Subcategories

  • 107 Topics
    1k Posts
    S

    📌 Ziel:
    Ich möchte mDNS-Discovery VLAN-übergreifend ermöglichen, damit ein PlexAmp-Client auf einem Raspberry Pi im IoT-VLAN über die PlexAmp-App auf meinem Smartphone über den Plex-Server im LAN automatisch entdecken und sich verbinden kann.

    Sobald sich mein Handy und der Plexamp Client (Headless) im selben Netzwerk befinden, funktioniert das Streaming.

    🧑‍💻 Netzwerkübersicht:
    Komponente Details
    Firewall pfSense (aktuell, mit Avahi-Paket)
    Switch/AP UniFi (Controller & Geräte aktuell)
    HomeNetz LAN – 192.168.8.0/24 (Plex + Roon Core)
    IoT IoT – 192.168.10.0/24 (Raspberry Pi mit Plexampheadless)
    Avahi Installiert auf pfSense, reflektiert zwischen LAN und IoT

    ✅ Konfiguration bisher:
    pfSense:
    Avahi installiert und aktiv
    mDNS-Repeater für LAN und IoT aktiviert
    Firewall-Regeln:
    any-to-any zwischen VLANs
    Zusätzlich: UDP 5353 → 224.0.0.0/8 mit „Allow packets with IP Options“

    UniFi:
    SSID „KugelMensch_IoT“ → VLAN IoT
    WLAN-Optionen:
    ✅ Multicast-Erweiterung aktiv
    ❌ Client-Isolation deaktiviert
    ❌ Multicast/Broadcast-Filter deaktiviert
    ✅ Erweiterte IoT-Konnektivität aktiv
    IGMP Snooping: (standardmäßig aktiv)

    🔧 Zusätzliche Firewall-Regeln getestet:
    Im VLAN IoT:
    ✅ UDP 5353 → 224.0.0.251, „Allow packets with IP Options“
    ✅ UDP 32414 → 192.168.8.0/24 (Plex GDM Discovery)
    ✅ TCP 32400 → Plex Server
    ✅ UDP 9003 + TCP 9100–9200 → Roon Core
    🧪 Beobachtungen:
    Multicast-Traffic wird sichtbar über tcpdump
    Clients empfangen die Antworten aber ggf. nicht korrekt
    IGMP Snooping evtl. blockierend (aber noch nicht deaktiviert getestet)

    Es scheint nichts zu funktionieren. Hat jemand noch eine schlaue Idee?

    Vielen Dank im voraus.

  • 80 Topics
    433 Posts
    JeGrJ

    Heute spontan OpenHouse im NSFW.pub. Gern einfach mal reinschauen, kann allerdings sein dass zwischendurch mal gerade keiner am "virtuellen Tresen" ist oder ich Getränke hole/wegbringe.

    Cheers :)

  • Upgrade auf APU nicht möglich

    6
    0 Votes
    6 Posts
    1k Views
    JeGrJ

    @toddehb said in Upgrade auf APU nicht möglich:

    Du hast da vielleicht unwissentlich zur Lösung beigetragen ;-) Habe im Package Manager Snort geupdated. Lief einwandfrei durch. Danach konnte ich auch das Systemupdate machen. Evtl. hat das vorherige Updaten den Knoten irgendwie gelöst. Mir soll es recht sein. :-)

    Auf 2.6 sollte man nicht nach Möglichkeit nicht einfach "updaten" sondern neu installieren. ZFS ist jetzt das Default Filesystem und es gab etliche Änderungen und Neuerungen im Filesystem Aufbau, den Datasets und den Einstellungen dafür wie bspw. auto-Kompression bei /var/log etc. etc.

    Daher: 2.6 Update-installieren sonst bekommt man das neue FS Layout nicht mit.

  • Webinterface nach gateway-change nicht immer erreichbar

    5
    0 Votes
    5 Posts
    1k Views
    K

    Hallo,
    der Techniker war da, die Leitung hausintern hat ein Problem. Das wird noch was werden...
    Sei's drum, die TAE-Dose wurde wenigstens gewechselt, die Abbrüche wurden dadurch schonmal seltener. Eben war's wieder so weit, kurzer Aussetzer und nach dem gateway-change war die WebGUI nicht erreichbar.
    https://<meineip>/status_logs.php ist ebenfalls nicht erreichbar gewesen.

    Zur Hardware:

    CPU:
    Intel(R) Core(TM) i5-7200U CPU @ 2.50GHz
    Current: 2400 MHz, Max: 2601 MHz
    4 CPUs: 1 package(s) x 2 core(s) x 2 hardware threads
    AES-NI CPU Crypto: Yes (active)
    QAT Crypto: No

    Version:
    2.6.0-RELEASE (amd64)
    built on Mon Jan 31 19:57:53 UTC 2022
    FreeBSD 12.3-STABLE

    RAM: 16 GB

    installierte Packages:
    bandwidthd
    openvpn-client-export
    RRD_Summary
    Status_Traffic_Totals

    Nach nem Gateway-Change kann es übrigens passieren, dass der DNS-Resolver nicht mehr funktioniert, das war auch bei mir der Fall. Wird in Version 2.7 gefixt sein. Hab deshalb erstmal auf den DNS-forwarder umgesattelt. Brachte aber keine Besserung bezüglich der Erreichbarkeit der WebGUI.

  • pfsense IPv6 (Netcom Kassel) - bekomme IPv6 Adresse aber nicht am Client

    16
    0 Votes
    16 Posts
    3k Views
    E

    @enjoyit Ich setze leider keine pfsense ein, habe hier nur geschrieben, weil das Problem das Gleiche war. Betroffener Router war eine be.IP (bzw. Digitalisierungsbox Premium).
    Aber das was @NOCling geschrieben hat, klingt sinnvoll. Laufen denn die anderen Anschlüsse über IPv6?

  • PPPoE Verbindung, Ping geht aber kein Internet

    7
    0 Votes
    7 Posts
    1k Views
    M

    @viragomann

    Es war ein DNS Problem.
    Habe ich zum Glück lösen können.

    Vielen Dank für die Kommentare

  • OpenVPN Endian Site-To-Site tls-error, reconnecting

    2
    0 Votes
    2 Posts
    931 Views
    V

    @adminbaun said in OpenVPN Endian Site-To-Site tls-error, reconnecting:

    May 19 11:09:39 openvpn 10803 Certificate does not have key usage extension

    Das Problem habe ich schon öfter hier gesehen, aber Lösungen eigentlich immer nur auf Serverseite.

    Hier ist ein Redmine Ticket dazu:
    https://redmine.pfsense.org/issues/13056

    Auf der Seite werden zwei Patches genannt, die beide installiert werden sollen: 48cf54f850c5bf4fe26a8e33deb449807e71c204, 47f2f4060d9e5b71c5c69356b61191fd2931383c

    Ob das aber auch am Client hilft, weiß ich nicht.
    In deinem Fall beklagt sich der Client, dass im gelieferten Server-Zertifikat die "Key Usage Extension" fehlt. Die kannst du natürlich nur am Server hinzufügen.
    Falls das nicht möglich ist, lässt sich aber vielleicht am Client die Überprüfung deaktivieren, ev. mit diesen Patches.

  • Bridge LAN Interfaces

    1
    0 Votes
    1 Posts
    620 Views
    No one has replied
  • Kleines Vereinsnetzwerk - freeRadius / WPA-Enterprise / TelekomFiber

    3
    0 Votes
    3 Posts
    992 Views
    N

    Ist das alles schon gekauft und vorhanden oder ist noch Einflussnahme auf die Geräte möglich?

    Ich würde mir eine klare Struktur, VLAN/Netz überlegen, also sprich das 3 Oktet ist dann die VLAN ID, das vereinfach vieles später im Umgang mit den einzelnen IP Bereichen.

    Kommst du wirklich mit einem /24er für Mitglieder und Gäste aus?

    Ich meine du solltest dir das hier offen halten, eine IP Änderung ist dann einfach.

    Verwendest du z.B. 192.168.8.0/24 kannst du das später zu einem /21 hin umstellen, dann ist für Gäste halt die 192.168.16.0/24 das nächste Netz mit VLAN 16, welches du auch in eine /21er umstellen kannst wenn es mal zu klein wird.
    Heise Netzrechner

    Auf der pfSense legst du dann im Management, da reicht ein /24, dann Interface an und für die andere Netze dann VLANs mit Supinterfacen.
    Dann einfach die beiden VLANs tagged auf den Port zur pfsense zuweisen und fertig.

    Hast du viel Datenverkehr zwischen NAS und Clients, könnte auch ein LAG Sinn machen.
    Habe ich hier mit meine HPs am laufen, bin ich vor x Jahren aber mit Netgear schon mal dran gescheitert.
    Ich halte von dem Hersteller daher nicht mehr so viel.

  • Portforward über OpenVPN von Seite A zu Seite B

    6
    0 Votes
    6 Posts
    1k Views
    V

    @gtrdriver
    Nein, was ich oben beschrieben habe, betrifft die Zielseite der Weiterleitung. Bei dir B, wie ich es verstanden habe. Ob das der Server oder der Client der VPN ist, ist nicht relevant.

    Es gab allerdings eine pfSense Version, bei der das nicht funktioniert hatte. Die CE 2.5.1, wenn ich das richtig im Kopf habe.

    Auf der A Seite ist nur eine Regel am WAN nötig, die den Zugriff auf die Ziel IP und Port erlaubt, falls nicht eine verbundene Regel im NAT verwendet wird.

  • pfSense: Technicolor TC4400-EU und vodafon cablemax 1000

    14
    0 Votes
    14 Posts
    3k Views
    P

    Das glaube ich ja gerne aber ich habe noch keinerlei Erfahrung mit IPv6. Über kurz oder lang wird daran auch kein Weg vorbei führen.

  • IPSec Site-to-Site und Fernwartung Client über IPSec

    2
    0 Votes
    2 Posts
    941 Views
    V

    Hallo,
    @darkmasta said in IPSec Site-to-Site und Fernwartung Client über IPSec:

    Die NAT Outbound Regeln sind auf "Automatic" gestellt, was mir das LAN Interface mit Port 500 bindet.

    Gebunden wird da nix. Die Regel stellt sicher, dass der Quellport von Paketen, die aus dem LAN Netz kommen und Zielport 500 haben, beim Verlassen der pfSense nicht geändert wird.

    Jetzt habe ich ein Gerät wo der Hersteller eine IPSec Verbindung von seinem Gerät zu sich aufbauen möchte (IPSec UDP 500 und IPSec+NAT UDP 4500).

    Wie ist dieses Gerät mit der pfSense verbunden?
    Wenn es im LAN angeschlossen ist, sollte es mit der automatischen Outbound NAT Regel funktionieren.

    Kann ich die Firewall auf NAT Outbound "Manual" stellen und spezifisch für das Gerät den Port 500 und 4500 auf die WAN Adresse des Herstellers binden oder breakt danach alles?

    Du meinst, die IP des Geräts als Quelle und die öffentliche IP der Gegenstelle als Ziel angeben? Ja, kann man machen, aber wofür?

    Von außen erreichbar muss das Gerät nicht sein? D.h. es baut selbst die Verbindung auf, so wie ich es verstanden habe?

  • pfSense unerreichbar

    9
    0 Votes
    9 Posts
    1k Views
    R

    @micneu

    Zunächst dachte ich, mein Mailserver hat was. Denn der Webmailer hat von extern ewig gedauert, bis sie geladen wurde. Dann habe ich am Desktop-PC einen Download angeschmissen und bin auf "nur" 200kbit gekommen. Ein Test über alle WANs hinweg hat ungefähr dieses Ergebnis gebracht, jedoch nicht mehr. Manchmal ist auch kein Traffic möglich.

    Ich komme übrigens auch in der Praxis auf 40 Mbit/s (im Telekom-Netz zuverlässig), da ich auf bis zu 47 Mbit/s komme.

  • Firewall blocks in die falsche Richtung?!

    9
    0 Votes
    9 Posts
    1k Views
    JeGrJ

    @n300 Hatte da irgendwie ein Video zu gefunden mit VLAN setup für Container/Docker etc. auf der CLI, dort wurde das ganz gut abgehandelt, dass die UI da einfach Murks macht und die Dinge, die man braucht nicht zulässt und wie derjenige es dann auf der Console hinkonfiguriert. Vielleicht findest du das auch - war eigentlich recht gut gemacht, kam aber erst so bei ca. 2/3 des Videos.

  • Problem Custom (v6) DynDNS und Selfhost

    16
    0 Votes
    16 Posts
    3k Views
    N

    @nonick bei mir funktioniert das auch nicht. Daher würde mich dein Script sehr interessieren. Würdest du das teilen?

  • Zugriff von Drittnetz auf VPN Gegenseite

    5
    0 Votes
    5 Posts
    1k Views
    JeGrJ

    @kall32 said in Zugriff von Drittnetz auf VPN Gegenseite:

    Hab ich bei der NAT Regel was falsch eingestellt oder gibt es noch eine andere Möglichkeit?

    Klappt bei IPsec nicht, da das nicht hinhaut. NAT muss da in der Phase definiert werden.
    Aber du könntest versuchen eine zweite Phase 2 zu definieren, in der du als local NetzC einträgst, als NAT dann eine IP aus NetzA und als remote das NetzB. Je nachdem wie mäkelig die remote Seite ist, sollte die P2 dann trotzdem hochgehen, da die andere Seite nichts anderes sieht als bislang auch A->B da C durch das NAT nicht auftaucht.

    Aber das musst du ausprobieren :)

  • HA Cluster VPN

    2
    0 Votes
    2 Posts
    1k Views
    JeGrJ

    @loni7878 said in HA Cluster VPN:

    Wireguard wird m.E. in einem HA Cluster nicht unterstützt.

    Korrekt weil Wireguard kein "Interface" oder keine IPs kennt, sondern im Kernel alles frisst, was Netzwerk ist.

    @loni7878 said in HA Cluster VPN:

    Was wäre Eurer Meinung nach denn eine Alternative für das o.g. Setup.

    Das müsstest du definieren, was genau DAS Setup ist? Die beiden Verbindungen zu Netcup? RAS? Extern VPN zu Mullvad (wofür genutzt)?
    Wenn du etwas genauer beschreiben kannst, was du wofür nutzt und was als Kommunikationsverbindung gehen muss, kann dir geholfen werden.
    Ich denke aber das OpenVPN da konkurrenzlos sein wird.

    @loni7878 said in HA Cluster VPN:

    Ich würde auch noch 2 VPN Verbindungen zur Fritz Box einrichten wollen?

    Zu einer? Zur gleichen Fritzbox? Wohin und was tut diese Verbindung? Bzw. was ist ihr Zweck? Das ist gerade etwas unklar.

    @loni7878 said in HA Cluster VPN:

    Bzw. gibt es im HA Cluster eine Möglichkeit Wireguard weiter zu nutzen?

    Mehr schlecht als recht. Das Problem ist, dass Wireguard sich aktuell noch um keinerlei Quell-IP schert. Im blödesten Fall würden dann 2 WG Instanzen versuchen sich mit dem gleichen Peer zu verbinden oder du hättest das Szenario, dass die Verbindung auf dem nicht mehr korrekt laufenden Peer (erste Firewall) kleben bleibt während die zweite eigentlich übernommen hat.

    Aktuell ist das eher so "meh" möglich und auch nur, wenn du stabil für Site2Site Tunnel quasi für alles was du brauchst je 2 Tunnel baust und da on top dann sowas wie OSPF o.ä. drauf flanschst. Und das wäre dann doch für den Zweck ziemlich Overkill ;)

    Cheers

  • Wireguard ohne Internet

    3
    0 Votes
    3 Posts
    1k Views
    J

    Vielen Dank, das hat tatsächlich geholfen.

    Ich habe jetzt im Client das Subnetz von /32 auf /24 geändert, jetzt funktioniert es ohne Probleme.

  • LEW Glasfaser an pfSense

    2
    0 Votes
    2 Posts
    1k Views
    micneuM
    kenne ich den provider nicht solltest du von deinem provider informationen bekommen haben wie du deinen router/firewall einrichten sollst wenn du schreibst das ist ein modem meinst du damit dann einen medien konverter von glas auf ethernet? ich habe bei meinem provider keine modem (sonder wie schon geschrieben einen medienkonverter) und habe einfach meine sense drangehängt und muss die einwahl über pppoe machen. habe mir dein angehängtes dokment ein wenig angeschaut, steht doch alles drin was du machen musst (einfach die entsprechenden bereiche der doku abarbeiten wie z.b. pppoe). alles ganz simpel. den reste findest du unzählige male behandelt im forum (wie IPv6, dualstack, telefonie was alles noch auf dich zu kommt) einfach den wizard der sense durch arbeiten dann sollte danach deine sense laufen.
  • IPSEC, nur eine Seite erreicht die Netze

    12
    0 Votes
    12 Posts
    2k Views
    JeGrJ

    @marcfunk said in IPSEC, nur eine Seite erreicht die Netze:

    Die FritzBoxen sind eigenständige Router mit eigenem Netz und leiten Ports weiter. Das habe ich jetzt zu Exposed Host geändert - an beiden Seiten.

    Vorsicht vor den Fritzboxen und Port Forwardings bzw. Exposed Host. Gerade wenn die Fritze mal wieder semi intelligent versucht für ihr Netz"Home" die Geräte automagisch zu erkennen kommt da oft Murks bei raus.

    Da die Fritten auch selbst IPsec können, kann es sein, dass Port Forwards nicht reichen, das gab es in der Vergangenheit bei älteren Firmwares schon, dass dann IPsec einfach nicht weitergeleitet wurde.

    Was für ordentlichen exposed Host oft hilft:

    Fritz Port Forwarding und exposed host etc. löschen In der Netzübersicht/Homeview das Device, das die pfSense ist löschen Dann fix zum Forwarding/Freigabe Screen wechseln solang sie noch kein neues Gerät angelegt hat Exposed Host anlegen nicht auf ein "vorhandenes benanntes Gerät" sondern auf "IP Adresse" und manuell die IP eingeben, die die pfSense hat (hoffentlich eine STATISCHE!) speichern

    Klingt doof, aber wir hatten jetzt schon mehrfach Fälle auch mit neueren FBs hinter denen eine Sense hing, dass exposed Host eben nicht sauber geklappt hat und Ports verschluckt wurden etc. oder kein Ping lief
    Erst löschen dieses komischen MAC/ARP/IP Gerätewirrwarrs auf der Fritz und Anlegen des Exposed Hosts mittels IP (was sie blockt wenn es schon ein bekanntes Gerät gibt mit der IP, darum vorher löschen!) hat den Knoten gelöst und innerhalb von 1-2s ging plötzlich ein Dauerping und Verbindungstest von extern, der vorher konsistent gescheitert ist.

    Einfach als kleiner Tipp aus der Praxis

  • Mit HA-Proxy die Zertifikate der Server benutzen

    22
    0 Votes
    22 Posts
    4k Views
    JeGrJ

    @slu Wenn du nicht offloadest eher nicht, da dann weder HTTP Header noch sonstige Dinge unverschlüsselt zur Verfügung stehen. Das Einzige IMHO ist der SNI Header der dann noch zu lesen ist um überhaupt die Zustellung zu machen. Für alles andere müsste er die Verbindung annehmen.

  • Port Forwarding Problem mit Synology Diskstation

    13
    0 Votes
    13 Posts
    1k Views
    A

    @nocling

    Danke Dir echt, das war der gordische Knoten ;-) Ich honk hab den Gateway
    nicht korrekt gesetzt. Der lag noch bei der UDMPro. Manchmal sieht man den
    Wald vor lauter Bäumen nicht und braucht ein weiteres Paar Augen.

    Vielen Dank nochmal und weiter frohe Ostern !

Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.