pfSense Gold Subscription

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - jahonix

Pages: [1] 2 3 4 5 ... 161
1
Deutsch / Re: pfSense an Kabel Deutschland Modem
« on: Today at 08:08:29 am »
weil beide im gleichen Netzwerksegment hängen (und du quasi einen Loop gebaut hast).
Sorry to interfere, but nope!
Das ist keine Loop sondern ein astreiner Kurzschluss.  8)
Und das verhält sich auch wie einer.

2
... the cable ... only had 4 strands of copper...
Well, if those are not unusally connected then it should be good for 100Mb FD, shouldn't it?

3
Try to set "Speed and Duplex" to a fixed value instead of Auto-negotiate.
Also uncheck "Block private networks" on your WAN interface if you get an RFC1918 IP from your modem.

4
Deutsch / Re: Statische IPs hinter pfsense
« on: Yesterday at 02:22:06 pm »
Mahce mal 2 Zeichnungen, IST und SOLL, dann wird Dein Vorhaben samt Altlasten vielleicht besser ersichtlich.

5
Deutsch / Re: PFSense 2.4.2 über PPPOE mit DLINK Modem / 20% Paketverlust
« on: December 13, 2017, 03:39:28 pm »
Der graue Balken in der quad9 zwischen 22:57 und 22:58 ist entstanden, als ich die Aufzeichnung pausiert habe um beide Graphen synchron zu haben. Das war mal nicht das Netz.
Die generell erhöhte Latenz vor 23:00 sehe ich hier, wenn ich selbst eine größere Menge Daten auf dem VDSL generiere - in diesem Fall waren das 600MB Updates IIRC.
Die kleinen Spitzen dazwischen sorgen mich jedoch, so dass ich momentan ein neues VDSL-Modem in der Pipeline habe um das vorhandene Allnet ALL126AS2 mal zu tauschen.

Nicht erklären kann ich mir die PLs zu 217.0.117.216 in einem Graphen während der andere diesen Router ohne Aussetzer listet.

Alte Techniker-Weisheit dazu: Wer misst misst Mist. Wer viel misst misst viel Mist.

6
Deutsch / Re: PFSense 2.4.2 über PPPOE mit DLINK Modem / 20% Paketverlust
« on: December 12, 2017, 06:25:41 pm »
Welchen denn, tel.t-online.de oder stun.t-online.de?
stun. steht in Ulm und ist damit für mich zwar nur 4 hops entfernt, trotzdem quer durch die Republik.
tel. wäre ganze 7 hops entfernt. Da ganz anders geroutet würde ich den nicht dringend auch in Ulm verorten.

Probiere wirklich mal den hop #3 aus Deinem trace route. Viel dichter geht's dann bei der Telekom wirklich nicht mehr.
Oder teste den Weg mit PingPlotter, der bereitet das trace route grafisch auf. Dann siehst Du, an welcher Stelle die Paketverluste beginnen.

7
Deutsch / Re: PFSense 2.4.2 über PPPOE mit DLINK Modem / 20% Paketverlust
« on: December 12, 2017, 04:10:47 pm »
Kann ich nicht bestätigen, dass an einem Telekom VDSL (25) Anschluss die 8.8.8.8 ein gutes Monitoring-Ziel wäre. Zeitweise auch hier hohe Paketverluste, allesdings keine Collisions oder I/O Errors am WAN IF.
Gerade heute war die Telekom vor Ort und hat den Splitter erneuert - jetzt linken wir zumindest wieder mit 21Mbps. Wir hängen auch im 217.x.y.z Bereich.

Da die Telekom das Gateway ja nicht ping-bar gestaltet, versuche mal den next-hop. Wobei das auch nur ein Router ist und von der Technik jederzeit ersetzt oder außer Betrieb genommen werden kann.
Ein Tip für das Monitoring war einmal heise.de, denn "die sind nie down". Auch das stimmt inzwischen nicht mehr.

Probleme hatte ich beim Google DNS meistens zwischen 18h30 und 20h30, so dass der angehängte Vergleich die Zeit mit dem größten Traffic nicht wiederspiegelt. Momentan liegen 8.8.8.8 und 9.9.9.9 ziemlich gleich auf.

8
General Questions / Re: Multi IOT Device Network Setup Question
« on: December 12, 2017, 03:08:29 pm »
Your listing of IoT devices that need internet is misleading. I wouldn't call those IoT but simple CE devices, consoles, etc:
Apple TV, TVs, Nintendo Switch, Phones, A/C Receivers [meant to be A/V Receivers?], PS3-PS4, Ipads, Wireless Printers

This is VoIP and can/should be separated (not so much for security but for QoS at least):
IP Phones

These are IoT devices:
Amazon Alexa
Sprinkler System
IP Cameras
Thermostats
Wink Hub

Do you have 2 unique SSIDs per AP or could you make them transmit multiple SSIDs?
IoT devices, especially when battery-powered, use low-energy modes and often have (very) limited WiFi range. Be conservative with your WLAN planning and better add an additional AP.

Your shopping list above makes for three (or more) separated networks. And I wouldn't put PCs/Laptops and A/V devices / consoles on the same subnet. That makes it 4 distinctive subnets.

9
Wireless / Re: Thinking about wireless access points, with storage
« on: December 10, 2017, 06:44:59 pm »
Put FreeNAS on an eeebox and use an access-point as an access-point.

10
I don't really want to set a rule that allows all, then another to block DMZ to LAN; I would much rather set a rule that allows DMZ to access the internet only.
Problem is that you cannot define "the internet" in an alias or CIDR notation.
You could make a single rule with a negotiation "allow all but LAN" with the "NOT" checkbox. Deny LAN will finally catch with the hidden/invisible "block everything else" rule at the bottom of your ruleset. Problem is that such a rule implies something that is not expressively written and thus makes it hard to understand what you were doing in future reviews/changes. With two separate rules it's obvious and visible.


I think I've got this now, please correct me if I wrong.
Nothing to correct, well done! And I mean really well done. You learned a lot, didn't you!

Enable "Block private networks and loopback addresses" and "Block bogon networks" on all interfaces except LAN.
That's usually not really needed and if you use it then that'll be on WAN at best. The "Bogon" part can come handy there but better ISP filter that anyways. Except for edge-cases you will not have traffic from private IPs to your WAN anyways.
On local interfaces the "Block private networks" can do more harm than good. All local interfaces usually belong to private networks, aka  RFC1918.

11
Deutsch / Re: 8 VPN Verbindungen als Gateway nutzen
« on: December 07, 2017, 05:13:17 pm »
Nö, Du baust Dir zum Routen ja 8 Transit-Netzwerke zu den VMs auf. Wie soll das innerhalb nur einer Büchse funktionieren?

12
Firewalling / Re: windows file share in DMZ
« on: December 07, 2017, 02:42:31 pm »
Then it's not the router but something on your 192.168.18.203

13
Deutsch / Re: [Gelöst] Firewall Regel Kein Internet für Clients
« on: December 07, 2017, 07:46:30 am »
Die Version mit einem Alias ist gut, allerdings fördert es nicht gerade die Übersicht, wenn man mit nur einer Regel lokal erlauben und gleichzeitig extern verbieten will.

Ich würde daher immer sowas machen:
1.) erlaube RFC1918 (zB über den Alias)
2.) blockiere den Rest

Das kann man auch nachts bei einer hektischen Fehlersuche noch sofort nachvollziehen.

14
Deutsch / Re: Fragen von nem Newbie...
« on: December 06, 2017, 06:31:33 pm »
Sorry, ich lese den NIC zuerst wirklich immer so bis dann ein "ach nee" einsetzt. Jetzt ist das hoffentlich auch erledigt.

15
Slow, one problem at a time. Don't jump to other stuff before the first is solved (and understood).

As a guess though, I think I need to change the order of the rules you mention?
What?
You described your DMZ rule as:
> Logic says ... the destination should be WAN net.
and that destination is wrong. WAN net is the transit network between your WAN interface and your provider's gateway. Nothing more, especially not "the internet".

I described your DMZ rules in words. Can you understand that or do you need the rules written?


Squid off: (Direct ISP) 180 - 210Mbps
Squid on: (Direct ISP) 5 - 12Mbps
Squid off: (VPN On) 40 - 60Mbps
Squid on: (VPN On) often unable to perform a speed test.

Any idea why this might be?
No idea.


... three SSID's ... VLANs ... through separate VPN connections ... adding the tags to the interfaces (Ovpn2) ...
... or is this subject for another topic?
Definitely worth another topic.

Pages: [1] 2 3 4 5 ... 161