Das funktioniert zuverlässig und gut. Jedes wichtige Ereignis wird gemailt. Z.B. auch wenn es zum Crash kommt, oder frisch gebootet wurde.

Falls es jemand interessiert. In der Config XML sind auch die Daten aller Packages enthalten, z.B. auch die Notizen die man sich erstellt hatte. Die Daten von ntopng und lightsquid kann man über das Package Files&Dir Backup sichern & herunterladen und auf der neuen pfsense über einen Restore wiederherstellen. So hat man auch die alten Daten auf der neuen pfSense verfügbar.

Ich habe von der VM pfsense die Config über die Backup Funktion exportiert. Die XML noch bearbeitet und das open-vm-tools package entfernt, damit dieses nicht auf der nicht-VM pfSense installiert wird und die Interfaces angepasst.
Dann auf der neuen die Konfiguration importiert und anschließend noch die sonstigen Daten (ntopng und lightsquid). Jetzt läuft alles genau so weiter wie mit der alten VM-pfSense.

Das hatte ich fast vermutet :-) Danke dafür! Genau wegen EntertainTV ist es in Deutschland besonders verbreitet. Wollte die Datei hier trotzdem zum Download stellen, weil es gar nicht so leicht war, an die alte Datei zu kommen. Bei Netgate sind diese nicht mehr zum Download verfügbar.

Viele Grüße!

Wurde kurz nach meinem engl. Posting dann auch als Bug aufgenommen und behoben, da es nicht nur ACME, sondern u.a. (leidig angemerkt von virago) auch Pakete wie pfBlockerNG betraf. Im Prinzip alle Pakete die zusätzliche PHP Module mitgebracht hatten (in diesem Fall GeoIP).

https://redmine.pfsense.org/issues/8938

@slu said in DNS override von einem Interface/LAN aus:

Ich fürchte die Funktion gibt es auch nicht.

Doch die gibt es, seit Version 1.6.0 unterstützt unbound "views". Siehe https://nlnetlabs.nl/documentation/unbound/unbound.conf

Hi!

Hardware ist auf beiden Seiten die gleiche:

Intel(R) Celeron(R) CPU J3455 @ 1.50GHz
Current: 1500 MHz, Max: 1501 MHz
4 CPUs: 1 package(s) x 4 core(s)
AES-NI CPU Crypto: Yes (active)

Habe auch als ich den anderen Rechner noch hier hatte im Test auch um die ca. 300 MBit geschafft.

Die Anbindungen sind beide native ipv6 Leitungen, also kein 6in4.
Daher nur die Öffentliche ipv6 Adresse und ipv4 läuft über NAT beim Provider.

Gruß

@ceofreak said in pfSense DNS Resolver mit Domain Controller in AWS:

Ich sehe die Clients die in der Domäne sind auch im DC DNS. Allerdings bin ich mir nicht sicher, was ich am DC DNS einstellen muss damit er die DNS einträge aus der pfSense auslesen kann.

Gar nichts ;) Warum sollte der DC die pfSense auslesen für DNS?

@ceofreak said in pfSense DNS Resolver mit Domain Controller in AWS:

Des weiteren habe ich beim pfSense DNS Resolver DNS Query Forwarding disabled. Welche DNS Server nimmt pfSense hier jetzt her? Da ja die queries so NICHT an die DNS Server die unter General Setup defined sind weitergeleitet werden.

Da muss doch nichts "disabled" werden, der Resolver macht von sich aus ja erstmal - er ist Resolver und kein Forwarder - seinen Job. Was hast du denn konkret eingestellt?
Nochmal: Unbound ist Resolver. Ein Resolver leitet nichts weiter, er löst selbst auf. So wie sich das in DNS eben gehört von unten nach oben. "test.domain.tld" -> Lookup von .tld bei den ROOT Servern, dann nachsehen wer domain.tld als SOA betreut und dann da nachfragen nach test.domain.tld - um es grob zu überschlagen. Komplettes auflösen des Domainpfades.

Ich weiß dass pfSense dann die root DNS Server frägt, aber welche sind das?

Die DNS Root Server des Internets. Es gibt keine anderen Root Server.
Das sind momentan die Server A bis M wobei die meisten inzwischen jetzt Anycast Server sind.

Wäre cool wenn mir jemand helfen könnte das Ganze besser zu verstehen und eine saubere Lösung hinzubekommen.

Bekommen wir sicher hin ;)

@athurdent said in Ständiger Neustart des DNS Resolvers:

Es sind leider doch Restarts, das Ticket hier ist immer noch offen:
https://redmine.pfsense.org/issues/5413

Ah danke, gut zu wissen. Sah in meinen Logs eher noch Reload für Änderungen aus. Aber stimmt, das ist dann sehr unschick. Denke ich werde da auch einige spezifische Kisten manuell hinzufügen und den Rest via DHCP verwerfen. Macht bei vielen Clients eh keinen Sinn, dass die per DNS erreichbar sind. Gerade Mobile Sachen sind da unnötig.

@athurdent said in Ständiger Neustart des DNS Resolvers:

Es gibt übrigens tatsächlich Geräte, die genau sowas machen. Ein Apple TV 4K verbunden via Ethernet z.B. https://discussions.apple.com/message/32876461

Urks das klingt in der Tat mega häßlich. Warum sollte vor allem ein Gerät, was ggf. kabelgebunden ist ständig off/online gehen. Die Stromsparmaßnahmen vom Ethernet Port sind nun wirklich minimal und gerade bei Streaming Boxen ist es doch sinnvoller dass die Kisten gleich wieder aktiv sind. Aber gut zu wissen, da muss man bei Unbound also noch ein wenig Feintuning betreiben.

Zu Anfang bei Eröffnung ging auch 0 durch erst während des nliegens veränderte sich das Bild.

Habe kein Zusatz packet installiert

@baunty said in PFsense Zyxel Speedlink 5501:

die Lan Leitung war defekt

Nun, solche Dinge passieren immer mal wieder zur unpassenden Zeit.

LG

Ich danke euch Allen für diese Ratschläge und Einschätzungen. Ich werde somit mal die Zeit arbeiten lassen und schauen, was die Zukunft mit sich bringt. Irgendwann wird sich sicher eine Lösung präsentieren :)

HPE 1620-24G
Sehr zufrieden damit. Gibt es auch als kleinere Variante.
Verbraucht als 24 Port nur 13Watt. Das war mir bei der Auswahl sehr wichtig.

WAN ist nicht RFC1918 - also keine privaten IPs. Gibt genug Dienste die default bestimmte IP Ranges ausnehmen bzw. blocken weil davon eigentlich kein Traffic kommen soll. Daher würde ich erstmal den Dienst sicherstellen. Ich weiß ja leider nicht was da eigentlich für ne Kiste in der DMZ steht und wie die konfiguriert ist, da bist du ja generell eher spärlich an Informationen ;)

Zumal ich mich wundere wie du vom WAN aus mit der einen Regel auf eine private Adresse in der DMZ zugreifen willst, wenn du nicht auf dem WAN auch was privates aufliegen oder ein Forwarding definiert hast - dann würde aber die Regel keinen Sinn machen, da Forwards automatische Regel anlegen.

Damit bleibt meine Ursprungsaussage: ZU wenig Details und Infos für eine ordentliche Analyse.

Hmm witzig, dass die meisten Leute immer mit Clients argumentieren. Wichtig ist doch eher, was kann der Anschluß an Bandbreite bringen bzw. was muss die Firewall dann an Mega/Gigabit und Pakete pro Sekunde verarbeiten ;) Das und natürlich was davon rechenintensiv wie VPN oder Snort und Co reinschlägt. Aber selbst Snort und VPN sind bei bspw. 2MBit/s pillepalle, das packt dann jede APU1 noch im Schlaf ;)

Daher: Nicht Clients sondern Bandbreite ist mit das Hauptargument und ob ihr die volle Bandbreite auch abrufen wollt/müsst (bspw. bei VPN). 400/20Mbps Kabel Internet im Down/Up? Klar kein Problem. Das auch Vollverschlüsseln? Oh wait... 400Mbps bei kleinen Paketgrößen also ordentlich pps ist schon anstrengend, da kommt auch der C2000 Atom schon ein wenig ins Schwitzen (je nach VPN). Daher ist das eigentlich eher die Nenngröße, nach der ich meistens die Geräte schonmal grob vorselektiere :)

Also wenn du noch was warten kannst und dein Budget ausreizt ... soll da bald eine sehr sehr schöne C3000 Denverton Alternative zur SG5100 erscheinen. Wird zwar teuer aber nicht so teuer wie die SG5100 nach dem was mir zu Ohren kam - und damit hättest du einen sehr ordentlich schnellen Chipsatz, 4/2 oder 6 Gigabit Ports (4 RJ45/2 SFP oder 6 RJ45) und sicher viel Spaß ;)

Ich bin mit meiner scope7-7525 extrem zufrieden. Teures Spielzeug, sicher. Und 6 Gigabit Ports sind sicher auch oversized. Aber für meinen Betrieb sicher die nächsten Jahre nicht kleinzukriegen. Ist zwar noch der "alte" C2558 4-Kerner, aber der wuppert auch ordentlich was durch den Äther. Wenn ich jetzt suchen würde, würde ich aber ggf. auf die 3000er warten und dann in Zukunft + Ruhe investieren :)

Gruß

Moin,

@noplan said in Hardwareupdate:

... wo krieg ich für unsere Küche ein Nudelholz aus Marmor her ;)

Glaub mir, das willst Du nicht wirklich anschaffen, ganz schnell wendet es sich gegen dich ⛑
Je nach Potenzial und Wut des Nudelholzschwingers wird es ganz schnell vom Beulenmacher 🤕 zum Dellenmacher 💀

-teddy

Schön gesagt, trotzdem nochmal (auch an alle) der Hinweis:

Wenn euer Problem gelöst wurde, tut allen einen Gefallen und ändert euren Topic Titel (wie hier bspw. mit [Solved]) und auch wenn der Button klein ist - gönnt eurem/euren Helfer(n) doch auch einen 👍 für die Hilfe 😉

Hallo viragomann,

ich habe deine Änderungen umgesetzt. Die Schlüssellänge ist wunderbar kleiner geworden.

Bei der Anzahl der Geräte hatte ich bereits 100 eingegeben. Trotzdem gingen beim letzten Test ja nur 12 Geräte. Ich habe die Anzahl auf 30 reduziert und werde das bei der nächsten Klasse beobachten. Vielleicht lag es ja auch an den einzelnen SchülerInnengeräten.

Also vielen Dank für deine Hilfe!

super, danke!