Und solange man nicht weiß, wie das Outlook überhaupt "Mail empfängt und sendet" wird man auch keine Aussage treffen können, WIE das zu bewerkstelligen ist. Ist heute Tag der Einzeiler und ich habs im Kalender nicht gesehen? Ihr könnt doch wenn ihr Hilfe wollt und ein Problem habt dieses ordentlich beschreiben und notwendige Infos mit in den Post packen. Woher soll denn jetzt ein Außenstehender wissen, mit was du wie über welches Protokoll von wo nach wo Mails empfängst und sendest und jetzt wissen, warum das, was du zum Sperren konfigurierst nicht klappt? Mails funktionieren ja nun nicht über genau einen fixen Weg und nur diesen.

Grüße

Genau. Post anpassen und mal zwei Takte drüber schreiben was das eigentlich werden soll.
Ein "EY, glubsch ma' Bild! Geht wie?" ist schon hart dran an a) zu wenig Information und b) bisschen dreister Vorstellung von "Forenhilfe".

Zumal der ganze Bums von verschiedenen Faktoren abhängt, die man alle nicht ohne ne Glaskugel raus bekommt. Fängt bei den IPs schon an (geroutet etc.). Und einige IP/Port Kombos sind ziemlich beschränkt zusammengelegt, was so nicht gehen wird. Proxy hin oder her. Allein der Quark mit "test.domain.de" auf 3 verschiedene IPs zu streuen oder bei mail zu splitten. Na viel Spaß mit Blacklisten und HELO/EHLO Antworten. Da hilft auch Proxy nichts, da müsste man erstmal ne ordentliche Architektur machen und Sinn reinbringen. Aber mit "geht das" ists da nicht getan ;)

Es hat sich herausgestellt, dass der mitgelieferte TAE-Adapter der DSL-Leitung defekt ist und somit sporadisch eine schwache Verbindung aufgebaut wurde. Mit einem anderen Kabel klappt das Modem einwandfrei!
😌

ich werde wahrscheinlich ein Gigaset s850a go nehmen, eigene vlan für Telefonie machen, auf dem switch weiterleiten zu einem port, das Gerät bekommt fix Ip, NAT 1:1 zu dem Gerät, und fertig. Kann es so funktionieren?

@ElenaLauder said in Benötige Hilfe bei Hardware/Router/WLAN Wahl mit pfsense.:

Kann ich mir eine Hardware mit WLAN bei Aliexpress kaufen, pfsense und die Firewall als Router und WLAN Router verwenden?

Ja, willst du aber nicht. WLAN möchtest du extra haben, denn das macht auf FreeBSD keinen Spaß.

Somit ist alles doch in einem Gerät und benötige kein zweites.

Macht aber gerade bei einer Firewall Sinn, eben nicht alles auf einem Gerät zu haben.

@ElenaLauder said in Benötige Hilfe bei Hardware/Router/WLAN Wahl mit pfsense.:

Ich weiss nicht ob ich mir eine Hardware kaufen sollte und Astaro drauf laden.
Aber da gibt es scheinbar Probleme eine Hardware mit WLAN zu finden die mit den Treibern
von Astaro funktionieren.

Was bei Astaro (gibts nicht mehr, du meinst sicher Sophos?) besser funktionieren sollte (zumindest Astaro basierte noch eher auf Linux und da geht es mit WiFi Treibern besser zu) aber daran zeigt sich, dass es eben nicht so super funktioniert, WLAN auf ne Firewall zu packen.
Wenn du Astaro (oder Sophos) aber einsetzen willst, dann solltest du besser dort fragen, was du kaufen sollst. Deren Hardware Empfehlungen liegen sicher anders.

@ElenaLauder said in Benötige Hilfe bei Hardware/Router/WLAN Wahl mit pfsense.:

Ich will ein WLAN in meiner Wohnung.

Alleine dafür ist ein separater Access Point besser da der sinnvoller positioniert sein kann um deine Abdeckung zu verbessern als wenn er reingequetscht irgendwo in der Firewall mit läuft, die vllt. wegen Internet Anschluß sehr ungünstig steht.

Ich will per Remote auf meinen Computer zugreifen können.

Solltest du nur via VPN.

Die Kamera soll nach aussen erreichbar sein.

Dito

Ich möchte OpenVPN verwenden. Das heisst jegliche Verbindung muss verschlüsselt werden,

Zur Einwahl ins Haus? Oder abgehend alles was du im Netz machst? Warum? Es macht keinen wirklichen Sinn und ein echter Sicherheitsgewinn ist allerhöchstens marginal, dafür aber jede Menge unnötiger Ärger und Kosten. Zudem ist es hochgradig unwahrscheinlich, dass du bei VPN Vollverschlüsselung

vernünftige Hardware in deinem Preisrahmen findest, die 600Mbps encrypted aushält und dir der VPN Anbieter überhaupt so hohe Datenraten ermöglicht.

oder ich bin mit meinem Handy unterwegs, benutze ein öffentliches WLAN und alles wird über das OpenVPN weitergeleitet.

Das ist typische OpenVPN Remote Einwahl bei dir zu Hause. Das kannst du natürlich dann auch so konfigurieren, dass das Handy dann über die eigene Hausverbindung surft. Wird dann lediglich von deiner Upload Bandbreite bestimmt (Download hat es ja anscheinend genug).

Aber für ~500SFR/EUR wird es schwer, vernünftige Hardware zu finden, die bspw. 600Mbps fully encrypted auf Dauer liefern kann. Selbst Netgates eigene Kiste bringt das erst ab der SG-5100 und da sind wir im Bereich 750-800€ (durch Rabatt momentan).

Grüße

@cyruz said in pfBlockerNG-devel macht Probleme nach Neuinstallation:

pfB_Top_v4

Statt dessen mal in Diagnostics / Tables geschaut WAS genau in der Tabelle drinsteht? Manchmal verirrt sich in solche Listen auch gern mal ne private Adresse oder Adressblock und dann geht natürlich nichts mehr. Ansonsten ist der Screenshot nichtssagend, denn das was da aufgeführt ist macht keinen Sinn - zumal die Tabelle pfB_Top_v4 abgehend nicht geblockt sein sollte, aber wahrscheinlich als stumpfe Floating Rule auf allen Interfaces hört. Das Verhalten würde ich ändern und normale Interface Regeln erstellen lassen, SO behinderst du gerade deine eigene Kiste daran simple DNS Abfragen via DoT an :853 zu schicken. Dass dann gar nichts mehr geht ist klar ohne DNS.

Grüße

Danke für die Antworten.
Ich belasse es dann so wie es ist und definiere die Verbindungen manuell.
War nur ein Gedankengang mir eventuell einen Schritt einfacher zu machen.

Wie du schon richtig siehst, beim WAN wurde genau das gemacht, was ich beschrieben habe: Er wurde durch ein anderes VLAN aus dem Switching ausgenommen und als eigenständiger Port an den internen Switch angeklemmt, über VLAN 4090. Es müssen 9t und 10t getaggt sein, denn das sind die internen Uplink Ports, quasi die 2x 2,5Gbps Ports. Die werden dann via lagg0 zusammengeknotet, damit man virtuelle 5Gbps hat. Die restlichen Ports - 2-8 - sind dann wieder im VLAN 4091 aber untagged und nur auf dem 9er und 10er wieder tagged für den internen Dummy-Uplink.

Wenn du jetzt bspw. Port 2 ausklinken willst, mache genau das, was auch WAN gemacht hat mit einer anderen VLAN ID. Leider hab ich gerade keine 7100 hier mit der ich das durchspielen kann, sonst würde ich das einfach kurz durchspielen.

@caracush said in Abuse-Message : Offene DNS-Resolver in AS24940:

Nutze lediglich den DNS Forwarder. Habe jetzt das Port 53 für Anfragen von Außen Blokiert. Ich gleube ich habe einfach generell verständnis Probleme was wofür und wie genutz werden kann. Vielen Dank für die schnelle abhilfe.

Dann ist entweder der Report ein False-Positive, du hast irgendwo sonst noch einen DNS laufen der unter der monierten IP erreichbar ist oder was sehr schräges im DNS Forwarder eingestellt UND diesen zum WAN hin absichtlich geöffnet. Ansonsten müsstest du entweder eh alles zum WAN geöffnet haben (gravierender Sicherheitsmangel) damit DNS von extern überhaupt erreichbar ist. Das würde mich wundern. Genauso warum man vom WAN aus Zugriff auf den Forwarder/Resolver freigeben sollte. Hattest du das gemacht? Denn "explizit blocken" musst du auf dem WAN gar nichts, wenns nicht vorher geöffnet wurde?

@renegade Unter Diagnose / NDP-Tabelle siehst du alle vergebenen IPv6 Adressen.

IMHO ist die Fiber unnötig, außer du hast Bedarf an SFP (NICHT SFP+!) um irgendwohin ne lange Glasfaser zu legen. Ich kenne keinen sinnvollen Usecase dafür shrug

~820€ ist ganz in Ordnung, ~800€ wäre jetzt so der Preis den ich angesetzt/vermutet hätte. Da aber noch ne zusätzliche SSD verbaut ist und statt 4 8GB RAM drin sitzen, ist das sehr in Ordnung. Die Netgate eigene SG-5100 (gleiche Hardware) kommt für ~830€ mit nur 4GB RAM und ohne zusätzliche SSD (nur interne 8GB eMMC), insofern absolut gerechtfertigt.

Aber wie gesagt, man muss schon Bedarf an SFP 1Gbps Glasfaser haben, sonst macht die Fiber IMHO keinen Sinn.

Hi

ja an sowas dachte ich auch schon - hänge ich aber einfach nen Laptop dran wird dieser sofort mit der öffentlichen IP versorgt und funktioniert auch sofort.

Komisch ...

NGFW Gedöns wirds wohl sein. NextGenFireWall Buzzword Bingo. Potentiell was wie IDS oder Mod_security o.ä. was noch dazwischenläuft. Dazu kenn ich die Fortis zu schlecht.

Nah, 4 ist eigentlich schon genug. Wäre aber sinnvoll ggf. Server und Client Logs aus dem gleichen Zeitraum ggü stellen zu können.

@gtrdriver said in APU4c4 hat damit jemand Erfahrung ?:

Sein Tenor war dass die so gut wie nie ausfallen und für den geforderten Anwendungszweck sehr gut laufen ...

Das kann ich nur unterstreichen. Bei den knapp 80 APUs (egal ob 2c4 oder 4c4), die ich bisher seit Jahren im Einsatz haben, hatte ich 0 Ausfälle!
Wichtig is darauf zu achten, das die Dinger halt genug "Luft" bekommen um nicht hinwegzuschmelzen :)

USVs sind zwar immer schön und ich empfehle es auch immer meinen Kunden, aber großartige Ausfälle aufgrund eines Stromausfalls ohne USV sind wirklich selten. Ich benutze die APUs nicht nur als pfsense, sondern auch als Hardwaregrundlage für Debian mit Telefonanlage (3CX).

Für mich eine der stabilsten und vom Preis her absolut vertretbaren Lösung.

aber danke für den Link zu https://www.scope7.de/. Finde ich auch interessant, denn manchmal reichen auch 4-Ports nicht aus.

Gruss,
Marcel

Bitte poste mal die Leitungswerte, vermutlich ist die Verbindung schlecht und die Fritzbox schmiert einfach ab. Mit dem TC4400 bist Du da deutlich besser aufgestellt, darum läuft es damit auch besser.

Ich wüsste nicht wie. Die Fritzbox habe ich ja nun nicht mehr dran, bei der das ganze einfach gewesen wäre.

Den WAN Port in der pfSense fix auf 1000 base-T fullduplex stellen, damit er nicht hin und er schaltet.

Was meinst du mit hin und her schalten?