@mrsunfire said in Unitymedia IPv6 Prefixe mit FritzBox jetzt auf pfSense nutzbar:
Wie machst Du mit pfBlocker GeoIP wenn an WAN nur RFC1918 Adressen ankommen?
Ist das eine ernstgemeinte Frage oder ein Trollversuch? Das muss ich jetzt wirklich mal fragen, denn die Aussage ist schon ziemlicher Unsinn. Der vorgeschaltete Router (egal welcher) leitet doch ALLE Requests platt an die interne IP durch. Der schreibt doch nicht alles auf private Adressen um? Wie kommst du auf die Idee? Mit einem exposed Host Setting (oder wie auch immer es bei anderen Routern heißt) kommen logischerweise nach wie vor alle Verbindungen von außen mit der Public Source Adresse an. Nur kommen sie eben nicht auf xx.yy.aa.bb (publicIP) auf dem WAN an, sondern eben bspw. auf 192.168.178.2. Ansonsten wäre die Methode auch nicht praktikabel und komplett widersinnig.
Nun mit der Ansicbt muss man jedoch sowieso hinterfragen warum man überhaupt pfSense nutzt
Weil ich jeglichen Traffic der IN und AUS meinem Netz kommt kontrollieren bzw. reglementieren möchte? Weil ich VLANs habe mit der eine Consumer Box nichts anfangen kann? <hier weitere 10 Punkte einfügen>
Ich habe lediglich hinterfragt, was man unbedingt im privaten Kontext - und mein OP bezog sich eher auf private/semipro Nutzung als auf Firmen, die da meist nen Geschäftskundenanschluß haben und demzufolge dann auch statische Adressen und Prefixe - mit einem IDS anfangen will, was Deep Inspection Layer 7 macht. Ich sehe den Sinn natürlich wenn ich selbst Dienste anbiete und hier potentielle Injections etc etc. habe. Aber wenn alles was ich nach außen anbiete mein VPN und SSH Port sind und alles andere "Standardtraffic" ist - wofür mach ich dann ein IDS an geschweige denn ein IPS? Das wollte ich tatsächlich hinterfragen, denn ich sehe ständig sowohl bei OPN als auch PFsense Leute im Heimbereich, die da auf APUs mit IDS/IPS rumspielen und frage mich ernsthaft: warum?
Die Fehlerkorrekturen der Fritzboxen sind so schlecht dass die Nachbarn sehr oft ohne Internet dastehen wo mein Anschluss noch läuft. Leider kommt es im Kabelnetz nun mal häufig zu Ingress.
OK das mag tatsächlich so sein, kann ich aus unserem Umfeld eben so überhaupt nicht nachvollziehen, kann also vielleicht auch durch Region oder Bundesland anders sein. Kenne ich aber so nicht.
wenn man sich davor eine Kiste holt die macht was sie will und man nur gefiltertes undefiniertes Zeug bekommt.
Vielleicht kann man das ausführen anstatt zu polemisieren. Ich bekomme auch nichts gefiltert oder undefiniert. Sicherlich ist die Kabelfritte vielleicht nicht der beste Client, der schlimmste aber sicherlich auch nicht. Und genau deshalb - weil ich selbst meist predige, dass ich Providerrouter oder Endgeräte im Netz des ISPs (also auch ein Modem) als "rogue" bzw. Teil des Internets und damit potentiell unsicher sehe, gehört hintendran ein Gerät dem ich vertrauen kann.
Ich "hole" mir zudem gar nichts. Ich bekomme gestellt und nutze was ich habe, damit ich besseren/schnelleren Support bekomme. Und damit meine ich in den meisten Fällen nicht, was du oben schriebst, dass da ein Techniker antanzt. Den zu bekommen ist keine Kunst. Es geht darum, den Jungs klarzumachen, dass das Problem bei Ihnen liegt. Und das ist schon schwer genug, weil man als Privatkunde im Topf der "normalen User" ist und Programm X abgespult wird. Man braucht in der Regel 2-3 Calls bis man endlich (wenn überhaupt) mal nen Techniker abbekommt der das Problem dann versteht. (Routing Probleme ab 16Uhr, Routing Loops für bestimmte Ziele etc. - alles Probleme die nicht am Anschluß liegen, wo es also nichts bringt dass ein Techniker antanzt). Und genau dann ist es einfacher mit dem zu Leben was man bekommt, denn dann hat auch deren "Support" am Callcenter verstanden "Hey die Fritte vor Ort sagt OK, wir sehen mit dem Leitungstest kein Problem, aber der zeigt uns da grad Graphen und Logs dass seine Verbindung voll im Arsch ist. Hmm muss mal eskaliert werden." Die meisten Supporter machen aber schon dicht, wenn eben ein Fremdgerät verwendet wird, "Leitung OK - oh ihr Gerät sagt schlecht? Dann liegt das garantiert am Gerät, tauschen sie das mal aus!"
Als Schlußsatz - auch wenn das jetzt ein wenig OT alles war - noch die Anmerkung, dass ich den Text gestern abend schnell vom Telefon aus gepostet hatte, daher kam der vielleicht "ernster" rüber als gemeint. Ich versuche hier meist niemanden persönlich anzugreifen und die Fragen die ich stelle sind ernst gemeint. Dir sei deine Meinung auch gern und völlig frei zugestanden, ich versuche nur zu hinterfragen und rauszufinden, wo ggf. Dinge herkommen. Und wenn ich dann Antworten bekomme wie Puma6 und Co. forsche ich dann eben nach. Und offensichtlich ist das ja schon länger kein Thema mehr. IDS vielleicht schon, trotzdem frage ich warum weils mich interessiert. Das ist kein Grund dann polemisch zu werden, wenn du nicht weiter diskutieren möchtest, ist das auch OK, aber dann lass uns trotzdem bitte auf nem gesunden Diskussions-Niveau bleiben. Ich diskutiere auch oft gern und heiß ;) Aber dann bleiben eben Punkte offen - wir müssen ja nicht alle der gleichen Meinung sein :)
