Ich würde allerdings auf einer APU im Leben nicht virtualisieren. Die ist an sich ja schon nicht gerade die Schnellste mit der in die Jahre gekommenen Geode-APU. Kann man sicher sich für zu Hause so alles basteln, aber dann würde ich persönlich das auf potentere Hardware packen womit man noch was anfangen kann. schulterzuck

Konnte das Problem lösen. Siehe:
https://forum.netgate.com/topic/149458/acme-with-webroot-ftp-not-work/7

Das schon ausprobiert?
https://docs.netgate.com/pfsense/en/latest/hardware/tuning-and-troubleshooting-network-cards.html#pppoe-with-multi-queue-nics

-Rico

Diese Option ist gesetzt?
System > Routing > Gateways > Edit Gateway > Display Advanced > Use non-local gateway

-Rico

@viragomann : Danke, funktioniert!

Hier findest du eine wasserdichte Anleitung für die pfSense-FritzBox Kopplung
Bzw. dort im Tutorial auch in den weiterführenden Links unter Standort LAN zu LAN VPN Verbindung mit FritzBox und pfSense Firewall (Aktuelles GUI):
Funktioniert fehlerlos und auf Anhieb...

@esquire1968-0 said in Clients auf Internet Zugriff beschränken:

Das Problem ist, dass der Drucker kein WPA2 Enterprise kann

Ah ja, leider ein verbreitetes Defizit.

Mit "Der Drucker könnte in beiden Netzen sein" sein habe ich gemeint, entweder im sicheren oder im unsicheren.
Wenn du ihn ins IoT-Netz gibst, musst du eben die Druckerkonfiguration deiner Rechner anpassen und die neue IP einsetzen.
Auf der Firewall hast du vermutlich am LAN Interface ohnehin alles erlaubt.

Grüße

@woodym
Genau dns ist für die auflösung namen in ip zuständig und zwar sowohl legacy ip wie auch ipv6.
ipv6 Adressen bestehen aus einem prefix welche einem sein Provider zuteilt und einem suffix welche sich der Rechner aussucht.
Der Suffix kann gleich bleiben auch wenn der Provider eine neue Prefix verteilt.
Die Länge des Prefix ist immer gleich z.B. bei Unitymedia in BW 56 bit lang.
ich bräuchte also eine möglichkeit fest zu sagen Host z.b. vpn hat suffix 1:2::3:4 host web hat sufix 1:3::2:4 und die länge meines prefixes ist 56 bit.
Die Prefix und ipv4 kommt dann von der pfsense.
wenn ich jetzt über dns einen aaaa für vpn.peterle.srvhome.de suche kommt zurück: prefix:1:2::3:4
Frage ich nach aaaa für web.peterle.srvhome.de kommt zurück: prefix:1:3::2:4
frage ich nach dem a recourde für egal für welchen kommt die ipv4 zurück.
Die Freigabe erfolgt dann auf seinten der Firewall über Portweiterleitung für ipv4 und eine Firewall regel für ipv6 zumindest solange noch ipv4 relevant wird.
Wenn ipv4 hoffentlich irgendwann nicht mehr wirklich wichtig wird, und die ports ausgehen, kann man einzelne hosts nur über ipv6 Freigeben.
Deine SNI Lösung funktioniert bestimmt super solange du nur webserver hast. für mich wäre u.a. aber noch interessant: vpn für den zugriff vom handy / Laptop ins komplette netzwerk.
mqtt zur standort bestimmung der Handys auf dem privaten Server.
sip u.s.w. der Telefonanlage.
Einzelne freigaben für Gameserver welche ich privat hoste.
diese Auflistung ändert sich übrigens schnell :-)

Der vorschlag mittels wildcard ist bestimmt was die Zertifikate anbelangt eine super idee aber damit zerstörst du wieder die "multi host" auflösung bei ipv6.
ich würde an deiner Stelle weniger energie in die Let'sEncrypt geschichte legen und mich mehr auf ipv6 konzentrieren.
Viele Leute schalten in ihren Domains einen Cname zu dir und benutzen dich anschließend als dyndns was du ja auch bist.
so machen sie sich unabhängig von dir und können mit ihrem eigenen namen auftreten.

Hi,
und danke für Euer Feedback.
Ich werde dann mal den Versuch mit Cron favorisieren um die WLAN-Hardware abzuschalten.
Meine Idee war nur, das Ohr beim schlafen nicht zwingend an der HF zu haben, auch wenn ich das WLAN des Nachbarn kaum verhindern kann.
Gruß orcape

@JeGr said in Multi Wan und NAT:

Natürlich kannst du unter Outbound NAT auf manuell umschalten und alle Einträge rauslöschen. Dann wird nicht mehr genattet. Sinnvoll ists IMHO aber nicht.

Hallo,

das geht leider nicht da MultiWan und ein mal NAT drin bleiben muß, ein mal NAT muß drin bleiben.

Gruß ré

Vielleicht ein eigenes Thema dafür anlegen mit allen Details die du hast und nicht nur zwei Zeilen Text wären da ein ganz guter Start zur Hilfe. "So wie das da" ist keine sinnvolle Fehlerbeschreibung. ;)

@PFsense-User2019 said in DNS Auflösung funktioniert nicht richtig bei großen Downloads:

Andere Frage, wenn ihr den gleichen Test macht, funktioniert bei euch dann die DNS Auflösung korrekt?

Ja.

Nutze aber eine Vigor 130 als Modem und die Fritze ist zur DECT Station degradiert, die klassische Config eben.
Versuche es mal in diese Richtung.

@JeGr said in Firewallregeln hostbasiert in pfSense möglich (IPv6)?:

Solang die DUID vom Gerät gleich bleibt und die generierte IP6 somit intakt bleibt, kann man auch die IP6 in einen Host Alias gießen und benutzen. Muss man natürlich auch in den Regeln IPv6 statt v4 einstellen (oder beides, je nach Alias). Da du aber nicht schreibst ob es um eingehenden oder abgehenden Traffic geht, ist mir unklar, wo dein Problem liegt.

Mir ging es um eingehenden. Was meinst Du mit

kann man auch die IP6 in einen Host Alias gießen

Dass ich eine IP6 in einen Alias eintragen kann, ist ja nicht das Ding, sondern ich wollte einen Host in einen Alias eintragen. Dieser Host sollte sich in der Firewallregel dann automatisch anpassen bei einer Änderung der IP. Das Ganze hat aber nur für IPv4 funktioniert und nie für IPv6, obwohl der Host durch den DHCP6 Server in den DNS-Server eingetragen wurde und sich auch so ausgeben ließ per nslookup.

Auch sollten die Aliase eigentlich diese Funktion bieten, aber mit meinen lokalen Hosts funktionierte das wie gesagt nur für IPv4, was zeigt, dass es gehen könnte. Am Ende war ich so enttäuscht, dass ich IPv6 endgültig rausgeschmissen habe. Dass die Fritzbox es kann und eine pfSense nicht, traurig.

Ah Squid spezifisch. Keine Ahnung dann, genau den MITM Kram versuche ich zu vermeiden und den Leuten auszureden, da er m.E.n. Sicherheit vorgaukelt wo eher das Gegenteil der Fall ist.

@JeGr Konnte inzwischen bestätigen, dass die mit den Nullen vom DHCP kamen, eigentlich auch offensichtlich.

Da du keine großen Infos zu deinem Setup und der pfSense Einstellung schreibst, ist helfen ein wenig schwer für uns, vor allem ohne zu raten, was dein WLAN anders macht als deine anderen Netze oder was mit "andere WLAN Netze" gemeint ist.

Wenn mans von Hand konfiguriert, sprich über config-Dateien, nimmt man einfach alles raus, was nicht EAP-TLS ist ;-)