@micneu said in Netgate 6100 mit Pfsense bekomme ich Plex nicht zum laufen...:

@fischershome ich denke du solltest erstmal dein synology (da können wir nicht helfen, ist ja hier kein synology forum) wieder zum laufen bringen. wenn das wieder ordentlich läuft kannst du ja mal schauen ob dann dein problem mit der sense auch erledigt hat.

Naja das ist ja quatsch, wenn es halbwegs offensichtlich eine Änderung durch Umstieg auf die pfSense ist, dann hat da nichts von Syno was mit zu tun, außer es ist ggf. was falsch eingestellt was IP oder DNS angeht und das lässt sich leicht debuggen. Ist schließlich darunter auch nur ein Linux was SSH kann und man kann mal schnell was nachschauen.

@fischershome said in Netgate 6100 mit Pfsense bekomme ich Plex nicht zum laufen...:

Da ich die Firewall erst kennen lerne bin ich warscheinlich mit Plex vom NAS und Webseite von der IP Adresse 192.168.0.2 in einem Sperrliste gelandet und dieser hat sie wieder freigegen...

Wenn du die Firewall erst kennen lernst, überlege dir was du gleich von Anfang an dir für Beine stellen willst.
Snort IDS? Im Protection Modus OHNE Testlauf vorher? No way. Selbst Firmen denken inzwischen Gott-sei-Dank 2x drüber nach als einfach fire&forget mit sinnlosem IDS/IPS um sich zu schlagen ohne zu verstehen, ob es überhaupt etwas bringt und was es tut :) Daher lass den ganzen Highlevel Zirkus mal zum Start weg und arbeite dich Stück für Stück nach oben, dann weißt du auch schneller ob ein neuer Dienst den du ausprobierst was damit zu tun hat oder nicht :)

Zudem sind für die meisten Heimuser inzwischen IP und DNS Blocklisten mehr wert als mit IPS Kanonen auf Spatzen zu schießen :D

Cheers
\jens

@bgs-0 Ist da wirklich irgendwo 172.0.0.0 eingestellt?

Da würde ich sehr schnell daran arbeiten, das zu ändern. Das ist kein privates Netz was intern verwendet werden sollte. Das kann schnell zu Problemen führen :)

Cheers

@jathagrimon Mit dem IGMP Proxy habe ich nicht viel rumgespielt, daher kann ich da leider nicht viel weiter helfen.

Chromecast ist da sehr zickig. Mein Kollege meinte er hätte es zu Hause hinbekommen mit dem IGMP Proxy und Regeln(!) - wichtig, da die oft vergessen werden - und hätte einmal neustarten müssen weil sich sonst Multicast verhakt hatte. Danach lief es wohl mit recht wenig Griffen solide, der Neustart war wohl notwendig wegen irgendwas.

Sonos lief/läuft aber bei mir zumindest kurioserweise auch so/ohne, wenn die Regeln korrekt sind. Hatte jetzt gerade erst neu ein Android Gerät mit Sonos S2 App eingebunden, was erst gezickt hatte und nix fand.

Was geholfen hatte war sehr simpel:

Gerät einmalig ins andere Netz gehängt (bei mir Media), Sonos System finden lassen Geprüft ob er das System komplett sieht (hat er, beide Zimmer tauchen auf und die IPs stimmen) WLAN Gerät wieder umgehängt ins normale non-privileged Gäste/artige Netz Regel angelegt, dass Gerät mit IP X ins Medien Netz darf

Gerät WiFi neugestartet, taucht wieder im Gästenetz auf, hat fixe IP dort. Sonos App gestartet - tadaa System wird instant gefunden. Anscheinend genügt es Sonos einmal das System per autodiscover zu finden, danach hat er - vermutlich - die IP(s) der Geräte im Setup/Cache und versucht die zu erreichen und da die Regeln passen gehts einfach. Chromecasts sind da leider zickiger. Wir haben dafür die Möglichkeit einfach an den Mobiles/Tablets das WiFi auf Media zu switchen, wenn man mal was rüberstreamen will und dann läuft alles sauber. Danach wird einfach wieder zurückgeschwenkt und gut :)

Cheers

@jathagrimon said in Projekt: FritzBox raus und pfSense rein:

Spanning Tree finde ich in der Config so direkt nicht, aber vielleicht heisst das bei Netgate einfach nur anders.

Aus diesem Grund sind meine Webinterfaces meist auf Englisch gestellt. Also nicht, weil ich das besser kann, sondern weil ich die Begriffe besser verstehe als die oft fantasiereiche deutsche Übersetzung.

Hier wird das die Loop Erkennung sein.

Als Zusatz dazu: Im ehemaligem Unitymedia Gebiet werden feste IPv4 Adressen über Routing InformationProtocol (RIP) bereitgestellt. Das funktioniert bei Vodafone aber nur mit den VF Leihgeräten. Nicht mit eigener Hardware. Und das dazu, dass man als Vodafone als Business Kunde heute auch mehrere feste IP's buchen kann. Obwohl man aufgrund der Fritzbox nur eine besteimmte Anzahl an exposed Hosts einrichten kann. Deckt sich mit der von Jens beschriebenen Geschichte.

Der von Vodafone über Cable als Businiss verkaufte Anschluss ist schon ein schlechter Witz. Die Hotline von Vodafone ist mit Abstand einer der allerschlechtesten in Deutschland.

Vodafone FAQ
Ich habe aktuell einen "Office Internet & Phone"-Vertrag bzw. einen „Red Business Internet & Phone“-Vertrag mit fester IP-Adresse. Kann ich auch ein eigenes Endgerät verwenden?
Aktuell ist das nicht möglich, da in diesen Tarifen der sog. „RIP-Modus“ genutzt wird, bei dem die feste IP-Adresse quasi per VPN bereitgestellt wird, was nur auf dem Providergerät möglich ist.

Ich habe jetzt einfach mal einen Reset gemacht. Ich habe keine Ahnung was falsch lief aber jetzt läuft alles wie es soll

@mathschut
Wenn Hostnamen, IP und Zertifikat passen, muss es funktionieren, anderenfalls ist irgendwas faul.

Wenn du mit OpenSSL vertraut bist, könntest du damit überprüfen, ob das gelieferte Zertifikat passt.
Es gibt auch Services im Internet für diesen Zweck, mein vertrauter setzt allerdings Port 443 voraus und einige andere vermutlich auch.

Apropos voraussetzen, Browser tun das heute auch schon oft. Möchte man einen anderen verwenden, muss das erst in den verborgenen Einstellungen aktiviert werden.
War der Grund, weswegen ich zuletzt auch OpenSSL angeworfen hatte. Auf Port 636 wollte mein Firefox auch nicht freiwillig das Zertifikat laden.
Also vielleicht mal schlau machen, wie das bei deinen Browser geht.

@jegr Danke, ich hatte das Problem inzwischen im englischen Bereich klären können. Ich hatte noch eine aktiven portforward für die Ports drinnen, den ich längst vergessen hatte. Seinerzeit hatte ich nur die Firewall Regel deaktiviert, nicht aber das NAT. Und so war dann auch die Fehleranalyse erschwert, weil pfSense die Ports noch an einen Host durchgeleitet hat und ich entsprechend auf dem WAN dann keine für mich eindeutigen Ergebnisse hatte. Soll mir eine Lehre sein. 😉

Die Notwenigkeit eines OVPN auf TCP 443 ist aber auch nicht mehr gegeben.

@do3lk said in Feste IP Proxmox:

@viragomann Das Problem habe ich mit der statischen ip auch bei meinem Rechner.

Das spricht eher nach einem Problem mit deinem Setup auf der LAN Seite als dass es auf ein Problem mit der pfSense hindeutet.

Sobald ich die IP Selber fest zuweise, habe ich kein Internet. Auch ein Zugriff auf die Pfsense ist dann nicht möglich.

Dann vermute ich wie oben gesagt, dass deine Zuweisung falsch ist. Schreibfehler, falsche Netzmaske, irgendwas derartiges. Da du leider keinerlei Infos zu deinem Netz, deiner Konfig oder sonstwas gepostet hast, ist das aber Stochern im Nebel, da wir es so nicht erahnen können.

@do3lk said in Feste IP Proxmox:

Kann das sein das Pfsense bei Statischer IP die im bereich des DHCP Servers liegt den zugriff verweigert? Wie gesagt mit der Fritzbox als DHCP server gibt es keine Probleme.

Nein, pfSense macht sowas im Normalfall nicht. Sonderfälle wie Captive Portal oder sonstige MAC Spielerei mal ausgenommen, ist es völlig egal welche IP dein Client hat. Sofern das Netzsegment korrekt konfiguriert ist und es Firewall Regeln gibt, die den Zugriff erlauben, lässt der Paketfilter auch rein was er rein lassen soll. Wenn du damit DHCP Probleme erzeugen würdest, gäbe das entsprechende Rückmeldung bspw. im System Log der Sense. Sowas wie "duplicate IP detected" o.ä. wird dann auffallen.

Ich würde mir mal meine IP per DHCP am Rechner vergeben lassen, schauen ob ich dann auf die Sense UI komme und dann mal nachschauen, welche Werte mir die Sense vergeben hat im Gegensatz zu dem was du dir selbst vergibst. Und mal deine Regeln auf dem LAN checken - wenn es überhaupt das LAN ist und entsprechend Regeln dafür existieren?

Cheers
\jens

@viragomann

Oh ja, pfSense WAN ist natürlich 192.168.178.2, weil es direkt von der Fitzbox kommt.

Danke für den VLAN Link ! Das werde ich mir einmal in Ruhe durchlesen.

Im Switch habe ich die Optionen gesehen und versucht zu verstehen, aber da fehlte mir doch das Verständnis, wie man eines korrekt anlegt und ein Gerät in so ein VLAN einbindet, das dann trotzdem wieder bei der pfSense / Fritzbox "rauskommt".

Mein Sohn hatte AD und Benutzerverwaltung vor kurzem in der Berufsschule, das wollte ich Ihn dann einfach mal live ausprobieren lassen und natürlich mitwirken. Auf jeden Fall viel viel spanneder live am PC als nur auf dem Papier. :)

Klar schießen wir hier gerade übers Ziel hinaus.

Ich hatte mir das mit dem AP so gedacht, das ich Ihn einrichte (IP und WLAN Netz) und dann an den Switch oder die Fritzbox packe. Eben so, das das "interne" Netz (PC, TV, Konsole) nicht sichtbar ist.

Der AP ist nur leider mit der passenden IP nicht "als WLAN" sichtbar am Switch. Konfigurieren kann ich ihn aber.
Gateway und DNS sind eingetragen...aber ja, er soll ja nicht in "unser" Heimnetz hienein. Daher erstmal die Idee mit "direkt an die Fritzbox", da ich VLANs noch nicht einrichten kann.

Danke für die Geduld und Denkanstöße. :)

Hallo zusammen

Danke für eure Bedenken und die gut gemeinten Ratschläge.

Ich habe es jetzt komplett neu aufgezogen und habe das alte Netz also gekillt.

Mir ging es in dem Thread ja nur um die Frage ob man das Schrittweise umstellen kann. Das ist ja nun beantwortet -> In meinem Fall: Nein (oder besser gesagt: es ist sauberer wenn ich von vorn beginne).

Die UniFi schau ich mir mal an.

Danke und freundliche Grüsse

Blockregel 2 mach in gewisser Weise schon Sinn.
Ich Blocke hier für alle DMZ Netze die den Alias WAN address für alles, nachdem ich DNS, NTP erlaubt habe, mehr brauchen die nicht.

Ansonsten könnten DMZ Netze, wie Gast die eine any !RFC1918 Regel am Ende haben auf die WAN IP der Firewall voll zugreifen.

Soweit mir das bekannt ist arbeite die pfSense wie folgt.
Floating -> Interface Groups -> Interface
Quick besagt nur, das sobald hier ein match gefunden wird das Paket an der Stelle nicht weiter sucht.

Ansonsten arbeiten Floatings nach dem any Match Prinzip und nicht nach dem fist match.

Das macht diese Regel etwas eigen in der Anwendung, aber auch zu einem sehr mächtigem Tool wenn man damit umzugehen weiß.

Es funktioniert.

Vielen Dank an @micneu und @viragomann

@tigger1975
Freut mich, dass das endlich klappt.

Bei SSL/TLS ginge auch CSO für mehrere Clients, wenn du einen breiteren Tunnel einstellst. Allerdings, wie oben erwähnt, ich rate zu getrennten Servern mit jeweils 30er Tunnel. Das schließt schon im Vorfeld einige Probleme aus und alles ist sauber getrennt und gut konfigurierbar.
UND es erfordert nicht mehr Systemressourcen, was offenbar manche befürchten, UND OpenVPN Server Settings kann man in aktuellen Versionen einfach kopieren.

Grüße

Ich habe mal hier einen Link gefunden:

https://docs.netgate.com/pfsense/en/latest/troubleshooting/asymmetric-routing.html

Dieser Teil hat mir geholfen :)

Automatic Fix

The Bypass firewall rules for traffic on the same interface option located under System > Advanced on the Firewall & NAT tab activates rules for traffic to/from the static route networks which are much more permissive when it comes to creating states for TCP traffic and allowing it to pass. The rules allow any TCP packets regardless of their flags to create a state, and also utilize “Sloppy” state tracking which performs a less strict state match.

Es sind dann aber auch alle States der internen VLAN Kommunikation mit weg.
Kommt hier scheinbar aber nicht zum tragen, da flache LAN Struktur.

In dem Fall sehe ich eher eine Cold Standby als Zielführend an.

@be1001 Was @viragomann sagt. Man kann durchaus ein Gerät als GW eintragen, die Actions disablen und das dann zum Monitoren nutzen. Warum und weshalb kommt eben drauf an. Dauerhaft würde ich das da auch nicht nutzen, aber wenn man mal über nen Zeitraum bspw. nen Graphen braucht, wann die Kiste weg war oder ob die manchmal keine Antwort gibt, dann kann das helfen.

@nocling
Ich schaue mir das bei Gelegenheit nochmal an. Speziell in den Logs hatte ich blöderweise nicht geschaut. Momentan habe ich an diesem Anschluss einen GL.iNet GL-AR300M der per OpenVPN reinkommt. Wollte aber gerne direkt an der Fritzbox die VPN Verbindung, dass wirklich alle angeschlossenen Clients ohne "Gefummel" der Verbindung nutzen können.

Der Grund für die Last ist gefunden. Auf den drei VPNs gab es einen Trafficshaper. Wenn man den deaktiviert geht die Last weg.

Da das vorher nicht war ist das aber nicht die Ursache.