Hi

ja an sowas dachte ich auch schon - hänge ich aber einfach nen Laptop dran wird dieser sofort mit der öffentlichen IP versorgt und funktioniert auch sofort.

Komisch ...

NGFW Gedöns wirds wohl sein. NextGenFireWall Buzzword Bingo. Potentiell was wie IDS oder Mod_security o.ä. was noch dazwischenläuft. Dazu kenn ich die Fortis zu schlecht.

Nah, 4 ist eigentlich schon genug. Wäre aber sinnvoll ggf. Server und Client Logs aus dem gleichen Zeitraum ggü stellen zu können.

@gtrdriver said in APU4c4 hat damit jemand Erfahrung ?:

Sein Tenor war dass die so gut wie nie ausfallen und für den geforderten Anwendungszweck sehr gut laufen ...

Das kann ich nur unterstreichen. Bei den knapp 80 APUs (egal ob 2c4 oder 4c4), die ich bisher seit Jahren im Einsatz haben, hatte ich 0 Ausfälle!
Wichtig is darauf zu achten, das die Dinger halt genug "Luft" bekommen um nicht hinwegzuschmelzen :)

USVs sind zwar immer schön und ich empfehle es auch immer meinen Kunden, aber großartige Ausfälle aufgrund eines Stromausfalls ohne USV sind wirklich selten. Ich benutze die APUs nicht nur als pfsense, sondern auch als Hardwaregrundlage für Debian mit Telefonanlage (3CX).

Für mich eine der stabilsten und vom Preis her absolut vertretbaren Lösung.

aber danke für den Link zu https://www.scope7.de/. Finde ich auch interessant, denn manchmal reichen auch 4-Ports nicht aus.

Gruss,
Marcel

Bitte poste mal die Leitungswerte, vermutlich ist die Verbindung schlecht und die Fritzbox schmiert einfach ab. Mit dem TC4400 bist Du da deutlich besser aufgestellt, darum läuft es damit auch besser.

Ich wüsste nicht wie. Die Fritzbox habe ich ja nun nicht mehr dran, bei der das ganze einfach gewesen wäre.

Den WAN Port in der pfSense fix auf 1000 base-T fullduplex stellen, damit er nicht hin und er schaltet.

Was meinst du mit hin und her schalten?

@kira12 said in bestimmte Domain über proxy/VPN routen:

und unterwegs mit dem Telefon um etwas mehr Privatsphäre zu nutzen.

Warum hat man dann unterwegs mehr "Privatsphäre" wenn man alles zu den Servern von irgendeinem dubiosen VPN Anbieter bläst? Ich werd's nie verstehen ;) Ja gegen GeoBlocks helfen VPNs. Für sonst? Eigentlich nix.

Mahlzeit.

Was sagen denn die Firewall Logs?

Du kannst ja erst mal einen Alias der Drucker erstellen, dann eine Rule mit allow tcp/udp Printer to any, Log aktivieren und sehen, welche Ports noch gebraucht werden.

Die Drucker stehen bei Dir und der Printerserver im RZ?

Hallo @Woodsomeister ,

ich habe zwar nur die kleiner 5-Port-Variante im Einsatz und weiß gerade auswendig auch nicht, ob es eine v3 oder v2 ist, aber hier geht der Zugriff über VLAN-Trunk auch über VPN Problemlos.

Was mich ein bisschen an Netgear stört ist, dass die kleinen managed Switche nicht wirklich abgesichert werden können über ihre Verwaltungssoftware prinzipiell aus jedem Netzt gefunden und angepasst werden können, sprich: auch auf jedem Netz lauschen. Ich könnte mir vorstellen, dass es zu Problemen kommen könnte, wenn der Switch auf DHCP gestellt ist und die statische Adressvergabe nur über einen DHCP-Server erfolgt.

Mein Switch ist also auf eine statische IP am Switch konfiguriert. VLAN ist 802.1Q Advanced. Die PVID des Trunk-Ports ist auf das Management-VLAN eingestellt. Ansonsten würde ich vielleicht noch die VLAN Mempership des Trunk Ports doppelt nachprüfen. Nachdem die Konfiguration für jedes einzelne VLAN doch etwas umständlich ist, vergisst man vielleicht mal ein VLAN oder hat es versehentlich auf untagged eingestellt.

Sofern die 30 OVPN Verbindungen nicht wirklich viel Bandbreite ziehen (ergo viel Verschlüsselung aufwenden), solltest du mit dem Xeon da kein Problem haben. Sollen die 30 wirklich gleichzeitig aktiv sein sollen (Einwahl oder Tunnel?) und wirklich Bandbreite ziehen, käme es stark auf die SingleCore Performance an und/oder ob man die User ggf. auf mehrere OVPN Server verteilen kann (um sie auf unterschiedliche Kerne zu splitten).

10Gbps im LAN ist dann wieder andere Baustelle und eher I/O, Platine und Netwerkhardware abhängig. Wenn die 10G wirklich gefordert sind, könnte es aber auch mit der Leistung noch etwas nach oben gehen.

Gruß

Danke für die ausführliche Erklärung!

Inzwischen habe ich es ja am laufen, so wie du beschrieben hast.

Kann mich per IPv6 mit dem VPN Server verbinden, und kann die IPv4 Clients im Heimnetz über IPv4 ansprechen.

Kannst du ggf noch was dazu sagen? -> https://forum.netgate.com/topic/147953/client-openvpn_ipv4-vserver-openvpn_ipv6-zuhause-und-zur%C3%BCck-m%C3%B6glich

Die DG verwendet doch DS-Lite? Aber wie man das konfiguriert weiß ich nicht.

Es war ein Bug und wurde mit diesem Release behoben:
https://forum.netgate.com/topic/147933/snort-3-2-9-10-package-update-release-notes

Das hilft leider nicht weiter.

Grundsätzlich benötigt PPPoE nichts weiter als Ethernet, daher glaube ich nicht an ein Hardwareproblem, wenn die Netzwerkschnittstelle sonst ordentlich funktioniert.

Grüße

Hi

das ist eine super Idee - danke für den Tipp.
Ich werde mir das mal anschauen sobald ich etwas Zeit habe.

Ein netter Arbeitskollege gab mir den Tipp, es doch mal mit einem symbolischen link zu versuchen. Gesagt, getan. Das Einfügen eines symbolischen links im Verzeichnis /usr/local/lib: ln -s libnettle.so.6.4 libnettle.so.7 heilt dieses Problem.

Es tritt das nächste Problem beim Aufruf von tshark auf:
Shared object "libhogweed.so.5" not found, required by "libgnutls.so.30"

ln -s libhogweed.so.4.4 libhogweed.so.5 heilt dieses nächste Problem nicht.

Die neue Fehlermeldung lautet: /usr/local/lib/libhogweed.so.5: version HOGWEED_INTERNAL_5_0 required by /usr/local/lib/libgnutls.so.30 not found

Weiß jemand wie man das lösen kann?

Hallo.

Hatte so ein Phänomen auch, eine Alias erstellt mit einer Sub-Domain (smtp.strato.de) für ein SMTP-Relais, eingebaut als "destination" in einer Rule.
Konnte den Namen nicht auflösen, Tests unter Diagnose/NS-Lookup oder ein

in der Konsole lösten den Namen auf. Habe das aber nicht weiter verfolgt.

Mike