Danke für eure Antworten. Mit der neusten Version gab es keinen erneuten Absturz. Ich werde mich nochmal melden, sobald ich es auf den produktiven Firewalls geprüft und umgesetzt habe.

Internet läuft, nur die Update-Funktion über SSH offer package-Installationen laufen manchmal nicht. Auf der SSH-console erscheint dann der SSL-Fehler. Per Browser kann ich alle SSL-Seiten öffnen.

Hallo,

also ich taste mich langsam voran:
Um auf Deine Frage zu antworten

Viel mehr kann man dazu nicht sagen, da die Infos vom Internet Provider und das OS vom Server (wo finde ich die DUID) fehlen.

UnityMedia ist mein Provider, der mir eine /59 Prefix zuweist. Die Fritzbox wiederum deligiert weitere Subnetze mit /62, sodass ich 3 verschiedene Subprefixe habe auf den drei Interfaces von der pfSense.

Ich frage mich gerade welchen Wert ich für die "Prefix Delegation Size" bei dem DHCPv6 Server einstellen sollte 63 oder gar 64?

Mein Server läuft auf einem Centos7, so dass mich die Antwort interessieren würde, wie man hier die DUID heraus bekommt (beim Googeln kam mir nichts verwertbares entgegen)

Vielen Dank!

Hi viragomann,

hattest recht, hatte NAT noch auf Manual Outbound NAT, wegen der SIP Geschichte. Vielen dank für den Hinweis.

Grüße

Rob

Hi, dein Bilder sind nicht zu gebrauchen, da unscharf.

Prüfe die LAN-seitigen IPv6 der Fritz auf den Prefixteil, den du festlegen kannst. Ich vermute, dass die Fritz schon die "0" benutzt, die du bei der pfsense einstellst als IPv6 Prefix ID

Gruß
pfadmin

@Rob64:

Firewall hat im VLAN 33: 192.168.33.250
Switch hat im VLAN 33: 192.168.133.1

Zielnetz: 172.16.1.0 Maske: 255.255.255.0 Gateway: 192.168.144.1

Ökonomischer geht das mit einer einzigen Summary Route:
Zielnetz: 172.16.1.0 Maske: 255.255.248.0 Gateway: 192.168.33.

Du schreibst etwas wirr.
Vermutlich meinst du bei den roten Markierungen immer 192.168.33.x aber das ist halt nur meine Vermutung.
In der letzten Zeile fehlt das entscheidende Byte an letzter Stelle.

Wenn der Switch L3 routet, dann baut man eigentlich zwischen ihm und der Firewall ein Transitnetz auf, das nur dazu dient, die Daten zu routen. Da reicht auch eine /30, da in dem Transitnetz eh keine Hosts sitzen sollten.

Wie hast du das mit dem DHCP Server auf der pfSense gelöst? Das ist ja sein initiales Problem (wobei das relativ einfach zu lösen ist, wir werden uns da noch hinarbeiten).

Vielen dank für die Antwort,

ich habe entnervt aufgegeben und nutze im Moment nur noch einen normalen Router,
habe mich viel informiert und glaube eine gute alternative für mich gefunden zu haben:

https://www.ubnt.com/edgemax/edgerouter-x/

Der ist günstig & kann Multi-WAN mit Gigabit, zu dem auch Port Freigabe nach Interface, laut vielen Berichten im Internet müsste der Kleine das schaffen.

Wenn nicht wird er eben wieder zurück geschickt.

Trotzen vielen dank an euch.

@JeGr:

..oder den ganz abklemmen und v6 mal nur stateless announcen. ..

Gibt es dafür ein Workaround? Denn eigentlich dürfte IPv6 nicht aktiv sein.  :o ??? ???

@JeGr:

Das war auf jeden Fall ein völlig normaler und gültiger Handshake. Ist dann eher die Frage ob die PS4 daraufhin eine IP angenommen hat und mit welchen zusätzlichen Daten. ..

Nein eine IP hat sie nicht bekommen. Aber die frage was sie erhalten hat erscheint mir hinsichtlich RADVD recht spannend.  :-\

..

Heureka ich hab's!  8)

Der Verweis auf IPv6/RADVD war super. Hinterher ist ja alles einfacher. So auch hier: Wo kein Interface da kein Traffik. Auf Opt2 war nichts, aber irgendwie hat sich bei WAN der IPv6 Konfigurationstyp DHCP6 und bei Opt1 "Ermittle Schnittstelle" eingeschlichen. Letzteres ist für ein LAGG über Opt1,Opt2 wohl nicht ganz optimal. ;D DHCP6, der Gateway waren zwar off, und so konfiguriert das keine lokalen IPv6 DNS-Einträge für LAN-Interfaces generiert werden, dass hat aber nicht daran gehindert pausenlos IPv6 ICMP zu senden und zu blocken. Nachdem ich alle Interfaces auf IPv6 Konfigurationstyp "keine" gesetzt habe, hatten sich sämtliche vorherigen Probleme erübrigt.

Über DNSSEC & DNS über TLS [kann ich berichten das es recht gut funktioniert, und zumindest Cloudflare’s DNS service kaum bremst. Ich erfuhr eher den Eindruck einer minimalen Beschleunigung. Das kann aber mit Quad9 ganz anders sein. Nebst dem möchte ich anmerken dass sich das System erst Einpendeln muss.  ;)

Vielen Dank, ihr ward mir eine grosse Hilfe.  8)](kann ich berichten das es recht gut funktioniert, und zumindest Cloudflare’s DNS service kaum bremst. Ich erfuhr eher den Eindruck einer minimalen Beschleunigung. Das kann aber mit Quad9 ganz anders sein. Nebst dem möchte ich anmerken dass sich das System erst Einpendeln muss.  ;)<br /><br />Vielen Dank, ihr ward mir eine grosse Hilfe.  8)<br /><br />)

eine letzte Frage habe ich noch…..der Tunnel vom Handy wird jetzt aufgebaut aber der Traffic geht noch nicht da durch ....muss ich hier auch 2 Tunnel bauen ?

@CarstenK.:

Die Lösung war das Häkchen bei "Disable Firewall Scrub Disables the PF scrubbing option which can sometimes interfere with NFS traffic." zu entfernen.

Seitdem läuft es bei mir auch einwandfrei!

Besten Dank!

Nein, das würde automatisch greifen. "Eingreifen" kannst du da nicht, das macht auch kein Sinn, denn du kommst ja bei einem Down des DSL nicht mehr drauf. Wie willst du dann eingreifen und was umstellen?

Dito wie WKN. Die scope7-1020 bspw. läuft auf einem N3000er und spielt hier ganz normal mit der CPU Taktung. Meist sind die allerdings von uns eh auf maximal eingestellt, damit das hoch/runtertakten entfällt.

pfSense ist drauf. Reicht den diese Board für eine gute Anbindung von 2 Standorten ?

Kommt auf die Gegebenheiten an, wie Bandbreite, Pakete etc. Wie viel muss durch den VPN Tunnel etc. etc.

Ich persönlich sage nein. Die APU1 ist EOL und wird auch nicht mehr repariert und supportet. Zudem kann die APU1 kein AES-NI und ist somit bei VPNs lahm. Wenns eine APU sein muss, dann APU2C4. Ansonsten würde ich aus subjektiver Erfahrung und RMAs eher eine scope7-1020 nehmen.

PS: Das HE muss ich mir jetzt echt mal anschauen - geht auch, wenn ich reinen IPv4 hab ???

Ja ist genau dafür gedacht, dass du v4 hast und v6 dann als Tunnel zugeschoben bekommst. Du kannst ein /64er Prefix oder nach Anmeldung und ein paar Testfragen auch ein /48er Prefix erhalten. Ist zwar leider nicht die super performanteste Option, aber besser als alles andere mit wechselndem Prefix allemal :)

Hallo JeGr

@JeGr:

Das hat nichts mit dem Keepalive von OpenVPN zu tun, sondern mit dem GATEWAY. pfSense pingt per default seine Gateways immer ca. 2x/s an um bei einem GW Failure entsprechend das Gateway offline zu nehmen und entsprechende Aktionen durchzuführen. Das sind auch keine 3-4 Pings pro Sekunde sondern genau 2 wie beschrieben, also alle 500ms - natürlich gibts auf den Request einen Reply, als Antwort -> Richtung beachten wer mit wem redet.

Ja das hatte ich der Zwischenzeit auch schon selbst erkannt. Ich habe jetzt folgendes Problem:

Die folgenden Eingabefehler wurden erkannt: Der Name Gateway darf nicht länger als 32 Zeichen sein, darf nicht ausschließlich aus Ziffern bestehen oder aus Unterstrichen bestehen und darf nur folgende Zeichen enthalten: a-z, A-Z, 0-9, _

Wenn ich die Bezeichung kürze kommt:

Die folgenden Eingabefehler wurden erkannt: Ändern des Namens eines Gateways ist nicht erlaubt.

Das ist jetzt etwas verzwickt…

BG Mario

Hi HydrexHD,
warum machst Du es Dir so schwer.
Die Fritte in vorderste Front, so hast Du keine Problem mit Tel./Fax etc., welches Du sonst in der pfSense explizit freigeben müsstest. Hier, in diesem ersten Netz, kannst Du auch die Plaudertaschen, wie z.B. TV ansiedeln. Ich habe z.B. da auch mein WLAN-Gastnetz am laufen.
Für die pfSense vergibst Du in der Fritte eine feste IP und schaltest Ports frei, wie z.B. OpenVPN oder IPSec, falls das gewünscht ist.
In die pfSense kannst Du noch eine 3. LAN Karte einbauen, wenn das geht. Ich hab da ein Stromsparendes APU2C4 mit 3NIC 's laufen. < 8W incl. einer WLAN-Karte.
So wäre dann WAN-von der Fritte, Dein internes LAN, DMZ für das NAS, je nachdem wie Du Dein NAS von remote erreichen willst z.B. über IPSec oder OpenVPN. Wie Du WLAN dann vergibst, bleibt Dir überlassen.
Du hättest also bei Bedarf, incl. dem Frittennetz 5 unterschiedliche IP-Netze, ohne VLAN 's notwendig zu machen. Das ermöglicht Dir z.B. für Dein LAN und mehrerer Geräte dort, einfach einen billigen dummen Switch einzusetzen.
Gruß orcape

Zugangslisten? Hab ich noch nicht von gehört, wozu dienen sie?
Diese Listen besagen nur, wer (Hosts oder Netze) den DNS Server anfragen dürfen. In der Regel hat man hier nur sein LAN Netz hinterlegt.

Harden DNSSEC habe ich leider nicht aktiv, da kann dir vielleicht ein anderer Nutzer mehr helfen.