@jegr
Nein, wie drunter beschrieben:
On local area network interfaces the upstream gateway should be "none".

@jegr Ich habe den Hacken nun rausgenommen. Werden dennoch die neuen PCs, die sich eine DHCP Adresse holen im DNS eingetragen oder muss ich das nun selber machen?

Mit welchem Eintrag kann ich den DSN Cache den anpassen?
Ist das der Wert "Anzahl an Hosts welche zwischengespeichert werden"

Schönen Abend Wünsche ich

@nocling said in Wireguard zurück als Paket:

Melde dich, dann bohren wir nen Tunnel 😊

Ad tunnel bohren bin ich dabei

@eklasen

bitte einen grafischen netzwerkplan hast du mal versucht einen portforwad einzurichten und geschaut ob es von extern geht? bist du dir sicher das du dualstack hast und kein ds-lite? welcher provider?

@dogfight76 bitte mal einen netzwerkplan

@nocling
das ist ja interessant, ich sollte dann unser Backup doch mal etwas belasten!

Sieht fast so aus. Ich habs dann doch klassisch gehalten und die IP Ranges kopiert und per Massen Import im Alias hinterlegt. Sollte es in Zukunft doch aufwendiger werden wegen fehlenden IPs muss ich mich wohl mit dem Support auseinandersetzen zu diesem Thema. Danke für die geistige Unterstützung.

@achim55 said in multi-WAN load balancing LTE:

Am liebsten wäre es mir mit einer internen Karte die ich auf das Board stecken kann und die die SIM aufnimmt.

Nö, das wird AFAIK nichts. Ich kenne keine MiniPCI / miniPCIe Karte die intern verbaut wird, LTE kann, externe Pigtails anspricht UND dazu noch unter FBSD12 läuft.
(Kommt zudem STARK darauf an WELCHE PCengines hier gemeint wird. Das kann jetzt von WRAP, ALIX, APU1, APU2-3 so ziemlich alles sein...)

Mobiler Router oder ein halbwegs vernünftig agierender USB Stick wären da die sinnvollere Option, da die meist besser angepasst und aktualisiert werden können.

Gibt es eine Karte für das Board für die Nutzung einer SIM-Karte?

AFAIK nope.

Wie sind eure Erfahrungen mit Freenet-Funk

Kenne ich nicht

Habt ihre eine Empfehlung für die Hardware für ein mobilen Router

Hängt ja immer schwer davon ab, was auch der Kartenanbieter/ISP vorgibt oder wahlweise anbietet. Solang man da was brauchbares findet was am Besten kein WiFi Geraffel ist, sondern ne ordentliche RJ45 Buchse hat, sollten wohl die meisten da mitspielen. Sobald die selbst nen (mini)Router haben, ist es nur noch relevant, ob die Kiste nen ordentliches Transfernetz stellen kann und danach wird sie einfach genauso behandelt wie jeder andere vorgeschaltete Router auch. Wenn man auf AVM steht, gibts ja inzwischen sogar reine LTE-Boxen von AVM zu relativ günstigem Preis.

Cheers

@slu said in MutiWAN NAT/Port Forward pfSense 2.5.1 fehlerhaft != default Gateway:

@one
es gibt noch keine neuere Version als die 2.5.1 oder was genau meinst Du?

Naja wenn er Tunnel in der 2.5.2 meint, die sehen bislang brauchbar aus. Aber ich habe sicherlich keine zwei Dutzend Tunnel zu unterschiedlicher Hardware dass ich konkret sagen kann "X, Y und Z laufen, A nicht" :)

Ich bleib da eher beim Diesel-Zitat aus Pitch Black: "Sieht OK aus!"

Hey @noplan ,

Zu A = Einfach das Geode Combined Image auf eine CF gebrannt 👍 , wie gesagt, jetzt ist das Alix nur noch mein SmartSwitch um den einen Port des MacMini auf 2 zu splitten. Mit OpenWRT rennt das kleine teil wieder 😁

Shalla also in den pfBlockerNG ja? Kann ich dann noch die Kategorien trennen, oder gibt es getrennte Listen?

Zu B = Momentan per Proxy, der kann das nach Wochentagen regeln (So-Do kürzer, Fr-Sa länger), der Firewall-Zeitplan wollte direkt irgendwelche Datumsangaben von mir.

Zu C = Zum Beispiel die EmergingThreats Listen und weitere von raedts.biz. Außerdem noch ein paar PiHole Listen für den DNSBL um Android Werbung, SmartTV-Gedöns und CoinMining einigermaßen auszusperren. Das ist weniger für die Kinder, als für ein angenehmeres Erlebnis an den Handys usw. 😳

Zu D = Ich war nie Fan von transparenten Proxys und Datenverkehr aufbrechen. Ich lasse den Proxy bewusst per DNS/DHCP per WPAD ausrollen oder trage ihn notfalls von Hand ein. Das klappt bisher ganz gut, auch an anderen pf-Boxen. Am eigenen Handy scheitert es zwar am Opera Mobile, aber der Proxy dient zu Hause ja ohnehin hauptsächlich den Kindern, da kann ich das regeln. Daher ist HTTPS mMn kein Problem.

Ich nutze, für die Kids, nicht den DNS der pf, sondern lasse an den Endpoint direkt die DNS-Server von JUSPROGDNS liefern. Da gibt es jeweils 2 IPs für verschiedene Altersgruppen. zum Beispiel 0-6, 6-12 Jahre usw. Ein ganz kleines bisschen kann man den DNS-Dienst anpassen über einen gratis Account und DynDNS. Der Dienst behauptet, nur selbst kontrollierte Seiten mit aufzunehmen die dem Alter entsprechen. Was also durch den Squid sickert, könnte womöglich der DNS Dienst nicht auflösen, oder umgekehrt. Der Squid, als auch JUSPROGDNS, haben mein SafeSearch irgendwie nicht umgesetzt. Ich konnte ganz normal umschalten auf unsichere Suche. Daher sperre ich momentan "Searchengines" aus und habe stattdessen eine Whitelist für fragfinn und 2-3 weitere gesetzt. Auch der Redirect führt zu fragfinn, falls man eine gesperrte Seite öffnen wollte. Das Ganze soll Schritt für Schritt natürlich gelockert werden, ist auch mit den Kindern so besprochen. Funktionierendes & erzwungenes SafeSearch wäre hier ein großer Schritt in die richtige Richtung.

Zu E = Nun ja, die Version, die mit 2.5.1 ausgeliefert wird. Ich dachte, man muss den Python-Mode erst aktivieren? Da der pfBlockerNG eher dem Komfort dient, sind die Listen womöglich wirklich nicht sehr umfangreich. Als Kindersicherung lässt er sich nicht einspannen, dann sperrt er wieder zu viel bei allen anderen Geräten im Netz. Außer den Kids, nutzen alle Geräte den DNS der pf, gefüttert vom DNSBL. Die Kinder nutzen vorrangig die Filterung vom Squid. Das ist vielleicht nicht ganz optimal? So ist aber zumindest keine Werbung im Smart-TV und fast keine in den restlichen Geräten. Da wir durchaus mal die Mediatheken nutzen, bekomme ich sonst die Werbung im Tv nicht weg und den Kodi für Mediatheken zu verwenden ist mir zu unhandlich 😌

@bon-go Ich weiß, ist in so einer Situation natürlich nervig. Und die Idee war ja gut. Woran das jetzt klemmt ist nur leider schlecht zu sagen, da es bei anderen Setups ja leider läuft. Schwierig :/

Are you sure, that's the right place to post? You are in the german subforum where normally every post is german (wir schreiben deutsch).

I think that post would be better suited in the ACME/HAproxy package subforum.

hi @pasu,

da du die Tunnings befolgt hast, gab es keine Besserung?

Unter System > Advanced > Networking solltest du diese nur beiden Flags mal testen:
Flags bei Hardware TCP Segmentation Offloading & Hardware Large Receive Offloading

reboot.

Bei Vodafon musst du DHCP im Interface aktiv lassen (IPv4 Configuration Type) und über die Homepage den Modus ändern falls nicht getan. Für das Vodafon-Interface musst du auch Speed und Dublex dann auf "Default..." gesetzt lassen. Dieser handelt für sich den Mode dann schon richtig aus.

VG

Vielen Dank euch beiden, ich habe nun eine grobe Richtung. Werde mich noch mal melden, wenn Glasfaser freigeschaltet wird... Danke

@pressakey Schön dass es geklappt hat.

Trotzdem gibt es für mich keinen sinnvollen bzw logischen Grund heute Bridge Tap Tunnel so zu nutzen oder zu bauen. Die Gründe würden mich da interessieren. und mit längsten hat das nichts zu tun sondern mit sauberem Netz und Debugging sowie ARP und L2 was dadurch nicht gegeben ist. Da braucht man schon sehr gute Gründe.

Cheers

@viragomann Besten Dank für deine Antwort. DNS Override wäre meine zweite Wahl gewesen, aber die NAT reflection macht auch ihren Dienst. :-)

@jegr said in 2.5.2-Beta: Test für MultiWAN Problem:

@slu Ist eigentlich nach meinem Verständnis nicht per se ein Bug. Wenn die Kiste auf DHCP/DHCP6 default eingestellt ist, und auf dem LAN logischerweise dann auf static IP/Track IF dann für IPv6 fähige Geräte bereitstellt, dann muss auch DHCP6 laufen für DNS Unterstützung etc.

Ich würde dir zustimmen, aber auf der System war nie ipv6 aktiviert und ist es auch nicht.
Evtl. kommt das aber darauf an wann die pfSense installiert wurde und wie damals der Default war...