Subcategories

  • 107 Topics
    1k Posts
    S

    📌 Ziel:
    Ich möchte mDNS-Discovery VLAN-übergreifend ermöglichen, damit ein PlexAmp-Client auf einem Raspberry Pi im IoT-VLAN über die PlexAmp-App auf meinem Smartphone über den Plex-Server im LAN automatisch entdecken und sich verbinden kann.

    Sobald sich mein Handy und der Plexamp Client (Headless) im selben Netzwerk befinden, funktioniert das Streaming.

    🧑‍💻 Netzwerkübersicht:
    Komponente Details
    Firewall pfSense (aktuell, mit Avahi-Paket)
    Switch/AP UniFi (Controller & Geräte aktuell)
    HomeNetz LAN – 192.168.8.0/24 (Plex + Roon Core)
    IoT IoT – 192.168.10.0/24 (Raspberry Pi mit Plexampheadless)
    Avahi Installiert auf pfSense, reflektiert zwischen LAN und IoT

    ✅ Konfiguration bisher:
    pfSense:
    Avahi installiert und aktiv
    mDNS-Repeater für LAN und IoT aktiviert
    Firewall-Regeln:
    any-to-any zwischen VLANs
    Zusätzlich: UDP 5353 → 224.0.0.0/8 mit „Allow packets with IP Options“

    UniFi:
    SSID „KugelMensch_IoT“ → VLAN IoT
    WLAN-Optionen:
    ✅ Multicast-Erweiterung aktiv
    ❌ Client-Isolation deaktiviert
    ❌ Multicast/Broadcast-Filter deaktiviert
    ✅ Erweiterte IoT-Konnektivität aktiv
    IGMP Snooping: (standardmäßig aktiv)

    🔧 Zusätzliche Firewall-Regeln getestet:
    Im VLAN IoT:
    ✅ UDP 5353 → 224.0.0.251, „Allow packets with IP Options“
    ✅ UDP 32414 → 192.168.8.0/24 (Plex GDM Discovery)
    ✅ TCP 32400 → Plex Server
    ✅ UDP 9003 + TCP 9100–9200 → Roon Core
    🧪 Beobachtungen:
    Multicast-Traffic wird sichtbar über tcpdump
    Clients empfangen die Antworten aber ggf. nicht korrekt
    IGMP Snooping evtl. blockierend (aber noch nicht deaktiviert getestet)

    Es scheint nichts zu funktionieren. Hat jemand noch eine schlaue Idee?

    Vielen Dank im voraus.

  • 80 Topics
    433 Posts
    JeGrJ

    Heute spontan OpenHouse im NSFW.pub. Gern einfach mal reinschauen, kann allerdings sein dass zwischendurch mal gerade keiner am "virtuellen Tresen" ist oder ich Getränke hole/wegbringe.

    Cheers :)

  • "Mark gateway down" unerwartetes Verhalten

    34
    0 Votes
    34 Posts
    3k Views
    N

    @JeGr
    Wie es aussieht, hat das Umsetzen der "ping", "ping-restart" und "ping-exit" Parameter irgendwie geholfen. Bei längeren Tests damit heute ist auf jeden Fall am Ende die Verbindung bei einem Dutzend Schwenks stabil geblieben. Wir beobachten das weiter.
    Leider haben wir ja auch genug Gelegenheit dazu, nachdem das Geferkel mit der KD-Leitung nun in die siebte Woche geht 8-((

    ping 30
    ping-restart 30
    ping-exit 600

  • 0 Votes
    15 Posts
    1k Views
    JeGrJ

    Also Intermediates musste ich nicht nie nicht installieren. Da in den CA Stores meistens nur die End-CAs sind, muss das Intermediate für eine gültige Zertifikatskette eigentlich immer mit hochgeladen werden, sonst fehlte was. Sieht man u.a. ja bei ACME/LE auch, dass nach Ausstellen des Zertifikats in der CA Sektion der pfSense dann automatisch das Intermediate von LE mit dazu kommt, damit die Kette sauber terminiert werden kann :)

    Aber hey hinterher ist man immer schlauer ;)

  • 0 Votes
    6 Posts
    652 Views
    JeGrJ

    Und DD hätte dann die Einschränkung, dass die Plattengröße nicht berücksichtigt wird.

    Aber einen HDD Clone braucht man bei pfSense im Normalfall wirklich nicht. Sollte es Sachen geben im Filesystem die man unbedingt mitnehmen will, kann man diese mit dem zusätzlichen Backup Package sichern, selbstmodifizierte Files macht man entweder über Patches (manchmal) und ansonsten über das Filer Package. Alle anderen größeren Pakete haben m.W. ihre Konfiguration in der config.xml womit nichts gegen "backup & restore" spricht.

  • Werde hier wahnsinnig - vlan - dns

    10
    0 Votes
    10 Posts
    696 Views
    JeGrJ

    Immer wieder gern

  • Collaborationtools wie MS Teams oder Lifesize funktionieren nicht 100%

    3
    0 Votes
    3 Posts
    329 Views
    M

    @JeGr ,

    danke für die erste Rückmeldung.
    Hier ein paar weitere Informationen.

    Der Zugriff mit MS Teams und Lifesize klappt im Direktzugriff über die WG Firewall. Mit einem anderen Proxy (manuell installierte Squid und Squid Guard auf einem Ubuntusystem) funktioniert es auch. Hier die gleichen Ports freigeschaltet.

    Es ist somit auf die pfsense einzugrenzen, die Firewall hatte ich nur erwähnt da wir den Firewall Teil der pfsense nicht nutzen.
    Gruß
    Martin

  • bridge schlägt fehl

    1
    0 Votes
    1 Posts
    240 Views
    No one has replied
  • [solved] Email Reports: Nur die letzten 24 Stunden anzeigen.

    8
    0 Votes
    8 Posts
    590 Views
    mike69M

    @JeGr said in [solved] Email Reports: Nur die letzten 24 Stunden anzeigen.:

    ls -la /var/log

    Ja, hatte kein Reset Initiiert, jetzt haben die Logs 2M. :)

  • Aufruf Webpage über Chrome

    4
    0 Votes
    4 Posts
    390 Views
    JeGrJ

    @be1001 said in Aufruf Webpage über Chrome:

    Kann es sein, das es in der pfsense PhantomSesseions gibt?

    Nö. Wäre mir nichts bekannt, habe ich auch auf keinem einzigen System.

    Muss ich einen Neustart machen.

    Ein Neustart kann eigentlich nichts bringen. Das CSRF Token wird dem Browser mitgeteilt und ist für mehrere Stunden gültig. Wenn das direkt nach Öffnen von Chrome - auf die Seite gehen - einloggen passiert, dann ist was anderes madig.

    Potentielle Fehlerquellen wären Uhrzeit oder - wie es im Text steht - falsche oder fehlende Cookies. Wenn dein Browser dank irgendwelcher Extensions bspw. verhindert dass das Cookie gesetzt wird, wäre das noch ne Möglichkeit. Ansonsten gabs das bislang nur wenn man in der 2.5 nach dem Einloggen direkt nochmal auf den Login Button gehauen hat und quasi 2 Logins sich überlagerten. In der 2.4.x hab ich das in keinem Browser bislang gesehen wenns nicht korrekt war (Seite war über Nacht offen auf der Login Page etc.)

  • dhclient.conf config wird nicht angewendet

    3
    0 Votes
    3 Posts
    470 Views
    S

    @JeGr

    Vielen Dank für deine Antwort.

    a.) Dort habe ich noch was vergessen zu ergänzen, die Version ist eigt. nur Platzhalter für mich.
    Also ich kann das auch frei lassen also die OS+Version fehlt weg.

    beim dhclient.conf handelt es sich eigt. um einen Foreneintrag den ich gefunden habe und dort entnommen habe.
    https://community.swisscom.ch/t5/Router-Hardware/PFsense-2-4-5-und-Medienkonverter-tp-link-MC220L-am-Swisscom/m-p/610486

    Super, ich werde es mit dem Standar-File gleich versuchen und auch gleich mit Filer die Datei anlegen und Rechte vergeben.

    Vielen Dank für die Infos. Ich werde zeitnah berichten und nochmals mit dem ISP Kontakt aufnehmen. Es handelt sich überigens um Swisscom Anbieter.

    Danke Gruss:)

  • Failover WAN - gezielte Aktionen möglich?

    2
    0 Votes
    2 Posts
    217 Views
    JeGrJ

    AFAIK nope. Es gibt keinen "Eventhandler" Prozess, bei dem man eigenen Kram einhängen kann. Außer das als Plugin/Paket zu schreiben und dessen Hooks zu nutzen oder das ggf. selbst zu bauen wüsste ich nicht.

    Was gehen würde, wäre ein Monitoring. Kleine Raspi o.ä. Kiste die ein Mini Monitoring mit Event Handling fährt. IP1 geht via WAN1, IP2 geht via WAN2 raus. Wenn IP1 down geht, triggere Steckdose 2 an. Das wäre mehr ein Job für ein Monitoring à la Icinga o.ä.

  • SSL Zertifikate Fehler!

    3
    0 Votes
    3 Posts
    426 Views
    JeGrJ

    @vitalij76k said in SSL Zertifikate Fehler!:

    Habe pfSense frisch installiert und bekomme ssl errors auf fast alle https seiten! Wie kann ich das Problem beheben?

    Und nur mit "frisch installiert" komme ich an der Stelle zu helfen nicht weiter. WAS ist frisch installiert. Was ist eingerichtet. Einfach nur Default Installation mit Standard Allow All Regel und dabei gibts Problem? Oder doch irgendwas mit eigenem Regelset und doch noch irgendwo einem IDS versteckt das man vergessen hat?

    Ein Paketfilter behindert erstmal keine valide Verbindung. Sprich: wenn überhaupt die Verbindung geht (Paketfilter), dann ist alles andere was mit Inhalten irgendwelchen Murks treibt entweder selbst installiert (auf dem Rechner oder als Zusatz auf der Firewall) oder jemand anderes pinkelt dir von außen in die Verbindung rein. Alternativ machen das auch gern irgendwelchen ach-so-tollen Internet-Security-Virenscanner, die dann lokal SSL abgreifen um das "zu scannen" und dir dabei das Zertifikat zerbröseln. Ohne mehr als deinen Anfangssatz zu haben, kann also leider keiner mehr helfen als das.

    Grüße

  • site to site vpn ipsec - lost udp packets

    3
    0 Votes
    3 Posts
    342 Views
    JeGrJ

    Naja in deinem Screenshot sieht man nicht viel außer dem einen Paket eben. UDP hat das Problem, dass es verlorene Pakete nicht kompensieren kann wenn der Weg dazwischen an irgendeiner Stelle mies ist. Aber ich sehe da nicht wirklich ein Problem von Seiten pfSense oder FreeBSD, nur weil auf beiden Seiten ne pfSense läuft. Wenn da nicht alles ankommt, dann müsste man dazwischen einfach prüfen "warum". Es bringt ja nichts die Pferde scheu zu machen und hinterher kommt raus, dass an irgendeinem ISP Übergang oder Eingang UDP bei zu viel Traffic ggf. einfach gefiltert oder gedrosselt wird weil jemand semi-intelligent irgendeine AntiDOS Protection o.ä. gebastelt hat. Daher müsste man erstmal sehen, WO die Pakete verloren gehen und dann hinterfragen warum.

  • VPN Lan to Lan mit 2 Fritzboxen und 2 SG-1100

    37
    0 Votes
    37 Posts
    3k Views
    RicoR

    pfSense macht jetzt die PPPoE Einwahl über den Vigor?
    Zeige uns mal deine Firewall Regeln und Einstellungen (Screenshots).

    -Rico

  • Update auf Version 2.4.5 schlägt fehl, kein Zugriff mehr möglich

    8
    0 Votes
    8 Posts
    409 Views
    JeGrJ

    @dsp said in Update auf Version 2.4.5 schlägt fehl, kein Zugriff mehr möglich:

    ertificate verification failed for /C=GB/ST=Greater Manchester/L=Salford/O=Sectigo Limited/CN=Sectigo RSA Domain Validation Secure Server CA
    34404109368:error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed:/build/ce-crossbuild-244/pfSense/tmp/FreeBSD-src/crypto/openssl/ssl/s3_clnt.c:1269:
    ...
    pkg: https://pkg.pfsense.org/pfSense_v2_4_5_amd64-pfSense_v2_4_5/packagesite.txz: Authentication error

    Nur als Braindump: Das liest sich, als hätte es entweder den Zertifikats-Store oder ggf. die Root Zerts zerlegt. Oder es ist zu dem Zeitpunkt gerade auf dem Mirror was mit den Zertifikaten nicht in Ordnung gewesen. So oder so scheint es aber, als hätte der Update Prozess mittendrin abgebrochen (wahrscheinlich wegen dem Fehler, dass er zum Mirror keine Verbindung aufbauen durfte zum Pakete laden) und damit hatte er dann nur das halbe Update.

    Außer da manuell rumzustochern mit "pkg-static" und Co um ggf. pkg doch noch zum Updaten zu bekommen, hätte ich da bei jedem Kunden auch ohne mit der Wimper zu zucken sofort den Install-Stick rausgeholt und "drüberinstalliert". Dann brauchts auch kein Backup, denn beim Installieren kann man ja die Config "recovern" lassen und ist dann ruckizucki wieder einsatzbereit :)

  • dhcp durch openvpn tap funktioniert auf einmal nicht mehr

    1
    0 Votes
    1 Posts
    248 Views
    No one has replied
  • FailoverWAN - best practice um OpenVPN wieder auf WAN1 zu bekommen

    1
    0 Votes
    1 Posts
    227 Views
    No one has replied
  • DHCPv6 weißt manchmal keine IPv6 Adresse an Clients zu

    1
    0 Votes
    1 Posts
    176 Views
    No one has replied
  • Fritzbox --> PFSense --> Netzwerk incl. VoIP VLAN

    8
    0 Votes
    8 Posts
    1k Views
    M

    Wurdest Du eventuell auf DS-Lite umgestellt? Nutzt Du ein richtiges Modem, oder nur einen Kabelrouter auf Bridge? Welches Bundesland?
    SIP Daten vom ISP bekommen?

  • APU.1D4 defekt (klackert)

    3
    0 Votes
    3 Posts
    391 Views
    M

    Ich habe APU‘s seit bald 10 Jahren im Einsatz und kenne keine Probleme. Ich würde wenn auch eher aufs Netzteil tippen.

  • pfSense mit EWE Glasfaser

    6
    0 Votes
    6 Posts
    859 Views
    mike69M

    @Mäggo said in pfSense mit EWE Glasfaser:

    Die Fritze ist privat gekauft und nicht von der EWE. Also können die die MAC Adresse gar nicht wissen.

    Doch, das wissen die. 😁

    Wenn das Problem dann gelöst ist, ruhig eine Info ins Forum, damit jemand mit den gleichen Problemen ein Lösungsansatz hat.

    Gruß, Mike

Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.