Subcategories

  • 107 Topics
    1k Posts
    S

    📌 Ziel:
    Ich möchte mDNS-Discovery VLAN-übergreifend ermöglichen, damit ein PlexAmp-Client auf einem Raspberry Pi im IoT-VLAN über die PlexAmp-App auf meinem Smartphone über den Plex-Server im LAN automatisch entdecken und sich verbinden kann.

    Sobald sich mein Handy und der Plexamp Client (Headless) im selben Netzwerk befinden, funktioniert das Streaming.

    🧑‍💻 Netzwerkübersicht:
    Komponente Details
    Firewall pfSense (aktuell, mit Avahi-Paket)
    Switch/AP UniFi (Controller & Geräte aktuell)
    HomeNetz LAN – 192.168.8.0/24 (Plex + Roon Core)
    IoT IoT – 192.168.10.0/24 (Raspberry Pi mit Plexampheadless)
    Avahi Installiert auf pfSense, reflektiert zwischen LAN und IoT

    ✅ Konfiguration bisher:
    pfSense:
    Avahi installiert und aktiv
    mDNS-Repeater für LAN und IoT aktiviert
    Firewall-Regeln:
    any-to-any zwischen VLANs
    Zusätzlich: UDP 5353 → 224.0.0.0/8 mit „Allow packets with IP Options“

    UniFi:
    SSID „KugelMensch_IoT“ → VLAN IoT
    WLAN-Optionen:
    ✅ Multicast-Erweiterung aktiv
    ❌ Client-Isolation deaktiviert
    ❌ Multicast/Broadcast-Filter deaktiviert
    ✅ Erweiterte IoT-Konnektivität aktiv
    IGMP Snooping: (standardmäßig aktiv)

    🔧 Zusätzliche Firewall-Regeln getestet:
    Im VLAN IoT:
    ✅ UDP 5353 → 224.0.0.251, „Allow packets with IP Options“
    ✅ UDP 32414 → 192.168.8.0/24 (Plex GDM Discovery)
    ✅ TCP 32400 → Plex Server
    ✅ UDP 9003 + TCP 9100–9200 → Roon Core
    🧪 Beobachtungen:
    Multicast-Traffic wird sichtbar über tcpdump
    Clients empfangen die Antworten aber ggf. nicht korrekt
    IGMP Snooping evtl. blockierend (aber noch nicht deaktiviert getestet)

    Es scheint nichts zu funktionieren. Hat jemand noch eine schlaue Idee?

    Vielen Dank im voraus.

  • 80 Topics
    433 Posts
    JeGrJ

    Heute spontan OpenHouse im NSFW.pub. Gern einfach mal reinschauen, kann allerdings sein dass zwischendurch mal gerade keiner am "virtuellen Tresen" ist oder ich Getränke hole/wegbringe.

    Cheers :)

  • WAN und WANin (zwei Anschlüsse) richtig konfigurieren

    10
    0 Votes
    10 Posts
    1k Views
    A

    @bob-dig Danke für dir rasche und hilfreiche Antwort!

  • OpenVPN TLS Error bei weitergeleiteter IP-Adresse

    16
    0 Votes
    16 Posts
    1k Views
    JeGrJ

    @knausepeter Der OpenVPN Tab gilt als Gruppe, zugewiesene Interfaces sind wie andere Interfaces behandelt. Da die Reihenfolge ist: Floating > Gruppen > Interfaces greift die OpenVPN Gruppe (bzw. Floatings) vor den Regeln des Interfaces. Daher aufpassen, wo man die Regeln erstellt und ob die sich ggf. beißen könnten :)

  • Virtuelle pfSense - Bridgen von WAN und LAN

    4
    0 Votes
    4 Posts
    820 Views
    P

    Guten Abend zusammen 😊

    Ihr habt ja vollkommen recht, ich hatte hier einen Denkfehler 😨

    Ich bin aus irgend einem Grund davon ausgegangen das der gesamte Trafik die Netzwerkkarte verlässt, was er ja eigentlich nicht tut. Zumindest nicht unter den Servern.

    Es läuft jetzt auch ohne Pfsense 😊

    Schönen Abend euch noch

  • Bestimmer Benutzer Zugriff im Netzwerk beschränken

    3
    0 Votes
    3 Posts
    676 Views
    S

    @viragomann

    Hallo,

    vielen Dank für den Hinweis. Das war des Rätsel's Lösung und hat funktioniert.

  • 0 Votes
    4 Posts
    782 Views
    JeGrJ

    @ihaveastream ist schade aber schön dass ich weiterhelfen konnte.

  • Einstellungen

    2
    0 Votes
    2 Posts
    667 Views
    JeGrJ

    @esquire1968-0 said in Einstellungen:

    MDS Mode - Was ist die optimale Einstellung?

    Da gibts keine optimale Einstellung. Das war für deine CPU/SOC/Mikroarchitektur passt bzw. erkannt wird. Auf default lassen um es zu aktivieren. Wenn man sich bewusst ist was man tut, warum und welche Auswirkungen kann ggf. was Anderes oder disabled ausgewählt werden.

    Zu PowerD kommt es darauf an ob deine HW da mitspielt, es braucht/nutzt (BIOS/UEFI konfiguriert) und was die SysInfo anzeigt. Wenn die Krypto Leistung bspw. unter aller Kanone ist oder kein wirklicher Durchsatz kommt wäre es vllt sinnvoll das mal einzuschalten. Wenn es im Syslog danach aber spammend Nachrichten gibt, dass die CPU nicht in State XY gesetzt werden kann etc. bringts nichts :) Kommt eben immer auf die HW an. Nur von der CPU oder irgendwelchem Gerät kann man das nicht ablesen, ich weiß ja ggf. nicht was da als SOC oder MB verbaut ist und wie das eingestellt ist.

    Cheers

  • Zusätzliche pfSense als Client

    6
    0 Votes
    6 Posts
    762 Views
    E

    Danke! Funktioniert jetzt! K. A. Wo der Fehler lag.

  • OpenVPN nur pf ist erreichbar

    9
    0 Votes
    9 Posts
    1k Views
    P

    @viragomann

    Super Danke für den Tip, jetzt kann ich die Geräte pingen und deren GUIs aufrufen.

    Werde heute Abend explizit ein Bier auf Dich trinken.

    Auch den anderen im Forum vielen Dank hab wieder was gelernt.

    Euch ein schönes WE.

    Gruß Peter

  • IpSec Site to Site Zugriff auf Lan erst nach einem Ping

    5
    0 Votes
    5 Posts
    803 Views
    G

    @mreczio Klingt mir nach einem Problem mit der MTU. Versuch mal folgendes: ping -f -l 2000 192.168.1.200 (Syntax für Windows)

    Wenn der sauber durchgeht, dann liege ich falsch und es liegt nicht an der MTU. Dann tippe ich auf schräge Firewallregeln.

    Wenn aber der Ping fehlschlägt, dann verringere die Größe von 2000 auf 1200. Dann geht er recht sicher durch. -> Rechere bzgl. MTU als Hausaufgabe.

  • Firewall Rule mit Alias-Liste trotzdem ein Block im Log zu finden

    7
    0 Votes
    7 Posts
    827 Views
    JeGrJ

    @p54 Das kommt bei 443 tatsächlich ab und an vor und liegt dann ggf. eher an einer trägen Gegenstelle die dann noch Daten schickt, dabei hat die Firewall die Verbindung hier schon zugemacht und den State geschlossen. Ist jetzt gar nicht so sehr unüblich (bei anderen Ports dann schon eher) und bei 443/TLS/SSL kann es auch so mal vorkommen. Ggf. ist da auch ein sehr langer keepalive auf ner Webseite/Anwendung im Spiel der erst viel zu spät kommt.

    PA ist ja als Flag "Push Ack" als gabs vorher nen Push bzw. ne Datenverbindung. Ggf. also ein langsamer Server, ein Paket was sich ggf. verirrt hat oder was virago schon sagt out of state/out of bound traffic bei Asymmetrie also das Routing geht verkehrt (über ein IF raus, übers andere rein o.ä.).

  • pfSense 2.5 EEE Problem

    6
    0 Votes
    6 Posts
    955 Views
    JeGrJ

    @haithabu84 said in pfSense 2.5 EEE Problem:

    Die jetzigen Fehler sind aber alle so eher vermeidbar und in dieser Situation nie dagewesen. Einfache Dinge, wie robustes PortForwarding, da gibt es keine zwei Meinungen... das muss einfach laufen.

    Das war aber kein "einfaches" PFW, sondern spezifisch nur bei MultiWAN / multiplen GWs. Könnte man auch als Spezialkonfiguration sehen, der normale Kunde hat nicht unbedingt mehrere Leitungen.

    Du kannst mir auch nicht erzählen das mit der Einführung von der Community und Plus Edition hier nicht ganz klar ein finanzieller Aspekt zum Nachteil der Community verfolgt wird. Hier werden grob gravierende Unterschiede Einzug halten zwischen diesen beiden Versionen, als wären es zwei völlig neue Produkte.

    Ich erzähle gar nichts, ich sage nur, dass das vielfach nur einfach Hörensagen und Meinungen sind, die hier gepostet werden. Tatsächlich verwertbare Punkte konnte ich bislang noch keine finden. Es wurde/wird gefixt mit entsprechender Manpower egal ob bei Plus oder CE, ansonsten gäbe es jetzt keine 2.5.2 in der Mache. Das jetzt als Aufhänger zu nehmen weil ein Release daneben ging, ist IMHO quark.

    Hätte man die Community zu Beta-Testern gemacht und dann die Plus Edition als Stable nachgezogen, alles andere sonst gleich, dann würde niemand was sagen. Aber hier wird eine Version, scheinbar bewusst, abgeschwächt um die Leute ins Abo oder zu den eigenen Produkten zu drängen. Aber das wird das Anfang vom Ende.

    Wo wird hier eine Version abgeschwächt? Nimmt dir jemand Features aus der CE? Nein. Es wurde klar angekündigt "Plus bekommt Firmen/Enterprise Features nach und nach". Hat sie noch nicht mal. Ich sehe da also keinen Grund jetzt ein Drama vom Zaun zu brechen wenns noch nichtmal nen Grund dafür gibt. Der kann noch kommen - natürlich. Aber aktuell ist es quatsch.

    Und ob das ein kluger Move ist oder nicht, die Plus "schneller" upzudaten bzw. zu entwickeln und neues dort einzubringen sei dahingestellt. Aus Sicht der Hardware - wie in deinem erlebten Fall in deinem OP - ist GENAU das der Sinn. Man hat eine sehr schmale Hardware Palette: ARM #1, ARM #2, Atom C3xxx und Xeon-D 1st gen aktuell. Mehr nicht. Heißt ich kann extrem gut abgestimmt für genau diese Umgebungen testen und bauen. Ich kenne definiert welche Accelerator drin sind, ich weiß welche NICs verbaut sind etc. etc. - Aus Entwicklersicht macht das also völlig Sinn. Dass es nicht das ist, was man sich im OSS Umfeld wünscht à la Proxmox oder bspw. auch RedHat/Fedora ist ein anderes Blatt.

    Abo oder zu den eigenen Produkten zu drängen. Aber das wird das Anfang vom Ende.

    Spekulation über ein "Abos", das weder angekündigt noch bestätigt ist. Da diskutiere ich nicht, solange keiner weiß wie "Plus" überhaupt später für Whitelabel Boxen gekauft/zugebucht werden kann. Bis dahin sind es nur Unterstellungen. Zumal schon länger klar/bekannt ist, dass man als Prosumer/Poweruser oder im Lab die Plus problemlos kostenfrei bekommt - wie auch TNSR, was es sonst nur als "payed product" gibt. Da zu unterstellen, dass sie nur Geld schneidern wollen ist etwas weit hergeholt. Ne unlimitierte Lab/Testversion will ich von anderen Herstellern erstmal sehen - die richtig Kohle mit ihrem Produkt ziehen wollen.

    Von der beobachteten Problematik um die Einführung von WireGuard-Code von Netgate ins FreeBSD, fange ich gleich gar nicht erst an...

    Wird besser sein, denn da war Netgate selbst ja nur Randbeteiligter. Komisch dass aber da keiner mit Fackeln und Heugabeln Sturm gegen den WG Code Entwickler oder gar die FreeBSD Kernel Member läuft, die nach 4 Augen Prinzip den Code einfach in den Kernel reingewinkt haben. Ist selbstredend viel öffentlichkeitswirksamer, wenn man hinterher gegen den Sponsor schießt, der Geld in die Hand genommen hat um das Feature einzukaufen weil damals keine Sau interesse dran hatte es zu machen. Aber yay, wenn jetzt der Erfinder selbst kommt und alles rettet, dann sind ja garantiert alle anderen die bösen Buben - Fall geklärt :D Zynisch? Sarkastisch? Jap. Nicht gegen dich, aber gegen die Situation per se und alle, die da nur tumb mit dem Finger auf pfSense und Netgate zeigen. Das war in der Fuckup Kette ein eher nachgelagertes Glied. Aber dazu hatte ich im WG Thread schonmal länger mit entsprechenden Links was zu geschrieben. Das jetzt hier anzubringen ist aber falsch abgebogen.

    Btw: Letzte Chance für pfSense... das Update auf 2.5.2 und ich werde jetzt mal die Kiste von Grund auf neu machen, also ohne Tweaks oder Config-Anpassungen. Dann mal schauen wie es läuft.

    Kann man so machen - keine Frage. Da ja gern OPNsense als Vergleich eingeworfen wird - joa. Gern. Aber denen steht das Update auf FBSD12 auch noch bevor, man verabschiedet sich dazu von Hardened BSD als Zwischenlayer und schraubt gleichzeitig an der UI. Das ist toll und bringt das Ding natürlich voran, aber dafür knallt es auch ständig an allen Ecken und Enden. Wenn das besser gefällt - klaro - let's go. Hat aber auch nen Grund, warum ihre neue Business Edition mit den Builds hinterherhinkt - damit es eben nicht ständig scheppert ;) Und da ich dort genauso das Forum manage wie hier und wir Kunden in beiden Feldern haben - da gab es das auch schon oft genug, dass - was du so schön "einfache Dinge" nennst - einfach mal in einem Minor Update geflogen und explodiert sind. Und auf Rückfrage kam dann sogar "das war so gewollt, das ist ein Feature". Ja supi :)

    Man kanns eben nicht jedem recht machen. Die einen schreien weils nicht schnell (genug) geht, den anderen ist es nicht langsam/stabil genug - irgendwo ist immer nen Kompromiss drin. Sei es bei der Entwicklung, Wireguard, Updates, etc. etc.
    Vielfalt ist für alle gut und wer ein wenig in der Entwicklung drin steckt weiß, dass solche Zeiten/Bugs scheiße sind, aber manchmal ist eben der Wurm drin. Das gefällt den Entwicklern selbst am allerwenigsten. Die würden sich jetzt sicher auch gern auf neue Sachen und Updates konzentrieren statt Regression Bugs suchen und fixen zu müssen die eigentlich schon abgeschlossen gedacht waren.

    Nochmal zur Klärung: ich halte Kritik für wichtig und richtig, aber meckern und Extremente werfen ist unnötig. Zumal wenn es pure Gerüchte oder Gefühle sind.
    Dein "einziges" Problem im Threadstart war zudem "das Interface hängt/geht down" bei einer Interface/HW nahen Aktion die treiberbedingt sein kann. Verstehe immer noch nicht was daran jetzt so schlimm ist/war, dass das so ein Faß werden muss :)

  • [solved] Backup Recovery neue Hardware

    13
    0 Votes
    13 Posts
    1k Views
    P

    @jegr Guten Morgen,

    ja dies war auch mein erster Gedanke das das am DNS liegen könnte und ein Timeout ausgeführt wird, bzw. dem UpdateCheck geschuldet sein kann - diesen habe ich auf "nicht prüfen" gesetzt und neu gestartet. Leider mit dem selben verhalten, danach bin ich unter generals gegangen und hab den DNS Eintrag dort entfernt -> Neustart und wieder selbiges.

    Nachdem ich dem Verweis gefolgt bin "auf das Umbiegen im Resolvers" wie im Link zu sehen hat es dann zum Ziel geführt. Warum erst dann ist eine gute Frage. Es gab aber dazu auch schon mal einen redmine Eintrag aus 2020 glaube ich.

    Jedenfalls bin ich jetzt entspannt, da alles theoretisch so funktioniert wie ich es mir wünsche mit dem Recovery, jetzt steht nur noch ein live Test an. :)

    VG und in freudiger Erwartung auf V2.5.2

  • 1:1 Nat geht nicht

    12
    0 Votes
    12 Posts
    1k Views
    W

    @jegr Erst noch mal danke für die Mühe.
    tatsächlich habe ich es von Anfang an so gemacht, wie du beschrieben hast und es hat einfach nichts funktioniert.
    Ich habe danach alles Mögliche und Unmögliche probiert, aber ohne Erfolg.
    Ich hatte auch schon einen "klassischen" P2-Tunnel aufgebaut, wo sich die gegenstelle geweigert hat diesen abzunehmen (obwohl es funktioniert hat).
    Das klassische IPSec benutzen wir aber noch für eine Standortanbindung und kann ich auch nicht so ohne weiteres Ändern.
    Aktuell probiere ich, dass der Server bereits mit der geforderten IP-Adresse bei der pfSense ankommt.
    Entweder über ein zweites Interface oder das eine andere pfSense das NAT macht und dann weiter routed.
    Naja, mal sehen, was funktionieren wird.

  • Woher kommen die statischen Routingeinträge

    9
    0 Votes
    9 Posts
    764 Views
    A

    @jegr said in Woher kommen die statischen Routingeinträge:

    Wenn es Firmenbezogen ist und es da kritisch sein sollte wegen Datenaustausch: dann gib ggf. per Mail oder DN Bescheid und kontaktiere meinen Kollegen, dann können wir auch kurzfristig ne Stunde Support o.ä. ganz offiziell einplanen mit entsprechenden Datenschutz und Verschwiegenheitserklärungen>
    \jens

    Das macht vermutlich Sinn, ich kläre es ab und melde mich

    ...Alex

  • Zeit-Unterschied Systemzeit / Logzeit

    6
    0 Votes
    6 Posts
    750 Views
    JeGrJ

    @viragomann Wahrscheinlich mal in System/General die Zeitzone geändert aber seither nie rebootet und die Logs nicht neu schreiben lassen.

    Ist btw in 2.5 wirklich wesentlich besser, da hier dann auch keine CLogs mehr am Start sind, sondern default Textdatei-Syslogs und da ist ein Reset mal schneller gemacht ohne gleich alle Logs ins Nirvana zu blasen :)

  • Portforwarding OpenVPN Client mit statischer public IP

    13
    0 Votes
    13 Posts
    985 Views
    X

    @viragomann Danke für deine Unterstützung und die kompetente Erklärung.

  • Openvpn Client LAN nicht erreichbar

    3
    0 Votes
    3 Posts
    585 Views
    1

    @viragomann ja genau OpenWrt ist das.

    Danke für die Info.
    Ich versuche mich weiter.

  • captive portal mit http funktioniert nicht mehr mit NB oder PC

    4
    0 Votes
    4 Posts
    478 Views
    JeGrJ

    @heinzk said in captive portal mit http funktioniert nicht mehr mit NB oder PC:

    und im Browser steht nur etwas von unsicherer Website.

    was steht da genau? Irgendwas wirds nicht sein :)

    Ich tippe darauf, dass da an irgendeiner Stelle was falsch konfiguriert war/ist und entweder HSTS ausgeliefert wurde und damit der Browser sofort auf HTTPS springt und damit dann irgendwas nicht mehr auflösen kann oder es einen seltsamen Redirect gibt.

  • Neue Netgate-Hardware 6100

    11
    0 Votes
    11 Posts
    1k Views
    N

    Ja die neue Version ist unter der Haube halt ein wenig optimierter und damit schneller.

    Das wundert mich jetzt nicht.

  • DS-Lite pfSense Disconnect

    12
    1 Votes
    12 Posts
    2k Views
    H

    @flole Voila: GIF interfaces should be reconfigured when IPv6 address of a WAN-Interface changes

    Das Problem wurde m.E. nicht wirklich beseitigt und wegen des echten DualStacks (was ich später nachgebucht habe) habe ich das Thema nicht weiter verfolgt.

Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.