@fischershome said in Gast WLAN macht keine Namensauflösung....: PFsense ist ein tolle Firewall aber vielleicht doch eine kleine Diva :-) eigentlich nicht. Meistens (>99%) macht sie strichgenau das was man ihr sagt oder eben nicht sagt ;) @fischershome said in Gast WLAN macht keine Namensauflösung....: Sobald ich im DHCP die manuelle DNS Einträge entferne nimmt Pfsense nichts mehr vom Provider oder im Allgemeine Einstellungen die DNS Einträge. Beide Netze (Lan oder Gast-Wlan) machen die Probleme und bekommen nur eine DNS Server (IP-Adresse vom PFsense) vom DHCP und dieser reagiert nicht. Ja natürlich macht sie das dann nicht - das SOLL sich ja auch nicht! Es wäre manchmal hilfreich, wenn man die Doku liest zu dem was man tut ;) https://docs.netgate.com/pfsense/en/latest/services/dhcp/ipv4.html#servers The DNS Servers may or may not need filled in, depending on the firewall configuration. If the built-in DNS Resolver or DNS Forwarder is used to handle DNS, leave these fields blank and pfSense® will automatically assign itself as the DNS server for client PCs. If the DNS forwarder is disabled and these fields are left blank, pfSense will pass on whichever DNS servers are defined under System > General Setup. To use custom DNS Servers instead of the automatic choices, fill in the IP addresses for up to four DNS servers here. In networks with Windows servers, especially those employing Active Directory, it is recommended to use those servers for client DNS. When using the DNS Resolver or DNS forwarder in combination with CARP, specify the CARP Virtual IP address on this interface here. Also übersetzt: im DNS Server nichts eintragen führt zu: DNS Resolver intern genutzt und konfiguriert: pfSense trägt sich selbst als DNS ein und schickt das an die Clients - was sie machen MUSS sonst ist der ganze pfBlocker DNSBL Kram nämlich für die Tonne Wenn DNS Forwarder aus ist und sonst nichts antworten würde, werden die System DNSe vom OS selbst (aus System / General) als DNS an die Clients weitergegeben damit sie überhaupt welche bekommen. Ansonsten fülle hier die Felder aus mit IPs die an die Clients weitergereicht werden sollen. Wenn der Client bei einem IPconfig /all (Windows) anzeigt, dass der DHCP und DNS Server die pfSense IP auf dem entsprechenden Interface ist, ist das richtig aufgesetzt, wenn man auf der Sense mit DNS und DNSBL arbeitet. Wenn DNS dann vom Client mit einem simplen NSlookup nicht geht (siehe Virago), dann klemmts am DNS Resolver und man muss sich die Config mal anschauen. Meistens hat dann jemand irgendwelche ACL Listen definiert, den Resolver auf irgendwelche Interfaces gebunden/konfiguriert etc. was nicht passt und daher gibt er dem Client dann keine Antwort. Cheers :)

@pfsense-user2019 die netzwerkkarte kostet 27 Euro :) Ist ein alter Server :)

@viragomann Ja, pfsense läuft in Version 2.5.2 Ich lass das mal auf benutzerdefiniert, damit läuft es stabil.

@fireodo Dankeschön. Frage hier gepostet: https://forum.netgate.com/topic/169500/snort-restarting-needed-if-ip-list-edited

@viragomann okay werde ich tauschen, danke.

@towatai Nachtrag: Ich schmeiß den Kram gleich aus dem Fenster und werde zukünftig als Tischler arbeiten anstatt "irgendwas mit IT"... ich habe die Lösung falls nochmals jemand auf das Problem trifft: In der Fritzbox unter TELEFONIE ---> Eigene Rufnummern ---> Anschlusseinstellungen darf KEINE Ortsvorwahl stehen. Diese wird ansonsten bei jedem ausgehenden Anruf vor die eigentliche Nummer gesetzt und dann gehts natürlich nicht. Schön, dass die Fritzbox aber genau den Eintrag nach dem hinzufügen der Rufnummer automatisch setzt

@jegr Ich habe den Fehler gefunden ! Meine Fresse was ein Staatsakt. Beim Paketmitschnitt sind mir Pakete aufgefallen die zu groß waren für UDP. [image: 1642774952251-screenshot-2022-01-21-at-14-00-00-pfsense-home-arpa-diagnose-paketmitschnitt.png] Das SIP Protokoll ist extrem empfindlich gegenüber Änderungen. Da die Datenpakete zu groß waren wurden diese in zwei Pakete aufgeteilt. Dadurch wurde die SIP Nachricht ungültig und auf der Gegenseite verworfen. Ich habe zuerst mit den MTU Werten der Schnittstellen gespielt. Das hatte aber nichts gebracht. Die stehen nun alle auf 1492. Erfolgreich war die Einstellung der MSS Werte der Schnittstellen auf 1299. Der Wert soll für verschiedene Scenarien ein guter Mittelwert sein. Hauptsache es läuft erstmal. Feintuning kommt später.

@jegr Danke für den Hint mit der Netzwerk-Karte! :) das wäre auch noch eine Idee. Ich bin nun auch einen Ticken schlauer geworden. Wenn ich es jetzt richtig verstanden habe muss ich mein Network Setup so umbauen, dass ich ein BRIDGED Setup habe. Dann kann ich eine neue MAC Adresse für die zusätzliche "IPv4" setzen UND DANN kann ich erst diesem Adapter mit der zusätzlichen IPv6 auch das neue IPv6 Netzwerk im Hetzner-Robot zuweisen. (so zumindest der plan) Routing scheint nur über MAC Adressen zu klappen. Was meinst Du dazu? Schöne Grüße Ralph

@digitalcomposer said in Neustart von WireGuard per Cronjob: ass Pfsense nicht checkt, dass die disconnected sind und will kein HandShake machen. Bezweifle ich stark. Wireguard ist da sehr sensitiv. Wenn du keinen Input vom Client bekommst, sieht er das. Aber da am Cryptorouting nichts geändert wird, macht für mich da ein Neustart auch keinen wirklichen Sinn. Das hört sich eher nach Gegenseite an also die Thin Clients, ansonsten würden das ja alle Clients auf der pfSense haben und nicht nur die. Zudem ist WG da eigentlich extrem gesprächig. Sobald der eine Verbindung aufbauen kann wird ers auch versuchen. Im "Client" Szenario wirds aber eher das Problem sein, dass der Server den Client eh nie erreichen kann weil hinter NAT, also MUSS der Client die Verbindung wieder reconnecten. Eventuell irgendwo "verboten", dass sich die IPs ändern dürfen (Verbindung von dynamischen IPs aus nicht erlaubt)?

@woodsomeister said in Unbound Verhalten bei mehreren DNS Upstream Resolvern: Wenn ich dich richtig verstehe, kann ich also quasi gar kein Regelwerk anlegen, wie Unbound Anfragen verschickt, weil Unbound anhand definierter Qualitätskriterien die Upstream DNS Resolver anfragt. Richtig? Das sieht zumindest in den Upstream Dokus von Unbound so aus, ja. Laut diesen verhält sich Unbound wie beschrieben und es würde auf die Latenz ankommen, ob er einen Server nutzt oder nicht.

@saylles said in LXC und das Internet: Er gab für mich nur erstmal kein Sinn weil ich verstehen könnte wenn es dann nur der Container ist der keine verbindung hat aber es sind alle Container die an dem Interface hängen. Ach so. So hatte ich das gar nicht verstanden. Dann wird das wohl auch nicht helfen.

@jegr Ich habe gestern den ganzen Tag mit Port Freigaben und Weiterleitungen getestet ohne Erfolg. Zum Schluß habe ich nochmal die DNS Server per Hand in die Fritzboxen eingetragen. Das hat dann funktioniert. Der DNS Fehler war weg ! Das hatte ein Tag vorher nicht funktioniert. Deshalb bin ich dann hingegangen und habe die zusätzlichen Regeln Schrittweise deaktiviert und gelöscht. Am Ende waren alle neuen Regeln wieder raus bzw. auf dem alten Stand und es funktionierte immer noch. Kapiere ich nicht so ganz, aber gut ein Problem weniger. Allerdings funktioniert die Telefonie noch nicht ansatzweise aber dafür mache ich mal ein neues Thema auf da das DNS Problem gelöst zu sein scheint. Erstmal vielen Dank an alle die beim Suchen geholfen haben !

@jegr said in Problem mit dem Service pfBlockerNG: Die alte 2er bin ich mir gerade nicht sicher ob das nicht immer alles lief. Dass weiß ich auch nicht mehr - ist schon rel. lange seit ich auf devel umgestiegen bin ...

@micneu said in Netgate 6100 mit Pfsense bekomme ich Plex nicht zum laufen...: @fischershome ich denke du solltest erstmal dein synology (da können wir nicht helfen, ist ja hier kein synology forum) wieder zum laufen bringen. wenn das wieder ordentlich läuft kannst du ja mal schauen ob dann dein problem mit der sense auch erledigt hat. Naja das ist ja quatsch, wenn es halbwegs offensichtlich eine Änderung durch Umstieg auf die pfSense ist, dann hat da nichts von Syno was mit zu tun, außer es ist ggf. was falsch eingestellt was IP oder DNS angeht und das lässt sich leicht debuggen. Ist schließlich darunter auch nur ein Linux was SSH kann und man kann mal schnell was nachschauen. @fischershome said in Netgate 6100 mit Pfsense bekomme ich Plex nicht zum laufen...: Da ich die Firewall erst kennen lerne bin ich warscheinlich mit Plex vom NAS und Webseite von der IP Adresse 192.168.0.2 in einem Sperrliste gelandet und dieser hat sie wieder freigegen... Wenn du die Firewall erst kennen lernst, überlege dir was du gleich von Anfang an dir für Beine stellen willst. Snort IDS? Im Protection Modus OHNE Testlauf vorher? No way. Selbst Firmen denken inzwischen Gott-sei-Dank 2x drüber nach als einfach fire&forget mit sinnlosem IDS/IPS um sich zu schlagen ohne zu verstehen, ob es überhaupt etwas bringt und was es tut :) Daher lass den ganzen Highlevel Zirkus mal zum Start weg und arbeite dich Stück für Stück nach oben, dann weißt du auch schneller ob ein neuer Dienst den du ausprobierst was damit zu tun hat oder nicht :) Zudem sind für die meisten Heimuser inzwischen IP und DNS Blocklisten mehr wert als mit IPS Kanonen auf Spatzen zu schießen :D Cheers \jens

@bgs-0 Ist da wirklich irgendwo 172.0.0.0 eingestellt? Da würde ich sehr schnell daran arbeiten, das zu ändern. Das ist kein privates Netz was intern verwendet werden sollte. Das kann schnell zu Problemen führen :) Cheers

@jathagrimon Mit dem IGMP Proxy habe ich nicht viel rumgespielt, daher kann ich da leider nicht viel weiter helfen. Chromecast ist da sehr zickig. Mein Kollege meinte er hätte es zu Hause hinbekommen mit dem IGMP Proxy und Regeln(!) - wichtig, da die oft vergessen werden - und hätte einmal neustarten müssen weil sich sonst Multicast verhakt hatte. Danach lief es wohl mit recht wenig Griffen solide, der Neustart war wohl notwendig wegen irgendwas. Sonos lief/läuft aber bei mir zumindest kurioserweise auch so/ohne, wenn die Regeln korrekt sind. Hatte jetzt gerade erst neu ein Android Gerät mit Sonos S2 App eingebunden, was erst gezickt hatte und nix fand. Was geholfen hatte war sehr simpel: Gerät einmalig ins andere Netz gehängt (bei mir Media), Sonos System finden lassen Geprüft ob er das System komplett sieht (hat er, beide Zimmer tauchen auf und die IPs stimmen) WLAN Gerät wieder umgehängt ins normale non-privileged Gäste/artige Netz Regel angelegt, dass Gerät mit IP X ins Medien Netz darf Gerät WiFi neugestartet, taucht wieder im Gästenetz auf, hat fixe IP dort. Sonos App gestartet - tadaa System wird instant gefunden. Anscheinend genügt es Sonos einmal das System per autodiscover zu finden, danach hat er - vermutlich - die IP(s) der Geräte im Setup/Cache und versucht die zu erreichen und da die Regeln passen gehts einfach. Chromecasts sind da leider zickiger. Wir haben dafür die Möglichkeit einfach an den Mobiles/Tablets das WiFi auf Media zu switchen, wenn man mal was rüberstreamen will und dann läuft alles sauber. Danach wird einfach wieder zurückgeschwenkt und gut :) Cheers

@jathagrimon said in Projekt: FritzBox raus und pfSense rein: Spanning Tree finde ich in der Config so direkt nicht, aber vielleicht heisst das bei Netgate einfach nur anders. Aus diesem Grund sind meine Webinterfaces meist auf Englisch gestellt. Also nicht, weil ich das besser kann, sondern weil ich die Begriffe besser verstehe als die oft fantasiereiche deutsche Übersetzung. Hier wird das die Loop Erkennung sein.

Als Zusatz dazu: Im ehemaligem Unitymedia Gebiet werden feste IPv4 Adressen über Routing InformationProtocol (RIP) bereitgestellt. Das funktioniert bei Vodafone aber nur mit den VF Leihgeräten. Nicht mit eigener Hardware. Und das dazu, dass man als Vodafone als Business Kunde heute auch mehrere feste IP's buchen kann. Obwohl man aufgrund der Fritzbox nur eine besteimmte Anzahl an exposed Hosts einrichten kann. Deckt sich mit der von Jens beschriebenen Geschichte. Der von Vodafone über Cable als Businiss verkaufte Anschluss ist schon ein schlechter Witz. Die Hotline von Vodafone ist mit Abstand einer der allerschlechtesten in Deutschland. Vodafone FAQ Ich habe aktuell einen "Office Internet & Phone"-Vertrag bzw. einen „Red Business Internet & Phone“-Vertrag mit fester IP-Adresse. Kann ich auch ein eigenes Endgerät verwenden? Aktuell ist das nicht möglich, da in diesen Tarifen der sog. „RIP-Modus“ genutzt wird, bei dem die feste IP-Adresse quasi per VPN bereitgestellt wird, was nur auf dem Providergerät möglich ist.

Ich habe jetzt einfach mal einen Reset gemacht. Ich habe keine Ahnung was falsch lief aber jetzt läuft alles wie es soll

@mathschut Wenn Hostnamen, IP und Zertifikat passen, muss es funktionieren, anderenfalls ist irgendwas faul. Wenn du mit OpenSSL vertraut bist, könntest du damit überprüfen, ob das gelieferte Zertifikat passt. Es gibt auch Services im Internet für diesen Zweck, mein vertrauter setzt allerdings Port 443 voraus und einige andere vermutlich auch. Apropos voraussetzen, Browser tun das heute auch schon oft. Möchte man einen anderen verwenden, muss das erst in den verborgenen Einstellungen aktiviert werden. War der Grund, weswegen ich zuletzt auch OpenSSL angeworfen hatte. Auf Port 636 wollte mein Firefox auch nicht freiwillig das Zertifikat laden. Also vielleicht mal schlau machen, wie das bei deinen Browser geht.