Hallo Zusammen,

vielen Dank für die Hilfe soweit.
Leider komme ich gerade nicht dazu weitere Tests durchzuführen.

Das System hat noch an anderer Stelle Probleme (das VPN funktioniert nicht mehr seit die FTTH - Anbindung von 1und1 aktiv ist, es muss über die auch schon vorher vorhandene Leitung kommuniziert werden). Wenn das soweit behoben ist komme ich erst wieder zu dem o.g. Problem.

Die Konfig vom Server schicke ich noch.

Gruß
Lustigerpinguin

Mit ein paar Parameter mehr (da hätte ich auch selber drauf kommen können) sieht man sehr schön das pfBlockerNG schreibt und auch was passiert wenn man den Python Mode einschaltet:
https://forum.netgate.com/post/1182078

@eagle61 said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600:

LEISTUNGSBESCHREIBUNG MyNet und ProNet mit kundeneigenem ONT

Es wird der vom ISP gestellte ONT eingesetzt.
Die Deutsche Giganetz hat dem Anschlussinhaber kurz vor Vertragsbeginn einen Brief mit PPPoE-Zugangsdaten zugesandt.

@mike69 said in Deutsche Glasfaser am pfsense - IPv6 und "DHCPv6 Prefix Delegation size" bzw. "IPv6 Prefix ID":

Und wie soll der Anbieter ohne User/Pass wissen, wer am anderen Ende sitzt? Geht nur mit der Indentifikation des ONT oder des SFP Modules. MAC Adresse imho...

Das weiter oben von mir erwähnte Urteil des BVerfG aus 2023 ist eindeutig. Es gilt die freie Endgerätewahl in DE - auch für die DG. Auch DG muss es somit ermöglichen einen eignen NT anzuschließen, der den technischen Spezifikationen der jeweiligene Anschlusstechnologie entspricht und darf das nicht mittels Bindung an eine bestimmte Geräte-MAC-Adresse eines vom DG gelieferten NT unterbinden.

@BerndHu Schwierig zu sagen. Wir hatten auch schon Geräte auf dem Tisch, die dann bei uns problemlos liefen, da war es wahrscheinlich dann einfach Pech bei der Konsole. Machmal war auch was mit Wackelkontakt bzw. wir hatten es auch schon, dass ein Power/Reset Button ein Dauersignal rausgab. Wären alles mögliche Ursachen, kann man so remote schlecht sagen. Im schlechtesten Fall dann was anderes in Richtung Board oder Power. Da müsste ich raten oder müsste mir das Gerät selbst anschauen.

Cheers

@micneu
Das ich die Fritzbox nehme liegt hauptsächlich daran, dass sie da ist und bisher alle meine Anforderungen erfüllt hat. Ich bräuchte sie auch weiterhin, da schien es zu Beginn des Projektes "einfach" sie zu behalten und als VPN Endpunkt zu benutzen. Die Überlegung Sie ersetzen startet bei mir als erst jetzt 😌 Das mit den Netzen ist vorallem Gewohnheit. Als ich den Thread erstellt habe ging ich davon aus, das ich einen einfachen Fehler gemacht habe und das genaue private Netz nicht von belang ist. Naja, wieder was gelernt.

@JeGr said in Kein Verbindungsaufbau Telekom VOIP mit eigenen DNS Servern / PFSense als DNS Resolver:

Von DNS lese ich da gar nichts

Ich auch nicht. Aber DD4711 beschrieb aber Probleme mit der NAmensauflösung. Probleme, die ich von o2 (mein ISP) auch kenne, denn die verstecken ihren SIP-Server sip.alice-voip.de aus mir nicht nachvollziehbaren Gründen. Nur die DNS-Server von o2 lösen den Namen des SIP-Servers von o2 auf. Gleichzeitig beherrschen die DNS-Server von o2 kein DoT (DNS-over-TLS) und so weit ich weiß auch kein DoH (DNS-over-HTTPS).

Will man nun, wie ich, DNS-over-TLS erzwingen, kann man die DNS-Server von o2 nicht nutzen. Daher vermute ich DD4711 hat ein ähnliches Problem, was sich ja schon durch einen einfachen ping auf den SIP-Server der Telekom bestätigen lässt, denn sowohl auf ein ping auf sip.alice-voip.de wie auch auf tel.t-online.de bekomme ich die gleiche Antwort: Name or service not known, der STUN-Server (stun.t-online.de) wird hingegen korrekt aufgelöst zu 217.0.136.1.

Damit kann DD4711 derzeit keine funktionierenden VoIP-Verbindung hinbekommen, denn weder der SIP-Proxy, der Registrar, noch der Realm werden aufgelöst und es wird eine IP-Adresse von der pfsense zurückgeliefert.

Kleines Update, das WAN-Interface kann nun zumind. ohne Reboot (automatisiert) wieder zum Leben erweckt werden.

Hierzu das WAN-Interface fest (nicht "autoselect") auf die entsprechende Port-Geschwindigkeit der Gegenseite einstellen

Bildschirmfoto 2024-08-11 um 07.26.22.png

und die folgende Befehlssequenz ausführen (neu ist die Löschung des ARP-Eintrags der IP-Adresse des WAN-Interfaces).

/sbin/ifconfig $WAN_INT down sleep 10 /usr/sbin/arp -d $WAN_IP /sbin/ifconfig $WAN_INT up sleep 20 dhclient $WAN_INT sleep 20

Mit einem CRON-Job und einem Ping-Test-Skript läuft das bisher einwandfrei....

@eagle61
Hier noch eine Rückmeldung mit der Antwort von Deutsche Glasfaser.
Ich könnte ohne den Standard Modem mich einwählen, aber die geben nur AVM Fritzbox Alternativen.

c92e2aa0-5125-4b35-af14-d59bf62679b2-image.png
80f18c62-930c-4569-ab9c-5b482b1a961e-image.png

Aber Einwahldaten hat man... von daher hätte man es testen können. Ich werde das aber nicht machen, weil es ein wenig zu fortgeschritten wäre für mich allein. Vielleicht in der Zukunft.

@viragomann Danke, hat so funktioniert.

Verstehe immer noch nicht, warum man das nicht mit einer Firewall Instanz löst.
Vor allem, wenn man die gleiche Firewall für alle 4 Punkte einsetzt, ist das einfach nur deutlich mehr Arbeit, da jede Freischaltung bis zu 4 mal erfolgen muss.

Und warum man Proxmox direkt dem WAN aussetzen will, erschließt sich mir auch nicht.

Ich würde das alles über eine Firewall lösen, die auch das NAT übernimmt und dann gar keine WAN Adresse intern weiter reichen, wozu auch, jedenfalls nicht was IPv4 anbelangt.

In deinem Fall aber einfach per routing.
Würde aber in den 30er Netzen auf der einen Seit unten und auf der anderen Seite oben anfangen.
Kommt HA dazu, hast noch noch IPs frei und das auch gleich so planen das ich pro Seite 3 IPs frei habe, sprich die Transfer Netze ein wenig größer machen.

Du bekommst beim Verbindungsaufbau meistens eine IPv4-Adresse, eine IPv6-Adresse und ein IPv6-Präfix (hier /56) zugewiesen. Aus dem Präfix und der Präfix-ID werden die IPv6 /64 Netzwerke gebildet und dort dann die IPv6-Adressen.

Die IPv6-Adresse stammt nie aus dem IPv6-Präfix. Nutzbar ist die z.B. für DynDNS und VPN

@NOCling said in Exposed Host an Netgate oder AVM:

Ja klar kann man das mit der FeitzBox so machen und parallel zur pf auch Sachen betreiben und erreichbar machen.
Man kann sich auch selbst ins Bein schießen oder mit dem Messer rein hacken.

Bedeutet aber noch lange nicht das man es auch tun sollte.

Wobei, wenn wirklich kaum Vorwissen besteht, dann mag das über die Fritte sogar sicherer sein, weil man hier auch weniger falsch einstellen kann. Mit so einer Sense kann man halt auch viel falsch machen, weil man halt wirklich alle Möglichkeiten hat.

@micneu said in DynDNS GoDaddy {"code":"ACCESS_DENIED","message":"Authenticated user is not allowed access"}:

meine Empfehlung

wer zuerst den link zur anleitung findet ..

;)

@viragomann

Ich hab alles korrigiert und noch ein bisschen Grundlagenforschung betrieben. Das Problem wurde letztlich gelöst.

Danke!

Gruß

MS

@aglandorf said in NTP + DHCP:

Jetzt werd ich die Sache nochmal beobachten.

OK!

@Globaltrader312 Kein Problem das kommt vor :)

@EuroPC Wenn es vorher eine laufende Konfiguration gab, gibt es keinen Grund, warum man nicht die Config recovern sollte. Das kann man auch direkt bei der Installation schon machen und sich viel Arbeit sparen.

Cheers

@Globaltrader312 Wenn du Netzpläne verlinkst, am Besten von offenen Diensten wie draw.io bspw. - so kann den keiner sehen leider.

Ansonsten können wir zu den Regeln leider wenig sagen, wenn du uns die nicht zeigst, warum die das Problem sein sollen.

Auch im Multi-WAN ist normalerweise es kein Problem auf irgendwelche Netze vor dem WAN/Router/Modem zuzugreifen, das klappt eigentlich ganz gut. Wie du sagst wird das wahrscheinlich an Routing oder Regeln liegen, aber dazu müssten wir da mehr Details kennen.

Cheers