@pronet36 MagentaTV wird mittelfristig auf IPTV umgestellt: https://www.telekom.de/magenta-tv/iptv Heißt dann auch unabhängig vom Internetanbieter (schön wenn man bspw. zu Hause mehrere Internetanbieter wegen Ausfallsicherheit hat) und nicht mehr über DSL oder Kabel eingespeist, sondern einfach als IP TV Datenstrom wie Netflix, Sky o.ä. eben auch: MagentaTV via IPTV bedeutet, über das Internet fernzusehen. Hinter der Abkürzung verbirgt sich der Begriff „Internet Protocol Television“. Die Übertragung findet also nicht über eine Satelliten-, Antennen- oder Kabelverbindung statt, sondern über den Internetanschluss und das unabhängig vom Anbieter.

@achim55 Eine definierte Dauer gibts nicht, aber OpenVPN hat bereits jetzt klar angekündigt, dass S2S mit Shared Key in OpenVPN 2.6 deprecated wird (also mit Warnung noch geht aber klar ist, dass das stirbt) und mit 2.7 rausfliegt. Da wir gefühlt recht wahrscheinlich bald 2.6 sehen könnten, ist das nicht mehr weit weg. Wie lang dann 2.7 dauert kann ich nicht sagen, aber am Ende: Ja wenn es aus OVPN 2.7 rausfliegt wird es nicht mehr funktionieren. Gar nicht. Egal wie mans dreht oder wendet. Darum steht die Ankündigung im OpenVPN Unterforum hier auch als große angepinnte Nachricht drin, dass man bitte keine S2S Tunnel mehr bauen soll. Es wird eine Alternative zu S2S-SK geben, die S2S-Cert Variante wird es aber weiterhin geben und darauf sollte man wechseln wenn man jetzt was Neues baut, da die Alternative/Nachfolge für S2S-SK noch nicht 100% feststeht. Das grobe Konstrukt ist zwar klar, aber es ist noch nichts, was man testen kann.

@benjsing Ich hab das bei mir etwas anders aufgebaut und daher mehr VLANs: 1 - ist tot, gibts nicht damit keiner Blödsinn macht 99 - Management, da ist alles mit Console, Management UI etc. drin. NAS UI, Proxmox UI, etc. (würde ich heute anders nummerieren, prinzipiell aber egal) 123 - Gast/WLAN: bekommt Internet, sonst nur Minimalzugriff und DNS und für bestimmte Clients (via WPA2-Enterprise Auth) Dashboards (IoT HA). Alle anderen nur WiFi/Internet mit geblockten IPs und gefiltertem DNS (via Infra DNSen) 270 - Infrastruktur: 2x DNS, Automatisierung, Monitoring, Logging, NAS, alles was zentral gebraucht wird 271 - LAN: Clients, meistens PCs oder Laptops, ggf. auch per WiFi und WPA2Ent Laptops. 272 - IoT: Kram der hoffentlich kein Netz braucht, HomeAssistant Control, MQTT, etc. 273 - Media: Kram der ganz sicher Internet braucht. Streaming Gedöns, Sonos Boxen, AndroidTV/Chromecast und so'n Kram 274-276 - Labs / frei 277 - Work: abisoliertes Testnetz mit direkter VPN Strecke zur Firma, nur aus dem Netz erreichbar, company DNS etc. Daher keine so starre Einteilung aber durch WPA2Ent und Radius based VLANs pushe ich die Clients dahin wo ich sie haben will.

@achim55 said in Umbrel und DMZ: PfSense läuft auf einem PC Engines ALIX Board, mit drei mal LAN. ALIX? Sicher?? Die ist uralt und überfordert und kann kein 64bit. Ich zweifle das stark an :) @achim55 said in Umbrel und DMZ: Im LAN läuft ein Raspberry mit Umbrel OS der von außerhalb erreichbar ist. Wie? Portforward? @achim55 said in Umbrel und DMZ: Ich weiß jetzt nicht wie sicher diese Konstellation ist und wollte den Raspberry an die dritte, noch freie, Schnittstelle von dem ALIX Board hängen. Hier dann ein DMZ damit er vom LAN getrennt ist. Spräche nichts dagegen :) Kommt halt drauf an was/wie/wo man erreichen will. Dann Regeln entsprechend und gut :)

@nocling heute Morgen hat es wie durch ein Wunder von selbst geklappt. Ne Nacht drüber schlafen hilft also doch ;-)

@fireodo said in PFsense auf ZBOX CI625 nano?: @slu said in PFsense auf ZBOX CI625 nano?: @toddehb said in PFsense auf ZBOX CI625 nano?: Diese Kisten sind geil. Pfsense ist sogar in der Version 2.6 vorinstalliert. Und das macht dir keine Sorgen? Das Teil kommt aus CN und pfSense darf überhaupt nicht vorinstalliert verkauft werden. Würde ich auch nicht trauen - pfsense ist das Kernstück eines Netzwerks, da sollte man schon achten dass nur die richtige Installation in Frage kommt. (SHA256 Checksum usw.) Ich würde von Grund auf neu installieren. Meine 2 Cents, fireodo Habe die Kiste mit dem offiziellen Image neu aufgesetzt. War mir dann doch zu unheimlich ;-)

@micneu said in Pfsense mit OpenVPN Client. Alles wird über den Tunnel geroutet, soll aber nicht: @viragomann nach welcher anleitung hast du es denn gemacht, ich hatte auch mal nordvpn, ich glaueb irgend wo mal gelesen zu haben das die das so konfigurieren, wenn du weist was du tust kannst du an dem enstprechenden punkt einfach anders machen. Sehr wahrscheinlich mit der Anleitung von NordVPN. Dazu muss ich leider sagen: ich hatte mir die angeschaut. Bitte baut das NICHT nach der Anleitung von NordVPN - das ist eine einzige Katastrophe. Wer auch immer die zusammengeklickt hat(te), hat keinerlei Lust oder Ahnung von *sensen gehabt. Alleine was nach "deren Definition" alles in die Adv. Options rein muss, ist kompletter Nonsense. Plus ihre Doku macht genau das: den kompletten Traffic via NordVPN raushauen obwohl das Dokument eigentlich NUR heißt "NordVPN mit pfSense einrichten" (oder so ähnlich). Hatte das vor einem halben Jahr o.ä. mal geprüft weil ständig seltsame Berichte kamen und das ist eine einzige Vollkatastrophe gewesen. So macht man das leider nicht :/ Cheers

@swk said in Über OpenVPN sind Clients ohne Standard Gateway nicht erreichbar: Der springende Punkt ist jetzt nur, dass man solch eine Kundenmaschine (zB 192.168.0.251) im internen Netzwerk erreichen kann und über das VPN nicht. (unsere Firewall==VPN Server) Sobald die Kundenmaschine aber dann mal zum Test temp. einen 2. Gateway (zB 192.168.0.1) auf der 2. Karte eigentragen bekommen, dann kann ich diese Maschinen auch aus dem VPN erreichen. Soweit ich das gerade ohne groben Netzplan vom Flow verstanden habe und @viragomann auch schon schrieb ist das alles lediglich eine etwas verkorkste Design/Architekturfrage und ein Routingproblem Wie schon gesagt ist das VPN Subnetz von der Einwahl den Maschinen nicht bekannt, sie schickens über das Default GW raus und das wars dann. Wenn ihr dann nochmal davor eine (andere) Firewall habt, könnt ihr das entweder ausgleichen, indem ihr dort direkt eine Route nach innen macht (wenn die externe FW mit euren internen Netzen irgendwie verbastelt ist), oder ihr müsstet - was unschön ist - die ganzen Kundenkisten mit ner zusätzlichen Route ausstatten. Alternative: Ihr NATtet die OpenVPN ausgehend zu den Kundenmaschinen auf eine andere IP der pfSense, die von den Kundenkisten aus gesehen/erreicht werden kann (ohne extra Route). Dann seht ihr zwar auf den IIS Mühlen nicht mehr direkt welche VPN IP ankommt, sondern nur noch die NAT IP, aber dann sollte es auch ohne zusätzliche Route klappen. Wie gesagt das ist nur "der Normalfall", wie das in eurem spezifischen Netzaufbau aussieht kann ich nicht 100% sagen, da ich die Architektur nicht ganz durchschaue. Es klingt aber auch so, als ob eure IIS Kisten dann via 2. Interface eure Firewall unterlaufen indem sie "hinten raus" zu euch direkte Verbindungen aufbauen. Das kann man machen, aber aus einem Security Sichtpunkt ist das nicht sehr schön, da ihr hier ein Breakout baut der nicht durch die Firewall davor geschützt ist und dem explizit vertraut wird. Zudem sehen sich je nach Setup die Kisten dann über dieses Interface auch oder können Verbindungen aufbauen die sie nicht sollten. Da würde ich ggf. nochmal eine Runde mit einem Netzplan drehen und mit den Kollegen oder ggf. auch mit "Sicht von außen" das einfach mal durchgehen, ob man das nicht optimieren könnte oder ggf. sinnvoller aufbauen. :) Machen wir/ich z.B. relativ häufig für Kunden. Cheers \jens

@pixel24 Mal ganz ohne doofe Antwort zu Hat das irgend eine Bewandtnis? Das eine ist die Ausgabe mit erfolgter Reverse DNS Auflösung, bei der anderen fehlt das. Das kann jetzt 2 Möglichkeiten haben, entweder hat der zweite Host keine rDNS Einträge oder sie konnten ggf. nicht geladen werden (oder es gab dabei Probleme). Zumindest wurden Sie dann eben nicht dargestellt. @pixel24 said in Ping "von" manchmal IP, machmal Host: Wenn ich von meinem Clinet (Linux-Mint 20) Gerade bei einem Linux wird inzwischen ja gerne nicht mehr nur DNS gemacht, sondern lokal noch ein DNS Agent entweder mitinstalliert, oder man hat eh schon systemd und den ganzen Geraffelbaum an Spaß mit dabei. Dann läuft meist auf der Kiste noch ein eigener Resolver/Forwarder/Cache, der die Einträge cached und/oder auflöst. Das kann dann in diesem Szenario auch mit reinspielen. Ohne ein wenig tiefer da reinzugehen würde ich jetzt erstmal sagen ist kein großes Problem, ping macht man beim Debugging eh gerne mit -n für unterdrückte Namensauflösung damit man ggf. keine Wartezeiten auf DNS hat - oder ne Ausgabe bekommt wenn der DNS down ist. Wenn du mehr Phänomene hast, dass dein DNS vllt. nicht so will wie du möchtest, dann müsste man das ggf. auf der Sense - wenn sie dein DNS ist - näher beleuchten und schauen was läuft und ob es Probleme, Aussetzer, Neustarts o.ä. gibt. Cheers

Keine Ahnung wo da der Bug ist. Vielleicht hat ja jemand noch nen schlauen Tipp. |=Also es verhält sich meiner Meinung nach so, dass zwischen der Sophos Firewall und der pfSense sich die DMZ befindet. Und dort sollten dann die Server stehen die die einen permanenten Kontakt zum Internet haben und hinter der pfSense sollte dann eigentlich das sichere LAN sein.=| Dobby

So Teil 1 abgeschlossen :) Internet geht ohne Fritze. Teil 2 mit Portierung der Rufnummern in 3 Wochen (ob das aus so einfach wird.....)

Vielen Dank für euren Input! Scheint ja jetzt wirklich eher ein kosmetisches Thema und kein Problem zu sein. Ich werde das bei Gelegenheit einfach mal über die GUI über zusätzliche DNS Server Einträge versuchen, bzw. wenn das nichts bringt dann aus dem xml-File rauslöschen und dann so zu importieren... Es eilt ja nicht..

@bob-dig said in Wireguard Newbee Fragen: @toddehb said in Wireguard Newbee Fragen: Yo, das ist mir durchgerutscht. Mist. So klappt es jetzt auch :-) Na supi, dann waren ja die Mühen auf allen Seiten nicht umsonst. :-) Dir besten Dank für die Unterstützung

@bingo600 Removing is not an option - Nein, ist natürlich nicht ideal, aber warum nicht? Die Regeln gehen nicht verloren sondern bleiben vorhanden auch wenn das Interface temporär weg ist. Ist ja bei 2.4.x auch so dass das Ruleset nicht gelöscht wird. :) Aber ja, scheint so, dass das schon gefixt wurde, ich kanns zumindest nicht konkret nachvollziehen.

@megalukas Aah jetzt :) Ich dachte jetzt du meinst Ports in der pfSense selbst (was bei bspw. der 2100 möglich gewesen wäre) aber klar, dann war das wohl ein Layer2 Problem :)

@unbekannt3 said in LWLcom DSL IPv6 über DHCP kein renewal: Die Sense bekommt eine Adresse aus einem /64er Subnetz am WAN Interface zugewiesen und darauf dann mein /60er Subnetz geroutet, beides mit einer lifetime von 300. Warum? 300er Lifetime hört sich für mich nach Quatsch an und viel zu kurz. Wenn ich da auf bspw. einer Fritzbox nachsehe, was da das Default Verhalten ist bei DHCP6 dann sehe ich da Zeiten in der Größenordnung 48h als Lease Time runtertickern. Zumindest wesentlich mehr als 300s. Das hört sich da schon entweder nach einer seltsamen/falschen Konfiguration an oder dass der ISP da Murks macht. Da würde ich nochmal beim ISP selbst versuchen jemand technischeren an die Strippe zu bekommen, denn das klingt nicht gerade sinnvoll. Cheers \jens

@bob-dig das hat schon mal geholfen :) Die OpenVPN Server laufen wieder. Clients verbinden sich auch. Komm bloss noch nicht drauf. (Komm wieder drauf)

@gtrdriver said in Pfsense mit mehreren WAN´s /öffentlichen Ip´s - wie ausgehende "route" definieren: Aber was ist mit Traffic der "nur raus geht" - also der Client im LAN möchte ohne dass er angerufen werde raus telefonieren - dann weiß er doch aber (sofern er in einem LAN hängt an dem mehrere externe IP´s hängen) nicht über welches er raus gehen soll Telefonie ist zusätzlich nochmal ein ganz anderes Thema weil hier sehr oft andere Punkte noch mit reinspielen: VoIP ist sehr oft Line-gebunden weil bspw. Telekom keine VoIP Anfragen via anderer Leitung annimmt, sondern nur aus dem gleichen Netz VoIP nicht einfach "so raustelefoniert", sondern es eine SIP Anmeldung gibt und dann logisch auch der Anruf über die gleiche Line wie der Login laufen muss etc .etc. Das ist ein extrem unpraktisches Beispiel, denn gerade bei SIP/VoIP gibt es oft kein Möglichkeit da ein Failover zu bauen aus den Restriktionen und Eigenheiten des Protokolls. Wenns um Surfen o.ä. geht also die Verbindung von innen aufgebaut wird und es keine policy-based rules gibt, die irgendetwas anderes sagen, wird die Verbindung immer über das Default GW aufgebaut. Man kann aber als Default GW auch ein Failover GW (KEIN! Loadbalancing GW) hinterlegen, dann wird ein Fall wie "Line 1 down" eben problemlos abgefangen ohne dass man PBR rulesets bauen muss. Wenn man ein (V)LAN spezifisch auf ein LAN mappen will, dann packt man hier beim entsprechenden LAN die Regeln mit definiertem Gateway rein und schon läuft auch ausgehend alles über bspw. WAN2. Wenn man das wirklich hart trennen möchte, passt man entsprechend die outbound NAT auf manuell an, damit dann gar keine Verbindung über WAN1 läuft. Das ist aber alles eine Definitionsfrage, was genau wie laufen soll. Cheers

@francoblanco meinst du das ernst? so wi ich es verstanden habe: nutzt du die fritzbox als modem willst die webgui der fritzbox trotzdem aufrufen? macht ein vpn auf die fritzbox (geht das wenn die fritzbox ein modem ist)? hier im forum haben wir schon unzählige male das thema behandelt das man auf die webgui eines modems will, einfach mal die forum suche nutzen aber bitte erkläre mir das noch mal warum und wieso du die ports der fritzbox weiterleitest oder hast du einen expose-client eingetragen? Bitte beschreibe mal genau was dein ziel ist