Subcategories

  • 107 Topics
    1k Posts
    S

    📌 Ziel:
    Ich möchte mDNS-Discovery VLAN-übergreifend ermöglichen, damit ein PlexAmp-Client auf einem Raspberry Pi im IoT-VLAN über die PlexAmp-App auf meinem Smartphone über den Plex-Server im LAN automatisch entdecken und sich verbinden kann.

    Sobald sich mein Handy und der Plexamp Client (Headless) im selben Netzwerk befinden, funktioniert das Streaming.

    🧑‍💻 Netzwerkübersicht:
    Komponente Details
    Firewall pfSense (aktuell, mit Avahi-Paket)
    Switch/AP UniFi (Controller & Geräte aktuell)
    HomeNetz LAN – 192.168.8.0/24 (Plex + Roon Core)
    IoT IoT – 192.168.10.0/24 (Raspberry Pi mit Plexampheadless)
    Avahi Installiert auf pfSense, reflektiert zwischen LAN und IoT

    ✅ Konfiguration bisher:
    pfSense:
    Avahi installiert und aktiv
    mDNS-Repeater für LAN und IoT aktiviert
    Firewall-Regeln:
    any-to-any zwischen VLANs
    Zusätzlich: UDP 5353 → 224.0.0.0/8 mit „Allow packets with IP Options“

    UniFi:
    SSID „KugelMensch_IoT“ → VLAN IoT
    WLAN-Optionen:
    ✅ Multicast-Erweiterung aktiv
    ❌ Client-Isolation deaktiviert
    ❌ Multicast/Broadcast-Filter deaktiviert
    ✅ Erweiterte IoT-Konnektivität aktiv
    IGMP Snooping: (standardmäßig aktiv)

    🔧 Zusätzliche Firewall-Regeln getestet:
    Im VLAN IoT:
    ✅ UDP 5353 → 224.0.0.251, „Allow packets with IP Options“
    ✅ UDP 32414 → 192.168.8.0/24 (Plex GDM Discovery)
    ✅ TCP 32400 → Plex Server
    ✅ UDP 9003 + TCP 9100–9200 → Roon Core
    🧪 Beobachtungen:
    Multicast-Traffic wird sichtbar über tcpdump
    Clients empfangen die Antworten aber ggf. nicht korrekt
    IGMP Snooping evtl. blockierend (aber noch nicht deaktiviert getestet)

    Es scheint nichts zu funktionieren. Hat jemand noch eine schlaue Idee?

    Vielen Dank im voraus.

  • 80 Topics
    433 Posts
    JeGrJ

    Heute spontan OpenHouse im NSFW.pub. Gern einfach mal reinschauen, kann allerdings sein dass zwischendurch mal gerade keiner am "virtuellen Tresen" ist oder ich Getränke hole/wegbringe.

    Cheers :)

  • Anfäger frage zu firewall

    8
    0 Votes
    8 Posts
    935 Views
    JeGrJ

    WAN ist nicht RFC1918 - also keine privaten IPs. Gibt genug Dienste die default bestimmte IP Ranges ausnehmen bzw. blocken weil davon eigentlich kein Traffic kommen soll. Daher würde ich erstmal den Dienst sicherstellen. Ich weiß ja leider nicht was da eigentlich für ne Kiste in der DMZ steht und wie die konfiguriert ist, da bist du ja generell eher spärlich an Informationen ;)

    Zumal ich mich wundere wie du vom WAN aus mit der einen Regel auf eine private Adresse in der DMZ zugreifen willst, wenn du nicht auf dem WAN auch was privates aufliegen oder ein Forwarding definiert hast - dann würde aber die Regel keinen Sinn machen, da Forwards automatische Regel anlegen.

    Damit bleibt meine Ursprungsaussage: ZU wenig Details und Infos für eine ordentliche Analyse.

  • pfSense selbst bauen

    9
    0 Votes
    9 Posts
    2k Views
    JeGrJ

    Hmm witzig, dass die meisten Leute immer mit Clients argumentieren. Wichtig ist doch eher, was kann der Anschluß an Bandbreite bringen bzw. was muss die Firewall dann an Mega/Gigabit und Pakete pro Sekunde verarbeiten ;) Das und natürlich was davon rechenintensiv wie VPN oder Snort und Co reinschlägt. Aber selbst Snort und VPN sind bei bspw. 2MBit/s pillepalle, das packt dann jede APU1 noch im Schlaf ;)

    Daher: Nicht Clients sondern Bandbreite ist mit das Hauptargument und ob ihr die volle Bandbreite auch abrufen wollt/müsst (bspw. bei VPN). 400/20Mbps Kabel Internet im Down/Up? Klar kein Problem. Das auch Vollverschlüsseln? Oh wait... 400Mbps bei kleinen Paketgrößen also ordentlich pps ist schon anstrengend, da kommt auch der C2000 Atom schon ein wenig ins Schwitzen (je nach VPN). Daher ist das eigentlich eher die Nenngröße, nach der ich meistens die Geräte schonmal grob vorselektiere :)

    Also wenn du noch was warten kannst und dein Budget ausreizt ... soll da bald eine sehr sehr schöne C3000 Denverton Alternative zur SG5100 erscheinen. Wird zwar teuer aber nicht so teuer wie die SG5100 nach dem was mir zu Ohren kam - und damit hättest du einen sehr ordentlich schnellen Chipsatz, 4/2 oder 6 Gigabit Ports (4 RJ45/2 SFP oder 6 RJ45) und sicher viel Spaß ;)

    Ich bin mit meiner scope7-7525 extrem zufrieden. Teures Spielzeug, sicher. Und 6 Gigabit Ports sind sicher auch oversized. Aber für meinen Betrieb sicher die nächsten Jahre nicht kleinzukriegen. Ist zwar noch der "alte" C2558 4-Kerner, aber der wuppert auch ordentlich was durch den Äther. Wenn ich jetzt suchen würde, würde ich aber ggf. auf die 3000er warten und dann in Zukunft + Ruhe investieren :)

    Gruß

  • Hardwareupdate

    34
    1 Votes
    34 Posts
    5k Views
    magicteddyM

    Moin,

    @noplan said in Hardwareupdate:

    ... wo krieg ich für unsere Küche ein Nudelholz aus Marmor her ;)

    Glaub mir, das willst Du nicht wirklich anschaffen, ganz schnell wendet es sich gegen dich ⛑
    Je nach Potenzial und Wut des Nudelholzschwingers wird es ganz schnell vom Beulenmacher 🤕 zum Dellenmacher 💀

    -teddy

  • [SOLVED] ARP Tabelleneintrag löschen

    5
    0 Votes
    5 Posts
    750 Views
    JeGrJ

    Schön gesagt, trotzdem nochmal (auch an alle) der Hinweis:

    Wenn euer Problem gelöst wurde, tut allen einen Gefallen und ändert euren Topic Titel (wie hier bspw. mit [Solved]) und auch wenn der Button klein ist - gönnt eurem/euren Helfer(n) doch auch einen 👍 für die Hilfe 😉

  • pfSense für Schul-WLAN

    4
    0 Votes
    4 Posts
    839 Views
    B

    Hallo viragomann,

    ich habe deine Änderungen umgesetzt. Die Schlüssellänge ist wunderbar kleiner geworden.

    Bei der Anzahl der Geräte hatte ich bereits 100 eingegeben. Trotzdem gingen beim letzten Test ja nur 12 Geräte. Ich habe die Anzahl auf 30 reduziert und werde das bei der nächsten Klasse beobachten. Vielleicht lag es ja auch an den einzelnen SchülerInnengeräten.

    Also vielen Dank für deine Hilfe!

  • Port Forwarding IP von pfSense als Source weiterleiten

    5
    0 Votes
    5 Posts
    1k Views
    M

    super, danke!

  • [SOLVED] Profilsignatur kann nicht mehr bearbeitet werden

    8
    1 Votes
    8 Posts
    792 Views
    nodauN

    Ja, läuft jetzt. Nochmals danke.👍

  • Verständnisfrage (eines Anfängers) zu Portweiterleitung

    2
    0 Votes
    2 Posts
    501 Views
    V

    @cantor said in Verständnisfrage (eines Anfängers) zu Portweiterleitung:

    In meiner Unkenntnis war ich der Meinung, die Verbindung des Mobiltelefons geht - auch wenn diese über openVPN läuft - am WAN-Interface ein, so dass die dortige Portweiterleitung ausreichen sollte.

    Wenn du den gesamten Traffic über die VPN routest ("Redirect gateway" angehakt), geht natürlich auch die Verbindung zur WAN-IP über die VPN.
    Dann ist auch die zusätzliche NAT-Regel am OpenVPN-Interface nötig. Alternativ kannst du aber auch NAT-Reflection verwenden.

  • Via VPN und LDAP eine AD Verifzierung herstellen

    2
    0 Votes
    2 Posts
    365 Views
    JeGrJ

    Wie kann ich das oben erreichte Szenario nun erreichen?

    Warum? Hast du doch schon:

    LDAP soll auf einem AD prüfen, ob der Benutzer darf. Wenn ja, alles gut.

    Sprich, ich habe den Login über "Diagnostics -> Authentication" bereits erfoglreich für beide im AD hinterlegte Nutzer testen können.

    Somit hast du doch was du wolltest - auth via LDAP/AD.

    Im Grunde fehlt nur noch die Einrichtung eines Certs für den VPN Client, damit dieser ins Netz kann, oder?

    Was hat das mit der Problemstellung zu tun? Ob Clients ein Zertifikat nutzen oder nicht bestimmt der konfigurierte OpenVPN Server (User+Pass oder User+Pass+Zert). Ansonsten hat das mit nichts weiter zu tun.

    Es wäre aber ggf. sinnvoll den Auth-String des LDAP Calls so abzuändern, dass eben NUR Benutzer A läuft und nicht Benutzer B. Oder soll generell sowieso jeder Nutzer vom LDAP auch sich am VPN anmelden dürfen? Dafür gäbe es ja sinnvollerweise in den meisten LDAP/AD Strukturen extra Gruppen die das Regeln (VPN Nutzer, SSH Nutzer, Login Nutzer, etc.)

    Gruß

  • SSDs "verschwinden" aus zpool -> pfSense "hängt"

    7
    0 Votes
    7 Posts
    960 Views
    JeGrJ

    @perforado said in SSDs "verschwinden" aus zpool -> pfSense "hängt":

    Das Problem tritt nur während der normalen Geschäftszeiten und häufig gegen 0900, 1300 oder 1630 auf.

    Also normalerweise würde ich auch mal sagen, komplett andere Hardware (oder mal virtuell zum Test), aber die Zeiten lesen sich seltsam vertraut. Klingt irgendwie nach "kommt morgens, macht mittag, (kurz vor) geht nachmittags" also ziemlich "menschliches" Zeitfenster. Wirkt sehr seltsam.

    Der vor Ort GF möchte nun den IT-Dienstleister wechseln (den damit 5ten Dienstleister!) und auch gleich die pfSense gegen eine "Fritzbox, mit der ja immer alles funktionieren würde" oder sonstiges tauschen.

    Da muss ich @Gladius beipflichten. Wenn man eh schon Gegenwind hat bei sowas, weil jemand partout nicht von etwas zu überzeugen ist, dann wird der Einsatz schwer, weil jedes Fitzelchen das nicht genau so wie bei AVM funktioniert, gleich auf die Goldwaage gelegt wird. Entweder man hat dann schweres Geschütz (was Features etc. angeht, die die Fritte einfach nicht kann) oder es wird echt mühselig. Manche müssen leider erst einen Tod sterben, bevor sie für was anderes bereit sind.

    Gruß

  • All IP, Gespräche zum Teil mit starkem Rauschen

    1
    0 Votes
    1 Posts
    212 Views
    No one has replied
  • High Availibility Failover unterbricht SSH Verbindung

    3
    0 Votes
    3 Posts
    473 Views
    ?

    @bahsig said in High Availibility Failover unterbricht SSH Verbindung:

    Hallo,

    also dass man beim Failover Packetloss hat, ist normal. Beim Ping gehen bei mir 2-3 Pakete während des Wechsels auf die Backup Sense verloren. Sobald der Vorgang jedoch abgeschlossen ist, läuft Ping positiv weiter. Ich tippe mal, dass der Wechsel bei dir einfach zu lange dauert, weshalb dann die SSH Verbindung denkt, der Host wäre down. Da du vSphere verwendest, gehe ich davon aus, dass du die vSwitches entsprechend dieser Anleitung konfiguriert hast.

    Hi bahsig,

    erstmal vielen Dank für deine Antwort.
    Für die pfSense habe ich hier 2 Netgate Boxen, aber die Hosts laufen auf eine virtuellen Umgebung.
    Nach der Anleitung habe ich es mal versucht, jedoch hat es nicht wirklich viel geholfen.
    Ich verliere trotzdem die SSH Verbindung bzw. komplette Internetverbindung auf den Hosts (sowohl virtuelle als auch physische).

  • URL (*.telekom.de) basiertes Routing (Policy Base Routing)

    4
    0 Votes
    4 Posts
    512 Views
    micneuM

    Habe mir gerade Squid angeschaut und leider nichts gefunden wo ich das Konfigurieren kann.
    Hat da jemand schon ein HowTo für geschrieben?

  • This topic is deleted!

    1
    0 Votes
    1 Posts
    2 Views
    No one has replied
  • This topic is deleted!

    1
    0 Votes
    1 Posts
    2 Views
    No one has replied
  • This topic is deleted!

    1
    0 Votes
    1 Posts
    3 Views
    No one has replied
  • Die Zensur der Regierung umgehen

    2
    0 Votes
    2 Posts
    585 Views
    G

    @bordi said in Die Zensur der Regierung umgehen:

    Gibt es was ähnliches, oder wurde ähnliches für pfSence schon angedacht / veröffentlicht?

    Bei der Vielschichtigkeit des Themas "Zensur der Regierung umgehen" und der politischen Dimension
    wäre das nach meiner Meinung viel zu kurz gesprungen.

    LG

  • pfSense und TV7 von Init7

    3
    0 Votes
    3 Posts
    2k Views
    Z

    https://blog.pilif.me/2018/05/22/fiber7-tv-behind-pfsense/

    hat bei mir vor einigerzeit direkjt geklappt

  • pfSense - vereinzelt blockierte eingehende E-Mails

    Moved
    3
    0 Votes
    3 Posts
    564 Views
    nodauN

    In früheren Versionen konnte man die Sense noch als Mailrelay (postfix) nutzen. In den aktuellen Builds wurde das Paket aus sicherheitsrelevanten Aspekten zu Recht entfernt.

    Schau mal ob ein Content Filter (squid, pfBlocker) aktiv ist und dort bestimmte Domains/IPs geblockt wurden. Es betrifft ja angeblich nicht alle E-Mails.

  • 0 Votes
    37 Posts
    9k Views
    P

    Die Anzeige der Rufnummer ist von Anbieter zu Anbieter unterschiedlich und wird in der Fritzbox korrigiert, wenn du dort auch Telekom hinterlegst. Bei "anderm Anbieter" passiert das nicht bzw. du mußt das manuell machen. im ip-phone-forum ist da einiges zu finden.

    Gruß
    pfadmin

Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.