*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
Follow along with the video below to see how to install our site as a web app on your home screen.
Anmerkung: this_feature_currently_requires_accessing_site_using_safari
Nunja, Hurricane hat ein /32er Subnet, aus dem du dann standardmäßig ein /64er bekommst -> Völlig unbrauchbar, wenn man VLANs am Start hat.@Weltherrscher
Ist das beim Tunnelbroker so? Ich war der Meinung, man bekommt darüber ein festes IPv6 Prefix, was sich nicht ändert. So war es zumindest "früher". Ist wie gesagt ein paar Jahre her, dass ich das im Einsatz hatte...
---snip---
Und steht auf jeder Blocklist der großen VoD Anbieter.Falls Vodafone mit IPv6 tatsächlich so schlecht ist und ihr nicht auf IPv6 verzichten wollt, wäre https://tunnelbroker.net/ sicherlich einen Blick wert. Hatte ich vor Jahren mal sehr erfolgreich laufen und Hurricane Electric ist ein Urgestein der Branche. Lässt sich mit der *sense gut umsetzen.
War bei mir nie ein Problem, bin so an meinen Netflix-Account gekommen, als es in DE noch nicht verfügbar war. 😅Und steht auf jeder Blocklist der großen VoD Anbieter.
Es ist statisch und heikel ist daran gar nichts. Als ich das letzte mal dort reingeschaut habe, waren die europäischen Tunnel aber allesamt mit Packet Loss gesegnet, also kein Vergleich zu früher. Natives IPv6 würde ich unabhängig davon immer vorziehen.Allerdings kann man sich bei denen wohl ein /48er Subnet zukommen lassen, inwieweit das jetzt *statisch* ist, sei mal dahingestellt.
Gibt es bei den Sense Dingern nicht irgendwo die Option á la 'Reset all FW states on WAN Change.. blabla' ?schon ein einziger Wechsel ist nicht ohne. 😉
0 auf gar keinen Fall, 1 nur, wenn man weiß, was man tut.finger weg von vlan0/1, das macht man nicht!
Das hilft da nicht. Wenn ich das Log richtig deute, dann kriegt meine pfSense den Prefix-Wechsel erst 7200 Sekunden (2 Stunden) später mit. Bei mir ist das im Regelfall also zwischen 6:00 - 7:00 Uhr, was mir ausreicht. Ich kann aber auch via cron ein inkludiertes Script laufen lassen, um das manuell vorzuziehen. Hab das zuletzt aber nicht mehr validiert.Gibt es bei den Sense Dingern nicht irgendwo die Option á la 'Reset all FW states on WAN Change.. blabla' ?
So, Hardwarewechsel (von TopTon N5105 zu Lenovo M720q/ZFS) habe ich gestern vollzogen - ging relativ problemlos.
Verbrauchsmessung werde ich am Abend mal machen - TopTon Box lag so bei 11 Watt.
Dann sehe ich mir auch das mit "Boot Environments" mal an.
LG
Jau, deswegen würde ich die unbounds halt verbinden, jede Site hat ihre eigene (Sub)domain und die beiden unbounds reden miteinander, die Clients jeweils nur mit ihrem unbound auf der lokalen Sense. (Resolver=Unbound)Das heißt für mich: Ein Gerät aus einem entferntem Netz, welches meine PFSense auf SiteA nicht kennt wird keine Antwort vom DNS Resolver von SiteA erhalten. oder?
Kannst du das mit argumenten unterfuettern?würde aber auch empfehlen auf Wireguard umzustellen.
Dieses "Problem" gibt es bei der pfSense so nicht.Wenn man In der OPNsense das WG Interface in Betrieb hat, gibt es dort die Registerkarte "Status".
Ist doch egal. Du kannst den Draytek einbinden, wie Du willst. BGP/OSPF hab ich selbst nie benutzt, aber die Umsetzung sollte identisch sein.Wireguard faellt aus, da ich auch ne Draytek Kiste einbinden muss und das Teil das glaub gar nicht kann. Dann müsste ich auch wieder bei 0 anfangen mit BGP/OSPF etc.. Keine Ahnung wie man routing protokolle bei Wireguard einsetzt.
Welches Modell von Draytek? Die haben mit Firmware Version 4.3 oder so Wireguard in vielen Modellen nachgeliefert.Wireguard faellt aus, da ich auch ne Draytek Kiste einbinden muss und das Teil das glaub gar nicht kann. Dann müsste ich auch wieder bei 0 anfangen mit BGP/OSPF etc.. Keine Ahnung wie man routing protokolle bei Wireguard einsetzt.
Ist ein 2927L. Scheint supported zu sein, cool.Welches Modell von Draytek?
Und genau hier sehe ich das Problem.Die einfachse Art der "Eingrenzung" wäre, in der WG Client Konfig explizit die Netze oder IPs reinzsuchreiben, worauf der Client Zugriff haben darf.
Sicherer ist das.Das wird super bescheiden zu administrieren wenn ich fuer jeden DMZ Server oder Dienst auf einer Site an hundert Stellen irgendwelche Freischaltungen eintragen muss.
Das ändert sich durch WireGuard ja nicht. Du musst halt zusätzlich den "Peer" (Tunnel) konfigurieren, kannst dir diesen Punkt aber mit 0.0.0.0/0 vereinfachen (auf der pfSense). 0.0.0.0/0 ggf. mehrfach zu verwenden ist aber eigentlich gegen die WireGuard Konvention, solltest Du im Hinterkopf behalten.Ich haette aber gerne einzelne Hosts freigegeben. Idealerweise im normalem Ruleset der FW.
Fuer ein Client2Site lasse ich mich vielleicht darauf ein, direkt in der WireguardConfig mit allowed Targets herumzuspielen.
(Sind auch nicht sonderlich viele Client2Site Devices, maximal 8 Stueck denke)
Fuer die Sites an sich jedoch moechte ich gerne im normalem Firewall-Ruleset von der Box die Regeln definieren.
Das wird super bescheiden zu administrieren wenn ich fuer jeden DMZ Server oder Dienst auf einer Site an hundert Stellen irgendwelche Freischaltungen eintragen muss.
Das wird bei folgendem Szenario relevant.LAN3. Das liegt dann an Deinem Draytek FW Ruleset, von wo nach wo der Client bzw LAN3 darf.