Subcategories

  • 107 Topics
    1k Posts
    S

    📌 Ziel:
    Ich möchte mDNS-Discovery VLAN-übergreifend ermöglichen, damit ein PlexAmp-Client auf einem Raspberry Pi im IoT-VLAN über die PlexAmp-App auf meinem Smartphone über den Plex-Server im LAN automatisch entdecken und sich verbinden kann.

    Sobald sich mein Handy und der Plexamp Client (Headless) im selben Netzwerk befinden, funktioniert das Streaming.

    🧑‍💻 Netzwerkübersicht:
    Komponente Details
    Firewall pfSense (aktuell, mit Avahi-Paket)
    Switch/AP UniFi (Controller & Geräte aktuell)
    HomeNetz LAN – 192.168.8.0/24 (Plex + Roon Core)
    IoT IoT – 192.168.10.0/24 (Raspberry Pi mit Plexampheadless)
    Avahi Installiert auf pfSense, reflektiert zwischen LAN und IoT

    ✅ Konfiguration bisher:
    pfSense:
    Avahi installiert und aktiv
    mDNS-Repeater für LAN und IoT aktiviert
    Firewall-Regeln:
    any-to-any zwischen VLANs
    Zusätzlich: UDP 5353 → 224.0.0.0/8 mit „Allow packets with IP Options“

    UniFi:
    SSID „KugelMensch_IoT“ → VLAN IoT
    WLAN-Optionen:
    ✅ Multicast-Erweiterung aktiv
    ❌ Client-Isolation deaktiviert
    ❌ Multicast/Broadcast-Filter deaktiviert
    ✅ Erweiterte IoT-Konnektivität aktiv
    IGMP Snooping: (standardmäßig aktiv)

    🔧 Zusätzliche Firewall-Regeln getestet:
    Im VLAN IoT:
    ✅ UDP 5353 → 224.0.0.251, „Allow packets with IP Options“
    ✅ UDP 32414 → 192.168.8.0/24 (Plex GDM Discovery)
    ✅ TCP 32400 → Plex Server
    ✅ UDP 9003 + TCP 9100–9200 → Roon Core
    🧪 Beobachtungen:
    Multicast-Traffic wird sichtbar über tcpdump
    Clients empfangen die Antworten aber ggf. nicht korrekt
    IGMP Snooping evtl. blockierend (aber noch nicht deaktiviert getestet)

    Es scheint nichts zu funktionieren. Hat jemand noch eine schlaue Idee?

    Vielen Dank im voraus.

  • 80 Topics
    433 Posts
    JeGrJ

    Heute spontan OpenHouse im NSFW.pub. Gern einfach mal reinschauen, kann allerdings sein dass zwischendurch mal gerade keiner am "virtuellen Tresen" ist oder ich Getränke hole/wegbringe.

    Cheers :)

  • Frage zu Stellschrauben für eine pfSense Konfiguration mit VPN Providern

    3
    0 Votes
    3 Posts
    315 Views
    Bob.DigB

    @Michael9876 Bei pfSense gibt es ja öfters verschiedene Wege zum Ziel, schwierig das nun zu bewerten.

    Einige der Punkte, die Du ansprichst, kannst Du ja selbst testen, wie z.B. funktioniert dein VPN-Killswitch überhaupt, wie ist das Ergebnis, wenn Du einen DNS-Leaktest aus dem Web nutzt, etc.

    Ich kann für mich sagen, dass ich noch kein Outbound NAT nur für einen einzelnen Port machen musste und dass ich meinen VPN-Killswitch via tagging umgesetzt habe. Für DNS nutze ich DNS Query Forwarding mit SSL/TLS im Resolver, also mein ISP sieht da eh nichts, oder ich vergebe den DNS-Server direkt über DHCP, was dazu führt, dass der betreffende Host die Verbindung zum DNS-Server automatisch über die VPN-Verbindung herstellt. Die DNS-Server meines VPN-Providers nutze ich wiederum nirgends, weil mir zu lahm und letztlich überflüssig.

  • APU2C4 und IPv6

    23
    0 Votes
    23 Posts
    2k Views
    M

    @JeGr said in APU2C4 und IPv6:

    Nach deiner Auflistung: Vielleicht liegts auch an deinem Windows 10 PC?

    Danke noch mal für deine Hilfe JeGr. Das Problem lag tatsächlich an Windows 10 PC.
    Habe jetzt ein Funktionsupdate drauf gespielt, seitdem läuft IPv6 ohne erkennbare Probleme.

  • HA-Proxy für EcoDMS Webclient

    1
    0 Votes
    1 Posts
    240 Views
    No one has replied
  • Rules für Routing funktioniert nicht

    14
    0 Votes
    14 Posts
    1k Views
    S

    @Bob-Dig

    Vielen Dank für die Info:)

    @viragomann

    Netz habe ich soeben geändert auf /8. Ich werde das nacher nochmal tracern und so versuchen.

    @JeGr

    Ops, mein fehler habe ich wohl das falsche Bild hochgeladen, hab den überblick verloren von den ganzen Printscreens xD.

  • Switch/VLAN Konfiguration auf einer Netgate XG-7100

    23
    0 Votes
    23 Posts
    2k Views
    JeGrJ

    Ich würde ggf. versuchen statt untagged/tagged zu mixen einfach nur tagged zu sprechen auf einem physischen Interface - da bin ich pingelig und mag es lieber ordentlich. Aber geht natürlich beides.

  • Teilweise falsche Zeitangaben

    8
    0 Votes
    8 Posts
    1k Views
    JeGrJ

    @Wireguard said in Teilweise falsche Zeitangaben:

    in Grunde waren alle Logs von der Zeit her falsch. Ich habe die pfSense mal neu gestartet, nun passen alle Zeiten wieder. Echt seltsam....

    Wahrscheinlich umgestellt und danach nicht neu gestartet, dann werden Syslog Server etc. nicht neu durchgeladen und haben nicht die aktuelle Zeitzone drin.

    Wichtig auch drauf zu achten, dass DHCP in GMT gezeigt wird (Lease Time), das kann man im DHCP Server selbst aber umschalten (Checkbox für local time reinmachen).

  • Traffic blockieren

    2
    0 Votes
    2 Posts
    347 Views
    V

    Am besten mit einer Block-Regel.

    Ich nehme an, dass die betroffenen Geräte dennoch mit anderen internen Adressen kommunizieren können sollen. Dann dürfen diese Zugriffe nicht geblockt werden.
    Bewährt hat sich hier, einen Alias zu erstellen, der sämtliche RFC1918 Netze enthält (andere verwendest du intern hoffentlich nicht).
    Dann eine Block-Regel erstellen, mit Protocol = any, Source = <das gewünschte interne Subnetz>, Destination = "invert." angehaken und den RFC1918 Alias als Ziel eintragen.
    Diese Regel blockt dann alles außer RFC1918 Adressen und passt auch noch, wenn du an denen internen Netzen etwas änderst.

    Bedenke wie immer bei Firewall-Regel, dass Floating-Regeln oder welche auf Interface Gruppen Prio vor Regeln auf Interfaces haben.

  • Clienten können nicht auflösen

    4
    0 Votes
    4 Posts
    393 Views
    JeGrJ

    @Fredd Gerne!

    Muss ja was gegen diese doofen Gerüchte tun, dass es immer heißt, hier wären alle so ernst, belehrend und unfreundlich ;)

  • Keine updates der Pakete möglich

    5
    0 Votes
    5 Posts
    439 Views
    JeGrJ

    @simpsonetti said in Keine updates der Pakete möglich:

    @JeGr
    Ähh, hust hust,
    wie mache ich denn updates von den Packages auf der console?

    um das nochmal zu erklären: Es gibt im Konsolenmenü ein "Update from Console" Punkt (13) der die Pakete aktualisiert. Gibt es kein OS/Firmware Update, aktualisiert das alle anderen Pakete die Updates haben.

    Will man es komplett aus der Konsole, geht es mit

    pkg upgrade pfSense-pkg-X (wie das Paket heißt)

    also bspw.

    pkg upgrade pfsense-pkg-filer

    wie gesagt, es geht auf nur upgrade aber Vorsicht, dass ihr dann kein unbeabsichtigtes OS Update macht

  • Sinnvolle Netzwerkaufteilung bei einer XG-7100

    9
    0 Votes
    9 Posts
    754 Views
    JeGrJ

    @johndo Ich hätte damit einfach das lan ersetzt der XG und dein eigentliches LAN als neues Extra Interface

  • [solved] Namen von Interfaces unterschiedlich gehandhabt

    4
    0 Votes
    4 Posts
    351 Views
    Bob.DigB

    Habe jetzt alle Gateways erneut angelegt, dabei wurden auch die aktuellen (Interface-)Namen vorbelegt. Hatte ja etwas Schiss, ob die Sense das wirklich alles auf die Reihe kriegt, aber es läuft. 😁

  • Frage zu XG-7100 mit Raid1 konfiguration

    2
    0 Votes
    2 Posts
    263 Views
    J

    Hi,

    ich konnte es mir selbst beantworten. Habe mal ein Factory Image installiert. Es wird automatisch erkannt das zwei Festplatten vorhanden sind und somit wird es als RAID1 eingerichtet.

    Nach der Installation ist das im WebUI unter Diagnostics > GEOM Mirrors zu sehen.

    b4f1a895-993e-4714-8953-ae803c777f9b-grafik.png

  • Firewall Regeln - Es will einfach nicht so wie ich

    12
    0 Votes
    12 Posts
    818 Views
    N

    Boradcast in andere Netze weiterleiten ist echt nicht lustig.

    Wir hatte mal einen Bug auf einem Core, der hat dann alles aus einem Netz ist ein anderes gebrückt.

    Dem Netzwerk war es egal das da ein paar 10k pps fliegen, die Clients sind aber immer wieder aus dem Netzwerk geschossen worden.
    Die halten es halt einfach nicht aus, wenn die so viele Pakete fressen müssen, vor allem irgendwelche Ramsch NICs.

    Multicast Routing kann man machen, dann muss man das aber sehr zielgerichtet einbinden.
    Wichtig ist zu beachten, das die Netze dann ja gekoppelt sind und sicherheitstechnisch wie eins zu betrachten sind, wenn hier was ausbricht ist die Verbreitung ins andere wahrscheinlich.

    Da ist man wieder beim Problem des Netzdesigns, Sicherheit vers. Kompfort.

    Wenn man das mit sauberen ACLs kombinieren kann, kann man den Impact reduzieren, aber es bleibt eine Brücke mit entsprechendem Risiko.

  • VPN Problem CARP NAT & Durchsatz

    5
    0 Votes
    5 Posts
    545 Views
    N

    Wie ist denn die Latenz zwischen den beiden Clients über die pfsense?

    Denn je nach Protokoll ist dieses mehr oder weniger Problematisch für die Bandbreite.
    Die Windowsize wird zwar inzwischen oft gut mit skaliert aber das macht sich immer noch sehr negativ bemerkbar.

    Über mein VPN konnte ich im Urlaub mit SMB auch nur 10-12 MBit nutzen.
    FTP mit 10 Streams konnte den Tunnel dann auslasten.

    Also auch ruhig im iperf mehrere gleichzeitig testen.

  • Captive Portal auf Netgate SG-5100

    1
    0 Votes
    1 Posts
    176 Views
    No one has replied
  • Suricata setting für Customrules URLhaus

    2
    0 Votes
    2 Posts
    249 Views
    P

    Hallöchen,

    ja also bei mir funktioniert es nach der oben verlinkten Anleitung gleich gar nicht. In den suricata.log war nichts mit Warning oder Error hinterlegt. Seltsam. Die Pfade waren alle entsprechend richtig von mir - auch das typo hier:

    @boobletins said in URLHaus - Anyone have a mod already?:

    Modified /usr/local/pkg/suricata/suricata_yaml_template.inc as shown above to include

    /usr/local/etc/rules.local/urlhaus.rules

    sollte eigentlich so aussehen:

    - /usr/local/etc/suricata/rules.local/urlhaus_suricata.rules

    Dann, auch wenn unnötig dachte ich mir ich überschreibe einfach die custom.rules mit folgendem Script - jedoch ist das eine wui und da stehen dann doch noch ein paar Abhängigkeiten im Weg damit dies gelingen könnte.

    #!/bin/sh fetch -o /usr/local/etc/suricata/rules.local/urlhaus_suricata.tar.gz https://urlhaus.abuse.ch/downloads/urlhaus_suricat a.tar.gz tar xvfz //usr/local/etc/suricata/rules.local/urlhaus_suricata.tar.gz -C /usr/local/etc/suricata/rules.local/ rm /usr/local/etc/suricata/rules.local/urlhaus_suricata.tar.gz rm /usr/local/etc/suricata/suricata_32296_igb1.300/rules/custom.rules mv /usr/local/etc/suricata/rules.local/urlhaus_suricata.rules /usr/local/etc/suricata/suricata_32296_igb1.300/rules/cus tom.rules chown root:wheel /usr/local/etc/suricata/suricata_32296_igb1.300/rules/custom.rules chmod 644 /usr/local/etc/suricata/suricata_32296_igb1.300/rules/custom.rules

    Ist ja klar was passieren musste - in der wui unter cutsom.rules war nichts zu sehen und nach dem Refresh war die custom.rules natürlich wieder auf 0 kb geschrumpft :D

    Hat hier jemand das selbe Problem ggf. auch gleich mit einer Lösung? ;)

    Viele Grüße!

  • VPN zwischen FritzBox 7490 und pfSense 2.4.4-RELEASE-p3

    4
    0 Votes
    4 Posts
    453 Views
    JeGrJ

    @marcfunk said in VPN zwischen FritzBox 7490 und pfSense 2.4.4-RELEASE-p3:

    Doch wie erwähnt: Vom Fritte Netz zur pfSense läufts, vom pfSense Netz zur Fritte gehts leider nicht (und das ist eigentlich genau der Weg, den ich benötige).

    OK das ist merkwürdig, denn das würde heißen die FB filtert oder macht irgendwelchen Schmuh.
    Ist das Netz der FB dort direkt aufgelegt - also dieses 192.168.2.0/24?
    Und Clients aus dem Netz haben auch die FB als Gateway?

    Ansonsten bezüglich der FB Config: hattest du meinen letzten Post nicht gesehen zwecks main mode - weil du mode_aggressive gesetzt hast - was eigentlich nicht mehr "erlaubt" ist (zumindest bei größeren Installationen)? Auch das "editable = yes" und die keepalive_ip fehlen wobei man vielleicht keinen Host für das keepalive hat? Sonst dumm gefragt: hast du die Fritte mal neugestartet sicherheitshalber?

  • DNS Auflösung zu internen Nameserver

    6
    0 Votes
    6 Posts
    594 Views
    V

    👍

    Die o.g. private-domain Option sollte hier gar nicht nötig sein, weil der Server die Domain "intern" eh als solche erkennt. Habe ich erst gesehen.
    Das ist nur nötig, falls eine vermeintliche Public Domain auf eine private IP auflöst.

  • DMZ oder besser DMZs?

    36
    0 Votes
    36 Posts
    3k Views
    JeGrJ

    Hmm, verstehe das Problem nicht. Ich ordne das nach Interfaces.

    Also Kiste mit 6 physischen Intefaces bspw.:

    WAN1 WAN2 SYNC DMZ "Console" TRUNK

    Die benenne ich dann entsprechend:

    1_WAN_DSL 2_WAN_Cable 3_SYNC 4_DMZ 5_CONS 6_TRUNK

    Trunk wird nicht aktiv geschaltet und nur zugewiesen und benannt, weil da die VLANs draufkommen. Benennung und Zuweisung hilft aber, wenn man mal in der UI sucht, welches Interface draußen / an der HW was ist. 1-6 sind die HW Ports auf dem Gerät. Bei 10Gs hab ich dann ggf. auch mal X1/X2 genommen.

    Dann kommen VLANs, bspw.:

    10.23.1.0 LAN 10.23.2.0 IOT
    etc.

    die werden dann enannt:

    V2301_LAN V2303_IOT
    ...

    Damit ist alles ordentlich sortiert und gut. Ich muss nicht alles alphabetisch haben o.ä. das bringt mir nix, aber mit dem VLAN Tag mit drin hilft es mir direkt die IP Range und das VLAN Tag aus dem Namen heraus ableiten zu können.

    Funktioniert fabelhaft. Und kann man auch mit Gruppen machen -> G_Infra, G_DMZs, G_WLANs, etc.

    Aber man muss es ja nicht übertreiben ;)

  • pfSense VoIP / siproxd Problem

    1
    0 Votes
    1 Posts
    393 Views
    No one has replied
Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.