Subcategories

  • 107 Topics
    1k Posts
    S

    📌 Ziel:
    Ich möchte mDNS-Discovery VLAN-übergreifend ermöglichen, damit ein PlexAmp-Client auf einem Raspberry Pi im IoT-VLAN über die PlexAmp-App auf meinem Smartphone über den Plex-Server im LAN automatisch entdecken und sich verbinden kann.

    Sobald sich mein Handy und der Plexamp Client (Headless) im selben Netzwerk befinden, funktioniert das Streaming.

    🧑‍💻 Netzwerkübersicht:
    Komponente Details
    Firewall pfSense (aktuell, mit Avahi-Paket)
    Switch/AP UniFi (Controller & Geräte aktuell)
    HomeNetz LAN – 192.168.8.0/24 (Plex + Roon Core)
    IoT IoT – 192.168.10.0/24 (Raspberry Pi mit Plexampheadless)
    Avahi Installiert auf pfSense, reflektiert zwischen LAN und IoT

    ✅ Konfiguration bisher:
    pfSense:
    Avahi installiert und aktiv
    mDNS-Repeater für LAN und IoT aktiviert
    Firewall-Regeln:
    any-to-any zwischen VLANs
    Zusätzlich: UDP 5353 → 224.0.0.0/8 mit „Allow packets with IP Options“

    UniFi:
    SSID „KugelMensch_IoT“ → VLAN IoT
    WLAN-Optionen:
    ✅ Multicast-Erweiterung aktiv
    ❌ Client-Isolation deaktiviert
    ❌ Multicast/Broadcast-Filter deaktiviert
    ✅ Erweiterte IoT-Konnektivität aktiv
    IGMP Snooping: (standardmäßig aktiv)

    🔧 Zusätzliche Firewall-Regeln getestet:
    Im VLAN IoT:
    ✅ UDP 5353 → 224.0.0.251, „Allow packets with IP Options“
    ✅ UDP 32414 → 192.168.8.0/24 (Plex GDM Discovery)
    ✅ TCP 32400 → Plex Server
    ✅ UDP 9003 + TCP 9100–9200 → Roon Core
    🧪 Beobachtungen:
    Multicast-Traffic wird sichtbar über tcpdump
    Clients empfangen die Antworten aber ggf. nicht korrekt
    IGMP Snooping evtl. blockierend (aber noch nicht deaktiviert getestet)

    Es scheint nichts zu funktionieren. Hat jemand noch eine schlaue Idee?

    Vielen Dank im voraus.

  • 80 Topics
    433 Posts
    JeGrJ

    Heute spontan OpenHouse im NSFW.pub. Gern einfach mal reinschauen, kann allerdings sein dass zwischendurch mal gerade keiner am "virtuellen Tresen" ist oder ich Getränke hole/wegbringe.

    Cheers :)

  • Vodafone KD - Kein DHCP Lease im Bridge Mode bei VLAN Interface

    19
    0 Votes
    19 Posts
    3k Views
    R

    Ja, wir betreiben alles mit den VF Compal CH7466CE. Da wir immer dedizierte Rechner für die FW einsetzen haben wir eine VM Konfiguration nicht getestet. Was wir beobachtet haben, waren Probleme des VF Modems, wenn die MAC des DHCP Clients eine andere war als die des Network Ports auf dem Switch.

    Aus meiner Sicht sollte aber die Konfiguration mit VM und dediziertem Port auch funktionieren. Haben es aber nie ausprobiert.

    P.S. DSL Modems (wir nehmen DrayTeks Vigor130) läuft über getaggte VLANs problemlos.

  • routing zwischen zwei LAN interfaces ?

    8
    0 Votes
    8 Posts
    981 Views
    H

    @robin223 said in routing zwischen zwei LAN interfaces ?:

    Könnten sie mir bitte beschreiben wie ich diese Regeln konfiguriren muss

    Also ich würde dringend raten erstmal das pfsense Buch zu lesen. https://www.netgate.com/docs/pfsense/book/

  • IP adresse blocken, wie?

    5
    0 Votes
    5 Posts
    1k Views
    nodauN

    Nabend. Man hat die Möglichkeit per Easy Rule IP-Adressen zu blocken. Einfach unter Status/System Logs/Firewall auf die entsprechende IP-Adresse klicken und zur Blockliste hinzufügen. Die Blockliste wird als Regel WAN Interface gespeichert, wird zusätzlich als Alias gespeichert und dann kann dort auch bearbeitet werden.

  • Regeln anwenden ohne bestehende States zu löschen.

    5
    0 Votes
    5 Posts
    603 Views
    S

    Ich glaube ich habs!

    Ich hatte den Punkt "Flush all states when a gateway goes down" aktiviert (SystemAdvancedMiscellaneous).
    Ich verstehe zwar nicht wieso die States dann geleert werden wenn ich eine Regel ändere, aber an meiner Testbox konnte ich das verhalten nachvollziehen.
    Ist der Haken gesetzt werden alle bestehenden Verbindungen gekappt sobald ich Apply anklicke.
    Mache ich den Haken raus bleiben die Verbindungen bestehen.

    Ich verstehe es zwar nicht, m.E. nach sollte die Einstellung keinen Einfluss auf Regeländerungen haben, aber egal.

    Ich werde das Heute Abend bei meiner produktiven Firewall mal ausprobieren und abschließend berichten!

    DANKE!

    Und Gruß

  • OpenVPN Integrierung

    23
    0 Votes
    23 Posts
    2k Views
    V

    Ja, so lange der State aktiv ist, ist der Ping auch erlaubt. Wenn du den Ping aber für einige Sekunden beendest, wird die Verbindung geschlossen.

    Aktive Verbindungen werden durch Änderungen an Filterregeln nicht beeinträchtigt.
    Wenn du das haben möchtest, müsstest du die die Verbindung manuall kappen. Diagnostic > States

  • zusätzliches Interface kann pingen aber kein TCP traffic

    10
    0 Votes
    10 Posts
    890 Views
    E

    @jegr said in zusätzliches Interface kann pingen aber kein TCP traffic:

    Ich denke zur wirklichen Diagnose - wenn er die möchte - wären auch sinnvolle Screenshots besser als das Config File, was man auf den ersten Blick so gar nicht einschätzen kann.

    Whaaaat? 😱

    Sorry, sehe ich anders und wie schon mehrfach erwähnt habe ich aktuell keinen Zugriff mehr auf die Kiste - erst wieder nächstes Jahr. Ich wollte nur das Problem rechtzeitig lösen, da nächstes Jahr die Kiste einfach laufen muß.

    Trotzdem danke.
    Johannes

  • HAProxy - SSL Offloading mit LetsEncrypt - Verständnisfrage

    8
    0 Votes
    8 Posts
    1k Views
    JeGrJ

    Shared Frontend kann gehen, aber wenn der andere Zugriff nicht über 443 sondern 80 läuft, dann braucht es ein entsprechendes Frontend auf diesem Port. Ein zusätzliches dann, denn dann läuft darüber ja kein Offloading.

  • Keine DNS Aufösung im LAN

    5
    0 Votes
    5 Posts
    900 Views
    V

    @lexycode said in Keine DNS Aufösung im LAN:

    Nachdem ich DNS Query Forwarding in der DNS Resolver config aktiviert habe löst ping nun auch DNS namen auf.

    Das sollte für die LAN Clients keinen Unterschied machen.

    Bei mir bekommen die DHCP-Clients die Interface-IP als DNS Server zugewiesen. Auch das ist von der Forwarding-Einstellung unabhängig.

    Aber DNS klappt ja jetzt, meinst du?

    Ist deine WAN-IP ein öffentliche? Falls nicht, könntest du sie ja hier verraten, könnte helfen.

    Was gibt denn ein Traceroute auf einer LAN-VM ins Internet aus?

  • LCDprog mit gateprotect UTM Hardware - Keine Treiber ? Hilfe benötigt

    1
    0 Votes
    1 Posts
    295 Views
    No one has replied
  • OPENVPN und mehrere Standorte

    24
    0 Votes
    24 Posts
    3k Views
    JeGrJ

    @gladius War auch gar nicht konkret als Kritik gedacht, sondern eher als Aufklärung, warum das heute durchaus noch die favorisierte Variante sein kann, wenn man mit größeren Strukturen murmeln "darf" 😉

    Ist auch nicht wirklich sooo schön, wenn man da bspw. für 20 Außenstellen 20 Tunnel aufbauen und konfigurieren muss, vor allem wenn die dann noch crossover verbunden sind. Aber gerade dadurch - und bei Tunnel Anzahlen von >4 - lohnt sich das oft schon alleine deshalb, um einen Multicore besser auszunutzen. Auch wenn man meistens nicht unbedingt die mega Bandbreiten schaufelt, addiert sich dann doch bei ~20 Links auf einem 4-Kerner die Last pro Kern (5 Tunnel pro Kern) durchaus zusammen. AES-GCM hilft da aber schonmal - wenn man beide Enden kontrolliert und aktuell hält. Inzwischen ist aber auch wieder IPSEC dank routbarem Interface eine veritable Alternative geworden (die wir aber noch testen müssen).

  • Let's encrypt und Ports

    3
    0 Votes
    3 Posts
    764 Views
    JeGrJ

    Zusatz: Ich war mal so frei und habe eine grobe Idee formuliert, ob das Acme Package nicht ggf. über scheduled rules solch einen Mechanismus triggern könnte (eine Regel enabled/disablen basierend auf Uhrzeit via Cron ist ja bereits möglich). Eine fest angelegte Regel mit spezifischer ID/Description o.ä. könnte hier dann durchaus auf dem WAN on/off triggerbar sein so dass der Update Prozess vor seinem Start die Regel an- und nach Ausstellung des Zertifikats abschalten könnte. Soweit die Idee, aber klügere Köpfe können da sicher eine bessere Antwort geben :)

  • 0 Votes
    6 Posts
    1k Views
    JeGrJ

    @renegade said in DNS (Unbound) löst nicht auf, wenn einer der DNS Server nicht erreichbar ist:

    Gemeint war der DNS Server. Aber vermutlich hast Du recht und die DNS Server sind durch deren Cluster "immer erreichbar".

    Anycast, also so gut wie. Sollte nicht wie zu Beginn größere Probleme auftreten, sollten beide IPs ähnlich wie die Quad 8 oder Quad 9 Adressen so gut wie immer durch geographisch Nahe Gegenstellen aufgelöst werden.

    Steht denn trotz TLS fest, dass die DNS Server IMMER über die Gateways gehen?

    TLS hat damit gar nichts zu tun, sondern IP. Wenn du 1.1.1.1 mit GW 1 und 1.0.0.1 mit GW 2 fix in General Settings einträgst, dann werden für diese IPs entsprechende Hostrouten gesetzt. Der Sense ist dann völlig gleichgültig was du mit dem Endpunkt sprichst, es wird jeder Traffic dann hart über GW1 oder 2 geschickt.

    Werden zur Auflösung einer IP IMMER beide DNS Server und in meinem Falle beides Gateways zur Auflösung genutzt?

    Habe ich noch nicht nachgesehen, aber meines alten Wissens nach war Unbound als Resolver seriell, nicht parallel arbeitend, somit würde er erst 1.1.1.1 dann 1.0.0.1 versuchen, wenn er keine Antwort bekommt. Das könnte aber im Forwarding Modus tatsächlich anders sein, hatte ich aber noch nie explizit nachgesehen.

    dass immer DNS #1 und #2 online sein müsse

    Nein, das sollte genau nicht der Fall sein. Vor allem nicht wenn #1 dein Default Gateway ist, dann gibt es eigentlich erst recht keinen Grund, warum dann DNS#1 nicht laufen sollte. Das müsste man aber im Einzelfall nachstellen/probieren. Auch der Haken bei Advanced "System Default Gateway Switching" wäre dann ggf. zu überdenken und je nach Fall bei dir zu setzen.

    Gruß

  • mal wieder EntertainTV

    5
    0 Votes
    5 Posts
    904 Views
    W

    Wo ist dann die Firewall-Rule auf dem LAN-Interface? IPV4* to any mit Allow IP options sollte da existieren?

  • OpenVPN für Clients

    22
    0 Votes
    22 Posts
    2k Views
    nodauN

    Du musst natürlich noch den TCP Port auf der Sense freigeben. 😉

  • [SOLVED] OpenVPN - Windowsclient intern keine Verbindung zum Server

    9
    0 Votes
    9 Posts
    1k Views
    V

    Hallo,

    darauf muss man erst mal kommen.
    Aber plausibel, im Routing unterscheidet sich Windows von iOS oder Linux, aber dass es versucht, einen VPN Tunnel über denselben Tunnel zu schicken...
    🙄

  • IPsec LAN-Adresse automatisch ausschließen

    1
    0 Votes
    1 Posts
    237 Views
    No one has replied
  • [SOLVED] APU.2C4 mit Huawei ME909s120

    25
    0 Votes
    25 Posts
    8k Views
    S

    exactly how did you solve this problem?
    I have the same problem

  • Problem mit Policy Based Routing

    9
    0 Votes
    9 Posts
    1k Views
    S

    Unser IaaS Provider hat aus Sicherheitsgründen die Guest-VLAN-Funktion ausgeschaltet, da sonst das Risiko besteht, das wir auch VLANs anderer Kunden an unsere VMs hängen könnten. Ist zumindest die Argumentation des IaaS Providers.

  • VPN auf die eigene pfS aus reglementiertem Subnetz geht nicht

    8
    0 Votes
    8 Posts
    851 Views
    JeGrJ

    Kein Thema, aber dann ist das auch genauso wie man es im Normalfall mit MultiWAN aufsetzen würde. Das scheint also zu passen :)

  • pfSense OpenVPN Client falsche IP

    14
    0 Votes
    14 Posts
    1k Views
    JeGrJ

    @tobiasp said in pfSense OpenVPN Client falsche IP:

    Ich würde mich nie auf die Stufe mit dem jenigen stellern der es von Anfangan gelernt hat, jedoch sorge ich dafür das was ich nicht weiß eben am Ende lerne. :)

    Das ist gar nicht der entscheidende Punkt ;) Ich habe einige Kunden, deren IT'ler sich nicht unbedingt wahnsinnig gut auskennen. Geht heute auch gar nicht - aber die haken nach. Stellen Fragen. Und merken im Gespräch (hoffentlich) dass ich ihnen keinen Bären aufbinde und mit ihnen zusammen was suche, was auf sie passt. Ohne sie arm zu machen. Wenn ich aber ein Angebot 5x verändern/nachbessern soll, weil jemand nicht versteht, warum er vllt. NBD Support brauchen könnte wenn sein ganzes Geschäftsmodell daran hängt, dass das Internet erreichbar ist. Und er ggü. anderen Lösungen noch Geld spart, dann fehlt mir für die "Unlogik" einfach jegliches Verständnis. Dafür haben wir nun aber auch letztes und dieses Jahr schon einige Kunden von den verschiedensten anderen Lösungen "befreit". Forefront TMG z.B. (gruselig) oder Sophos, Watchguard, Juniper, Cisco. Läuft nicht immer 100% glatt, weil viele andere "Namen" dann ihre eigenen Speziallösungen haben, die dann nicht mehr gehen (VPN Clients bspw.) aber meistens finden wir zusammen eine gute wenn nicht bessere Lösung. Jetzt aber genug OT :D

Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.