Subcategories

  • 107 Topics
    1k Posts
    S

    📌 Ziel:
    Ich möchte mDNS-Discovery VLAN-übergreifend ermöglichen, damit ein PlexAmp-Client auf einem Raspberry Pi im IoT-VLAN über die PlexAmp-App auf meinem Smartphone über den Plex-Server im LAN automatisch entdecken und sich verbinden kann.

    Sobald sich mein Handy und der Plexamp Client (Headless) im selben Netzwerk befinden, funktioniert das Streaming.

    🧑‍💻 Netzwerkübersicht:
    Komponente Details
    Firewall pfSense (aktuell, mit Avahi-Paket)
    Switch/AP UniFi (Controller & Geräte aktuell)
    HomeNetz LAN – 192.168.8.0/24 (Plex + Roon Core)
    IoT IoT – 192.168.10.0/24 (Raspberry Pi mit Plexampheadless)
    Avahi Installiert auf pfSense, reflektiert zwischen LAN und IoT

    ✅ Konfiguration bisher:
    pfSense:
    Avahi installiert und aktiv
    mDNS-Repeater für LAN und IoT aktiviert
    Firewall-Regeln:
    any-to-any zwischen VLANs
    Zusätzlich: UDP 5353 → 224.0.0.0/8 mit „Allow packets with IP Options“

    UniFi:
    SSID „KugelMensch_IoT“ → VLAN IoT
    WLAN-Optionen:
    ✅ Multicast-Erweiterung aktiv
    ❌ Client-Isolation deaktiviert
    ❌ Multicast/Broadcast-Filter deaktiviert
    ✅ Erweiterte IoT-Konnektivität aktiv
    IGMP Snooping: (standardmäßig aktiv)

    🔧 Zusätzliche Firewall-Regeln getestet:
    Im VLAN IoT:
    ✅ UDP 5353 → 224.0.0.251, „Allow packets with IP Options“
    ✅ UDP 32414 → 192.168.8.0/24 (Plex GDM Discovery)
    ✅ TCP 32400 → Plex Server
    ✅ UDP 9003 + TCP 9100–9200 → Roon Core
    🧪 Beobachtungen:
    Multicast-Traffic wird sichtbar über tcpdump
    Clients empfangen die Antworten aber ggf. nicht korrekt
    IGMP Snooping evtl. blockierend (aber noch nicht deaktiviert getestet)

    Es scheint nichts zu funktionieren. Hat jemand noch eine schlaue Idee?

    Vielen Dank im voraus.

  • 80 Topics
    433 Posts
    JeGrJ

    Heute spontan OpenHouse im NSFW.pub. Gern einfach mal reinschauen, kann allerdings sein dass zwischendurch mal gerade keiner am "virtuellen Tresen" ist oder ich Getränke hole/wegbringe.

    Cheers :)

  • pfSense Fragestunde / AMA Ende September

    Moved
    5
    3 Votes
    5 Posts
    1k Views
    JeGrJ

    @fglaser Werde ich gerne klären

  • Hardware Empfehlung für 200mbit von

    13
    0 Votes
    13 Posts
    2k Views
    G

    @jegr

    Hallo ich wollte hier nochmals kurz eine Rückmeldung geben.

    Wir setzten das VPN ausschließlich für RDP ein und hier ist bei 10 Arbeitsstationen ab 60MBIT VPN keine Steigerung mehr zu messen. (außer alle schauen im Vollbild Video)... - im normalen Arbeitsbetrieb wie gesagt ist bei 10 Arbeitsplätzen und selbst bei intensiver Nutzung ab 60mbit nicht mehr zu gewinnen.

    Interessant ist auch dass RDP hier extrem kurze Peaks hat die mit den normalen Tools aufgrund der Auflösung nicht zu sehen sind.

    So zieht RDP beim Browsen mal für einige ms tatsächlich 30mbit - fällt dann auf 4-5 mbit ab - schaut man hier nicht genau könnte man denken dass 5-6mbit pro Sitzung ja dann das maximum sind - stimmt im Mittel auch - aber diese kurzen Peaks machen sich unheimlich in der Haptik bemerkbar wenn das VPN oder die Leitung das nicht hergibt ...

    Ich habe jetzt auf der Server Seite eine Viritualisierte pfsense mit nem Xeon CPU

    und auf der Client seite netgate Hardware

  • Ausdruck Firewall rules

    5
    0 Votes
    5 Posts
    1k Views
    B

    Hallo,
    wollte es einfach leicht haben, alle Rules per Befehlszeile runterladen, evtl. auch speichern.
    Alles aus der GUI rauskopieren ist ein bisschen aufwendig.

  • Ablauf Zertifikat

    16
    0 Votes
    16 Posts
    2k Views
    JeGrJ

    Sollte ansonsten mal bei Zertifikaten - gerade bei aktivem HSTS - ein Zertifikat ablaufen und der Browser möchte dann die WebUI nicht mehr anzeigen (weil HSTS und abgelaufenes Zert in Chrome based Browsern bspw. nicht "weiter" geht), kann man das in Chrome(ium) Browsers "überbrücken":

    Zu testen: https://badssl.com/

    bspw. revoked auswählen. Firefox kann man hier noch zum "weiter" überreden, Chrome/-iums nicht.

    b2b505b5-0c74-4a2d-9b71-220090a7195d-image.png
    (weitermachen fehlt hier!)

    Die kann man dafür aber "übersteuern" indem man auf solchen Seiten einfach ohne irgendeinen Fokus zu haben (also nicht URL Zeile o.ä. markieren) einfach tippt:

    thisisunsafe

    und zack wird die Seite doch geladen:

    fc344c96-071d-4de3-9a76-1dc713e0f4d6-image.png

    Hier im Beispiel mit "Chromium Edge" getestet, geht aber auch mit Brave, Chrome, etc. Das Keyword thisisunsafe ist als override für SSL fix im Browser verankert. Muss einfach in einem Wort ohne große Pause o.ä. am Stück (nur Kleinbuchstaben) im entsprechenden Tab einfach getippt werden. Einfach ausprobieren und für den Notfall im Hinterkopf haben 😄

    Cheers

  • pfsense Crash NMI indicates hardware failure

    9
    0 Votes
    9 Posts
    1k Views
    JeGrJ

    @micneu Nur weil der SOC 2013 erschienen ist, heißt das nicht, dass das auch 2013 raus kam. In dem Fall wars AFAIR late 2013 als die Testmuster kamen. Das ist aber irrelevant. Es ist ein C2000 SOC und die C-Atome werden mit 8-10y++ von Anfang an konstruiert. Ich hätte jetzt auch wenig Bock nach 3 Jahren privat schon wieder was Neues suchen zu müssen vor allem weil die nicht billig sind/waren. Und wenn man sie später dann ggf. günstig bekommt weil der C3000 kommt und die Kiste reicht einem, warum nicht. Konnte ja bis zum Abrauchen und Skandälchen keiner ahnen, dass statt 8-10y plötzlich wesentlich weniger auf der Agenda stehen weil Intel bei Kleinteilen Probleme hat.

    Hilft außerdem jetzt auch niemand rückblickend zu sagen "warum kauft man sowas". Hinterher ist man immer schlauer :)

    Ich hätte allerhöchstens "gemeckert" weils ein 2750 ist und der nicht für Netzwerk, sondern für kleine Server gebaut war. Die Netzwerk Kisten haben alle Achten als letzte Ziffer -> C2758. Denn nur die 8er hatten QuickAssist (QAT) mit drauf.

    Anyways, hoffe es ist fixbar und nicht doch ein Totalausfall!

  • IGMP Proxy startet nicht

    6
    0 Votes
    6 Posts
    1k Views
    W

    @chriskoh

    Hast du es mal genau nach dieser Anleitung probiert? https://forum.netgate.com/topic/153802/howto-magentatv-mit-pfsense-2-4-5

  • 2.7.0 - jeden Morgen keine Internetverbindung

    4
    0 Votes
    4 Posts
    1k Views
    F

    Hallo!

    Sieht für mich nach einem Problem vom Windows 10 aus - oder eines durch die Virtualsierung verursacht.

    Heute Morgen wieder kein Internet, musste die Netzwerkschnittstelle Deaktivieren und wieder Aktivieren... 🙄

  • DNS Resolver nicht auf LAN IF aktiv wenn dieses beim Booten down war

    9
    0 Votes
    9 Posts
    1k Views
    E

    @nonick

    Ich habe das jetzt ausprobiert - Das scheint wirklich geholfen zu haben.
    Seit ich für den Resolver die Network Interfaces auf "All" gestellt habe, löst der Resolver auch auf wenn das Interface erst nach dem Start einen Link hat...

    Ich finde das zwar nicht wirklich verständlich, aber was solls...

  • Gateway für einzelne IP sperren

    3
    0 Votes
    3 Posts
    1k Views
    P

    @bob-dig
    Sehr gut hat funktioniert. Besten Dank !

  • Exerne IPs intern weiterleiten

    10
    0 Votes
    10 Posts
    1k Views
    N

    Für den Fall das mal…

    Na so kritisch können die Server jedenfalls nicht sein, wenn man die einfach so mit einem Switch ins Internet hängt.
    Das verstößt gegen alle Grundregel der IT Sicherheit.

    Ja man könnte da mit Proxy ARP usw. eine Transparente Firewall zwischen hängen.

    Aber wenn die Kisten so wichtig sind, warum dann nicht gescheit mit internen IPs, ggf. verschiedenen DMZ VLANs/Netzen und einer HA Firewall davor?
    Dann würde es Sinn ergeben.

    Wartung ist dann auch über VPN zum Standort möglich.
    Lasse mich mal nachdenken, wann fällt eine HA FW aus?
    Totaler Stromausfall, dann ist eh alles egal…
    Hardware Schaden, dann ggf. alle x Jahre mal eine, kaufst was gescheites für 24/7 ausgelegtes…
    Softwarefehler, beim Update z.B., da bist dann vor Ort und kannst direkt was retten, 2-3 Mal im Jahr…
    Menschliches Versagen, wenn jemand Mist konfiguriert…

    Sicherlich das kleinere Übel, wenn man jeden Tag sieht welcher Firmen gerade wieder unter gehen da deren IT niederliegt…

  • Probleme mit dem Routing.

    21
    0 Votes
    21 Posts
    3k Views
    Bob.DigB

    @achim55 Schwere Geburt aber jetzt sehe ich es auch. 😁

  • Site 2 Site VPN IPSEC

    8
    0 Votes
    8 Posts
    1k Views
    JeGrJ

    Ich habe keine Ahnung warum die originalPoster(in) meinte, ihren Account und ihre Posts löschen zu müssen aber ich habe sie aus Nachvollziehbarkeit wiederhergestellt. Sehe auch nicht wo hier das Problem war.

    @A Former User said in Site 2 Site VPN IPSEC:

    Das schmeckt der PFSense gar nicht. Wie kann sie das deichseln? Danke Lena

    Das hat primär nichts mit der Sense zu tun, sondern mit Phase-2 IPsec selbst. Wenn man von einem lokalen Netz (bspw. LAN) zu einem entfernten Netz eine Verbindung aufbaut, wird die via IPsec im Kernel geroutet (taucht auch deshalb nicht in der System Routing Table auf). Und da es nur eine Route zu einem Netz sinnvoll geben kann geht das Setup so nicht.

    Das hat aber der @NOCling schon korrekt wiedergegeben. Das liegt auch nicht auf Sense Seite das zu ändern, sondern auf der Remote Seite bei den Fortis. Denen muss verklickert werden, dass sie ausgehend ihr 192.168.2.x Netz NATten müssen durch den Tunnel via VPN. Wenn das korrekt aufgesetzt ist definiert man lokal nur noch 2 VPNs mit anderen Netzen (jenes auf die die jeweilige Forti ihr Netz umschreibt) und hat damit 2 saubere Site2Site Setups ohne Überschneidungen. Die Fortis sollten das können, da es keine "neue" Fragestellung ist. Jeder größere RZ Service Anbieter schreibt inzwischen vor mit welchem Netz man "ankommen" darf und überlässt es dann dem Kunden dass er sein Netz so umbiegt dass es passt.

    Somit muss der Sense da gar nicht viel beigebracht werden, sondern eher den Fortis auf der Gegenseite quasi "diktiert" werden, wie sie ihr Netz umschreiben müssen, dann klappt das auch.

    Cheers
    \jegr

  • OpenVPN Verbindung für DB Zugriffe optimieren

    13
    0 Votes
    13 Posts
    2k Views
    ExordiumE

    Open VPN ist für unsere Firma die führende Lösung für Home-Office und unterwegs Arbeiten! Das funktioniert seit der Einführung bestens bei 600-800 Clients! Rund 50% davon sind täglich verbunden und geben keinen Anlass zum Klagen. Der eine Spezialfall wo es eben nicht gut funktioniert, ist nach intensiver Recherche auch nicht Open VPN direkt anzukreiden.
    Die Aruba Lösung ist auch toll und vor allem sehr end-user-friendly! Aber sie verursacht nicht gerade geringe Kosten, was die Hardware und Lizenzen angeht. Daher verwenden wir diese auch nur dort, wo Open VPN strauchelt. Meist liegt es dann aber an komischen IPv4/v6 Problemen, die der Provider oder deren Endgeräte verursachen.

  • Truenas (Nextcloud) -> Pfsense -> Cloudflare 522 (timeout)

    17
    0 Votes
    17 Posts
    2k Views
    JeGrJ

    @tsag said in Truenas (Nextcloud) -> Pfsense -> Cloudflare 522 (timeout):

    Gibt es eine Möglichkeit, dass PFSense/HAProxy das Lokal löst?
    Ich könnte es zwar über den LAN DNS Server über den Hostname erreichen, allerdings kann dieser keine Ports auflösen. Mein Nextcloud läuft bspw. auf 192.168.1.2:1337, was in HAProxy auch eingetragen ist, sodass ich direkt über meine Domain (ohne Port) darauf zugreifen kann. Beim Hostname muss ich immer den Port mit angeben.

    Verstehe das Problem nicht ganz. Warum sollte dein interner Traffic extern über Cloudflare laufen (müssen)?
    Trag doch einfach als IP in DNS der Sense die IP des HAproxys ein - der schickt das doch dann auf :1337 weiter ohne dass du mit Ports rumbasteln musst genauso wie von extern auch?

  • Hardware Empfehlung Backup

    19
    0 Votes
    19 Posts
    2k Views
    JeGrJ

    @dobby_ said in Hardware Empfehlung Backup:

    Bei einer 1 GBit/s Verbindung würde ich entweder auf die APU7 warten wollen was dann aber auch mit 2,5 GBit/s Ports daher kommt! Oder aber eventuell auf OpenWRT umsteigen

    Auch eine APU7 wird eine APU bleiben. Egal welche APU (2-6), es ist bei allen exakt der gleiche inzwischen steinalte AMD Jaguar SOC drunter und der ist eben weit entfernt von up2date wenn es um Performance geht. Das Gigabit ist auch etwas Augenwischerei, denn da gehts um Gigabit routed. Sobald da Regelwerk reinkommt und da System oder Userland die Performance abgreifen, wird die APU deutlich langsamer und es gibt inzwischen einfach wesentlich bessere Geräte wenn es direkt nur um Einsatz für pfSense geht. Wenn ich flexibel bleiben möchte um ggf. noch WRTs oder andere Distros zu verwenden und günstig bleiben muss - klar, OK. Aber rein für Routereinsatz mit Performance ist die APU für mehr als ~500 Mbps eher ein Klotz am Bein. Sobald da Dinge wie Verschlüsselung oder intensiveres Scanning passieren soll wird es recht schnell eng :)

  • pfSense Plus & diverse pcEngines APUs

    2
    0 Votes
    2 Posts
    700 Views
    JeGrJ

    @dobby_ ich hab das mal abgespalten in einen eigenen Eintrag. Einen 7Jahre(!) alten Eintrag sollte man schon da lassen wo er war, in der Versenkung, zumal es da noch um APU1 ging.

    Die verschiedenen APUs ab 2 sind auch was den SOC angeht ja gleich geblieben, vllt vom verlöteten RAM abgesehen, aber alles der gleiche SOC, so dass ich hier nicht viel Änderung an Performance zwischen den Geräten erwarten würde. Der Vergleich aber mit Linux/TNSR oder WRTs ist interessant. Durchaus witzig :)

  • Lan läuft opt1 opt2 .. nicht wie gewünscht

    13
    0 Votes
    13 Posts
    1k Views
    N

    @nocling hab mal opnsense installiert und mit der getestet selbes verhalten.

    dann hab ich mal die nats gelegt 1:1 Nats

    damit scheint es nu zu laufen.

    komm aufs gui und die phones registrieren sich

    danke für die hilfe

  • pfsense notifications-meldungen

    5
    0 Votes
    5 Posts
    1k Views
    ?

    Den Nachteil des doppelten NAT akzeptiere ich
    "zähneknirschend". ;-)

    Man kann auch den einen Port an dem die pfSense "hängt"
    bzw. angeschlossen ist in der AVM FB als "Exposed Host"
    hinterlegen dann kann man direkt aus dem Internet an
    die pfSense heran gehen, wie gesagt bitte nur den einen
    Port und nicht die gesamte AVM FB.

    Die mailreport Package habe ich installiert, mal schauen
    ob ich da etwas sinnvolles machen kann.

    Paket deinstallieren und dann noch einmal installieren und
    die Einstellungen dann abspeichern funktioniert nicht?

  • Firewallregeln greifen nicht

    17
    0 Votes
    17 Posts
    2k Views
    T

    Danke für die Antworten, ich werde mir das noch einmal anschauen.

  • Crash der 2.7.0 a - wo melden?

    4
    0 Votes
    4 Posts
    970 Views
    F

    Danke - hatte ich noch nicht entdeckt! 🙈

Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.