Hilfegesuch bei Telekom VDSL Anschluss mit VIGOR167 und pfSense
-
@sysadminfromhell Hallo, erst mal würde ich den Vigor wieder in den Ausgangszustand bringen. Dieser wird normalerweise richtig für dein Vorhaben konfiguriert als Modem mit VLAN 7 ausgeliefert.
https://www.draytek.de/einrichtung-internet-mit-t-online.htmlIn der Sense dann folgendes konfigurieren.
Anschließen sollte es funktionieren. Vielleicht hast du ja auch nur den MTU Wert vergessen.
Netgate 6100
-
So funktioniert es bei mir. PPPoE macht die Sense, VLAN die Fritzbox davor im PPPoE-Passthrough-Modus.
-
@bob-dig Hi Bob.Dig, ich nehme mal an das seine Sense Konfiguration so aussieht wie deine. Das funktioniert so mit der Fritzbox (Router) aber nicht richtig mit dem Vigor (Modem).
-
@nonick Aus Ermangelung eines Vigors kann ich Dir nicht widersprechen.
-
@nonick Danke dir vielmals!
mit der MTU und dem MSS hat es geklappt, bin nun über den VIGOR direkt verbunden!
Vielen lieben Dank!
-
@nonick said in Hilfegesuch bei Telekom VDSL Anschluss mit VIGOR167 und pfSense:
@sysadminfromhell Hallo, erst mal würde ich den Vigor wieder in den Ausgangszustand bringen. Dieser wird normalerweise richtig für dein Vorhaben konfiguriert als Modem mit VLAN 7 ausgeliefert.
https://www.draytek.de/einrichtung-internet-mit-t-online.htmlIn der Sense dann folgendes konfigurieren.
Anschließen sollte es funktionieren. Vielleicht hast du ja auch nur den MTU Wert vergessen.
Aber eine Frage hab ich da noch zu, wie reduzierst du dein Package Loss bei hoher auslastung?
Benutzt du da die Traffic Sharper? -
@sysadminfromhell said in Hilfegesuch bei Telekom VDSL Anschluss mit VIGOR167 und pfSense:
Danke dir vielmals!
Gern geschehen.
@sysadminfromhell said in Hilfegesuch bei Telekom VDSL Anschluss mit VIGOR167 und pfSense:
wie reduzierst du dein Package Loss bei hoher auslastung?
Benutzt du da die Traffic Sharper?Das ist Bufferbloat. Das kannst du hier testen.
Bufferbloat Test by WaveformSo sieht es die Dokumentation von Netgate vor.
https://docs.netgate.com/pfsense/en/latest/recipes/codel-limiters.htmlUnd so würde ich es machen (ohne dem ICMP)
https://isc.sans.edu/forums/diary/Securing+and+Optimizing+Networks+Using+pfSense+Traffic+Shaper+Limiters+to+Combat+Bufferbloat/27102/So ähnlich könnte dann das Resultat aussehen wenn es funktioniert.
-
@nonick Warum fordert ihr eigentlich alle keine IPv6 Adresse an, nur einen Prefix? Beim rR bekommt doch das WAN seine eigene IP-Adresse und den Prefix bekommt man unabhängig davon. Ich würde also vermuten, der Haken kann in jedem Fall da raus.
-
@bob-dig Du benötigst doch nur den Präfix. Der Rest wird doch gewürfelt oder von der MAC Adresse abgeleitet.
-
@nonick Auch wieder wahr.
-
@nonick said in Hilfegesuch bei Telekom VDSL Anschluss mit VIGOR167 und pfSense:
@sysadminfromhell said in Hilfegesuch bei Telekom VDSL Anschluss mit VIGOR167 und pfSense:
Danke dir vielmals!
Gern geschehen.
@sysadminfromhell said in Hilfegesuch bei Telekom VDSL Anschluss mit VIGOR167 und pfSense:
wie reduzierst du dein Package Loss bei hoher auslastung?
Benutzt du da die Traffic Sharper?Das ist Bufferbloat. Das kannst du hier testen.
Bufferbloat Test by WaveformSo sieht es die Dokumentation von Netgate vor.
https://docs.netgate.com/pfsense/en/latest/recipes/codel-limiters.htmlUnd so würde ich es machen (ohne dem ICMP)
https://isc.sans.edu/forums/diary/Securing+and+Optimizing+Networks+Using+pfSense+Traffic+Shaper+Limiters+to+Combat+Bufferbloat/27102/So ähnlich könnte dann das Resultat aussehen wenn es funktioniert.
Super, vielen Dank. Bin jetzt von B- auf A gekommen. Denke mal mehr ist da nicht drin. Wobei da steht dass der Ping dann zwischen 10 und 15 ist was denke ich ok ist.
-
N nonick referenced this topic on
-
N nonick referenced this topic on
-
@nonick said in Hilfegesuch bei Telekom VDSL Anschluss mit VIGOR167 und pfSense:
@sysadminfromhell said in Hilfegesuch bei Telekom VDSL Anschluss mit VIGOR167 und pfSense:
Danke dir vielmals!
Gern geschehen.
@sysadminfromhell said in Hilfegesuch bei Telekom VDSL Anschluss mit VIGOR167 und pfSense:
wie reduzierst du dein Package Loss bei hoher auslastung?
Benutzt du da die Traffic Sharper?Das ist Bufferbloat. Das kannst du hier testen.
Bufferbloat Test by WaveformSo sieht es die Dokumentation von Netgate vor.
https://docs.netgate.com/pfsense/en/latest/recipes/codel-limiters.htmlUnd so würde ich es machen (ohne dem ICMP)
https://isc.sans.edu/forums/diary/Securing+and+Optimizing+Networks+Using+pfSense+Traffic+Shaper+Limiters+to+Combat+Bufferbloat/27102/So ähnlich könnte dann das Resultat aussehen wenn es funktioniert.
Hi, du ich brauch doch nochmal deine Hilfe und zwar hab ich ein kleines Problem festgestellt und ich habe dazu leider nichts finden können:
Ich verwende auch port Forwarding und jetzt wird es tricky, lass ich die Floating Rules für die Shaper aktiv dann kann ich keinerlei Port Forwarding verwenden und auch eingehender Verkehr verhält sich sehr komisch (ssh (TCP-22) ist aufeinmal offen?).
Hab ich die Floating rules einfach falsch gebaut bzw. gibt es da noch was zu beachten?
Beste Grüße und vielen Dank für deine super Hilfe!
-
@sysadminfromhell Du hast als Aktion statt Match - Pass und zusätzlich Quick ausgewählt. Damit sind das Firewallregeln und kein Filter.
Netgate 6100
-
@nonick Wobei das bei Limitern normal ist und laut offizieller Anleitung aus der Doku so zu machen ist. Aber die Regeln sind halt fehlerhaft und nicht 1zu1 übernommen worden. Hier wurde quasi die Firewall komplett abgeschaltet!!
-
@bob-dig Laut Netgate Dokumentation ja, aber meiner Meinung nach völlig falscher Ansatz. Du erstellst unter Floating Rule eine Firewallregel die alles darf, unabhängig von den eigentlichen Regeln des jeweiligen Interface. Das ist ein riesiges Sicherheitsrisiko!
-
@nonick Jetzt darf ich mal widersprechen.
Die offizielle Regel ist ja nur WAN-Adresse ausgehend, d.h. hier muss schon vorher etwas den Traffic erlaubt haben und damit ist das sauber.
PS: Wenn mir jemand sagt, wie ich die Regeln wieder einzeilig bekomme, wäre ich dankbar!
-
@bob-dig said in Hilfegesuch bei Telekom VDSL Anschluss mit VIGOR167 und pfSense:
Jetzt darf ich mal widersprechen.
Gerne
Das stimmt, sonst wäre das von Netgate auch völlig falsch und grob fahrlässig. Um aber wie in diesem Fall nicht versehentlich die Firewall zu öffnen empfiehlt sich immer bei Traffic Shaper Regeln Match statt Pass zu wählen. Netgate macht das ja auch so über dem Assistenten wenn man Traffic Shaper Regeln erstellt. Damit ist man auf der sicheren Seite und überschreibt keine andere Firewallregel. -
@nonick said in Hilfegesuch bei Telekom VDSL Anschluss mit VIGOR167 und pfSense:
Netgate macht das ja auch so über dem Assistenten wenn man Traffic Shaper Regeln erstellt.
Shaper ≠ Limiter
Wobei hier gab es ja zuletzt Änderungen am Code, vielleicht muss man das in Zukunft nicht mehr unterscheiden?
-
@nonick said in Hilfegesuch bei Telekom VDSL Anschluss mit VIGOR167 und pfSense:
@sysadminfromhell Du hast als Aktion statt Match - Pass und zusätzlich Quick ausgewählt. Damit sind das Firewallregeln und kein Filter.
Super da hab ich einfach Blind der Anleitung gefolgt
Danke dir, bist mein Held der WocheBeste Grüße,
-
@sysadminfromhell said in Hilfegesuch bei Telekom VDSL Anschluss mit VIGOR167 und pfSense:
Super da hab ich einfach Blind der Anleitung gefolgt
Leider nein, sonst wäre dir dieser Fauxpas ja nicht passiert. Aber zumindest dein Nick passt.
