Die benutzen wohl seit über 5 Jahren pfSense produktiv für die linus media group. Bin aber auch erst vor gut 2 Jahren bei deren 10Gbit/s Internet Upgrade Video drauf aufmerksam geworden:
https://youtu.be/_7CIlZIZB5k?t=682
Und schuld daran ist wohl Anthony als Linux Nerd... ;)

Oje, mir schwant fürchterliches...

@hornetx11 Ich glaube kaum, dass das sinnvoll umsetzbar ist. Nicht nur der simple WebAccess von OWA läuft über 443 sondern auch einige andere Komponenten ziehen sich ja ihre Daten darüber. U.a. auch ActiveSync und Co. Wenn du denen plötzlich irgendwas vor die Nase setzt, dass ein Client Zert braucht, wirst du garantiert Probleme mit Outlook, Outlook Apps oder sonstwas bekommen, was via AS oder ähnliches auf die Schnittstelle zugreifen will. So einfach irgendeine zusätzliche Authentifikation zu ergänzen wird eher weniger funktionieren.

@mike69 said in Public IPv4/IPv6 via VPN Tunnel:

Was meinst Du mit Bridging, Wlan und Lan zusammengefasst in ein IF?

Eine Bridge auf der pfSense ist eine verpönte Sache. Aber ja, ich habe der Bequemlichkeit halber ohnehin bereits eine zwischen LAN und einem WLAN-Segment.
Die Folge ist dann eben ein ungenutzer Tab mehr in den Firewall-Regeln.

Ich habe die Sache auf der To-do.

@mike69 said in Public IPv4/IPv6 via VPN Tunnel:

Übrings, der Tunnel läuft stabil und beim Zocken sind keine Nachteile zu erkennen. Eventuell leicht hörerer Ping, das ist nur messbar wenn überhaupt.

Fein. Toll, dass das alles problemlos drübergeht. Bei den Spielen war ich mir diesbezüglich zuvor nicht sicher, ob's funkt.
🙂

ich hab mir das heut nachdem du gepostet hast angeschaut und bin auch drüber gestolpert
der % Satz > 10 ist echt Hammer

@jegr said in "anonymes" surfen mit VPNs:

etzte Kirsche auf der Sahnetorte: nur 8% der Datensätze waren in der "HaveIBeenPwned" DB.

Und nein es ist keine gute Idee einen Bunker zu mieten und dort einen ISP oder ein Datacenter zu betreiben ;)

Schöner Thread und freut mich dass es gelöst ist. Schiebe das aber weil Primärfokus ja nicht pfSense ist mal ins Allgemeine runter :)

@m0nji gibt es bei sophos eine Liste was in der Home Version von SG bzw XG zur Zeit inklusive ist, finde gerade nur alte Listen und da sind bei UTM Home noch viele Dinge drin, die heute nicht mehr drin sind

Noch mal Danke, auch für den Link, damit kann man dann ja jetzt so ziemlich alles anstellen, was beim NUT Server im NAS nicht geht.

Ja aber es ist so kompliziert und die Adressen so lang und das kann sich doch der alte Admin mit seinen 76 Jahren nicht mehr merken, muss er ja auch nicht vor der Rente.

Ja es ist leider so, mit IPv6 erleidet man immer noch verdammt häufig Schiffbruch.

Vor ca. 1 Jahr auch bei einem bekanntem erlebt, der Virenschutz war nach einem Update nicht mehr in der Lage das Postfach beim Empfang zu Scannen. Mit IPv4 ging es dann wieder.
Mussten wir echt abschalten bis wir den verdammten Vierschutz als Schuldigen ausgemacht haben.
Der ist dann geflogen und IPv6 ist seit dem wieder aktiv.

Von daher ist hier echt alles möglich.

@slu said in KVM - VM's - VLAN durchreichen:

Das ist ja interessant, 10.61.41.20 ist dein Proxmox Server, richtig?

Genau, die Bridge hat eben eine IP zugewiesen, weil sich Proxmox und Gäste eine NIC teilen.
Das wäre in deinem Fall nicht erforderlich.

Die Gast-VMs bekommen von Proxmox einen virtuellen Netzwerkadapter, auf dem dann eine VLAN-ID angegeben wird / werden kann. Mit VLAN tagged der virtuelle Nertzwerkadapter dann die Pakete vom Gast und untagged Paket zum Gast.
Heißt, der Gast kennt selbst das VLAN nicht, hat damit nichts zu tun.
Auf der pfSense wird dieses VLAN auf dem jeweiligen Interface, das mit der Bridge verbunden ist, eingerichtet. Diese pfSense ist bei mir nicht virtualisiert. Falls sie virtualisiert ist, macht es natürlich Sinn, das VLAN direkt am Host auf die gleiche Weise wie bei den anderen Gästen einzurichten, so dass die pfSense intern ein "normales" Interfaces ohne VLANs hat.

@slu said in KVM - VM's - VLAN durchreichen:

Das wäre dann ähnlich wie mein Setup, nur das ich für jedes VLAN ein Bridge machen muss.

Sehe ich auch so.

@noplan said in openVPN 2 boxen mit tunnel verbinden und trotzdem noch roadWarriors zulassen:

macht es sinn alles auf 1 server laufen zu lassen

Nö. Willst du nicht.

@noplan said in openVPN 2 boxen mit tunnel verbinden und trotzdem noch roadWarriors zulassen:

oder sollte man das trennen ergo zB 1194 die road warriors und die direkt auf 1195

Auf welchem Port ist Rille. Da Clients / User oftmals empfindlicher sind was Ports angeht, würde ich eher den Tunnel auf nen alternativen Port packen oder per IPSec machen je nachdem was der können muss.

@noplan said in openVPN 2 boxen mit tunnel verbinden und trotzdem noch roadWarriors zulassen:

huiii sachen gibts .... ich geh mir mal einen Punsch hoHoho len

Ist jetzt wirklich kein abgefahrener Wunsch sondern eher Standard. Einwahl will man meist so nah am Client wie möglich und dann eben die Standort Verbindung nutzen die meist dicker ist um nicht unnötig 2x per VPN eingewählt zu sein (was gehen würde BTW - ein Client kann mehrere OVPN Client Zugriffe gleichzeitig fahren). Normales Standardsetup.

Je nachdem wie komplex das Routing ist oder die Netze auf den Seiten aussehen nimmt man eben IPsec um Ressourcen zu schonen oder OVPN fürn Tunnel und ein OVPN für die RWs auf beiden Seiten. Sauber disjunkte Netze überall und es klappt alles auch im Routing.

@nocling said in openVPN 2 boxen mit tunnel verbinden und trotzdem noch roadWarriors zulassen:

Du brauchst einfach auf jeder Seite ein /23 als Minimum und das muss jeweils durch den S2S Tunnel durch.

Das kann ich so nicht stehen lassen. Brauchen tust du erstmal gar keine Netzgröße, sondern einfach sauber getrennte Netze auf jeder Seite, egal ob für die LAN(s) oder das VPN Einwahlnetz was du mit OVPN machst. Alles andere ist Routingsache. Ob via OVPN oder IPSec.

Man KANN sich das natürlich recht angenehm/einfach machen, wenn man das vorab schonmal ordentlich und gut geplant hat und saubere Netzwerkarchitektur für Zentrale, Außenstellen o.ä. gemacht hat. Jap. Hab ich ja oft genug an verschiedenen Stellen gepredigt. Wenn jede Seite bspw. ihren groben /16 oder /20 Bereich hat, in dem sie diverse /24er vergeben hat für diverse Zwecke und da das OVPN Einwahlnetz auch eines davon ist:

LAN A: 172.21.1.0/24 MGMT A: 172.21.0.0/24 WLAN A: 172.21.2.0/24 VPN A: 172.21.15.0/24

=> Seite A: 172.21.0.0/20
=> Seite B: 172.21.16.0/20

Wenn man sowas also ordentlich geplant hat, dann kann man das Site2Site VPN easy zusammenfassen, indem man auf beiden Seiten bspw. IPSec mit EINER Phase 2 und dem /20 Subnetz macht und gut ist. Den Rest regelt man auf beiden Seiten eingehend auf dem IPSEC Interface und filtert dort, was überhaupt erlaubt ist und was nicht (nix mit "any any * * *" o.ä.)

Damit auch easy erweiterbar mit weiteren Netzen.

Done. Ende. Boop. 😁

@mike69 said in Network Rebuild - reloaded...:

5 und 13, spielt genauso wilde Sau wie Fritze und Co. :)

Wenn du Auto machst, dann macht er auch Auto und passt sich Gegebenheiten an. Er scannt ja ab und zu die Umgebung und wenn mal Nachbarn irgendwo einstreuen, dann wechselt er dahin, wo die Umgebung "ruhiger" ist zu der Tageszeit.

Schon die neue UI im Controller 6 getestet, hier ist ja dann WiFi AI dabei, das scant bei mir jede Nacht um 4 die Kanäle uns setzt diese bei Bedarf dann auch um.

Das geht auch ohne neue UI :) WiFi AI kann man machen, ich habs irgendwann ausgemacht bei meinem Bruder weil Nachts dann immer Alarm kam, dass er den zweiten AP im 5GHz Bereich rumschiebt wegen Radar und Gedöns 🙄

Ansonsten kommen mir die neuen WiFi6 Lite auch ziemlich kräftig vor. Hatte die auf Medium und auf Auto und da hätte mir trotzdem fast einer gereicht der den gleichen Kram abgestrahlt hat wie der AC-LR vorher.

Habe mit den Werten ein wenig rum gespielt, da mit aber Qualität vor Speed geht, kommen hier aus 1000 lediglich max 600-800 raus.
Dafür ist es egal was wer anschmeißt, da kann auch Tagsüber das NAS Backup mit vollem Uplink durchs VPN schieben.

Die Queue habe ich mal ein wenig erweitert, wenn ich mich nicht verrechnet habe sollte das so in etwa hin kommen wenn die Leitung mit max läuft.
Kann aber auch sein das die viel zu kleine ist, da kann ggf. mal jemand was zu sagen.

Leitung ist 1000/50, Kabel und so ziemlich letzter(s) im Segement.

Mit 10-15 bei Target geht mehr Speed, dafür geht die Latenz dann aber auch hoch.

Hier down, Speed ist eingestellt auf 1095680 KBit:
0379d6e4-7240-4d20-9a31-6cfcf8d2ea3a-image.png

Hier up, Speed ist eingestellt auf 52784 KBit:
608a2b9f-8c03-4b56-818f-297b54754967-image.png

@JeGr

rennt im log wenn du den DNSBL reloadest
kommt aus den whitelists im DNSBL

ich versteh das Missing data nicht ... aber das liegt eher daran das ich nicht permanent die box reloaden kann .... denn https:// hat in der DNSBL whitelist nix verloren

@NOCling said in Netzwerk Erweiterung Richtfunk mit unifi/ubiquiti NanoBeam:

Was die hohen VLAN IDs angeht, auch hier bitte zuvor klären, ob alle Komponenten das können, teilweise ist bei 3 stellen noch schluss und die können noch keine extendet Bereich.

Was heißt "hohen"? VLAN IDs sind spezifiziert bis 4096. Wir reden hier nicht von VXLANs das wäre eh zu neu um damit rumzuspielen. Aber wer die 12 Bit VLAN ID im Paket nicht korrekt adressieren kann hat eh schon was grundlegend verhunzt. Dieser ganze "extended" BS kam eh von Cisco, die anfangs nur 1-1005 implementiert hatten und dann auch noch 1002-1005 reserviert. Wenn heute jemand nur 3 Stellen VLAN kann dann hat er was Grundlegendes nicht verstanden und sollte eh aus dem Netz verbannt werden (wie auch Kram der kein v6 kann aber anderes Thema ;))

@JeGr said in Hardware zur Virtualisierung von mehreren Instanzen: Allgemeine Fragen und Lösungen.:

@mike69 said in Hardware zur Virtualisierung von mehreren Instanzen: Allgemeine Fragen und Lösungen.:

Was ist Gebimsel?

Gebimsel, Gebimmel, "Bells & Whistles", all der shiny new world stuff ;) Das ganze Klimbim und Klingeling der "schönen neuen Streamingwelt"!

Spoiler

Warnung:
Kann Spuren von Nüssen, Gluten und Sarkasmus enthalten. Hauptsächlich wegen GeoBlocking und dümmlicher Produktgestaltung von Amazon & Co.

😂 😂 😂

Ja, dafür braucht man verdammt viel Platz. :)
wird leider mangels Qualität nicht weniger. 😁

@Bob-Dig Übrigens in der iOS App habe ich das jetzt auch gefunden, dass man manuell eine IP vergeben kann wenn das Discovery fehlschlägt. Über den Standard Einbindungs-Assistenten scheint dies nicht möglich. Bei Streamdeck, Alexa und Home Assistant sieht der überall gleich aus.

Spoiler

dd6ff76c-13c6-424e-975d-d92d457d9439-image.png