3000 war der Zauberport, jetzt geht es.

@chris_6n Warum Postgres? Grafana funktioniert da wesentlich besser mit ner InfluxDB weil Logs genauso wie Stat Werte ja über die Zeit gespeichert werden. Da ist eine time based DB wie Influx sinnvoller als was klassisch DBMS mäßiges wie Postgre oder MxSQL. Darum wirds bspw. von Grafana, Graylog oder Prometheus u.a. als Basis genutzt oder ist dort direkt importierbar ohne große Konverter. Für Grafana würde sich daher das Telegraf Plugin und ne Influx als Basis anbieten. Ansonsten gäbe es da nur die Möglichkeit, die Logs via rsyslog Server auf ne andere Kiste zu schieben und dort als Eingangsfilter dann was zu bauen, was das Ganze statt in Syslog dann konvertiert in einzelne Postgres Queries umsetzt. Sieht für mich aber auf den ersten Blick nach einem ziemlichen Bottleneck aus da Filter Regeln je nach Einschlag von Paketen stark eskalieren können und dementsprechend ordentlich Logs raushauen können. Und klassische DBMS die das noch dazu dann ggf. transaction based importieren würden da etliche Queries mit Inserts pro Sekunde abbekommen. Das klingt extrem unperformant - darum der Hinweis das ggf. direkt via Telegraf & Influx zu machen da weniger Overhead und bessere Speicherung über Zeit möglich. Cheers

@caso1990 Danke, Funktioniert immer noch / still works (Hyper-V Server 2019)

Hier geht das, einfach die Domain als Suchdomäne an die Clients per DHCP ausrollen und schon lässt sich der statische DNS Eintrag immer sauber auflösen. Egal ob als FQDN oder Kurzname, was dann über die Suchdomäne zum FQDN vervollständig wird. Daher auch bei der DNS Auflösung am Ende, wenn man FQDNs sucht immer einen . machen. Die Option 43 ist echt simpel, in dem Link von Jens ist ja wirklich alles erklärt. Dann noch im Controller den FQDN für den Controller hinterlegen und schon finden die immer wieder heim.

@n300 Da bin ich bei dir, den Alarmismus-Grad der Meldung fand ich auch etwas zu stark gemessen an "Umstellen sollte man erst wenn das Ding wesentlich mehr Features hat" (also je nach Einsatzzweck mit der kommenden 24.08) - das erweckt leider mitunter die Idee, man müsste hier akuter tätig werden, als es ist.

Mit ein paar Parameter mehr (da hätte ich auch selber drauf kommen können) sieht man sehr schön das pfBlockerNG schreibt und auch was passiert wenn man den Python Mode einschaltet: https://forum.netgate.com/post/1182078

@eagle61 said in Konfiguration einer pfSense am Deutsche Giganetz MyNet 600: LEISTUNGSBESCHREIBUNG MyNet und ProNet mit kundeneigenem ONT Es wird der vom ISP gestellte ONT eingesetzt. Die Deutsche Giganetz hat dem Anschlussinhaber kurz vor Vertragsbeginn einen Brief mit PPPoE-Zugangsdaten zugesandt.

@mike69 said in Deutsche Glasfaser am pfsense - IPv6 und "DHCPv6 Prefix Delegation size" bzw. "IPv6 Prefix ID": Und wie soll der Anbieter ohne User/Pass wissen, wer am anderen Ende sitzt? Geht nur mit der Indentifikation des ONT oder des SFP Modules. MAC Adresse imho... Das weiter oben von mir erwähnte Urteil des BVerfG aus 2023 ist eindeutig. Es gilt die freie Endgerätewahl in DE - auch für die DG. Auch DG muss es somit ermöglichen einen eignen NT anzuschließen, der den technischen Spezifikationen der jeweiligene Anschlusstechnologie entspricht und darf das nicht mittels Bindung an eine bestimmte Geräte-MAC-Adresse eines vom DG gelieferten NT unterbinden.

@BerndHu Schwierig zu sagen. Wir hatten auch schon Geräte auf dem Tisch, die dann bei uns problemlos liefen, da war es wahrscheinlich dann einfach Pech bei der Konsole. Machmal war auch was mit Wackelkontakt bzw. wir hatten es auch schon, dass ein Power/Reset Button ein Dauersignal rausgab. Wären alles mögliche Ursachen, kann man so remote schlecht sagen. Im schlechtesten Fall dann was anderes in Richtung Board oder Power. Da müsste ich raten oder müsste mir das Gerät selbst anschauen. Cheers

@micneu Das ich die Fritzbox nehme liegt hauptsächlich daran, dass sie da ist und bisher alle meine Anforderungen erfüllt hat. Ich bräuchte sie auch weiterhin, da schien es zu Beginn des Projektes "einfach" sie zu behalten und als VPN Endpunkt zu benutzen. Die Überlegung Sie ersetzen startet bei mir als erst jetzt Das mit den Netzen ist vorallem Gewohnheit. Als ich den Thread erstellt habe ging ich davon aus, das ich einen einfachen Fehler gemacht habe und das genaue private Netz nicht von belang ist. Naja, wieder was gelernt.

@JeGr said in Kein Verbindungsaufbau Telekom VOIP mit eigenen DNS Servern / PFSense als DNS Resolver: Von DNS lese ich da gar nichts Ich auch nicht. Aber DD4711 beschrieb aber Probleme mit der NAmensauflösung. Probleme, die ich von o2 (mein ISP) auch kenne, denn die verstecken ihren SIP-Server sip.alice-voip.de aus mir nicht nachvollziehbaren Gründen. Nur die DNS-Server von o2 lösen den Namen des SIP-Servers von o2 auf. Gleichzeitig beherrschen die DNS-Server von o2 kein DoT (DNS-over-TLS) und so weit ich weiß auch kein DoH (DNS-over-HTTPS). Will man nun, wie ich, DNS-over-TLS erzwingen, kann man die DNS-Server von o2 nicht nutzen. Daher vermute ich DD4711 hat ein ähnliches Problem, was sich ja schon durch einen einfachen ping auf den SIP-Server der Telekom bestätigen lässt, denn sowohl auf ein ping auf sip.alice-voip.de wie auch auf tel.t-online.de bekomme ich die gleiche Antwort: Name or service not known, der STUN-Server (stun.t-online.de) wird hingegen korrekt aufgelöst zu 217.0.136.1. Damit kann DD4711 derzeit keine funktionierenden VoIP-Verbindung hinbekommen, denn weder der SIP-Proxy, der Registrar, noch der Realm werden aufgelöst und es wird eine IP-Adresse von der pfsense zurückgeliefert.

Kleines Update, das WAN-Interface kann nun zumind. ohne Reboot (automatisiert) wieder zum Leben erweckt werden. Hierzu das WAN-Interface fest (nicht "autoselect") auf die entsprechende Port-Geschwindigkeit der Gegenseite einstellen [image: 1723354007861-bildschirmfoto-2024-08-11-um-07.26.22.png] und die folgende Befehlssequenz ausführen (neu ist die Löschung des ARP-Eintrags der IP-Adresse des WAN-Interfaces). /sbin/ifconfig $WAN_INT down sleep 10 /usr/sbin/arp -d $WAN_IP /sbin/ifconfig $WAN_INT up sleep 20 dhclient $WAN_INT sleep 20 Mit einem CRON-Job und einem Ping-Test-Skript läuft das bisher einwandfrei....

@eagle61 Hier noch eine Rückmeldung mit der Antwort von Deutsche Glasfaser. Ich könnte ohne den Standard Modem mich einwählen, aber die geben nur AVM Fritzbox Alternativen. [image: 1723110642467-c92e2aa0-5125-4b35-af14-d59bf62679b2-image.png] [image: 1723110652767-80f18c62-930c-4569-ab9c-5b482b1a961e-image.png] Aber Einwahldaten hat man... von daher hätte man es testen können. Ich werde das aber nicht machen, weil es ein wenig zu fortgeschritten wäre für mich allein. Vielleicht in der Zukunft.

@viragomann Danke, hat so funktioniert.

Verstehe immer noch nicht, warum man das nicht mit einer Firewall Instanz löst. Vor allem, wenn man die gleiche Firewall für alle 4 Punkte einsetzt, ist das einfach nur deutlich mehr Arbeit, da jede Freischaltung bis zu 4 mal erfolgen muss. Und warum man Proxmox direkt dem WAN aussetzen will, erschließt sich mir auch nicht. Ich würde das alles über eine Firewall lösen, die auch das NAT übernimmt und dann gar keine WAN Adresse intern weiter reichen, wozu auch, jedenfalls nicht was IPv4 anbelangt. In deinem Fall aber einfach per routing. Würde aber in den 30er Netzen auf der einen Seit unten und auf der anderen Seite oben anfangen. Kommt HA dazu, hast noch noch IPs frei und das auch gleich so planen das ich pro Seite 3 IPs frei habe, sprich die Transfer Netze ein wenig größer machen.

Du bekommst beim Verbindungsaufbau meistens eine IPv4-Adresse, eine IPv6-Adresse und ein IPv6-Präfix (hier /56) zugewiesen. Aus dem Präfix und der Präfix-ID werden die IPv6 /64 Netzwerke gebildet und dort dann die IPv6-Adressen. Die IPv6-Adresse stammt nie aus dem IPv6-Präfix. Nutzbar ist die z.B. für DynDNS und VPN

@NOCling said in Exposed Host an Netgate oder AVM: Ja klar kann man das mit der FeitzBox so machen und parallel zur pf auch Sachen betreiben und erreichbar machen. Man kann sich auch selbst ins Bein schießen oder mit dem Messer rein hacken. Bedeutet aber noch lange nicht das man es auch tun sollte. Wobei, wenn wirklich kaum Vorwissen besteht, dann mag das über die Fritte sogar sicherer sein, weil man hier auch weniger falsch einstellen kann. Mit so einer Sense kann man halt auch viel falsch machen, weil man halt wirklich alle Möglichkeiten hat.

@micneu said in DynDNS GoDaddy {"code":"ACCESS_DENIED","message":"Authenticated user is not allowed access"}: meine Empfehlung wer zuerst den link zur anleitung findet .. ;)

@viragomann Ich hab alles korrigiert und noch ein bisschen Grundlagenforschung betrieben. Das Problem wurde letztlich gelöst. Danke! Gruß MS