@slu
Servus, danke für den Tipp.
Ja momentan - testbetrieb sinds 2 Wans -> wird aber wieder eins, Produktiv dann.

MfG.

@DarkMasta
Soweit ich weiß ist die Installation nicht verschlüsselt. Wer physischen Zugriff hat, kann auch im Zweifel die Config auslesen. Wie gesagt, wenn es um das reine Entsorgen geht, würde ich die Datenträger zerstören. Ansonsten DBAN für HDDs oder Secure-Erase-Befehl bei SSDs durchführen. Das ist aber deutlich mehr Aufwand.

Moinsen,
umm, mal so gefragt:
du hast auf der pfsense ALLES bzgl DNS (forwarder und auch resolver) deaktiviert, nutzt aber im screenshot auf dem pihole das conditional forwarding (und gibst da dann die IP der pfsense an).
Nun kommt also deine Anfrage aus dem LAN zu pihole, dieses schickt es dann (conditional forwarding) an die pfsense. Dort aber ist sowohl die Resolver als auch die Forwarder Funktion aus. Also...
Frage:

warum google und cloudflare? Du kannst im pihole doch als Resolver unbound aktivieren, das fragt dann nicht unbedingt diese datenhungrigen Anbieter. und wie …@viragomann schon gefragt hat: deine Clients sind korrekt in pihole hinterlegt? Sonst keine Auflösung...
Bau dir da mal nicht so viele Domains. Da ist jetzt einmal pi.hole, dann das Workgroup Teil und diese (vorherige) pfsense Domain...
Mach es dir einfach (und mach es korrekt): für interne Domain das .internal nutzen...davor ggf. noch etwas wie pascalhome...dann wird am Ende für die Clients das pihole.pascalhome.internal draus...oder meinpc.pascalhome.internal... darf pihole Anfragen aus anderen Netzen beantworten (falls du dein LAN in subnetze oder VLANs unterteilt hast)?

@Beerman said in DSL Modem:

Zyxel VMG4005
Draytek Vigor 167

Hallo,

ich nutze sowohl das Zyxel VMG4005 als auch das Draytek Vigor 167 bei verschiedenen Kunden.

Das Vigor hat einen schöneren Lieferumfang, läuft direkt im Bridges Mode und hat VLAN 7 bereits voreingestellt. Beim Zyxel muss man ein paar Optionen ändern, damit es funktioniert. Dafür kann es WAN-Bonding. Prinzipiell tun beide ihren Job.

Hoffe das hilft dir bei der Entscheidungsfindung.

VG
Max

@MaxMixer

Hybrid der Telekom funktioniert nur mit einigen wenigen Speedports überhaupt.

Wenn man diese Router dann in den Modem-Modus versetzt, dann funktioniert das nur für DSL, nicht mehr für den Mobil-Teil.

Du kannst die pfSense mit Hybrid nur hinter dem Speedport kaskadieren, mit dessen LAN-IP als Upstream-Gateway. Natürlich mit all den Einschränkungen, die damit einhergehen. Speedports sind nur beschränkt konfigurierbar.

@NOCling said in Netgate 1100: Übernahme der Konfiguration von APU.2D4 (pfSense 23.01-RELEASE (amd64)):

Ohne pfBlocker hält auch die eMMC sehr lange durch, keine Panik.
Mit dem pfBlocker und ZFS kam die Problematik dann zusammen und hat eine hohe Schreiblast zur Folge.
Gleichzeitig benötig er aber auch mal schnell über 1GB Ram für die ganzen Blocklisten, das funktioniert dann auf der kleinen mit Ram Disk zusammen nicht mehr.

Bei meiner 21er ist die Ramdisk 256MB und 1,5G groß, die hat aber auch deutlich mehr verbaut.

Mit zwei Stunden Aufwand ist es mir gelungen, pfSense auf einer per USB am Netgate SG-1100 angeschlossenen SSD zu installieren. Mit dem Filesystem ZFS habe ich es nicht hinbekommen, nur mit USF hat es funktioniert.
ZFS ohne ECC-RAM, und vor allem mit so wenig RAM, halte ich eh nicht für sinnvoll. ZFS nutze ich mit Xigmanas auf einem HP Proliant Microserver Gen. 7.

Jetzt kann ich bedenkenlos pfBlockerNG installieren und auch das Logging wieder aktivieren. Die eMMC ist ja nicht mehr aktiv!?

Ich suche mir gerade einen Wolf, wo ich in pfSense 24.03 ein SWAP-File anlegen kann?
Was mich wundert ist, dass trotz abgeschalteter RAM-Disks trotzdem für /var/run eine 4 MByte große RAM-Disk angelegt wurde. Ist das normal?

Edit:
Das Problem wurde mit einem Sense Update auf die Version 24.03_1 und somit dem pfblocker update behoben, kann meinen Montor somit wieder anderweitig verwenden.🙇

@eagle61 Was lange währt. Es funktioniert! Danke für Deine Hilfe und einen schönen restlichen Sonntag.

EuroPC

Du kannst auch bestimmte Bereiche auswählen unter anderem IPsec.

@pfsense-neuling
Wie gesagt, du musst den FQDN verwenden, um die Hostnamen des Firmennetzes aufzulösen.

Was genau gibt nslookup zurück?

Du kannst mit nslookup zum Testen explizit bestimmte Server abfragen, bspw. mal den Windows Server, dann die pfSense:

nslookup <host>.<domain> <DNS-Server>

Das Gateway auf die pfSense zu stellen sollte nicht nötig sein, wenn die pfSense als Uplook-Server im Windows DNS-Server gesetzt ist.
Ich dachte aber, dass sie ohnehin das Standardgateway in deinem internen Netz ist.

Wenn das gegeben ist, lässt sich Standard-DNS auch per NAT Port Forwarding auf die pfSense umleiten, so dass sie jede Abfrage bekommt und beantwortet.

MSS 1328 ist für IPsec und AES Tunnel mode der Wert der das geringste Padding erzeugt, alles andere ist entweder zu groß oder zu klein und du hast wieder Fülldaten.

Bei UDP muss es der Applikation steuern, das hängt hier also vom Programmierer ab, ob er das sauber eingebaut hat oder nicht.
Wenn nicht, kannst du die Applikation über WAN Strecken und gerade VPN Tunnel hinweg vergessen.

Bei UDP selber gibt es keine Mechanismus der das steuert.

@JeGr said in pfSense / OPNsense Hardware - Eure Empfehlungen?:

Je nachdem was man dann für sich entscheidet - go for it :)

Wenn das mal so einfach wäre😁 Würdest du von selbstbauten ala HP Elitedesk generell abraten?

1G Port würde mir übrigens erstmal reichen.

@n300 Das ist tatsächlich mal ein vorbildliches Ergebnis von "Leichenfledderei" ;) Also nach all der Zeit tatsächlich einen Workaround zu haben, macht hier auf jeden Fall Sinn - da braucht es dann auch kein Sorry :)

Finde ich aber sehr interessant, dass hier wohl UDP versagt. Das klingt eher so, als würde A1 da vllt unterwegs DNS/UDP mit zu großer Payload vllt wegfiltern(?) um ggf. irgendwelche DNS countermeasures umzusetzen o.ä. oder es ist tatsächlich irgendwelche MTU oder sonstiger Kram - der bei TCP dann nicht zu Tragen kommt, weil es da frisch ausgehandelt werden kann. Spannend. Und durchaus wichtig zu wissen um das ggf. als Debug/Diagnose mal nutzen zu können!

Danke dafür!

@sven_apsware said in Von LTE Modem bereitgestelltest IPv6 nicht einrichtbar:

Ganz kurzes btt:
Tausend Dank an @JeGr , Retter in der Not :D
Mit zweiter pfSense Instanz auf VPS ist das Problem geshickt umgangen und wir sind happy :)

Es hat zwar ein wenig gedauert, bis der 'Notruf' auf den richtigen Frequenzen ankam 😉 aber wir sind hier wie immer gern eingesprungen und haben geholfen. Und vielleicht können wirs dann demnächst dann wenn die Fasern liegen auch noch ein wenig für den Zukunftsbetrieb besser absichern und ein paar Verbesserungen zusammen vornehmen!

War mir eine Freude 😃

Cheers
\jens

3000 war der Zauberport, jetzt geht es.

@chris_6n
Warum Postgres? Grafana funktioniert da wesentlich besser mit ner InfluxDB weil Logs genauso wie Stat Werte ja über die Zeit gespeichert werden. Da ist eine time based DB wie Influx sinnvoller als was klassisch DBMS mäßiges wie Postgre oder MxSQL. Darum wirds bspw. von Grafana, Graylog oder Prometheus u.a. als Basis genutzt oder ist dort direkt importierbar ohne große Konverter.

Für Grafana würde sich daher das Telegraf Plugin und ne Influx als Basis anbieten. Ansonsten gäbe es da nur die Möglichkeit, die Logs via rsyslog Server auf ne andere Kiste zu schieben und dort als Eingangsfilter dann was zu bauen, was das Ganze statt in Syslog dann konvertiert in einzelne Postgres Queries umsetzt. Sieht für mich aber auf den ersten Blick nach einem ziemlichen Bottleneck aus da Filter Regeln je nach Einschlag von Paketen stark eskalieren können und dementsprechend ordentlich Logs raushauen können. Und klassische DBMS die das noch dazu dann ggf. transaction based importieren würden da etliche Queries mit Inserts pro Sekunde abbekommen. Das klingt extrem unperformant - darum der Hinweis das ggf. direkt via Telegraf & Influx zu machen da weniger Overhead und bessere Speicherung über Zeit möglich.

Cheers

@caso1990
Danke,
Funktioniert immer noch / still works (Hyper-V Server 2019)