@viragomann
Vielen Dank!

Das war es wirklich. Jetzt funktioniert es wie gewünscht.

Somit ist es gefixt. Der Spectrum Analyzer war der einzigste Weg.

Regeln bedarf es keine, wieso auch?

@viragomann said in Rechnerfreigabe per Hostname:

Ich verwende das, glaube ich, nicht. Somit auch keine Probleme.

Dito, sollte man m.M.n. so viel als möglich vermeiden. Zudem ist gerade Unbound anfällig bei DHCP registration ständig zu hängen, weshalb es beim Resolver nicht empfohlen wird Register DHCP leases zu aktivieren. Static Mappings sind kein Problem, bei OpenVPN hab ich bislang nichts gehört. Das könnte dadurch aber auch das Problem sein, da Unbound dann ständig neu startet und dann die Infos nicht vorliegen.

@OKuenstler

Entweder testweise den DNS Forwarder nutzen - da läuft dnsmasq statt unbound der das Problem nicht hat - oder eben statisch gemappte IPs nutzen. Verstehe nicht warum das in LAN, WLAN und OpenVPN nicht gehen soll - machen ja hier mehrere Dutzend Leute auch ;) LAN geht per MAC, WLAN geht per MAC, OpenVPN geht per Zuweisung via Radius oder Client Specific Override.

Hatte bislang aber selbst in höheren Sicherheitsstufen niemand, der eine "Person" egal von wo genau auf EIN Ziel freigeben wollte/musste. Dafür gibt es ja Zonenkonzepte. Client VPN bspw. darf in Client PC Subnetz o.ä. - Dass genau Huber-PC, Huber-Laptop und Huber-via-VPN genau nur auf bestimmte IPs kommt, hab ich konzeptionell noch nirgends gesehen - bei entsprechend größerer Zahl an Mitarbeitern viel zu großer Aufriß um das noch vernünftig und sicher betreuen zu können. Außerdem anfällig gegen DHCP/DNS Injection Angriffe

Wirklich neugierig nachgefragt: Wie machst du dann dein Alias/Freigabe? DNS Name ist dann bspw. huber-laptop weil sich der so im DHCP registriert und an den DNS weitergegeben wird?
Wenn ja, was machst du dann sicherheitstechnisch bei der Konstellation wenn einer einfach seinen Rechner umbenennt? Dann kommt er auch nirgends mehr hin, oder? Lerne ja gern immer wieder dazu, was andernorts so gebaut wird :)

Die custom options sind IMHO unnötig und werden automatisch gesetzt. Würde ich ggf. nachsehen im erzeugten Konfig-File. Man muss nicht jeden Krempel übernehmen auf Teufel komm raus ;)

Das Log vom Client (erster Pastebin?) sieht typisch dafür aus, dass nichts ankommt. Versucht die Verbindung zu 123...:443 und bekommt ein TCP Reset weil nichts zurückkommt. Verstehe zwar nicht warum da mit Brechstange versucht wird 443/tcp zu nutzen, aber da würde ich den Server checken und ggf. Firewall, IPtables o.ä. prüfen -> da scheint nichts anzukommen. TCPdump hilft.

Das Thema Multicast und WLAN ist hier nicht weiter beachtet worden.
Multicast sollte vom Accesspoint in Unicast umgesetzt werden, da sonst die Pakete gar nicht, order nur mit der geringtesten Geschwindigkeit im WLAN weitergeleitet werden. Da reden wir dann von 2MBit/s, wenn nichts anderes eingestellt wurde. Obacht!

Grüße

@MABINOGION Gerne.

Sicher tel.t-online.de und nicht tel.telekom.de ?

-Rico

Hat sich für uns erledigt, die pfSense wird nicht mehr eingesetzt.

Hi Andrè,

das ist ja ein Ding. Ich hätte da nur folgende Erklärung. So wie ich das verstanden habe, hast du die Fritte jetzt in deinem privaten LAN und die Doorbird in der DMZ. Ich gehe davon aus, dass du die IP der Fritte nicht verändert hast.
Somit hat die Doorbird (bei Anschluss an der Fritte) den richtigen Weg zur Fritte. Wenn du die Doorbird danach in die DMZ gehängt hast und die Fritte nicht verändert hast, dann kann ich mir das gut erklären, dass die Doorbird den Weg zur Fritte weiterhin findet, da du (wahrscheinlich) dein Routing von der DMZ in dein privates LAN (Fritte) geöffnet hast. So kann ich mir das vorstellen.

Aber: Einen Weg von der DMZ in dein LAN hinein - keine gute Idee. Von intern nach DMZ ist das OK aber von DMZ nach intern? Die Doorbird hängt ja im WAN, also ist diese evtl. auch angreifbar. Und wenn jemand deine Doorbird kapert, findet er den Weg in dein privatzes LAN.

Oder habe ich das falsch verstanden?

Ich habe pfsense auf einer Realsoft Firewall APU.4C4W laufen. Zum WAN ein DSL-Modem und die Fritte als IP-Client eingerichtet, da ich als Telefone die AVM FritzFon benutze. Leider wie schon berichtet habe, sind einige Apps (AVM FritzFon, Haussteuerung etc.) nicht in der Lage, über Subnetze zu kommunizieren. Das ist echt noch verbesserungswürdig seitens der App-Hersteller. Denn eine Trennung von Haussteuerung zum privaten LAN und eine DMZ (mit Fritzbox und Doorbird) getrennt vom privaten LAN fände ich super. Das ist überhaupt der Grund, warum ich mir eine andere Firewall-Lösung angeschafft habe (das Subnetting). Ich arbeite weiter daran und hoffe bals eine Lösung dafür zu finden.

Gruß
Thomas

Hier findest du eine Lösung wie es geht:
OVPN Client routet
oder auch:
OVPN Client

Relevant ist hier das der Client zwingend IPv4 Forwarding aktiviert hat (Routing)
Bei Winblows ist das ein Eingriff in der Registry:
http://www.winfaq.de/faq_html/Content/tip0500/onlinefaq.php?h=tip0908.htm
Und das im Client und Server das lokale IP Netz des Clients eingetragen ist fürs Routing.
Damit klappt das dann fehlerlos.

Hier findest du ebenfalls eine Lösung zu der Thematik mit gemischten Site 2 Site VPNs (OVPN und IPsec) und mobilen (IPsec) Nutzern:
OVPN/IPsec Mix 1
bzw.
OVPN/IPsec Mix 2
Und last but not least die VPN Dialin Lösung für mobile User und bordeigenen VPN Clients:
VPN Dialin

Hallo,

ich habe VDSL und eine Fritzbox die NAT macht, noch dazu ein Kabelmodem was kein NAT macht. Beide haben jeweils eine IP. Lässt sich das lösen mit CARP? Wobei die Fritzbox bald einem Modem weicht.

Gruß und dank ré

@zaphood
Super! Danke für die Rückmeldung.

Danke @viragomann, Du hast mir sehr geholfen. 👍

Danke hab es jetzt hinbekommen :)

Aus irgendwelchen unerfindlichen Gründen läuft das TAP nun. Alles schick :)

@JeGr Bei mir wird da nix kommuniziert aber bin auch nicht bei der Telekom, konnte das durch ein capture jetzt auflösen, nur ein /64 prefix bei Telecolumbus.

Bin gerade stolz wie Bolle, das erste mal Packet Capture gemacht. Mit pfSense auf dem WAN-Interface und anschließend in Wireshark geladen. In Grün ist der Filter zu sehen und dann auf "Advertise XID" geklickt brachte die nötige Info zu Tage.

Capture.JPG

na so wie ich das verstehe, muss das, was auch immer dann da hängt, irgendwie mit der Telekom reden können ... also es ist ja nicht nur eine reine DECT Station sondern eben auch mit Einwahl und so verbunden ... und da hab ich halt gar keine Ahnung, was man da alternativ zu einer Fritzbox nehmen kann. ¯_(ツ)_/¯

du musst da ggf. die VoIP und RTP Pakete noch entweder aus der NAT ausnehmen (sofern du abgehend in Richtung Lancom NATtest) oder zumindest sicherstellen, dass die Ports nicht randomisiert werden. Das kannst du in den Outbound NAT Einstellungen machen.

Grüße

Selbst dann will man den Login um eindeutige Zuordnung zum Gerät zu haben. Sonst kann einfach jeder x-beliebige Client mit Internet seine Adresse spoofen.