@jegr hach, wenn du antwortest ist das immer schön 😄
Danke für die Aufklärung.
Ich werde dann erstmal nur die Pakete updaten und später die Base.

mhm das hat sich dann wohl erst mal erledigt:
https://www.netgate.com/blog/wireguard-removed-from-pfsense-ce-and-pfsense-plus-software.html

@viragomann Wenn die erste Antwort bzw. der erste Hop von Traceroute schon * * * zurückgegeben hatte, dann stimmte zu dem Zeitpunkt was mit dem Routing nicht wirklich. Wäre dann eher interessant gewesen, was beim traceroute blubb dann tatsächlich der volle Output war. Wäre es pfBNG gewesen, dann hätte die Auflösung von awsh.de schon 0.0.0.0 oder 127.1.1.7 ergeben und wäre ins "nichts" gelaufen. Wenn die aber sauber zur IP aufgelöst wurde und der Trace dann nicht ging, dann war das kein pfSense, sondern eine Routing/Proxmox Problem.

@viragomann said in Dynamic DNS aktualisiert nicht mehr:

Aber soweit ich mich erinnere, ist @JeGr ein vehementer Gegner dieser Funktion. Er sollte wohl beantworten können, warum.

seufzt

Ich bin kein "vehementer Gegner dieser Funktion", sondern habe schlicht mehrfach zitiert und darauf hingewiesen, dass bei aktivem Haken von "Register DHCP Leases" es zu einem ständigen Neustart von Unbound kommt, weil jedes Gerät mit dynamischer IP sobald es per DHCP nen neues Lease bekommt oder aktualisiert eine Rückmeldung an Unbound gibt und der dann NEU STARTET um die aktuelle Liste an Clients zu kennen. Zudem gibt es keinen sinnvollen Grund einen rando dynamischen Client mit rando Name einfach in den DNS zu pumpen. Weshalb sollte ich den Namen von der Kiste brauchen? Und wenn jetzt einer sagt, weil er da mit RDP, SMB, CIFS oder sonstwas drauf muss, dann ist das kein "Client" Job, sondern ein Server/Service Job. Und dann bekommt sowas ne statische oder zumindest reservierte (semi statische) IP (via DHCP/MAC) und die werden einmalig beim Starten eingelesen und benötigen logisch keinen ständigen Neustart von Unbound.

Bei genug Clients und vielen Änderungen im DHCP hat man Unbound dann ständig am Neustarten weil es alle paar Sekunden/Minuten nen Client gibt, der das Ding zum Neustarten bringt. Darum macht man es aus. Es sollte mal via Reload gelöst und angesteuert werden, da gab es aber einen Regression Bug und ein Problem mit Unbounds neuer Python Module Integration. Daher ist das in 2.5 immer noch drin.

https://redmine.pfsense.org/issues/5413

tl;dr:

DNS Resolver:

disable DHCP Registration von irgendwelchen rando Clients disable DHCP Registration von irgendwelchen rando OpenVPN Clients
wenn notwendig: enable DHCP static lease Integration ins DNS. Da wird nur ein Neustart fällig wenn man neue DHCP Mappings erzeugt.

@markus4210
servus markus,
ist zwar lange her aber kannst du mal sagen was dein backend WS ist?
leitet das weiter?

@cyruz wäre nicht verkehrt zumal der maintainer von snort und ich glaube auch surricata bmeeks ist. Und Bill ist wirklich ne sehr freundliche Tüpe der einiges auf dem Kasten hat

@marcelbk said in NordVPN Verbindung mit Playstation4:

Überprüfe ich aber den Standort auf meiner PS4 steht dort weiterhin DE

Das hat aber normalerweise nichts mit IP oder VPN zu tun. Wo prüfst du das? Dein Account im PSN wird einem Land zugeordnet und das behältst du egal was du für IPs hast.

@jegr Verteile die ULA fest mit DHCP6, genauso wie mit IPv4. Ich mach es quasi 1:1 so wie bei IPv4, nur dass ich halt Outbound NAT selbst einstellen musste.
[solved]: per Regeln und wenn man IPv6 nur für einen Rechner ausrollen will, dann geht es nur über ein eigenes Interface bzw. vlan.

@sense_noop
Seinerzeit als ich nach einer Hardware gesucht hatte, gab es keine Zotak mit 4 NICs, was meine Mindestanforderung war. Das schränkte die Auswahl erheblich ein.
Vielleicht ist das heute schon anders.

@jahonix

mach dir nix draus ... ich hab vom @JeGr ein eigenes script bekommen für die Termine
#justsaying .....

Ich musste meine Fritz mit LAN 1 (192.168.15.11) ins Internet lassen, über ein VLAN welches als DMZ Netz auf der Sense angelegt ist.
Dann hängt diese mit fester IP im normalen LAN (192.168.10.21), darüber kann sich dann die Fon App verbinden.

Mache ich das nicht, komme ich auf meinem VPN Client Netz (192.168.33.0/24) nicht mit der App an die Fritz ran und auch nicht vom Netz meiner Elter welche über S2S angebunden sind (192.168.166.0/24).

Ich musste das Teil also austricksen, denn gehe ich über LAN 1 shared ins Internet und verwende das Netz als internes LAN gleichzeitig, dann springt hier die Firewall an und lässt nur 192.168.10.0/24 zu.
Alles andere ist dann WAN und damit böse.
Ich kann in der FuBox nix einstellen, sonst könnte ich ja 192.168.0.0/16 als internes LAN definieren, aber nix da.

Multihomed, kann ich im Handy VPN anwerfen und bekomme auf der Arbeiten Anrufe rein, die bei uns zu hause rein laufen.
Vor paar Wochen war das witzig, hatte kurz VPN ein geschaltet weil ich was im NAS nachsehen wollte, dann vergessen den Tunnel aus zu machen und 1h später klingelt die App.
Auch witzig, sind zu Besuch bei meinen Eltern, die drückt irgendwas an ihrem Handy und ruft bei uns das Festnetz an, ich sitze 2m entfernt und konnte das Gespräch annehmen und Fragen was sie denn möchte. Dann lagen wir vor lachen neben dem Sofa.

@richie1985 Super freut mich! :)

sorry, hab mich nicht deutlich ausgedrückt.
ich war auf dem 2.4.5er branch unterwegs, dort hatte ich einige pakete installiert über die letzten monate.

sonntag habe ich dann direkt das update auf 2.5.0 gemacht, die pakete habe ich vorher nicht angefasst.
im installationslog gab es allerdings einige fehermeldungen, unter anderem erinnere ich mich an php-pear.
aber wie auch immer: ich werde nun warten, bis ein erstes minor update existiert und dann nochmal hochgehen. wenn das wieder fehlschlägt, werde ich die logs rausziehen und bereitstellen.

gruß, und danke für die hilfe.
schönen abend,
andre

@jegr

soo cooooool !

@viragomann

ich kanns ja nachvollziehen, die jungs sind so stolz auf ihre procedures
das die das einfach runterhacken, ohne nachdenken zu müssen und sie wissen
halt einfach wenn sie sich an denablauf halten dann passt es und die quali sicherung ist auch erledig.

tja ...für einen Montag in der Technik ... ggg
haben die bis Ende des Monats gnug von mir

@jegr Jau, die Site von FreeBDS scheint da nicht sonderlich aktuell zu sein. Ich habe jetzt auf eine 10G-NIC gewechselt, weil diese besser läuft. Und bei diesem Wechsel ist mir die VM irgendwie kaputt gegangen und ich bin nun ausschließlich auf einer frischen 2.5 unterwegs. Bis auf IPv6 hab ich inzwischen fast alles per Hand wieder eingerichtet, sofern mich meine Erinnerungen nicht trügen.

[solved]: IPv6 Port Forwarding ist tatsächlich möglich und wird genauso wie bei IPv4 gemacht.

@slu said in 2.5.0 | tcpdump Terminal zeigt nichts | Diagnostics - Packet Capture schon:

interessant ist das ein tcpdump auch Ausgaben macht, ich bin leichtgläubig davon ausgegangen das dann immer alle Interfaces kommen.

Eigentlich kommt dann lediglich das erste oder das default Interface. Aber alle kommen eigentlich nie. Bei mir ist es meistens das erste (igb0 o.ä.).
Auch promisc. wird gern verwechselt. Das ist im Prinzip nur sinnvoll auf VLAN Trunks, dann kannst du im promisc mode auf das parent IF lauschen und bekommst alle Pakete aller VLANs angezeigt statt nur untagged oder genau mit dem angegebenen Tag.

@thiasaef Der Haken schaltet nicht "IPv6" magisch ab, sondern blockt einfach silent allen IPv6 Verkehr. Heißt aber auch, dass dann eine Einstellung wie "Track Interface" für IPv6 nicht funktioniert oder funktionieren kann. Wenn dann das Tracking Amok läuft, weil ggf. eben keine RAs raus oder reingehen weil alles v6 geblockt wird, dann kann das für die Sense wie ein dauerndes Neuverbinden sein (Interface hat neue IP, alle Dienste durchtreten die davon abhängig sind). Wenn also kein v6 verwendet wird oder werden soll, nicht einfach den Default Allow IPv6 Schalter sinnlos ausmachen, sondern einfach KEIN Interface mit v6 bestücken und auch kein v6 default GW verwenden. Dann bindet sich auch nichts aus Versehen auf IPv6 Adressen :)