeGrJ

    Grundsätzlich spricht dagegen, dass du etwas tust das nicht unterstützt (Supported) ist.

    Nicht nur das, was JH sagt, sondern du gehst somit auch Gefahr nach einem Update wieder "deine" Version der Konfiguration hochzuladen, die vllt nicht mehr unterstützt wird. Das Config.XML Schema bspw. darf/kann sich jederzeit ändern, sollten bspw. Funktionien o.ä. hinzukommen. Das heißt, du hast hier keinen automatischen Prozess, sondern etwas wo du ständig Hand anlegen musst.

    Wenn du solche direkten Änderungen im Radius brauchst, den die pfSense mit der simplen GUI nicht abbilden kann, dann solltest du drüber nachdenken (bei 120 Usern ist das ja nicht mehr so ein "kleines Setup"), ob sich eben nicht die Anbindung eines externen Radius Servers lohnt. Den kannst du dann eben auch gern zerbasteln wie du willst, ohne deine Firewall/Gateway damit ins Nirvana zu schippern.

    Gruß

  • Aliase können in Regeln nicht verwendet werden

    2
    0 Votes
    2 Posts
    764 Views
    JeGrJ

    Hi,

    Es würde keinen Sinn machen, wenn es nicht gehen würde. Ich weiß nicht wo du suchst, aber wenn du eine Regel erstellst gibt es meist als Destination oder Source Address die Auswahl "Single Name or ALIAS(!)". Dann kann darunter in der Textbox der entsprechende Alias eingetragen werden (und wird auch versucht mittels auto-completion zu ergänzen).

    Gruß

  • [Gelöst] Problem mit OpenVPN Site-to-Site

    4
    0 Votes
    4 Posts
    810 Views
    S

    So hab das Problem gelöst.

    Anscheinend brauchen die Ubuntuserver manuelle Outbound NAT Rules damit die von meinem privaten Netz erreichbar sind (Windows und Debian funktionieren mit den Automatischen Regeln…). Hab jetzt für meine zwei privaten Netze 192.168.1.0/24 (LAN) und 192.168.10.0/24 (WLAN Router an OPT1 zu Hause an der pfSense) die Regeln eingerichtet und schon sind alle Kisten von zu Hause aus erreichbar.

    Vielleicht weiß jemand was bei den Ubuntuserver anders läuft als bei Debian.

    Gruß

  • SquidGuard Block TLD

    2
    0 Votes
    2 Posts
    1k Views
    N

    :-\ Gibt es denn gar keine Möglichkeit?

    Gruß
    NoiR

  • Captive Portal Idle Logout funktionert nicht

    5
    0 Votes
    5 Posts
    882 Views
    M

    Die Lösung schien eher trivial: logt man sich auf der Server-Maschine ein (z.B. via SSH), ist ein Einloggen über die Services: Captive portal und dann "Portal page contents
    View current page" möglich. Das beobachtete Phänomen war, dass innerhlab einer Minute der Voucher wieder rausfliegt. Das ist beobachtbar in dem log.

    Lösung: das passiert nur wenn man über den Pfsense-Server diese Seite aufruft - aber nicht, wenn man von den LAN-Rechner das macht. Warum? K.A., insgesamt eher unwichtig.

  • Anfänger braucht Hilfe für Videocache

    4
    0 Votes
    4 Posts
    862 Views
    J

    Puh Snort habe ich auf meiner Box nicht mehr laufen.
    Zum versuchen kannst du ja mal Snort ausmachen und schauen ob es dann geht…

    Bei mir ist es eigentlich so: Wenn die Werbung geht, geht der Rest auch. Bei einigen (wenigen) Videos geht nichts bis die Seite neu geladen wird. Das scheint ein generelles Cache Problem zu sein.

    Viel erfolg!

    Ciao
    Joerg H.

  • UMTS SIERRA MC8780

    1
    0 Votes
    1 Posts
    627 Views
    No one has replied
  • IP Alias / Forward / Rewrite

    2
    0 Votes
    2 Posts
    722 Views
    JeGrJ

    Das wird auf jeden Fall keine lustige Situation. Vom Netzwerker Standpunkt aus ist das einfach: eines der Modems muss weichen. Da beißt keine Maus nen Faden ab. Wenn beide Modems an der pfSense hängen sollen, geht es einfach nicht, dass du gleiche Netze auf unterschiedlichen Interfaces hast. Und dann auch noch gleiche Endgeräte IPs (.1). Das wird gerade für MultiWAN definitiv ein Desaster. Irgendeines der Modems umzustellen ist von allen Möglichkeiten noch die einfachste und schmerzfreieste. Und gerade wenn man vom gleichen Provider 2 hat, sollte der so kulant sein und einem dabei helfen.

    Grüße

  • [Gelöst] Probleme bei der RADIUS Auth über Captive Portal.

    4
    0 Votes
    4 Posts
    1k Views
    S

    Lösung gefunden!!!
    iptables des RADIUS Servers deaktiviert!!
    8)

Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.