ich hab mir das heut nachdem du gepostet hast angeschaut und bin auch drüber gestolpert
der % Satz > 10 ist echt Hammer

@jegr said in "anonymes" surfen mit VPNs:

etzte Kirsche auf der Sahnetorte: nur 8% der Datensätze waren in der "HaveIBeenPwned" DB.

Und nein es ist keine gute Idee einen Bunker zu mieten und dort einen ISP oder ein Datacenter zu betreiben ;)

Schöner Thread und freut mich dass es gelöst ist. Schiebe das aber weil Primärfokus ja nicht pfSense ist mal ins Allgemeine runter :)

@m0nji gibt es bei sophos eine Liste was in der Home Version von SG bzw XG zur Zeit inklusive ist, finde gerade nur alte Listen und da sind bei UTM Home noch viele Dinge drin, die heute nicht mehr drin sind

Noch mal Danke, auch für den Link, damit kann man dann ja jetzt so ziemlich alles anstellen, was beim NUT Server im NAS nicht geht.

Ja aber es ist so kompliziert und die Adressen so lang und das kann sich doch der alte Admin mit seinen 76 Jahren nicht mehr merken, muss er ja auch nicht vor der Rente.

Ja es ist leider so, mit IPv6 erleidet man immer noch verdammt häufig Schiffbruch.

Vor ca. 1 Jahr auch bei einem bekanntem erlebt, der Virenschutz war nach einem Update nicht mehr in der Lage das Postfach beim Empfang zu Scannen. Mit IPv4 ging es dann wieder.
Mussten wir echt abschalten bis wir den verdammten Vierschutz als Schuldigen ausgemacht haben.
Der ist dann geflogen und IPv6 ist seit dem wieder aktiv.

Von daher ist hier echt alles möglich.

@slu said in KVM - VM's - VLAN durchreichen:

Das ist ja interessant, 10.61.41.20 ist dein Proxmox Server, richtig?

Genau, die Bridge hat eben eine IP zugewiesen, weil sich Proxmox und Gäste eine NIC teilen.
Das wäre in deinem Fall nicht erforderlich.

Die Gast-VMs bekommen von Proxmox einen virtuellen Netzwerkadapter, auf dem dann eine VLAN-ID angegeben wird / werden kann. Mit VLAN tagged der virtuelle Nertzwerkadapter dann die Pakete vom Gast und untagged Paket zum Gast.
Heißt, der Gast kennt selbst das VLAN nicht, hat damit nichts zu tun.
Auf der pfSense wird dieses VLAN auf dem jeweiligen Interface, das mit der Bridge verbunden ist, eingerichtet. Diese pfSense ist bei mir nicht virtualisiert. Falls sie virtualisiert ist, macht es natürlich Sinn, das VLAN direkt am Host auf die gleiche Weise wie bei den anderen Gästen einzurichten, so dass die pfSense intern ein "normales" Interfaces ohne VLANs hat.

@slu said in KVM - VM's - VLAN durchreichen:

Das wäre dann ähnlich wie mein Setup, nur das ich für jedes VLAN ein Bridge machen muss.

Sehe ich auch so.

@noplan said in openVPN 2 boxen mit tunnel verbinden und trotzdem noch roadWarriors zulassen:

macht es sinn alles auf 1 server laufen zu lassen

Nö. Willst du nicht.

@noplan said in openVPN 2 boxen mit tunnel verbinden und trotzdem noch roadWarriors zulassen:

oder sollte man das trennen ergo zB 1194 die road warriors und die direkt auf 1195

Auf welchem Port ist Rille. Da Clients / User oftmals empfindlicher sind was Ports angeht, würde ich eher den Tunnel auf nen alternativen Port packen oder per IPSec machen je nachdem was der können muss.

@noplan said in openVPN 2 boxen mit tunnel verbinden und trotzdem noch roadWarriors zulassen:

huiii sachen gibts .... ich geh mir mal einen Punsch hoHoho len

Ist jetzt wirklich kein abgefahrener Wunsch sondern eher Standard. Einwahl will man meist so nah am Client wie möglich und dann eben die Standort Verbindung nutzen die meist dicker ist um nicht unnötig 2x per VPN eingewählt zu sein (was gehen würde BTW - ein Client kann mehrere OVPN Client Zugriffe gleichzeitig fahren). Normales Standardsetup.

Je nachdem wie komplex das Routing ist oder die Netze auf den Seiten aussehen nimmt man eben IPsec um Ressourcen zu schonen oder OVPN fürn Tunnel und ein OVPN für die RWs auf beiden Seiten. Sauber disjunkte Netze überall und es klappt alles auch im Routing.

@nocling said in openVPN 2 boxen mit tunnel verbinden und trotzdem noch roadWarriors zulassen:

Du brauchst einfach auf jeder Seite ein /23 als Minimum und das muss jeweils durch den S2S Tunnel durch.

Das kann ich so nicht stehen lassen. Brauchen tust du erstmal gar keine Netzgröße, sondern einfach sauber getrennte Netze auf jeder Seite, egal ob für die LAN(s) oder das VPN Einwahlnetz was du mit OVPN machst. Alles andere ist Routingsache. Ob via OVPN oder IPSec.

Man KANN sich das natürlich recht angenehm/einfach machen, wenn man das vorab schonmal ordentlich und gut geplant hat und saubere Netzwerkarchitektur für Zentrale, Außenstellen o.ä. gemacht hat. Jap. Hab ich ja oft genug an verschiedenen Stellen gepredigt. Wenn jede Seite bspw. ihren groben /16 oder /20 Bereich hat, in dem sie diverse /24er vergeben hat für diverse Zwecke und da das OVPN Einwahlnetz auch eines davon ist:

LAN A: 172.21.1.0/24 MGMT A: 172.21.0.0/24 WLAN A: 172.21.2.0/24 VPN A: 172.21.15.0/24

=> Seite A: 172.21.0.0/20
=> Seite B: 172.21.16.0/20

Wenn man sowas also ordentlich geplant hat, dann kann man das Site2Site VPN easy zusammenfassen, indem man auf beiden Seiten bspw. IPSec mit EINER Phase 2 und dem /20 Subnetz macht und gut ist. Den Rest regelt man auf beiden Seiten eingehend auf dem IPSEC Interface und filtert dort, was überhaupt erlaubt ist und was nicht (nix mit "any any * * *" o.ä.)

Damit auch easy erweiterbar mit weiteren Netzen.

Done. Ende. Boop. 😁

@mike69 said in Network Rebuild - reloaded...:

5 und 13, spielt genauso wilde Sau wie Fritze und Co. :)

Wenn du Auto machst, dann macht er auch Auto und passt sich Gegebenheiten an. Er scannt ja ab und zu die Umgebung und wenn mal Nachbarn irgendwo einstreuen, dann wechselt er dahin, wo die Umgebung "ruhiger" ist zu der Tageszeit.

Schon die neue UI im Controller 6 getestet, hier ist ja dann WiFi AI dabei, das scant bei mir jede Nacht um 4 die Kanäle uns setzt diese bei Bedarf dann auch um.

Das geht auch ohne neue UI :) WiFi AI kann man machen, ich habs irgendwann ausgemacht bei meinem Bruder weil Nachts dann immer Alarm kam, dass er den zweiten AP im 5GHz Bereich rumschiebt wegen Radar und Gedöns 🙄

Ansonsten kommen mir die neuen WiFi6 Lite auch ziemlich kräftig vor. Hatte die auf Medium und auf Auto und da hätte mir trotzdem fast einer gereicht der den gleichen Kram abgestrahlt hat wie der AC-LR vorher.

Habe mit den Werten ein wenig rum gespielt, da mit aber Qualität vor Speed geht, kommen hier aus 1000 lediglich max 600-800 raus.
Dafür ist es egal was wer anschmeißt, da kann auch Tagsüber das NAS Backup mit vollem Uplink durchs VPN schieben.

Die Queue habe ich mal ein wenig erweitert, wenn ich mich nicht verrechnet habe sollte das so in etwa hin kommen wenn die Leitung mit max läuft.
Kann aber auch sein das die viel zu kleine ist, da kann ggf. mal jemand was zu sagen.

Leitung ist 1000/50, Kabel und so ziemlich letzter(s) im Segement.

Mit 10-15 bei Target geht mehr Speed, dafür geht die Latenz dann aber auch hoch.

Hier down, Speed ist eingestellt auf 1095680 KBit:
0379d6e4-7240-4d20-9a31-6cfcf8d2ea3a-image.png

Hier up, Speed ist eingestellt auf 52784 KBit:
608a2b9f-8c03-4b56-818f-297b54754967-image.png

@JeGr

rennt im log wenn du den DNSBL reloadest
kommt aus den whitelists im DNSBL

ich versteh das Missing data nicht ... aber das liegt eher daran das ich nicht permanent die box reloaden kann .... denn https:// hat in der DNSBL whitelist nix verloren

@NOCling said in Netzwerk Erweiterung Richtfunk mit unifi/ubiquiti NanoBeam:

Was die hohen VLAN IDs angeht, auch hier bitte zuvor klären, ob alle Komponenten das können, teilweise ist bei 3 stellen noch schluss und die können noch keine extendet Bereich.

Was heißt "hohen"? VLAN IDs sind spezifiziert bis 4096. Wir reden hier nicht von VXLANs das wäre eh zu neu um damit rumzuspielen. Aber wer die 12 Bit VLAN ID im Paket nicht korrekt adressieren kann hat eh schon was grundlegend verhunzt. Dieser ganze "extended" BS kam eh von Cisco, die anfangs nur 1-1005 implementiert hatten und dann auch noch 1002-1005 reserviert. Wenn heute jemand nur 3 Stellen VLAN kann dann hat er was Grundlegendes nicht verstanden und sollte eh aus dem Netz verbannt werden (wie auch Kram der kein v6 kann aber anderes Thema ;))

@JeGr said in Hardware zur Virtualisierung von mehreren Instanzen: Allgemeine Fragen und Lösungen.:

@mike69 said in Hardware zur Virtualisierung von mehreren Instanzen: Allgemeine Fragen und Lösungen.:

Was ist Gebimsel?

Gebimsel, Gebimmel, "Bells & Whistles", all der shiny new world stuff ;) Das ganze Klimbim und Klingeling der "schönen neuen Streamingwelt"!

Spoiler

Warnung:
Kann Spuren von Nüssen, Gluten und Sarkasmus enthalten. Hauptsächlich wegen GeoBlocking und dümmlicher Produktgestaltung von Amazon & Co.

😂 😂 😂

Ja, dafür braucht man verdammt viel Platz. :)
wird leider mangels Qualität nicht weniger. 😁

@Bob-Dig Übrigens in der iOS App habe ich das jetzt auch gefunden, dass man manuell eine IP vergeben kann wenn das Discovery fehlschlägt. Über den Standard Einbindungs-Assistenten scheint dies nicht möglich. Bei Streamdeck, Alexa und Home Assistant sieht der überall gleich aus.

Spoiler

dd6ff76c-13c6-424e-975d-d92d457d9439-image.png

@JeGr said in Server im DMZ Netz aus dem Internet nicht erreichbar:

Was u.a. daran liegen kann, dass beim Server vielleicht das alte LAN Interface das primäre ist und er darüber antwortet statt über das neue 10.10er - und damit ist dein Routing asynchron und im Eimer :)

Habe das Lankabel 192.168.xx.xx vom Server agesteckt und schon öffnet sich die NC Seite. Oh je. Danke.
Konfiguration des Servers muss ich noch anpassen da die Ladezeit noch etwas lang ist. Wahrscheinlich reicht danach ein Neustart.

@NOCling said in Unifi Controller > 6.0.XX WLAN-Gruppen sind raus:

Bin halt Cisco gewohnt, da ist die CLI einfach geil, aber danke für den kleinen Einblick.

Jo, aber was bringt mir ne CLI wenn ich jede Mistkröte einzeln anfassen muss. Bäh ;)
Und der TACACS Rempel mag nett sein, aber ich bin nicht Krösus :) Und Unifi ist damit die günstigste SDN Lösung die mir da bekannt wäre.

Das ist schlicht kein 2ter Faktor, das ist ein Haufen Sch...

2FA wie App ist ja ok, wenn es dann aber auf einem anderen Device läuft, sonst ist das auch wieder ein Haufen...

Wenn man sich dann noch ansieht, wie der Rifu zwischen den einzelnen Sendemasten aufgebaut und abgesichert ist und die internen Protokolle, dann ist das einzige was man da guten gewissen drüber schicken kann ESP.

@noplan said in interner DNS für 1 client untersagen [solved]:

jede Internetleitung kriegt ne APU box mit pfs dann kann man das doch testen ODER ????

🤦 👊