Protectli FW4C - Netzwerkumbau Teil2

Ich habe es probiert, die Zeit auf Moskau zu setzen, kein ERfolg.
Warum?!

Was ich meinte ist folgendes: Du setzt die "lokale Systemzeit" händisch auf annähernd die korrekte Uhrzeit (nicht an der Zeitzone rumfummeln!), damit der Unterschied nicht mehr so groß ist - da verweigern manche Systeme durchaus die Aktualisierung der Zeit aufgrund von zu großen Abweichungen. Wenn Du das gemacht hast, schauste mal weiter, ob sich die Zeit dann mit dem NTP-Server abgleicht.
 
Moinsen,
Um den byte counter zurück zu setzen, versuch mal:
Regel deaktivieren - speichern - wieder aktivieren...
Klappt das?
 
Nächste Frage - auch scheine ich ein anderes Verständnis zu haben.
Das NAS steht hinter OPT2, 172.16.21.2.
2 Cams stehen hinter Opt1, 172.16.20.4 und .5.
Das NAS fragt die CAM's ab.
1695136848142.png
Log für diese Regel ist abgeschaltet.
Ein Blick ins Log:
1695136901680.png
Erste Auffälligkeit:
Wieso meldet OPT1 eine IP mit der Source 172.16.21.2 (das NAS)?
Ich habe mit easy-rule das noch einmal verifiziert, aber es bleibt die weitere Frage:
1695137034010.png
Wieso zieht dann diese (sowieso unlogische) Regel nicht und warum wird geloggt?
 
Moinsen,
to be honest: keine Ahnung, was da mit der IP aus opt2 auf dem IF opt1 passiert ist...
Ich selber habe hier die allermeisten logs deaktiviert. Am Anfang mal rein geschaut, dann weniger.
Lösch doch mal versuchsweise alle logs, schau ob noch was in den Protokollen auftaucht. Dann gezielt die Logs neu setzen und erneut kontrollieren. Sonst meinerseits spontan auch keine Idee dazu.
 
Moinsen @blurrrr,
Ich hatte es so gelesen, dass der untere Screenshot nur test Weise mit der easy-rule erstellt wurde (also nicht das Bild, sonder die Regeln) ;)...im ersten Bild dazu ist ja kein logging zu sehen bei den Regeln.
Warum aber sollte das Interface den Traffic aus einem anderen Segment mit eigenem Interface überhaupt mitschneiden? Irgendwas ist da entweder seltsam eingestellt oder es ist ein Bug in der Darstellung. Einfach so sollte das eigentlich sauber getrennt laufen, oder? Hatte ich hier so nicht bisher...
 
als würden da Logs geschrieben.
Ich lasse die Logs nur zum Suchen drin, dann raus.
Es wird trotzdem viel geloggt, gefühlt sieht es so aus, als ob
Ein Schelm wer jetzt denkt, dass "beide" Interfaces den Traffic mitbekommen..
Das ist gerade recht merkwürdig, da ich ja schon einen Neustart hatte, bisher eigentlich global nach dem Neuaufsetzen nicht viel rumgespielt habe.
Erst mal egal, was viel Schlimmeres musste ich gerade entdecken.
Vielleicht wisst ihr es:
Ich habe vorher vom TV aus auf das NAS zugegriffen und abgelegte Videos oder Musik gezogen.
Die TV (Samsung) im 192.168.18.0 sehen die Freigaben des NAS nicht mehr.
Funktioniert das nur im gleichen Netz?
 
Die TV hatten das Netzwerkgerät automatisch angezeigt.
Der Denon wird nach wie vor erkannt.
-> gleiches Netz
Das NAS steht nun in einem anderen netz...ich wüßte gar nicht, wie ich dem TV das wo beibiegen sollte.
:unsure::rolleyes::oops:
 
Mit dem Multimedia-Kram bin ich nicht so firm, aber es wäre davon auszugehen, dass Du das NAS vermutlich via DLNA angesprochen hast. Alternativ geht sowas auch via SMB/NFS/WebDAV. Ich habe für sowas bei mir einfach einen zusätzlichen Mediaplayer stehen (so ein TV kann ja auch nicht wirklich viel an Codecs).

Ist eine Weile her, aber ich hab mir irgendwann nach 20 Jahren mal wieder einen Fernseher gekauft (natürlich "smart") und es gab sogar eine DS-Video-App, aber die ganze Nummer war so dermaßen für den Popo (abspielbare Formate, Geschwindigkeit), dass ich lieber ein zusätzliches Gerät (Vero 4k+) dafür genommen habe und seitdem hab ich auch nie wieder irgendwelche Probleme gehabt (und kann machen wie ich lustig bin).

Alternativ packst Du das NAS mit einem Port (sofern mehrere vorhanden sind) ins LAN und lässt dort nur bestimmte Dinge zu (Syno-Firewall), wobei das auch nicht "hübsch" ist. Alternativ dazu verfrachtest Du das NAS komplett ins LAN, oder lagerst alles bzgl. "Multimedia" in ein eigenes Netz aus (wozu dann auch das NAS gehört).

Wenn es dann um den Austausch mit "extern" geht, so könnte man ggf. darüber nachdenken, ob man ggf. a) ein kleines 1-Bay-NAS dafür nimmt, oder b) sofern Dein NAS es kann - eine VM in einem eigenen VLAN (z.B. Nextcloud, oder derlei) dafür nutzt.
 
Moinsen,
ja, das wird daran liegen, dass DLNA über Netzwerkgrenzen nicht einfach so funktioniert.
Die Erfahrung hatte ich hier auch gemacht. Es gibt zwar Möglichkeiten, aber insgesamt ist das doch im Heimnetz unbefriedigend.
Du könntest mit diversen Paketen für die pfsense deine Versuche machen, es zum Laufen zu bekommen...oder eben das NAS (so denn 2 LAN Ports) dermaßen ins andere Segment einbinden.
Als Pakete habe ich von Menschen gelesen, die gute/keine Ergebnisse mit Avahi, IGMP proxy usw. Die einen berichten positiv, die anderen nicht...habe hier wegen sonos Boxen ähnliche Probleme gehabt.
Meine Lösung (Luxus): das alte NAS dient als Medienserver für die ganzen doofen Abspieler (smartTV, Stereoanlage). Das ist eh alles im Bereich IoT bei mir, zusammen mit Home assistant und dessen Krempel. Nebenbei deckt das NAS noch die ausgelagerten Protokolle für Home assistant ab und dient als eines von vielen backup Zielen (ja, ich weiß...)

Manche Geräte bieten mehr als DLNA, da ist dann ggf die Möglichkeit gegeben, via IP und Dateimanager zu agieren...
Das mit dem Interface würde mich persönlich mehr umtreiben...:)
 
Moin,
ach menno....immer ist was mit den schrottigen Teilen.
Um die Funktionalität wieder herzustellen, muss ich also das NAS zurück in den LAN-Bereich ziehen.
Das zieht natürlich wieder andere Dinge nach sich. :(
Das mit dem Interface würde mich persönlich mehr umtreiben...
Ja, ich bin da - sagen wir es mal noch positiv - etwas überrascht ob des Verhaltens der pfsense im Allgemeinen.
Spontan fallen mir da schon einige Kritikpunkte ein:
- Das Dynamische Log hat ehr sehr wenig mit einem Live-Log zu tun.
- In der kurzen Nutzungszeit hatte ich schon mehrfach eine Lösung von Ungereimtheiten durch einen Neustart.
- Logzuordnung zu Interfacen erschein komisch, so habe ich z.B. auf dem WAN-Interface sozusagen kein Traffic:
1695188521706.png
Aber...von da geht das einzige Kabel zur Vodafonebox, es muss also darüber gehen.
- Abschalten der Log-Funktion scheint ohne Funktion.
 
Eventuell könntest Du auch einfach einen Schritt weitergehen. ;)
Und das NAS mit zwei (virtuellen) Netzwerk-Interfaces agieren lassen. Also Stichwort VLAN.

Auf einem (virtuellen) Interface im "sicheren" Netz lässt Du die klassischen NAS-Dienste zu.
Auf dem anderen (virtuellen) Interface im "großen" Netz lässt Du dezidiert nur die Dienste zu, die das DNLA unbedingt braucht. Du könntest das auch noch gezielt auf die notwendigen Multicast-, Broadcast- und Unicast-Adressen einschränken.
 
Das klingt nach einem Plan @Barungar .
Ein schnelles Schauen auf meinem DS218play bringt aber Fragen, die mich vermuten lassen, dass gerade mein Gerät dafür wenig geeignet erscheint.
1695191485172.png
Ich kann da scheinbar nur eine VLAN-ID eintragen.
Unabhängig davon müsste ich in der pfsense/protectli ermöglichen, dass ich auf OPT 2 und LAN jeweils das gleiche VLAN zusätzlich zum Laufen bekomme.
Das ist in der Kabelüberlegung schon sozusagen gar nicht wirklich möglich, da ich erst einmal keinen VLAN-fähigen Switch habe.
 
Ja, das ist in dem Fall schade... bei den mir (hauptsächlich) bekannten QNAP-NAS kann ich beliebig viele virtuelle Interfaces definieren und die VLANs zuordnen. In Deinem Fall sieht es leider wirklich so aus, dass Du lediglich ein VLAN Deinem einen Interface zu ordnen kannst. Dann wäre meine Idee mit dem NAS nicht umsetzbar.
 
dass ich lieber ein zusätzliches Gerät (Vero 4k+) dafür genommen habe
Oh, da scheint ja was los zu sein. Nachfolger VeroV gerade so am Erscheinen.
Allerdings weiß ich nicht, ob die Funktion gerade das abbildet, was ich aktuell brauche.
Ich habe im ganzen Haus incl. Handys aktuell die Option gehabt, Musik, Fotos oder Videos vom NAS zu nutzen.
Die Handys können das auch weiterhin vom NAS in einem anderen Netz - App Dateimanager+ über Netzwerkfreigabe. So natürlich auch die PC's.
Die TV's können das nun nicht mehr, der Denon AVR1600 kann Musik (bei mir aktuell) auch nur über TV die Musik wiedergeben - auch irgendwie doof. Aber vielleicht gibt es da eine HA-Integration - hab noch nicht tiefer gesucht.

Da eine granulare Struktur im Hausnetz sehr arbeits- und kostenintensiv wäre, bleibt mir nun nur, das NAS wieder ins LAN zu bringen.

Btw, der Ordnung halber das Netz zu strukturieren (@blurrrr #104) - dacor. Aber meine Überlegungen gehen auch dahin, dass meine smarten Geräte immer noch irgendwie sinnvoll in die verschiedenen Clouds reden müssen, und sei es nur, dass ich den Geschirrspüler bei genug Sonnenschein anmachen kann. (Auch da habe ich noch keine HA Integration gefunden) Also stelle ich fest, dass die Gruppe der Geräte, die ins Internet müssen - so ziemlich alles ist, was ich nutze.
Gut nachvollziehen kann ich, dass ich die Händis (2 Stück im Haus) in ein extra Netz packen könnte - was aber ein komplettes Neuausleuchten des gesamten Grundstückes nach sich ziehen würde, also im Idealfall 2 AP's die ich dediziert verkabeln und nun an den frei werdenden OPT2 legen könnte.
Ich habe keine Kinder mehr im Haus und jeder, der zu Besuch kommt, kann im vorgelagerten Gäste-WLAN sein, ohne ins LAN zu kommen.
Ist der Gedanke VLAN vielleicht doch oversized bei mir? Und - ich habe mir die pfsense flüchtig angeschaut - können die Interface überhaupt VLAN's aus der GUI?
 
Ich habe im ganzen Haus incl. Handys aktuell die Option gehabt, Musik, Fotos oder Videos vom NAS zu nutzen.
Die Handys können das auch weiterhin vom NAS in einem anderen Netz - App Dateimanager+ über Netzwerkfreigabe. So natürlich auch die PC's.
Das kann ja auch durchaus so bleiben, z.B. über die Synology-eigenen Apps.

Ist der Gedanke VLAN vielleicht doch oversized bei mir?
Kommt immer darauf an, was man ggf. an Aufteilungen in Betracht zieht, das muss aber jeder für sich selbst entscheiden.

Und - ich habe mir die pfsense flüchtig angeschaut - können die Interface überhaupt VLAN's aus der GUI?
Ja, da werden neue "virtuelle" Interfaces erstellt, welche dann auf ein physikalisches Interface gelegt werden. Schau mal auf der pfSense unter "Interfaces / Interface Assignments", da gibt es oben nochmal einzelne Menüpunkte, ein Menüpunkt dort heisst "VLANs". Der erste Punkt bei der Erstellung eines neuen VLAN-Interfaces heisst schon "Parent Interface". Für Dich wäre das dann z.B. irgendwas abseits des WAN-Interfaces. Ich hab z.B. nur 2 Ports (WAN+LAN) an meiner Firewall. Heisst bei mir ist das Parent-Interface (fast) immer das LAN-Interface.

Kleine Anmerkung am Rande: Nur weil das NAS ggf. wieder ins LAN wandert, heisst das ja nicht gleich, dass die ganze Nummer für die Katz ist. Was für ein Synology-Modell ist es überhaupt? Wenn 2 LAN-Ports vorhanden sind, könnte man durchaus hingehen und die Nummer wie folgt gestalten:

LAN: 192.168.18.x (kein Gateway)
OPT1: 172.16.21.2 (Gateway 172.16.21.1)

Somit kannst Du aus dem LAN wie gewohnt auf das NAS zugreifen (192.168.18.x), alle anderen Verbindungen (anderweitige Netze inkl. WAN, ein- ausgehend) laufen dann über die 172.16.21.2.

Aber meine Überlegungen gehen auch dahin, dass meine smarten Geräte immer noch irgendwie sinnvoll in die verschiedenen Clouds reden müssen, und sei es nur, dass ich den Geschirrspüler bei genug Sonnenschein anmachen kann. (Auch da habe ich noch keine HA Integration gefunden) Also stelle ich fest, dass die Gruppe der Geräte, die ins Internet müssen - so ziemlich alles ist, was ich nutze.
Najo, das ist ja "relativ" häufig so, dass Geräte zumindestens "raus" müssen (Updates, etc.). Sicherlich kann man Updates auch manuell einspielen, aber das ist dann eher etwas für sehr sichere Umgebungen. Ist ja auch an sich kein Problem, hat aber im Fall der Fälle auch durchaus seine Vorteile, wenn zumindestens die interne Kommunikation zwischen den Geräten etwas abgeschottet ist. IP-Cams sind z.B. ein gutes Thema (die kriegen bei externer Erreichbarkeit auch gerne mal was ab)... wenn sich eine IP-Cam etwas einfängt, ist nicht schön, aber auch tendentiell erstmal kein Drama, da die IP-Cam halt auch nichts anderes in den internen Netzen erreicht, sondern maximal ins Internet darf. Klar, kann sein, dass die Cam dann Teil eines Botnetzes o.ä. wird und der ISP ggf. teilweise ausgehende Dinge (z.B. Mail) von Deinem Anschluss sperrt, weiss der Geier, aber die Cam kann eben nicht auf z.B. Dein NAS, Rechner, etc. zugreifen.
 
Zuletzt bearbeitet:

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
5.914
Beiträge
57.760
Mitglieder
5.873
Neuestes Mitglied
fsprwrixyzcctma
Zurück
Oben