@Monta you could do a traffic capture and look out for dhcp related packets...coming from, going to...pfsense offers that already. here: https://docs.netgate.com/pfsense/en/latest/diagnostics/packetcapture/webgui.html you could also provide screenshot(s) of: vlan config pfense and vlan interfaces for dhcp vlan config of switch config of AP maybe that gives a hint... as already said: said in How to view VLAN: you possibly get more help if you give precise info ;)

@detox The "ver" command line program shows: C:\>ver Microsoft Windows [Version 10.0.26100.6584] The Windows command "winver" works also. I was asking if you see that in NtopNG since I have no idea. We don't identify that at the router because for our clients we have records of the PCs and most have our ITS TeamCare agent on them anyway, so we have all sorts of automated reporting.

@TTWE can you post the logs around the 2:00 event?

Today, I try to install FreeBSD 14.3 on Proxmox 8, I found that FreeBSD 14.3 internal route slowly too. How to slow this problem? Please help! Many thanks!

@cheapie408 said in Pfsense drops internet every few days: ... and it goes back immediately so I don't think this is an ISP issue True, it could be as simple as "x.x.x.x " decides not to reply on ping (ICMP) anymore. Or, as ICMP is a low priority protocol, the packets would get ditched. The result is all the same : if ping packets don't come back, dpinger, as a default action, will 'reset' the WAN interface. You can test this situation : Disable the monitoring action ( System > Routing > Gateways > Edit ). If the only issue is that ping packets don't come back anymore but other traffic is flowing normally, then there is no real need to reset the interface, no need to rebuild the connection. Another possible solution : pick another IP to ping .. ?!

@Wylbur I also block IPv6 on my WAN interface, all fine, doing only IPv4 in my Lan and to my WireGuard VPN Provider, no IPv6 @ all... LOL... All is working fine, wish you good luck!

@keyser said in Order of routing: There is a MUCH simpler solution - simply bypass (exclude) that IP from the IPsec policy based route. Wow. Didn't know this as well. Thx.

@marcosm said in There were error(s) loading the rules: f8940f56d443d89267dfc4d361fcae0ef0ddab6a Can not reproduce it anymore, unfortunately.

Primero de todo, gracias por tu respuesta. Le he cambiado la IP al servidor y le he puesto la 192.168.0.180 y funciona perfectamente. He probado que ningún dispositivo se haya adjudicado .250, pero no hay ninguno. Si vuelvo a cambiar la IP a la .250 , vuelve a realizar el mismo fallo. No sé que puede pasar con esa IP.

@adrianp918 If your VPN client (on the remote device) uses the pfSense resolver as its DNS source, you could create a host name on pfSense for this printer. from then on you can use (example) : "printer.your-pfsense-domain.tld" as that will resolve to the LAN IP of the printer.

Other. 1195.. however if this is for failover when you should use 1194 on that interface as well.. The solution provided above seems interesting.. If you are truly looking for multiple VPN instances then yes you do need to use a different port.

It looks like what actually triggered that 'crash' though was trying to open a 600MB file in Diag > Edit.

@patient0 Hi! Arris and pre-WAN pfSense are set up for the same IP range on their LANs (but of course they're not connected to my main pfSense simultaneously) and my other networks differ -- there is no IP conflict

@aGeekhere yes I have tested it on a VM of 2.8.1-BETA and64 20250729-1541 and it has the same issue without any custom config same problem. I want to upgrade so bad but I need that package to work.

@WN1X I'm on community. 2.8.0-RELEASE It was released in May.

@tinfoilmatt I could just as well use OpenVPN for S2S as the workaround. But i Prefer Wireguard due to it’s simplicity - I find it’s just as fast as OpenVPN with hardware acc. There is nothing wrong with either of those options - it’s just not enough in many cases… I’m not always in control of the other ends hardware, and IPsec then becomes the golden standard, and thus required. Also, I much prefer to have only one VPN engine/setup running on pfSense - My “KISS OCD” does not like having multiple different VPN suites/rules and setups running when just IPSec should be enough. PS: The pfSense mobile warrior IPsec setup is not replaceable :-) I, and my customers, absolutely LOVE the pfSense Mobile VPN with it’s simple setup, and grouping of firewall rules due to multiple IP pools. Not having to deploy and maintain VPN clients, but just use the ones built into OS’s is an absolute WIN-WIN when coupled with 2FA from the MS Entra plugin to Microsofts NPS radius server.

Some of those APC UPS network cards can be pricey, but if you have one already might as well use it. I simply connect my UPS directly to pfSense via USB and NUT. All TrueNAS clients powered by the same UPS, poll UPS status using NUT from pfSense. I believe NUT is available on UGreen proprietary OS.

see https://forum.netgate.com/topic/198800/solved-pkg-upgrade-not-found-required-by-pkg running on ssh this command fixed my problem. pkg-static clean -ay; pkg-static install -fy pkg pfSense-repo pfSense-upgrade for me the problem is solved.uuu

@aaronouthier To properly support cell phones and devices tethered to them, you should try to set up your PBX to use IPv6, if possible. 4G & 5G phones are IPv6 only and use a translation protocol to send IPv4 over IPv6 networks. Android phones use 464XLAT. I don't know what iPhones use. There's no need for NAT with IPv6.

@chris1284 said in pfsense HA an Telekom Glasfaser Anschluß: Proxmox HA vernünftig aufgesetzt sind 3 nodes minimum, da man mit 2 nodes bei Ausfall kein Quorum (Mehrheit) zustande kommt und der Cluster read only geht (also die vms laufen, aber man kann nicht migrieren oder neue starten). Das kann man jedoch händisch "arbeitsfähig bleiben" (expected 1), wenn 1 node down ist. Jein. Ja du hast mit vernünftig aufgesetzt recht, Homelab ist aber != Business best-case setup. 2 Nodes gehen absolut und können auch bei Ausfall reagieren. Ausfall muss dann eben korrekt definiert und Fencing konfiguriert sein. Das geht. Und selbst wenn nicht, semi automatisch geht immer. :) @chris1284 said in pfsense HA an Telekom Glasfaser Anschluß: Bei bedarf fahre ich den 2. node hoch, migriere die VM, expect 1 setzen und fahre den 1. node runter/führe dort die Wartung durch. Danach alles zurück migrieren, node 2 wieder down Das geht natürlich auch. @chris1284 said in pfsense HA an Telekom Glasfaser Anschluß: Ein 3 Port WAN VLAN auf einem Switch und da dann Modem uplink, WAN Node 1 und WAN Node 2 dran. bei Life Migration dürfe dem Modem dann der Wechsel des nodes nicht auffallen (selbe Mac WAN pfsense) Mit Nodes meinst du die Proxmoxe? Ja klar, da reicht ein Hub oder "dummer" Switch mit simplem VLAN. Hauptsache die Nodes haben physikalisch das WAN gleich bei sich und könnten auf egal welchem Node/WAN dann via PPPoE das Interface anfahren zur Einwahl. @chris1284 said in pfsense HA an Telekom Glasfaser Anschluß: Das müsste gehen. Hub dazwischen wäre doch dann simpler? In der Tat :) @chris1284 said in pfsense HA an Telekom Glasfaser Anschluß: Das Szenario hatte ich auch schon, dann läuft aber entweder ein Router statt dem Modem oder ein Modem, 1 Router, 2 PVE. Double NAT hat man so oder so, das wollte ich vermeiden. Der erste Router müsste dann ja auch auf "Durchzug" stehen und alles durchreichen. Alle Welt schreit immer Zeter und Mordio bei Doppel NAT. Wenn du aber im Homelab kein Mega-Gamer mit Extrem-Anspruch bist, der P2P Port mäßig super-direkt überall erreichbar sein muss, ist egal wie viel NAT völlig egal dazwischen. Und bei einem Cluster-Paar ist ein vorgeschalteter Router eben "Pflicht" oder zumindest best-case setup, da man ansonsten auf dem secondary node kein Internet hat, was den Betrieb stark beeinträchtigt. Zum einen kann er dann nicht sofort übernehmen wie schon gesagt, zum anderen geht dir gerade einer der Pluspunkte vom Clustering kaputt: einfaches Failover und Update bei neuen Versionen. Normalfall: Update 2nd node, durchbooten, testen - hey geht - switchen auf 2nd node, 1st in maint setzen, upgraden, testen, zurückschwenken. Normaler Fall: 2x 1-3s Ausfall/Ruckeln. Best Case du merkst gar nix. Geht aber nicht, wenn nicht beide Nodes unabhängig Internet haben :/ Und die "Doppel-NAT" ist kein Drama, da du auf dem Router davor exposed Host machst, du bekommst also trotzdem alles ab (außer der Router kann so gar nix - dann verbrennen und anderes Gerät). Aber gehen wir von ner frittierten Fritte aus, dann exposed Host man die VIP und kann dann auf den einzelnen pfS Nodes trotzdem sauber (durch das NAT davor) ins Netz, während alles von extern via Exposed Host auf die VIP auf den aktiven Node reingeballert wird. Pluspunkt (bei einigen ISPs): Du setzt den/einen kompatiblen Providerrouter ein, den sie entweder selbst ersetzen, warten oder supporten müssen und sie können sich nicht rausmurksen wenns mal Probleme gibt. @chris1284 said in pfsense HA an Telekom Glasfaser Anschluß: Danke! Wenn mein Gedanke zum "downgraded" Proxmox Cluster mit 2 Nodes und VLAN für sauberen WAN switch bei Migration sauber funktioniert aus deiner Sicht, wäre das mein Weg, den ich teste. Klar feuer frei :) Wenn die 2 kleinen Nodes entsprechend verkabelt sind, sollte das kein Thema sein. @chris1284 said in pfsense HA an Telekom Glasfaser Anschluß: Danke sehr für deinen Input und den Denkanstoß Immer gern :) Aber es hat schon seinen Grund, warum selbst Netgate Personal sagt, dass im Homelab/zu Hause Clusterbetrieb einfach zu oversized ist. Da bist du so am puzzeln und basteln dass das geht... uff. :D Cheers!