Du bekommst beim Verbindungsaufbau meistens eine IPv4-Adresse, eine IPv6-Adresse und ein IPv6-Präfix (hier /56) zugewiesen. Aus dem Präfix und der Präfix-ID werden die IPv6 /64 Netzwerke gebildet und dort dann die IPv6-Adressen.

Die IPv6-Adresse stammt nie aus dem IPv6-Präfix. Nutzbar ist die z.B. für DynDNS und VPN

@NOCling said in Exposed Host an Netgate oder AVM:

Ja klar kann man das mit der FeitzBox so machen und parallel zur pf auch Sachen betreiben und erreichbar machen.
Man kann sich auch selbst ins Bein schießen oder mit dem Messer rein hacken.

Bedeutet aber noch lange nicht das man es auch tun sollte.

Wobei, wenn wirklich kaum Vorwissen besteht, dann mag das über die Fritte sogar sicherer sein, weil man hier auch weniger falsch einstellen kann. Mit so einer Sense kann man halt auch viel falsch machen, weil man halt wirklich alle Möglichkeiten hat.

@micneu said in DynDNS GoDaddy {"code":"ACCESS_DENIED","message":"Authenticated user is not allowed access"}:

meine Empfehlung

wer zuerst den link zur anleitung findet ..

;)

@viragomann

Ich hab alles korrigiert und noch ein bisschen Grundlagenforschung betrieben. Das Problem wurde letztlich gelöst.

Danke!

Gruß

MS

@aglandorf said in NTP + DHCP:

Jetzt werd ich die Sache nochmal beobachten.

OK!

@Globaltrader312 Kein Problem das kommt vor :)

@EuroPC Wenn es vorher eine laufende Konfiguration gab, gibt es keinen Grund, warum man nicht die Config recovern sollte. Das kann man auch direkt bei der Installation schon machen und sich viel Arbeit sparen.

Cheers

@Globaltrader312 Wenn du Netzpläne verlinkst, am Besten von offenen Diensten wie draw.io bspw. - so kann den keiner sehen leider.

Ansonsten können wir zu den Regeln leider wenig sagen, wenn du uns die nicht zeigst, warum die das Problem sein sollen.

Auch im Multi-WAN ist normalerweise es kein Problem auf irgendwelche Netze vor dem WAN/Router/Modem zuzugreifen, das klappt eigentlich ganz gut. Wie du sagst wird das wahrscheinlich an Routing oder Regeln liegen, aber dazu müssten wir da mehr Details kennen.

Cheers

@EuroPC said in NG6100 Interface ok, GW down:

@NOCling Bin auch hellauf begeistert. Glasfaser habe ich hier bestellt und kommt hoffentlich Anfang 2025 von WeserConnect.

Antworten

Freu dich leider nicht zu früh, es gibt auch Glasfaser ISP Bros, die PPPoE nutzen 👎 👿 🔥

Hallo zusammen,

habe den Fehler gefunden 🦌

Manchmal muss man einfach noch mal lesen, was man gepostet hat.

Der Fehler war hier:

f436047f-818b-417e-97c9-a22759b4a5fb-image.png

falsche IP-Adressen :D

Ich danke euch.

Warum verwendet man eine Bridge?
Eine Firewall ist ein Layer 3 Device, für Layer 2 gibt es Switche.

Wie schnell ist denn der Port?
Sind alle GBit?
Was hängt da dran?
Wird es mit den ganzen Broadcast fertig?
Oder wird hier Multicast eingesetzt ohne Querier? In dem Fall wird das zu Broadcast und würde je nach Client das ganze erklären, da dieses Ziel die einfach verwirft.

Ok, konnte den Fehler finden...

==> manual Outbound NAT
==> das richtige Interface nehmen (in dem Fall das Konzernnetz)
==> Source 192.168.199.1/24
NAT Address ==> Virtual IP

und wichtig, alle anderen Regeln rauswerfen und ==> reset States...

ist erledigt... Merci

@micneu said in Deutsche Glasfaser Business IPv4 einrichten - kriege keine Verbindung:

@Radioman2000-Radioproduktion leider hast du immer noch nicht die Frage beantwortet, auf was für einer Hardware läuft die Sense, bitte so viel information wie möglich.

Was fehlt dir denn noch zu der Info, die ich bereits ziemlich zu Beginn gepostet habe?

@Radioman2000-Radioproduktion said in Deutsche Glasfaser Business IPv4 einrichten - kriege keine Verbindung:

Zur Hardware:

Fanless Linux, pfSense Hardware SBR234-FW Intel J3355/J3455, AES-NI 1 417,00 417,00
Firewall Hardware Appliance: SBR234-FW, Intel CPU J3355 2x2-2.5GHz (Option: J3455, J4005,
J4105), 2GB RAM, 120GB SSD SATA3 Festplatte, Voll-Alu-Gehäuse 211x254x86mm
Upgrade auf:
Intel dual J4005 2x2.0-2.7GHz, 4GB RAM (32,00)

@cschumann Die Telekom braucht(e) VLAN 7 bei DSL. Ansonsten ist das nirgends eine fix erzwungene Konstante, daher würde ich genau nachlesen OB das der Fall ist, denn bei Glasfaser sollte es dafür keinen Grund geben. Die typische Trennung von DSL/Internet und Media Receiver der dann via VLAN 8 lief gibt es eh nicht mehr. Daher würde es keinerlei Sinn machen die Altlast mitzuschleppen.

Ich habe dazu unterschiedliche Posts gesehen. Diejenigen, die Endkunden Glasfaser via ONT und PPPoE Einwahl bekommen, schreiben dazu, dass dort wohl auch VLAN 7 im Spiel ist und PPPoE nur damit läuft (was sich wieder nach altem Mist anhört, den die TCom mit sich rumschleppt). Andere die Business Glasfaser mit DHCP haben schreiben es geht ohne.

Daher die Aussage: ich würde da erstmal nachforschen was genau der Fall ist.

Das steht im Handbuch zum Netgate 6100 und den LEDs.
LED-Netgate6100.png

@Rainerx54
Okay, dann frag sicherheitshalber nochmals in die Runde. Ich verwende solche Konfiguration nicht, daher mangelt es mir an Erfahrung.

Meine Ausgangslage war dein Screenshot, der zeigt, dass du VLAN 7 auf der pfSense eingerichtet hat.
Das macht aber keinen Sinn, wenn du es nicht verwendest.

@Dobby_

Danke für die Ausführung und die tollen Ideen. Das ist mir aber mitunter zuviel des Guten (wobei ein Pi sicher noch rumliegt).
Aber wie gesagt will ich es eher einfach halten und nicht Technik-Stapelei ;-)

@the-other

Switches abschliessen ist leider auch nicht möglich.

Als Switches habe ich "leider" die Netgear Modelle GS108Ev3, GS108Ev2, GS308E, GS105v3
(die ersten 3 sind managed und der letzte unmanaged)
Bei denen habe ich die Ports (802.1Q) je nach Nutzung mit tagged oder auch untagged und 1 oder mehreren VLANS gemappt (Wenn halt am SwitchPort 2 ein AP angeschlossen ist braucht der AP ja alle Pakete um mehrere WLAN-SSIDs bereitstellen zu können.

Was wäre denn mit statischen ARP Einträgen?
Da habe ich folgendes gelesen:
"Kann verwendet werden, um einzuschränken, wer mit pfsense kommunizieren kann, indem nur die Kommunikation mit IPs zugelassen wird, die über statische ARP-Einträge verfügen.
Nachteile wären, dass die IP an diese Mac gebunden ist – ein anderes Gerät könnte diese IP nicht verwenden oder dieses Gerät könnte keine andere IP verwenden."

PS: Ich verstehe nicht weshalb manche Geräte keinen Hostnamen liefern. Hat nicht jedes Gerät einen Namen?

Wünsche einen schönen Abend.

Hast du wirklich eine IP Regel für die beiden in beide Richtungen gebaut und die auf Logging gestellt?

Ohne Sip inspection müssen alle high Ports manuell freigeschaltet werden. In beide Richtungen die jeweils notwendigen Ranges.
Da kommen schon mal ein paar k Ports zusammen.