@JeGr said in Firewallregeln hostbasiert in pfSense möglich (IPv6)?:

Solang die DUID vom Gerät gleich bleibt und die generierte IP6 somit intakt bleibt, kann man auch die IP6 in einen Host Alias gießen und benutzen. Muss man natürlich auch in den Regeln IPv6 statt v4 einstellen (oder beides, je nach Alias). Da du aber nicht schreibst ob es um eingehenden oder abgehenden Traffic geht, ist mir unklar, wo dein Problem liegt.

Mir ging es um eingehenden. Was meinst Du mit

kann man auch die IP6 in einen Host Alias gießen

Dass ich eine IP6 in einen Alias eintragen kann, ist ja nicht das Ding, sondern ich wollte einen Host in einen Alias eintragen. Dieser Host sollte sich in der Firewallregel dann automatisch anpassen bei einer Änderung der IP. Das Ganze hat aber nur für IPv4 funktioniert und nie für IPv6, obwohl der Host durch den DHCP6 Server in den DNS-Server eingetragen wurde und sich auch so ausgeben ließ per nslookup.

Auch sollten die Aliase eigentlich diese Funktion bieten, aber mit meinen lokalen Hosts funktionierte das wie gesagt nur für IPv4, was zeigt, dass es gehen könnte. Am Ende war ich so enttäuscht, dass ich IPv6 endgültig rausgeschmissen habe. Dass die Fritzbox es kann und eine pfSense nicht, traurig.

Ah Squid spezifisch. Keine Ahnung dann, genau den MITM Kram versuche ich zu vermeiden und den Leuten auszureden, da er m.E.n. Sicherheit vorgaukelt wo eher das Gegenteil der Fall ist.

@JeGr Konnte inzwischen bestätigen, dass die mit den Nullen vom DHCP kamen, eigentlich auch offensichtlich.

Da du keine großen Infos zu deinem Setup und der pfSense Einstellung schreibst, ist helfen ein wenig schwer für uns, vor allem ohne zu raten, was dein WLAN anders macht als deine anderen Netze oder was mit "andere WLAN Netze" gemeint ist.

Wenn mans von Hand konfiguriert, sprich über config-Dateien, nimmt man einfach alles raus, was nicht EAP-TLS ist ;-)

Und solange man nicht weiß, wie das Outlook überhaupt "Mail empfängt und sendet" wird man auch keine Aussage treffen können, WIE das zu bewerkstelligen ist. Ist heute Tag der Einzeiler und ich habs im Kalender nicht gesehen? Ihr könnt doch wenn ihr Hilfe wollt und ein Problem habt dieses ordentlich beschreiben und notwendige Infos mit in den Post packen. Woher soll denn jetzt ein Außenstehender wissen, mit was du wie über welches Protokoll von wo nach wo Mails empfängst und sendest und jetzt wissen, warum das, was du zum Sperren konfigurierst nicht klappt? Mails funktionieren ja nun nicht über genau einen fixen Weg und nur diesen.

Grüße

Genau. Post anpassen und mal zwei Takte drüber schreiben was das eigentlich werden soll.
Ein "EY, glubsch ma' Bild! Geht wie?" ist schon hart dran an a) zu wenig Information und b) bisschen dreister Vorstellung von "Forenhilfe".

Zumal der ganze Bums von verschiedenen Faktoren abhängt, die man alle nicht ohne ne Glaskugel raus bekommt. Fängt bei den IPs schon an (geroutet etc.). Und einige IP/Port Kombos sind ziemlich beschränkt zusammengelegt, was so nicht gehen wird. Proxy hin oder her. Allein der Quark mit "test.domain.de" auf 3 verschiedene IPs zu streuen oder bei mail zu splitten. Na viel Spaß mit Blacklisten und HELO/EHLO Antworten. Da hilft auch Proxy nichts, da müsste man erstmal ne ordentliche Architektur machen und Sinn reinbringen. Aber mit "geht das" ists da nicht getan ;)

Es hat sich herausgestellt, dass der mitgelieferte TAE-Adapter der DSL-Leitung defekt ist und somit sporadisch eine schwache Verbindung aufgebaut wurde. Mit einem anderen Kabel klappt das Modem einwandfrei!
😌

ich werde wahrscheinlich ein Gigaset s850a go nehmen, eigene vlan für Telefonie machen, auf dem switch weiterleiten zu einem port, das Gerät bekommt fix Ip, NAT 1:1 zu dem Gerät, und fertig. Kann es so funktionieren?

@ElenaLauder said in Benötige Hilfe bei Hardware/Router/WLAN Wahl mit pfsense.:

Kann ich mir eine Hardware mit WLAN bei Aliexpress kaufen, pfsense und die Firewall als Router und WLAN Router verwenden?

Ja, willst du aber nicht. WLAN möchtest du extra haben, denn das macht auf FreeBSD keinen Spaß.

Somit ist alles doch in einem Gerät und benötige kein zweites.

Macht aber gerade bei einer Firewall Sinn, eben nicht alles auf einem Gerät zu haben.

@ElenaLauder said in Benötige Hilfe bei Hardware/Router/WLAN Wahl mit pfsense.:

Ich weiss nicht ob ich mir eine Hardware kaufen sollte und Astaro drauf laden.
Aber da gibt es scheinbar Probleme eine Hardware mit WLAN zu finden die mit den Treibern
von Astaro funktionieren.

Was bei Astaro (gibts nicht mehr, du meinst sicher Sophos?) besser funktionieren sollte (zumindest Astaro basierte noch eher auf Linux und da geht es mit WiFi Treibern besser zu) aber daran zeigt sich, dass es eben nicht so super funktioniert, WLAN auf ne Firewall zu packen.
Wenn du Astaro (oder Sophos) aber einsetzen willst, dann solltest du besser dort fragen, was du kaufen sollst. Deren Hardware Empfehlungen liegen sicher anders.

@ElenaLauder said in Benötige Hilfe bei Hardware/Router/WLAN Wahl mit pfsense.:

Ich will ein WLAN in meiner Wohnung.

Alleine dafür ist ein separater Access Point besser da der sinnvoller positioniert sein kann um deine Abdeckung zu verbessern als wenn er reingequetscht irgendwo in der Firewall mit läuft, die vllt. wegen Internet Anschluß sehr ungünstig steht.

Ich will per Remote auf meinen Computer zugreifen können.

Solltest du nur via VPN.

Die Kamera soll nach aussen erreichbar sein.

Dito

Ich möchte OpenVPN verwenden. Das heisst jegliche Verbindung muss verschlüsselt werden,

Zur Einwahl ins Haus? Oder abgehend alles was du im Netz machst? Warum? Es macht keinen wirklichen Sinn und ein echter Sicherheitsgewinn ist allerhöchstens marginal, dafür aber jede Menge unnötiger Ärger und Kosten. Zudem ist es hochgradig unwahrscheinlich, dass du bei VPN Vollverschlüsselung

vernünftige Hardware in deinem Preisrahmen findest, die 600Mbps encrypted aushält und dir der VPN Anbieter überhaupt so hohe Datenraten ermöglicht.

oder ich bin mit meinem Handy unterwegs, benutze ein öffentliches WLAN und alles wird über das OpenVPN weitergeleitet.

Das ist typische OpenVPN Remote Einwahl bei dir zu Hause. Das kannst du natürlich dann auch so konfigurieren, dass das Handy dann über die eigene Hausverbindung surft. Wird dann lediglich von deiner Upload Bandbreite bestimmt (Download hat es ja anscheinend genug).

Aber für ~500SFR/EUR wird es schwer, vernünftige Hardware zu finden, die bspw. 600Mbps fully encrypted auf Dauer liefern kann. Selbst Netgates eigene Kiste bringt das erst ab der SG-5100 und da sind wir im Bereich 750-800€ (durch Rabatt momentan).

Grüße

@cyruz said in pfBlockerNG-devel macht Probleme nach Neuinstallation:

pfB_Top_v4

Statt dessen mal in Diagnostics / Tables geschaut WAS genau in der Tabelle drinsteht? Manchmal verirrt sich in solche Listen auch gern mal ne private Adresse oder Adressblock und dann geht natürlich nichts mehr. Ansonsten ist der Screenshot nichtssagend, denn das was da aufgeführt ist macht keinen Sinn - zumal die Tabelle pfB_Top_v4 abgehend nicht geblockt sein sollte, aber wahrscheinlich als stumpfe Floating Rule auf allen Interfaces hört. Das Verhalten würde ich ändern und normale Interface Regeln erstellen lassen, SO behinderst du gerade deine eigene Kiste daran simple DNS Abfragen via DoT an :853 zu schicken. Dass dann gar nichts mehr geht ist klar ohne DNS.

Grüße

Danke für die Antworten.
Ich belasse es dann so wie es ist und definiere die Verbindungen manuell.
War nur ein Gedankengang mir eventuell einen Schritt einfacher zu machen.

Wie du schon richtig siehst, beim WAN wurde genau das gemacht, was ich beschrieben habe: Er wurde durch ein anderes VLAN aus dem Switching ausgenommen und als eigenständiger Port an den internen Switch angeklemmt, über VLAN 4090. Es müssen 9t und 10t getaggt sein, denn das sind die internen Uplink Ports, quasi die 2x 2,5Gbps Ports. Die werden dann via lagg0 zusammengeknotet, damit man virtuelle 5Gbps hat. Die restlichen Ports - 2-8 - sind dann wieder im VLAN 4091 aber untagged und nur auf dem 9er und 10er wieder tagged für den internen Dummy-Uplink.

Wenn du jetzt bspw. Port 2 ausklinken willst, mache genau das, was auch WAN gemacht hat mit einer anderen VLAN ID. Leider hab ich gerade keine 7100 hier mit der ich das durchspielen kann, sonst würde ich das einfach kurz durchspielen.

@caracush said in Abuse-Message : Offene DNS-Resolver in AS24940:

Nutze lediglich den DNS Forwarder. Habe jetzt das Port 53 für Anfragen von Außen Blokiert. Ich gleube ich habe einfach generell verständnis Probleme was wofür und wie genutz werden kann. Vielen Dank für die schnelle abhilfe.

Dann ist entweder der Report ein False-Positive, du hast irgendwo sonst noch einen DNS laufen der unter der monierten IP erreichbar ist oder was sehr schräges im DNS Forwarder eingestellt UND diesen zum WAN hin absichtlich geöffnet. Ansonsten müsstest du entweder eh alles zum WAN geöffnet haben (gravierender Sicherheitsmangel) damit DNS von extern überhaupt erreichbar ist. Das würde mich wundern. Genauso warum man vom WAN aus Zugriff auf den Forwarder/Resolver freigeben sollte. Hattest du das gemacht? Denn "explizit blocken" musst du auf dem WAN gar nichts, wenns nicht vorher geöffnet wurde?

@renegade Unter Diagnose / NDP-Tabelle siehst du alle vergebenen IPv6 Adressen.

IMHO ist die Fiber unnötig, außer du hast Bedarf an SFP (NICHT SFP+!) um irgendwohin ne lange Glasfaser zu legen. Ich kenne keinen sinnvollen Usecase dafür shrug

~820€ ist ganz in Ordnung, ~800€ wäre jetzt so der Preis den ich angesetzt/vermutet hätte. Da aber noch ne zusätzliche SSD verbaut ist und statt 4 8GB RAM drin sitzen, ist das sehr in Ordnung. Die Netgate eigene SG-5100 (gleiche Hardware) kommt für ~830€ mit nur 4GB RAM und ohne zusätzliche SSD (nur interne 8GB eMMC), insofern absolut gerechtfertigt.

Aber wie gesagt, man muss schon Bedarf an SFP 1Gbps Glasfaser haben, sonst macht die Fiber IMHO keinen Sinn.