@caracush said in Abuse-Message : Offene DNS-Resolver in AS24940: Nutze lediglich den DNS Forwarder. Habe jetzt das Port 53 für Anfragen von Außen Blokiert. Ich gleube ich habe einfach generell verständnis Probleme was wofür und wie genutz werden kann. Vielen Dank für die schnelle abhilfe. Dann ist entweder der Report ein False-Positive, du hast irgendwo sonst noch einen DNS laufen der unter der monierten IP erreichbar ist oder was sehr schräges im DNS Forwarder eingestellt UND diesen zum WAN hin absichtlich geöffnet. Ansonsten müsstest du entweder eh alles zum WAN geöffnet haben (gravierender Sicherheitsmangel) damit DNS von extern überhaupt erreichbar ist. Das würde mich wundern. Genauso warum man vom WAN aus Zugriff auf den Forwarder/Resolver freigeben sollte. Hattest du das gemacht? Denn "explizit blocken" musst du auf dem WAN gar nichts, wenns nicht vorher geöffnet wurde?

@renegade Unter Diagnose / NDP-Tabelle siehst du alle vergebenen IPv6 Adressen.

IMHO ist die Fiber unnötig, außer du hast Bedarf an SFP (NICHT SFP+!) um irgendwohin ne lange Glasfaser zu legen. Ich kenne keinen sinnvollen Usecase dafür shrug ~820€ ist ganz in Ordnung, ~800€ wäre jetzt so der Preis den ich angesetzt/vermutet hätte. Da aber noch ne zusätzliche SSD verbaut ist und statt 4 8GB RAM drin sitzen, ist das sehr in Ordnung. Die Netgate eigene SG-5100 (gleiche Hardware) kommt für ~830€ mit nur 4GB RAM und ohne zusätzliche SSD (nur interne 8GB eMMC), insofern absolut gerechtfertigt. Aber wie gesagt, man muss schon Bedarf an SFP 1Gbps Glasfaser haben, sonst macht die Fiber IMHO keinen Sinn.

Hi ja an sowas dachte ich auch schon - hänge ich aber einfach nen Laptop dran wird dieser sofort mit der öffentlichen IP versorgt und funktioniert auch sofort. Komisch ...

NGFW Gedöns wirds wohl sein. NextGenFireWall Buzzword Bingo. Potentiell was wie IDS oder Mod_security o.ä. was noch dazwischenläuft. Dazu kenn ich die Fortis zu schlecht.

Nah, 4 ist eigentlich schon genug. Wäre aber sinnvoll ggf. Server und Client Logs aus dem gleichen Zeitraum ggü stellen zu können.

@gtrdriver said in APU4c4 hat damit jemand Erfahrung ?: Sein Tenor war dass die so gut wie nie ausfallen und für den geforderten Anwendungszweck sehr gut laufen ... Das kann ich nur unterstreichen. Bei den knapp 80 APUs (egal ob 2c4 oder 4c4), die ich bisher seit Jahren im Einsatz haben, hatte ich 0 Ausfälle! Wichtig is darauf zu achten, das die Dinger halt genug "Luft" bekommen um nicht hinwegzuschmelzen :) USVs sind zwar immer schön und ich empfehle es auch immer meinen Kunden, aber großartige Ausfälle aufgrund eines Stromausfalls ohne USV sind wirklich selten. Ich benutze die APUs nicht nur als pfsense, sondern auch als Hardwaregrundlage für Debian mit Telefonanlage (3CX). Für mich eine der stabilsten und vom Preis her absolut vertretbaren Lösung. aber danke für den Link zu https://www.scope7.de/. Finde ich auch interessant, denn manchmal reichen auch 4-Ports nicht aus. Gruss, Marcel

Bitte poste mal die Leitungswerte, vermutlich ist die Verbindung schlecht und die Fritzbox schmiert einfach ab. Mit dem TC4400 bist Du da deutlich besser aufgestellt, darum läuft es damit auch besser. Ich wüsste nicht wie. Die Fritzbox habe ich ja nun nicht mehr dran, bei der das ganze einfach gewesen wäre. Den WAN Port in der pfSense fix auf 1000 base-T fullduplex stellen, damit er nicht hin und er schaltet. Was meinst du mit hin und her schalten?

@kira12 said in bestimmte Domain über proxy/VPN routen: und unterwegs mit dem Telefon um etwas mehr Privatsphäre zu nutzen. Warum hat man dann unterwegs mehr "Privatsphäre" wenn man alles zu den Servern von irgendeinem dubiosen VPN Anbieter bläst? Ich werd's nie verstehen ;) Ja gegen GeoBlocks helfen VPNs. Für sonst? Eigentlich nix.

Mahlzeit. Was sagen denn die Firewall Logs? Du kannst ja erst mal einen Alias der Drucker erstellen, dann eine Rule mit allow tcp/udp Printer to any, Log aktivieren und sehen, welche Ports noch gebraucht werden. Die Drucker stehen bei Dir und der Printerserver im RZ?

Hallo @Woodsomeister , ich habe zwar nur die kleiner 5-Port-Variante im Einsatz und weiß gerade auswendig auch nicht, ob es eine v3 oder v2 ist, aber hier geht der Zugriff über VLAN-Trunk auch über VPN Problemlos. Was mich ein bisschen an Netgear stört ist, dass die kleinen managed Switche nicht wirklich abgesichert werden können über ihre Verwaltungssoftware prinzipiell aus jedem Netzt gefunden und angepasst werden können, sprich: auch auf jedem Netz lauschen. Ich könnte mir vorstellen, dass es zu Problemen kommen könnte, wenn der Switch auf DHCP gestellt ist und die statische Adressvergabe nur über einen DHCP-Server erfolgt. Mein Switch ist also auf eine statische IP am Switch konfiguriert. VLAN ist 802.1Q Advanced. Die PVID des Trunk-Ports ist auf das Management-VLAN eingestellt. Ansonsten würde ich vielleicht noch die VLAN Mempership des Trunk Ports doppelt nachprüfen. Nachdem die Konfiguration für jedes einzelne VLAN doch etwas umständlich ist, vergisst man vielleicht mal ein VLAN oder hat es versehentlich auf untagged eingestellt.

Sofern die 30 OVPN Verbindungen nicht wirklich viel Bandbreite ziehen (ergo viel Verschlüsselung aufwenden), solltest du mit dem Xeon da kein Problem haben. Sollen die 30 wirklich gleichzeitig aktiv sein sollen (Einwahl oder Tunnel?) und wirklich Bandbreite ziehen, käme es stark auf die SingleCore Performance an und/oder ob man die User ggf. auf mehrere OVPN Server verteilen kann (um sie auf unterschiedliche Kerne zu splitten). 10Gbps im LAN ist dann wieder andere Baustelle und eher I/O, Platine und Netwerkhardware abhängig. Wenn die 10G wirklich gefordert sind, könnte es aber auch mit der Leistung noch etwas nach oben gehen. Gruß

Danke für die ausführliche Erklärung! Inzwischen habe ich es ja am laufen, so wie du beschrieben hast. Kann mich per IPv6 mit dem VPN Server verbinden, und kann die IPv4 Clients im Heimnetz über IPv4 ansprechen. Kannst du ggf noch was dazu sagen? -> https://forum.netgate.com/topic/147953/client-openvpn_ipv4-vserver-openvpn_ipv6-zuhause-und-zur%C3%BCck-m%C3%B6glich

Die DG verwendet doch DS-Lite? Aber wie man das konfiguriert weiß ich nicht.

Es war ein Bug und wurde mit diesem Release behoben: https://forum.netgate.com/topic/147933/snort-3-2-9-10-package-update-release-notes