*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
Follow along with the video below to see how to install our site as a web app on your home screen.
Anmerkung: this_feature_currently_requires_accessing_site_using_safari
Community repo -> Adguard Home plugin
Kann alles was pihole kann und mehr. Und Du hast 1 Gerät weniger.
Adguard Home kann dann wiederum auf unbound zugreifen (mit anderem Port) und das wiederum als resolver arbeiten.
Interface: WAN
TCP/IP Version: IPv4
Protocol: any
Source address: Single host or Network / IP-Adresse der FritzBox / 32
Source port: any
Destination address: any
Destination port: any
Static port: Yes
Doch sonst könnte dich ja niemand anrufen, aber der Witz ist, dass die Firewall nur dann die Beine breit macht, wenn die Anfrage von dem Vodafone Server kommt, bei dem sich die FRITZ!Box einwählt.es gibt jedoch keine Möglichkeit von außen über diese Ports direkt auf die FritzBox zuzugreifen?
Ja und zwar auch nur deshalb, weil deine FRITZ!Box die Verbindung aufrecht hält.Und nur wenn der Traffic von diesem Sip Server kommt, wird er durchgelassen.
Wenn deine Firewall richtig konfiguriert ist, dann wird standardmäßig jeglicher eingehende Traffic geblockt. Das ist ja im Prinzip auch Sinn und Zweck der Firewall.Müsste ich jetzt noch jeden anderen Traffic, der nicht von dem Sip Server kommt für die FritzBox sperren
openssl speed aes-256-cbc
The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes 16384 bytes
aes-256 cbc 229604.31k 236309.03k 237046.53k 236213.59k 235858.60k 236929.02k
openssl speed aes-256-cbc
The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes 16384 bytes
aes-256 cbc 88180.61k 89999.12k 90282.82k 90518.60k 90486.91k 90645.40k
iperf3 -c 10.10.0.1 -R
Connecting to host 10.10.0.1, port 5201
Reverse mode, remote host 10.10.0.1 is sending
[ 5] local 192.168.20.10 port 50678 connected to 10.10.0.1 port 5201
[ ID] Interval Transfer Bitrate
[ 5] 0.00-1.00 sec 23.4 MBytes 196 Mbits/sec
[ 5] 1.00-2.00 sec 29.4 MBytes 246 Mbits/sec
[ 5] 2.00-3.00 sec 29.7 MBytes 249 Mbits/sec
[ 5] 3.00-4.00 sec 29.6 MBytes 248 Mbits/sec
[ 5] 4.00-5.00 sec 29.5 MBytes 248 Mbits/sec
[ 5] 5.00-6.00 sec 29.7 MBytes 249 Mbits/sec
[ 5] 6.00-7.00 sec 29.6 MBytes 249 Mbits/sec
[ 5] 7.00-8.00 sec 29.7 MBytes 249 Mbits/sec
[ 5] 8.00-9.00 sec 29.7 MBytes 249 Mbits/sec
[ 5] 9.00-10.00 sec 29.5 MBytes 248 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bitrate Retr
[ 5] 0.00-10.14 sec 290 MBytes 240 Mbits/sec 0 sender
[ 5] 0.00-10.00 sec 290 MBytes 243 Mbits/sec receiver
iperf3 -c 10.20.0.1 -R
Connecting to host 10.20.0.1, port 5201
Reverse mode, remote host 10.20.0.1 is sending
[ 5] local 192.168.20.10 port 37393 connected to 10.20.0.1 port 5201
[ ID] Interval Transfer Bitrate
[ 5] 0.00-1.00 sec 7.24 MBytes 60.7 Mbits/sec
[ 5] 1.00-2.00 sec 6.40 MBytes 53.7 Mbits/sec
[ 5] 2.00-3.00 sec 7.22 MBytes 60.6 Mbits/sec
[ 5] 3.00-4.00 sec 8.03 MBytes 67.4 Mbits/sec
[ 5] 4.00-5.00 sec 7.77 MBytes 65.2 Mbits/sec
[ 5] 5.00-6.00 sec 6.48 MBytes 54.3 Mbits/sec
[ 5] 6.00-7.00 sec 7.66 MBytes 64.3 Mbits/sec
[ 5] 7.00-8.00 sec 7.72 MBytes 64.8 Mbits/sec
[ 5] 8.00-9.00 sec 7.04 MBytes 59.1 Mbits/sec
[ 5] 9.00-10.00 sec 7.30 MBytes 61.3 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bitrate Retr
[ 5] 0.00-10.14 sec 73.0 MBytes 60.4 Mbits/sec 82 sender
[ 5] 0.00-10.00 sec 72.9 MBytes 61.1 Mbits/sec receiver
Ich schaff es mit pfSense 2.6.0 erst gar nicht ins CPU-Limit zu kommen. Dafür, dass das Problem wo anders liegt, spricht auch, dass die Performance exakt gleich mies ist, wenn ich die Verschlüsselung komplett abschalte.beim DL limitiert die CPU auf dem VPS
Nein. Lets Encrypt Zertifikate kannst du auch nur für Domains unter deiner Kontrolle ausstellen, das hilft dir also nicht weiter.Gibt es einen einfachen Weg SSL inspection zu ermöglichen, ohne bei jedem Gerät einzeln das CA certificate installieren zu müssen? Ein Tutorial dazu wäre ganz nett... Bisher habe ich sowas gefunden wie: domain kaufen, Let's Encrypt wildcard certificate dafür ausstellen, acme.sh laufen lassen. Aber eine Schritt-für-Schritt-Anleitung wo detailiert beschrieben wäre, was man alles beachten müsste, habe ich bisher nicht entdeckt.
Auf SSL inspection zu verzichten, ist irgendwie keine Option. über 80% meines Traffics läuft verschlüsselt, dann kann ich es mit der Firewall auch gleich bleiben lassen .
Die CPU Auslastung ist wie gesagt auf beiden Instanzen weit davon entfernt, am Anschlag zu sein.Nutze hier auch pfSense 2.6.0, wie gesagt es liegt am lahmen VPS bei netcup
Wobei sie das Gateway Failover ja auch wieder verkackt haben und das betrifft potenziell auch Geschäftskunden, die sich dann am Ende des Monats wundern, warum die Mobilfunkrechnung so hoch ausgefallen ist ...Klar, Prio haben wir nicht.
Heißer Tipp!Gibt es inzwischen dafür eine Lösung, die mir aus einer ASN einen Alias kreiert
URL Table alias erstellen mitHeißer Tipp!
Ich hab das jetzt so verstanden das UPnP nur mit doppel NAT Probleme macht. Kann ich selber nicht sagen, ist bei mir deaktiviert. Nur die Nintendo Switch hat eine statische ausgehende NAT Regel bekommen, da sonst gar kein Online-Play möglich war.@P0stbote Was UPnP betrifft, dieses soll für einige Games auch Ports öffnen, das "Problem" dürfte mit IPv6 daher nicht verschwinden oder ich habe einen Denkfehler.
OPNsense gefällt mir auch. Gibt es inzwischen dafür eine Lösung, die mir aus einer ASN einen Alias kreiert oder bleibt das ein Alleinstellungsmerkmal von pfBlocker?
Es gibt auch Websites/APIs, die IPv6 mit ausgeben..@asche77
Vielen Dank für den Typ, sowas hab ich auch schon länger gesucht. Schade das der Dienst nur IPv4 Adressen ausgibt...
(Ich würde mich generell bei IP-Lookup-Tools nur auf authentische Einträge der RIRs verlassen, die bieten dafür afaik auch Abfrage-Tools an.)Bin bereits fündig geworden, da haben sich die Beiträge wohl überschnitten. Werde ich mal die Tage bei mir aufsetzen.
HE kenne ich bereits. Das verlinkte Tool von mir fragt direkt die Whois Server von RADB ab, welches die Datenbasis von allen RIRs kombiniert. Von daher sehe ich die Datenbasis schon als vertrauenswürdig an.(Ich würde mich generell bei IP-Lookup-Tools nur auf authentische Einträge der RIRs verlassen, die bieten dafür afaik auch Abfrage-Tools an.)
*edit* mit WHOIS geht das z.B. auch: https://www.arin.net/resources/registry/whois/rws/cli/
Oder per REST: https://stat.ripe.net/docs/02.data-api/
Hotfix!OPNsense 22.1.2 released:
https://forum.opnsense.org/index.php?topic=27253.0
A hotfix release was issued as 22.1.2_1:
o ipsec: fix mobile switch logic
o ports: cyrus-sasl 2.1.28