Subcategories

  • 107 Topics
    1k Posts
    S

    📌 Ziel:
    Ich möchte mDNS-Discovery VLAN-übergreifend ermöglichen, damit ein PlexAmp-Client auf einem Raspberry Pi im IoT-VLAN über die PlexAmp-App auf meinem Smartphone über den Plex-Server im LAN automatisch entdecken und sich verbinden kann.

    Sobald sich mein Handy und der Plexamp Client (Headless) im selben Netzwerk befinden, funktioniert das Streaming.

    🧑‍💻 Netzwerkübersicht:
    Komponente Details
    Firewall pfSense (aktuell, mit Avahi-Paket)
    Switch/AP UniFi (Controller & Geräte aktuell)
    HomeNetz LAN – 192.168.8.0/24 (Plex + Roon Core)
    IoT IoT – 192.168.10.0/24 (Raspberry Pi mit Plexampheadless)
    Avahi Installiert auf pfSense, reflektiert zwischen LAN und IoT

    ✅ Konfiguration bisher:
    pfSense:
    Avahi installiert und aktiv
    mDNS-Repeater für LAN und IoT aktiviert
    Firewall-Regeln:
    any-to-any zwischen VLANs
    Zusätzlich: UDP 5353 → 224.0.0.0/8 mit „Allow packets with IP Options“

    UniFi:
    SSID „KugelMensch_IoT“ → VLAN IoT
    WLAN-Optionen:
    ✅ Multicast-Erweiterung aktiv
    ❌ Client-Isolation deaktiviert
    ❌ Multicast/Broadcast-Filter deaktiviert
    ✅ Erweiterte IoT-Konnektivität aktiv
    IGMP Snooping: (standardmäßig aktiv)

    🔧 Zusätzliche Firewall-Regeln getestet:
    Im VLAN IoT:
    ✅ UDP 5353 → 224.0.0.251, „Allow packets with IP Options“
    ✅ UDP 32414 → 192.168.8.0/24 (Plex GDM Discovery)
    ✅ TCP 32400 → Plex Server
    ✅ UDP 9003 + TCP 9100–9200 → Roon Core
    🧪 Beobachtungen:
    Multicast-Traffic wird sichtbar über tcpdump
    Clients empfangen die Antworten aber ggf. nicht korrekt
    IGMP Snooping evtl. blockierend (aber noch nicht deaktiviert getestet)

    Es scheint nichts zu funktionieren. Hat jemand noch eine schlaue Idee?

    Vielen Dank im voraus.

  • 80 Topics
    433 Posts
    JeGrJ

    Heute spontan OpenHouse im NSFW.pub. Gern einfach mal reinschauen, kann allerdings sein dass zwischendurch mal gerade keiner am "virtuellen Tresen" ist oder ich Getränke hole/wegbringe.

    Cheers :)

  • Failover: Zurückschalten nach Failover

    14
    0 Votes
    14 Posts
    1k Views
    RicoR

    Ich nutze den DNS Resolver.
    Als Default gateway habe ich allerdings eine Gateway Gruppe angegeben.
    Funktioniert bei mir aber auch wenn ich per Policy Routing eine andere Gateway Gruppe als das Default gw verwende.

    -Rico

  • Zugangsproblem über openvpn

    12
    0 Votes
    12 Posts
    806 Views
    V

    @TomNick
    Damit wäre nun die Gateway-Frage geklärt.

  • Zugangsproblem nach Fehlkonfiguration

    4
    0 Votes
    4 Posts
    528 Views
    T

    Danke für die Hints, Problem gelöst, war ein kaputtes Kabel....

  • Traffic zwischen zwei Vlans

    12
    0 Votes
    12 Posts
    1k Views
    D

    Problem scheint gelöst...

    Mein Fehler...

    Um im Forum schreiben zu können - der Windows-PC hängt eigentlich an einem ganz anderen Netz und wird noch auf die neue Struktur gebracht - war für die im pfSense-Netz konfigurierte Netzwerkkarte nur die IP und die Maske definiert. In dem Moment, in dem ich die andere Netzwerkkarte deaktiviert hatte und mir per dhcp die IP von den jeweiligen dhcp-Servern in den beiden vlans habe geben lassen, waren auch die jeweiligen Clients erreichbar...

  • Nach Update: Authentication failed: not enough privileges bei CARP

    11
    0 Votes
    11 Posts
    1k Views
    R

    @mbrabetz

    Hi there, I don't know if you are still there guys (the topic is quite old)...

    I hope this finds you ALL - well (and healthy...)

    We have reached Version 2.4.5-RELEASE-p1 (amd64) built on Tue Jun 02 17:51:54 EDT 2020 FreeBSD 11.3-STABLE
    Our systems are on the latest version.
    Version information updated at Thu Jul 23 2:57:02 +03 2020

    The problem related to CARP sync for a new created administrator... is still there. I just wanted to disable the default admin on the Netgate/pfSense cluster firewalls and use new created individual profiles for audit/accountant and transability reasons.

    I just wanted also to thank you very much for pin pointing the problem with admin privileges that had to be specifically added for HA System - HA node sync to work.

    There were a bunch of other privileges existing on that page, that I didn't yet manually added to the group administrators.
    I wonder if with the new created user admin, I will be able to perform all the usual administration tasks on the Netgate/pfSense cluster...

    Best regards to all.

  • UDP zwischen zwei Subnetzen

    8
    0 Votes
    8 Posts
    643 Views
    RicoR

    Du musst bei privaten Netzbereichen keine Beispiele posten bzw. deine Netze verfremden (vor allem wenn dann die Syntax nicht stimmt). Auch darauf wurde schon mehrfach hingewiesen in der Vergangenheit.
    Man sieht doch dass es deshalb immer wieder zu Verwirrung und Rückfragen kommt, völlig unnötig.

    -Rico

  • 0 Votes
    7 Posts
    1k Views
    S

    Nichts desto trotz: einfach alles auf -GCM konfigurieren immer und ohne NCP Kram, dann hat man vor sowas Ruhe :)

    Ja sobald ich die Geräte in die Hände bekomme.

    Ihr hatte recht, es wird AES256-GCM verwendet auch wenn das Smartphone meckert.
    Das bedeutet erstmal ich kann am Server den Cipher hoch schrauben ohne bei den Smartphones Probleme zu bekommen.

    Jul 20 13:25:24 openvpn 65019 xxx.xxx.xxx.xxx:5041 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 4096 bit RSA Jul 20 13:25:24 openvpn 65019 xxx.xxx.xxx.xxx:5041 WARNING: 'auth' is used inconsistently, local='auth [null-digest]', remote='auth SHA512' Jul 20 13:25:24 openvpn 65019 xxx.xxx.xxx.xxx:5041 WARNING: 'cipher' is used inconsistently, local='cipher AES-256-GCM', remote='cipher AES-256-CBC'
  • pfSense auf CheckPoint 4000 HW

    7
    0 Votes
    7 Posts
    705 Views
    T

    Schade.. Ich bastel trotzdem mal weiter dran, sollte ich's schaffen, poste ich hier meine Erkenntnisse ☺

  • android neueinrichtung: openvpn verbindet nicht mehr mit pfsense

    18
    0 Votes
    18 Posts
    2k Views
    JeGrJ

    Ahso, du blockst gezielt Apps indem du sagst "darf nicht via VPN kommunizieren". I see :)

    Joa machen ja inzwischen viele non-root apps über den Hook als VPN weil sich anderweitig sonst kein DNS oder sonstwas reinziehen lässt. Blokada und Co agieren da ja ähnlich. Das ist aber mit ein Grund, warum ich gern noch ein ordentlich fastboot-fähiges Gerät mag, bei dem ich einfach rooten kann :D

  • HUAWEI me909s-120 in APU4C4 macht mich wahnsinnig

    3
    0 Votes
    3 Posts
    440 Views
    R

    Hallo,
    schau mal ob das Modem nach dem Fehler unter /dev/cuaU1.0 zu finden ist bzw. funktioniert.
    Falls ja, hilft dir das pfSense Paket cellular, damit ist das Modem immer unter /dev/cuaZ99.0erreichbar/verfügbar.

    BTW. chat würde ich auf /dev/cuaU0.2 machen, das ist die serielle Konsole des Modems.

  • IPv6 Ports mittels Firewall blocken

    15
    0 Votes
    15 Posts
    3k Views
    M

    Hey,

    ich habs jetzt hinbekommen, also nicht selber :/. Mein Freund hat mir geholfen und es geht jetzt.
    Vielen dank für die ganze Hilfe.

    LG
    Mathias

  • Was ist der beste ISP für die Nutzung eines pfSense Routers?

    15
    0 Votes
    15 Posts
    1k Views
    S

    @mike69 said in Was ist der beste ISP für die Nutzung eines pfSense Routers?:

    Hallo slu.

    Auch ein Dorfkind? 😂
    Ja und ich fühle mich pudelwohl :)

    Wir haben die ganze Steigerung in den letzten 12 Jahren mitgemacht, DSL 1000, 6000, 16000, 25000, 50000 und jetzt VDSL100 ;)

    Inzwischen haben wir zwei VDSL100 und feste IPs, als Backup haben wir noch eine LTE Flat die auch so um die 80/30 bringt, kann man nicht meckern.

    Seit ein paar Tagen habe ich als LTE Modem den Huawei irgendwas gegen eine Fritzbox LTE 6890 ersetzt, die ist wirklich jeden Cent wert. Fritzbox hängt natürlich als WAN an der pfSense und macht nur LTE Modem.

    Kabel hätte ich gerne als Redundanz, leider wurde es hier nie ausgebaut.

  • pfSense macht kein Internet aber VPN, IPSEC funzt!?

    45
    0 Votes
    45 Posts
    9k Views
    O

    Ah es funzt u sieht schon viel besser aus :)

  • Wie mittels OVPN IPv6 ausleiten

    19
    0 Votes
    19 Posts
    1k Views
    JeGrJ

    @Bob-Dig said in Wie mittels OVPN IPv6 ausleiten:

    Anstandslos vielleicht, aber netcup möchte 1€ pro Monat dafür.

    Sollte man sie mal daran erinnern, dass laut RIPE einem Kunden für sein(e) Netze ein /60 bzw. /56 zur Verfügung zu stellen ist. Finde das schon ein wenig frech.

  • Telekom -> Vigor -> pfsense.

    16
    0 Votes
    16 Posts
    5k Views
    T

    @JeGr gerne. Dafür habe ich das Posting ja gemacht das man aktuelle Informationen findet.

  • Watchguard XTM5 mit pfsense

    3
    0 Votes
    3 Posts
    453 Views
    JeGrJ

    Was @chpalmer schreibt. Es wurde schon mehrfach auch öffentlich hier oder auf der Netgate Seite publiziert, dass wenn die neue API implementiert wird (damals mit 2.5 geplant), AES-NI ein MUSS wird. Da die API aber bereits seit Mitte letzten Jahres für die 2.5 nicht angekündigt wurde weil sie sich verschiebt, wurde klar kommuniziert, dass 2.5 nun erst einmal kein AES-NI voraussetzen wird.

    Es macht allerdings nach wie vor keinerlei Sinn heute noch Hardware (auch gebraucht, sei sie noch so billig) zu kaufen, die kein AES-NI kann, aus genau dem Grunde, dass in Zukunft sehr viel nur noch damit laufen wird. Selbst die letzten kleinen Kisten wie APU2 (3 & 4 sind auch nur 2er Boards mit Änderungen) haben das schon vor Jahren verstanden und laufen bereits so lange mit AES-NI Support. :)
    Auch wenn ihr noch so günstig an irgendwelche alten verramschten Watchguard oder sonstwelche Boxen rankommt, die kein AES-NI haben, lasst sie doch einfach sein und organisiert euch was anderes, was wenigstens halbwegs modern ist ;) 2008 kam AES-NI in die CPUs. 12 Jahre später sollte man schon davon ausgehen können, dass man das als Requirement nutzen darf :)

    Grüße
    \jens

  • Portfreigabe klappt nicht

    10
    0 Votes
    10 Posts
    1k Views
    JeGrJ

    @PFsense-User2019 said in Portfreigabe klappt nicht:

    das er mit dem Port 6666 ins Internet geht und auch noch nach dem NAT den Port 6666 hat?
    Aber wieso ändert sich der Port nach dem NAT?

    Einfach: Ein Gerät will eine externe Verbindung öffnen. Bspw. HTTPS. Dann spezifiziert das Protokoll: Server muss auf tcp/443 lauschen. Clients sollen von >1023 anfragen. Einfacher Fall, toll zu nutzen, denn keine Clients gehen sich gegenseitig auf den Keks. Füge NAT hinzu: immer noch kein großes Problem, denn selbst mehrere Kinder hinter der NAT können zum gleichen Ziel was aufbauen, weil die sich ausgehend eher selten überschneiden. Könnten sie aber! Und das bringt uns zum Problem: wenn jetzt 2 Clients sich entscheiden mit tcp/12345 abgehend zu senden und die gleiche IP aufrufen - was dann? NAT macht die IP Übersetzung und merkt sich 12345 interne IP -> 443 externe IP. Dann kommt der nächste - mit dem gleichen. Jetzt kommt die Antwort von extern -> wohin soll NAT nun die Pakete schicken? Oder anhand was soll es feststellen von wem die kamen? Geht nicht. Ergo randomisiert outbound NAT den Quellport zu irgendwas freiem in seiner Tabelle und schickt es so. Für HTTP/S bspw. ist der Quellport ja egal.
    Zudem gibt es Möglichkeiten für IP Spoofing & Fingerprinting um herauszufinden, wieviele/welche Hosts hinter einem NAT stehen und ggf. deren Session zu klauen. Dagegen hilft Source Port Randomisierung. Und viele OS haben das historisch sehr lange sehr schlampig gemacht - wenn überhaupt (nicht genug Zufäligkeit).

    Problem sind nun aber eben Dienste, die unbedingt wollen, dass die Verbindung von oder zu einem bestimmten Port kommt/geht. Die sind von einem zufälligen Port dann verwirrt oder funktionieren nicht. SIP bspw. oder auch IPsec. Daher gibt es für diese die Möglichkeit mit static port mappings. Da gehören dann auch "schlampige" Spiele rein, die P2P oder andere Mechanismen machen um keine eigenen Server nutzen zu müssen oder weil das angeblich so viel schneller wäre. Würde der Verbindungsaufbau schlicht über eine Art Connection Server gehen, an dem sich die Spieler anmelden (dafür sind oft genug die Lobbies) und anschließend werden die Verbindungen zusammengeschaltet geht das problemlos, da kein eingehender Verkehr benötigt wird. Bei P2P Sachen hat man meist einen oder mehrere bestimmte Ports die dann auf den jeweiligen PC/Konsole weitergereicht werden müssen (eingehend) ode die ausgehend gesprochen werden. Nur dann klappts.

    Fun Fact: Du schreibst Satisfactory in deinem Screenshot: Dafür ist der ganze Spaß komplett unnötig 😁 Spielen hier 3 Menschis problemlos hinter NAT etc. miteinander. Einziges Problem ist da der Client und der EGS/Epic Binding zum Server, der oft beim ersten oder zweiten Mal Starten "strict NAT" ausgibt, beim Neustart des Spiels aber plötzlich auf Type 2 runtergeht (hinter NAT aber erreichbar) und Tada es geht. Muss man nur ab und an den Client mal neustarten bis der Server verstanden hat, was Phase ist 😃

  • Mindestbandbreite

    Moved
    4
    0 Votes
    4 Posts
    730 Views
    mike69M

    Hallo Tim.

    Hier ein echt verständliches Video in Deutsch.
    Ist zwar nur auf LAN beschränkt, kannst aber ein Limiter mit 90 MBit/s erstellen und in die Allow Any to any Rule von VLAN 1 packen. Wo, wird Dir im Video erklärt. Dann bleiben Dir für VLAN 2 10 MBit/s über.
    Ein Limiter für VLAN 2 ist ja nicht nötig. Bedenke aber, du kopierst Daten von VLAN 2 zu VLAN 1, greift dein 90 MBit Limiter, da ist dann nichts mit voller Bandbreite, Das sind dann nur gute 11 MB/s Traffic über deine Interfaces. Blöd, wenn Du ein Gigabitnetzwerk zu Hause hast. :)

    Mike

    Es sei denn, die willst dienste priorisieren, dann wäre der

  • pfSense - Gateways unknown/pending

    5
    0 Votes
    5 Posts
    587 Views
    dogfight76D

    Heute sieht es nach reboot so aus:
    pfsense1.JPG

    pfsense2.JPG

    Ich habe ja nichts geändert an der ganzen Config.
    VPN-PC ist ein "Dell Optiplex 7010 SFF Core i5-3470 4x3,2GHz 4GB 120GB SSD AMD 7570 DVD-RW W7P64"

    Und als Beispiel die Config des Gateway unter:

    VPN/OpenVPN/Clients/Edit

    VPN1.JPG

    VPN2.JPG

    VPN3.JPG

    VPN4.JPG

    VPN5.JPG

    Anbieter ist NordVPN und die Zugangsdaten (Username und Passwort) sind von hier:

    NordVPN.JPG

    Und was mache ich jetzt ?

  • Bootprobleme

    Moved
    6
    0 Votes
    6 Posts
    567 Views
    JeGrJ

    Wenns so einfach war, dann super! 👍

Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.