@dogfight76 und zu deinem problem mit nordvpn. ich hatte 3 jahre lang nordvpn am laufen, lief ohne probleme nutze es aber nicht mehr deshalb keine möglichkeit mehr wie ich es konfiguriert hatte. PS: du solltest deinen grafischen netzwerkplan nochmal anpassen (wirst du hier öfter brauchen). denn wenn die fritzbox dein modem ist gehört es vor dein internet und dann erst die sense oder nicht? hier nochmal für dich als einsteiger wie du ordentlich fragen stellst :) https://forum.netgate.com/topic/154920/wie-stelle-ich-fragen-damit-man-mir-helfen-kann/1

@jegr said in mDSN/ avahi/IGMP - ich verstehe nur Bahnhof :( (Sky Q über VLAN Grenzen erreichen): Wenn ich einen Dienst habe der potentiell die Möglichkeit hat, Netzgrenzen zu überwinden, die man extra geschaffen hat, sollte man ggf. zweimal drüber nachdenken, was man wo wie korrekt konfiguriert hat. Ja und da meine Konfiguration eh viel Blödsinn hat (Unwissenheit, keine Idee wie es anders/ besser umgesetzt werden kann), werde ich es wohl zumindest vorerst nicht installieren. Vielleicht wenn ich irgendwann in naher Zukunft meine Konfiguration nach und nach von Blödsinn bereinige.

[image: 1635335430944-26ca4843-4c0a-4a93-8a6e-0043406696be-image.png] Nach Neustart : [image: 1635336011527-9bbaee5d-a18a-4427-ae33-8e2634b5b41b-image.png] Am Switch etc. kann es auch nicht liegen da ich mit dem Speedtest den Switch überspringe da das WAN Interface direkt mit dem Modem verbunden ist. BTW für später: Solche Tests sind etwas sinnbefreit, wenn sie nicht gegen die selbe Gegenstelle gehen, denn so kann niemand feststellen, ob die Leitungsgeschwindigkeit von der Gegenstelle oder von dir gedrosselt wird. In diesem Fall waren die Package Loss Angaben schon ein Indikator, dass da was mit der Leitung nicht stimmt. Aber man kann bei Speedtests auch manuell den Server einstellen - bei Vergleichen dann immer den gleichen nehmen, sonst hat man keine verwendbaren Daten :) Cheers

@noplan Soweit ich bei Exchange so grob noch weiß läuft deren RPC via HTTP/S also sollte das schon laufen wenn Front- und Backends halbwegs sauber sind. Ansonsten müssen sich die GruschelKasper aussprechen und klar sagen, was für Ports der RPC Rempel läuft :)

@theonlyone-0 Es gibt aber auch problemlos Modems wie das Vigor 165 dass VLAN7 ggf schon selbst übernimmt und dann einfach auf einem default untagged Port wie jedes andere Gerät auch ansprechbar ist und die PPPoE Verbindung angefordert bekommt.

@sebden Was @NOCling sagt. Leider nur mit (überholtem) Aggressive Mode (), SHA-512 und DH2 (völlig wilde Zusammenmischung als hätte jemand gewürfelt) sinnvoll nutzbar. IKE v1 Aggressive Mode AES-256 (CBC) SHA-512 DH Group 2 Zusätzlich sinnvoll: pfSense als: "Responder only" - FB Verbindung aufbauen lassen Wenn es Probleme gibt, dass alle Stunde die Verbindungen abreißen: DPD ausmachen, dead peer detection ist wohl ziemlich guffelig auf der Fritte. Mit Responder und ohne DPD liefen die eigentlich halbwegs gerade, alles andere liegt eher an der Rumpelkammer von AVM.

@marcm said in Dedizierter Server mit Proxmox > pfSense VM > Webserver VM: Ja, wenn ich von außen auf die IP gehe, kommt die Meldung. pd-admin bringt leider alles bei der Installation mit. Apache, Phython, bla bla bla... Was aber nicht heißt, dass man die Konfiguration nicht anpassen könnte. Leider ist immer noch die Frage offen, woher die Meldung kommt. Wenn sie vom Webserver selbst kommt, sollte man das entsprechend anders konfigurieren können, dass der Zugriff akzeptiert wird. Was ist der Webserver Antwortcode zu dieser Meldung?

@silas21 said in Pfsense + OpenVPN Zugriffe auf ein zweites Subnetz: oder ist es möglich der VPN-Verbindung noch eine 2 Adresse (IPv4 Local networks) hinzuzufügen? Du meinst, ein zweites Subnetz? Entweder das oder ein Haken bei Redirect Gateway für den Fall, dass auch der Internettraffic über die VPN gehen soll, sind Voraussetzung, dass du auf den Drucker kommst. Nachdem letzteres nicht interessant sein dürfte, sollte das "Local Networks" Feld so aussehen: 192.168.100.0/24,192.168.10.0/24 Du könntest die Route auch nur auf den Drucker beschränken, indem du als zweites Netz 192.168.10.155/32 angibst. Zusätzlich braucht es noch eine Outbound NAT-Regel, falls die nicht automatisch erstellt wurde. Es sollte eine Regel für WAN und die Quelle 192.168.101.0/24 aufscheinen, anderenfalls, musst du in den Hybridmode wechseln und die Regel manuell erstellen.

So, Zwischenstand nach drei Tagen Betrieb: Hatte dann in den States in der Tat Auffälligkeiten gefunden...über die Schnittstellen Filterung war da ein Rechner mit falscher IP unterwegs...nach Korrektur der Verkabelung stehen in den Fehlern überall freundliche Nullen, da bin ich mal froh! Die States Ansichten haben mich dann also dahin gebracht...danke für die Anregungen.

@johndo Probiere doch mal testhalber, ob die Verbindung besser läuft, indem du am Klienten mal von UDP auf TCP wechselst für die SIP-Verbindung. Wirkt wahre Wunder in manchen Szenarien

@tobi said in Neue Hardware alte Konfig übernehmen: Da sagte die Fritze wohl "hier passt was nicht". Ich musste also die alte Sense als Gerät in der Frizte löschen und dann die neue Hardware kam sofort ohne Probleme rein. Nettes Teil. Ich mag solche Geräte gar nicht, die von selbst solche Aktionen setzen. Ich habe aber auch noch nie eine FB besessen.

@tobi Meine Heim-pfSense läuft virtualisiert auf der Box. Daneben beherbergt sie noch meine Nextcloud, einen Musikserver und einen DLNA Server. Mir war es wichtig, alles möglichst kompakt und ohne viele Kabeln zu haben. Vielleicht wäre das auch für dich interessant, bspw. einen Video Überwachungsserver zusätzlich darauf laufen zu lassen. Das setzt allerdings ein gewisses Vertrauen in die Technik voraus.

@viragomann Dachte ich mir schon, ist aber ist trotzdem schade. Irgendwas ist immer, vor allem wenn etwas einfach umzusetzen ist. Das ganze funktioniert ja überraschend gut, nur das die IP-Adressen von der anfragenden Quelle nicht an den HAProxy weitergereicht werden.

Moin, ich konnte das Problem nachstellen, wie schon geschrieben mit einer drei stufigen PKI. Ich habe mein CERT auf die CRL gesetzt mit der Änderung $subject = $cert_root->content[0]->content[$is_v1 ? 2 : 3]; konnte ich mich nicht mehr anmelden, aus dem VPN Log: 10.0.2.254:37410 VERIFY ERROR: depth=0, error=certificate revoked: CN=XXX, C=DE, ST=XXX, L=XXX, O=XXX, OU=XXX, serial=1 dann habe ich die original Zeile wieder hergestellt $subject = $cert_root->content[0]->content[$is_v1 ? 4 : 5]; die openVPN instanz neu gestartet und ich konnte mich anmelden. Kann es vieleicht daran liegen dass von den übergeordneten CAs nur die CERTs imortiert sind, müssen auch die CRLs importiert werden damit der VPN Server die komplette Kette zurückverfolgen kann? Werde ich morgen Testen. Grüße

Für 250MBit VDSL würde auch die kleinste Netgate Appliance reichen, hatte die an einer 400/40MBit Cabel Leitung. Für GBit ist die aber zu langsam, also wurde die vor durch das SG-3100 ersetzt. Das hat für den Heimbetrieb mehr als genug Power und vom Stromverbrauch her merkt man das nicht, um die 5W Verbrauch sind für die gebotene Leistung und den Durchsatz richtig gut.

@tobi said in IPv6 - Dynamische FW Rules?: jetzt bei der Telekom und auch später beim neuen Provider EPCAN bekommt man für IPv6 einen Präfix /64 Jein. Du bekommst auf dem WAN normalerweise ein /64er Prefix. Zusätzlich solltest du aber (bzw bekommst du bei Telekom und Co) ein /56er zur Delegation auf die IP6 des Routers, der im /64er Prefix ist. Dieses /56er kann dann für IA_PD (Prefix Delegation) genutzt werden und wird an andere Interfaces dann weitergegeben. Nur das musste auch wieder eher bedeuten, dass man doch die IP's aus den MAC Adressen abbilden lassen soll und nicht eigene Ranges definieren oder wie? Irgendwie stehe ich gerade auf nem Schlauch IP6 aus MAC Adresse sind eher die Seltenheit. Der neue Algo der von SLAAC genutzt wird, nutzt nicht mehr die MAC, sondern wird aus anderen Faktoren generiert. Zusätzlich hat ein Gerät mit SLAAC (oder auch DHCP6 wenn so konfiguriert) noch mehrere weitere Adressen für IPv6 Privacy Extensions, rotiert also alle paar Zyklen die IP6 und nutzt eine neue, während die alte noch eine gewisse Zeit aktiv bleibt. Deshalb kann es gut sein, dass ein Client wenn man mal nachsieht zur gleichen Zeit locker ein Dutzend IP6 Adressen hat (inkl. seiner fe80 link local Adresse) Da via Track Interface dem Interface ja ein bestimmter /64er Prefix aus dem /56er zugewiesen wurde, ist dieser problemlos durch das Interface Alias (VLANname_network) nutzbar. Einzelne Hosts zu packen wir aber eher unschön auch wenn ich nicht weiß, wofür man das unbedingt haben wollen würde. Man kann aber durchaus auch den Host-Part adressieren, seit 2.5.2/21.05 geht das. Siehe #6626 -> https://redmine.pfsense.org/issues/6626 Es geht also, bspw. Regeln mit ::1243:5678:9012:3456 zu konfigurieren, der Prefix Part wird dann vom Interface abgeleitet. Klappt aber natürlich nur sinnvoll mit einer fixen IP6 also spezifisch eingehend oder ausgehend wenn man nen Service anbietet. Für den Rest ausgehend wird dann ja meist SLAAC/Privacy Extension genutzt.

Vielen Dank für Eure Antworten Ich habe nun übergangsweise die Fritzbox per LAN2 zusätzlich mit meinem Netzwerk verbunden. So ist nun auch der Zugriff aus allen anderen VLAN auf sie möglich. Ist nicht die Lösung, aber zumindest schon mal eine. Die Informationen werde ich übers Wochenende in Ruhe zusammenstellen und dann posten. So viel kann ich jetzt schon sagen: Mit Modem meinte ich, dass die Fritzbox für den Zugang ins WAN zuständig ist. Diese baut die Verbindung auf. Sorry, falls das der falsche Fachbegriff war. Also ungefähr so: Anschluss vom Anbieter ===> Fritzbox (stellt Verbindung ins Internet her) ===> pfSense (macht alles andere; DHCP, DNS, Firewall, etc.) ===> verschiedene VLANs ===> Endgeräte Aber irgendwie erkenne ich bei dir gerade keine saubere Netzwerkstruktur. 10er, 192er fehlt nur noch das 172er Netz und du hast alle Privaten Bereiche irgendwie im Mixer. Ich habe die 192er damals falsch erstellt, es hätte auch ein 10.* Netzwerk sein müssen (mit größerer Maske). Ich dachte, dadurch, dass die VIP Geräte mit 10.* starten, und die IOT Geräte mit 192., kann ich sie direkt einfacher unterscheiden. Natürlich (was ich damals aber irgendwie nicht auf dem Schirm hatte) hätte ich auch einfach 10.0.20. für VIP und 10.0.30.* für IOT vergeben können o.Ä.. Das werde ich bei einer vollständigen Neueinrichtung im Rahmen eines Hardwareupgrades auch in Angriff nehmen.

Das macht die Fritz auch, die Antwort geht dann aber direkt an die pfSense und diese kennt dazu keinen State und blockt das Paket. Firewalls mögen keine asymmetrisches Routing, das macht immer Probleme!

@nocling Hi - ja - ich habe es quasi parallel mit deinem Post im Netz gefunden - eingerichtet - läuft .... Scheinbar macht das das alte Zyxel Modem das anders als die Digibox - jedenfalls läuft es jetzt - vielen dank !

So, da ich meinen Homeserver noch mal umgebaut habe, ergab sich die Gelegenheit einen kleinen Teil des Speichers testweise in VMFS5 zu formatieren. Tatsächlich kommt der Fehler dann nicht mehr, ich stehe nun schon einige Minuten an der gezeigten Stelle und nichts passiert - das ist erstmal sehr gut. [image: 1633637892803-vmfs5.jpg] Fazit: pfsense bzw. FreeBSD 12 ist mit VMFS 6 nicht kompatibel (außer man tauscht den virtuellen Festplattencontroller von SAS zu SATA).