Du kannst auch bestimmte Bereiche auswählen unter anderem IPsec.

@pfsense-neuling Wie gesagt, du musst den FQDN verwenden, um die Hostnamen des Firmennetzes aufzulösen. Was genau gibt nslookup zurück? Du kannst mit nslookup zum Testen explizit bestimmte Server abfragen, bspw. mal den Windows Server, dann die pfSense: nslookup <host>.<domain> <DNS-Server> Das Gateway auf die pfSense zu stellen sollte nicht nötig sein, wenn die pfSense als Uplook-Server im Windows DNS-Server gesetzt ist. Ich dachte aber, dass sie ohnehin das Standardgateway in deinem internen Netz ist. Wenn das gegeben ist, lässt sich Standard-DNS auch per NAT Port Forwarding auf die pfSense umleiten, so dass sie jede Abfrage bekommt und beantwortet.

MSS 1328 ist für IPsec und AES Tunnel mode der Wert der das geringste Padding erzeugt, alles andere ist entweder zu groß oder zu klein und du hast wieder Fülldaten. Bei UDP muss es der Applikation steuern, das hängt hier also vom Programmierer ab, ob er das sauber eingebaut hat oder nicht. Wenn nicht, kannst du die Applikation über WAN Strecken und gerade VPN Tunnel hinweg vergessen. Bei UDP selber gibt es keine Mechanismus der das steuert.

@JeGr said in pfSense / OPNsense Hardware - Eure Empfehlungen?: Je nachdem was man dann für sich entscheidet - go for it :) Wenn das mal so einfach wäre Würdest du von selbstbauten ala HP Elitedesk generell abraten? 1G Port würde mir übrigens erstmal reichen.

@n300 Das ist tatsächlich mal ein vorbildliches Ergebnis von "Leichenfledderei" ;) Also nach all der Zeit tatsächlich einen Workaround zu haben, macht hier auf jeden Fall Sinn - da braucht es dann auch kein Sorry :) Finde ich aber sehr interessant, dass hier wohl UDP versagt. Das klingt eher so, als würde A1 da vllt unterwegs DNS/UDP mit zu großer Payload vllt wegfiltern(?) um ggf. irgendwelche DNS countermeasures umzusetzen o.ä. oder es ist tatsächlich irgendwelche MTU oder sonstiger Kram - der bei TCP dann nicht zu Tragen kommt, weil es da frisch ausgehandelt werden kann. Spannend. Und durchaus wichtig zu wissen um das ggf. als Debug/Diagnose mal nutzen zu können! Danke dafür!

@sven_apsware said in Von LTE Modem bereitgestelltest IPv6 nicht einrichtbar: Ganz kurzes btt: Tausend Dank an @JeGr , Retter in der Not :D Mit zweiter pfSense Instanz auf VPS ist das Problem geshickt umgangen und wir sind happy :) Es hat zwar ein wenig gedauert, bis der 'Notruf' auf den richtigen Frequenzen ankam aber wir sind hier wie immer gern eingesprungen und haben geholfen. Und vielleicht können wirs dann demnächst dann wenn die Fasern liegen auch noch ein wenig für den Zukunftsbetrieb besser absichern und ein paar Verbesserungen zusammen vornehmen! War mir eine Freude Cheers \jens

3000 war der Zauberport, jetzt geht es.

@chris_6n Warum Postgres? Grafana funktioniert da wesentlich besser mit ner InfluxDB weil Logs genauso wie Stat Werte ja über die Zeit gespeichert werden. Da ist eine time based DB wie Influx sinnvoller als was klassisch DBMS mäßiges wie Postgre oder MxSQL. Darum wirds bspw. von Grafana, Graylog oder Prometheus u.a. als Basis genutzt oder ist dort direkt importierbar ohne große Konverter. Für Grafana würde sich daher das Telegraf Plugin und ne Influx als Basis anbieten. Ansonsten gäbe es da nur die Möglichkeit, die Logs via rsyslog Server auf ne andere Kiste zu schieben und dort als Eingangsfilter dann was zu bauen, was das Ganze statt in Syslog dann konvertiert in einzelne Postgres Queries umsetzt. Sieht für mich aber auf den ersten Blick nach einem ziemlichen Bottleneck aus da Filter Regeln je nach Einschlag von Paketen stark eskalieren können und dementsprechend ordentlich Logs raushauen können. Und klassische DBMS die das noch dazu dann ggf. transaction based importieren würden da etliche Queries mit Inserts pro Sekunde abbekommen. Das klingt extrem unperformant - darum der Hinweis das ggf. direkt via Telegraf & Influx zu machen da weniger Overhead und bessere Speicherung über Zeit möglich. Cheers

@caso1990 Danke, Funktioniert immer noch / still works (Hyper-V Server 2019)

Hier geht das, einfach die Domain als Suchdomäne an die Clients per DHCP ausrollen und schon lässt sich der statische DNS Eintrag immer sauber auflösen. Egal ob als FQDN oder Kurzname, was dann über die Suchdomäne zum FQDN vervollständig wird. Daher auch bei der DNS Auflösung am Ende, wenn man FQDNs sucht immer einen . machen. Die Option 43 ist echt simpel, in dem Link von Jens ist ja wirklich alles erklärt. Dann noch im Controller den FQDN für den Controller hinterlegen und schon finden die immer wieder heim.

@n300 Da bin ich bei dir, den Alarmismus-Grad der Meldung fand ich auch etwas zu stark gemessen an "Umstellen sollte man erst wenn das Ding wesentlich mehr Features hat" (also je nach Einsatzzweck mit der kommenden 24.08) - das erweckt leider mitunter die Idee, man müsste hier akuter tätig werden, als es ist.

Mit ein paar Parameter mehr (da hätte ich auch selber drauf kommen können) sieht man sehr schön das pfBlockerNG schreibt und auch was passiert wenn man den Python Mode einschaltet: https://forum.netgate.com/post/1182078

@mike69 said in Deutsche Glasfaser am pfsense - IPv6 und "DHCPv6 Prefix Delegation size" bzw. "IPv6 Prefix ID": Und wie soll der Anbieter ohne User/Pass wissen, wer am anderen Ende sitzt? Geht nur mit der Indentifikation des ONT oder des SFP Modules. MAC Adresse imho... Das weiter oben von mir erwähnte Urteil des BVerfG aus 2023 ist eindeutig. Es gilt die freie Endgerätewahl in DE - auch für die DG. Auch DG muss es somit ermöglichen einen eignen NT anzuschließen, der den technischen Spezifikationen der jeweiligene Anschlusstechnologie entspricht und darf das nicht mittels Bindung an eine bestimmte Geräte-MAC-Adresse eines vom DG gelieferten NT unterbinden.

@BerndHu Schwierig zu sagen. Wir hatten auch schon Geräte auf dem Tisch, die dann bei uns problemlos liefen, da war es wahrscheinlich dann einfach Pech bei der Konsole. Machmal war auch was mit Wackelkontakt bzw. wir hatten es auch schon, dass ein Power/Reset Button ein Dauersignal rausgab. Wären alles mögliche Ursachen, kann man so remote schlecht sagen. Im schlechtesten Fall dann was anderes in Richtung Board oder Power. Da müsste ich raten oder müsste mir das Gerät selbst anschauen. Cheers

@micneu Das ich die Fritzbox nehme liegt hauptsächlich daran, dass sie da ist und bisher alle meine Anforderungen erfüllt hat. Ich bräuchte sie auch weiterhin, da schien es zu Beginn des Projektes "einfach" sie zu behalten und als VPN Endpunkt zu benutzen. Die Überlegung Sie ersetzen startet bei mir als erst jetzt Das mit den Netzen ist vorallem Gewohnheit. Als ich den Thread erstellt habe ging ich davon aus, das ich einen einfachen Fehler gemacht habe und das genaue private Netz nicht von belang ist. Naja, wieder was gelernt.

@JeGr said in Kein Verbindungsaufbau Telekom VOIP mit eigenen DNS Servern / PFSense als DNS Resolver: Von DNS lese ich da gar nichts Ich auch nicht. Aber DD4711 beschrieb aber Probleme mit der NAmensauflösung. Probleme, die ich von o2 (mein ISP) auch kenne, denn die verstecken ihren SIP-Server sip.alice-voip.de aus mir nicht nachvollziehbaren Gründen. Nur die DNS-Server von o2 lösen den Namen des SIP-Servers von o2 auf. Gleichzeitig beherrschen die DNS-Server von o2 kein DoT (DNS-over-TLS) und so weit ich weiß auch kein DoH (DNS-over-HTTPS). Will man nun, wie ich, DNS-over-TLS erzwingen, kann man die DNS-Server von o2 nicht nutzen. Daher vermute ich DD4711 hat ein ähnliches Problem, was sich ja schon durch einen einfachen ping auf den SIP-Server der Telekom bestätigen lässt, denn sowohl auf ein ping auf sip.alice-voip.de wie auch auf tel.t-online.de bekomme ich die gleiche Antwort: Name or service not known, der STUN-Server (stun.t-online.de) wird hingegen korrekt aufgelöst zu 217.0.136.1. Damit kann DD4711 derzeit keine funktionierenden VoIP-Verbindung hinbekommen, denn weder der SIP-Proxy, der Registrar, noch der Realm werden aufgelöst und es wird eine IP-Adresse von der pfsense zurückgeliefert.

Kleines Update, das WAN-Interface kann nun zumind. ohne Reboot (automatisiert) wieder zum Leben erweckt werden. Hierzu das WAN-Interface fest (nicht "autoselect") auf die entsprechende Port-Geschwindigkeit der Gegenseite einstellen [image: 1723354007861-bildschirmfoto-2024-08-11-um-07.26.22.png] und die folgende Befehlssequenz ausführen (neu ist die Löschung des ARP-Eintrags der IP-Adresse des WAN-Interfaces). /sbin/ifconfig $WAN_INT down sleep 10 /usr/sbin/arp -d $WAN_IP /sbin/ifconfig $WAN_INT up sleep 20 dhclient $WAN_INT sleep 20 Mit einem CRON-Job und einem Ping-Test-Skript läuft das bisher einwandfrei....

@eagle61 Hier noch eine Rückmeldung mit der Antwort von Deutsche Glasfaser. Ich könnte ohne den Standard Modem mich einwählen, aber die geben nur AVM Fritzbox Alternativen. [image: 1723110642467-c92e2aa0-5125-4b35-af14-d59bf62679b2-image.png] [image: 1723110652767-80f18c62-930c-4569-ab9c-5b482b1a961e-image.png] Aber Einwahldaten hat man... von daher hätte man es testen können. Ich werde das aber nicht machen, weil es ein wenig zu fortgeschritten wäre für mich allein. Vielleicht in der Zukunft.

@viragomann Danke, hat so funktioniert.