Vielen Dank für deine Einschätzung.

Hy JeGr,
dann dank ich dir mal für deine Info, und warte ich mal brav ab, wie sich das weiterentwickelt.

Best Grüße aus der Versenkung ;)

@goblinx said in Portweiterlweitung Fritzbox ->pfsense ->Debianserver:

Werden dann die eingeklappten Quellen benutzt um intern zwischen den den einzelnen Netzen / evtl. Routern zu routen?

Routen hat nicht mit Port Forwarding/NAT zu tun. Geroutet wird immer wenn es von einem Netzbereich in einen anderen geht. Der Quell-Part ist zugeklappt, damit man bei solchen Weiterleitungen eben nicht auf die unnötige Idee kommt irgendwas mit Source Filtering machen zu wollen. Wenn du jemand mit ner statischen IP hast, dann macht das schon Sinn, denn dann kann man diesem Client/Netz/IP die Weiterleitung einrichten und NUR diesem. Für alle anderen Quellen gibts dann nichts. Aber Weiterleitungen braucht man zu 95% von WAN->intern und nicht andersrum. Quelle nur wenn genau bekannt und nein, DynDNS gehört da nicht mit zu. :)

@three said in Unifi Switch 8 USG erforderlich - pfsense:

@goblinx Die USG brauchst Du eigentlich nicht. Wozu auch? USG und pfsense sind entweder ... oder ... beide braucht es nicht.

Was @three sagt. pfSense kann wesentlich mehr als das USG, es macht keinen Sinn noch eine USG zu kaufen und die auch noch hinter der Sense ins Netz zu hängen. Wofür auch? Nur dass im Controller bei "Internet" Zahlen auftauchen wieviel UP/Down Speed da ist? Oder Regeln aus dem Unifi Controller machen? Dann entscheide dich gleich ob du alles mit Unifi machen willst und lass pfSense weg. Oder nimm pfSense und pfeif auf die paar Funktionen die das im Controller betrifft.

Gruß

@JeGr Moin, moin, ich habe in Deiner Signatur gelesen, dass man Dich evtl. zum Thema Pfsense engagieren kann. Ich bräuchte mal ein bisschen Starthilfe und fachkundige Unterweisung. Wenn das möglich wäre, kannst Du hier ne Nachricht hinterlassen oder ne´ Email an h.mueller@fitmart.de

ein sky q Receiver bietet sowas nicht an. Deshalb würd ich ihn gerne in der Hostnamen in der leasetabelle anpassen. Aber ne statische ip is der Receiver mir nicht wert :)

Ja. Statt 40TB hatte sie bereits 73 TBW.

@hege Hallo danke für Info. Ich hab nun die Konfig. schon ein paar Tage im Betrieb, bin aber nicht so glücklich. Hättest Du ev. eine Anleitung für die Konfig.?

Konnte inzwischen im Hauptbereich klären, dass wohl Essig ist und mein toller ISP Pyur mal wieder pyuren Bullshit macht bzw. nur einen 64 Prefix vergibt. D.h. es bleibe bei mir wirklich nur ein Interface mit IPv6.
Hab es dann jetzt so final umgesetzt, Server sind am dual stack Interface, der Rest am IPv4 Interface. 🎅

Vielen Dank @JeGr für die wertvollen Anmerkungen.

Hallo,

danke für die Rückmeldung.
Das heißt nun, aufgrund eines Bugs wurden nur falsche Daten ins Log eingetragen?
Damit könnte ich leben. Wäre aber doch wünschenswert, dass das behoben wird, um
uns solche Schocks zu ersparen.

Grüße

Natürlich weil fe80:: Adressen nur auf dem Interface laufen und im gleichen Netzsegment. Wenn man also zwei Kisten hat, die sich ggf. per v6 erreichen können geht das per v6 und fe80::xyz aber eben nur im gleichen Netzsegment und ohne Routing whatsoever.

Das gibts doch nicht! Jetzt will ich Screenshots machen und es geht.

@tpf said in Anfängerfrage: einen Openvpn User für mehrere Verbindungen?:

Davon gehe ich mal aus. Stand der Technik. ;-)

Joa sagen wir mal "die üblichste Variante" aber nicht die Einfachste aufzusetzen. Leider. Etwas Hintergrund gehört da auch dazu.

Mir war das auch nicht bewusst. Darum hab ich es einfach mal gemacht ;-)nut.PNGnut2.PNG

Nabend @AK_47-2.

Die Regeln greifen, bildlich gesehen, immer in Richtung aktuelles Netzwerkinterface weiter in die Sense und von da raus in ein anderes Interface.

Regeln in der DMZ werden also am DMZ Netzwerkport, also incoming, abgearbeitet, bei einer block any to any rule wäre dann am Port Schluss.
Eine " allow tcp DMZ-NET to LAN-NET" würde an der DMZ Schnittstelle alle tcp Pakete durchlassen Richtung LAN Schnittstelle, udp und Co werden am DMZ Port geblockt. Regeln greifen nur an den eigenen Netzwerkports.

Der Diagnose/Ping sitzt quasi zwischen den LAN- und DMZ Schnittstellen. Weil die Sense als Router in jedem Netzwerk vorhanden ist, im LAN wie auch im DMZ, kann eine Regel unter DMZ so nicht greifen. Eventuell eine "block any IP_der_Sense to DMZ-NET", da bin ich überfragt. Wenn das klappen würde, sägst Du dir den Baum unter deinen Füssen weg, dann gibt es kein Zugriff von LAN auf DMZ, weil die Sense als Gateway kein Zugriff auf DMZ hat.

Ob die Interfaces physikalisch oder virtuell als VLAN sind ist dabei egal.

Hoffendlich ist das irgendwie verständlich.

Oh, @nonick war schneller. :)

@JeGr said in LAN zu DMZ Zugriff:

Uff OK das ist ganz anderes Terrain für den Thread hier ;)

Stimmt, hätte mich mit @verdammt dann anders kurzgeschlossen :)