Messages

Danke für den Tip!


Es ist der Game-Server und seine Wireguard Verbindung, was nur nicht so einfach offensichtlich war.


Problem gelöst, danke!

Hallöchen!

Ich bräuchte mal Hilfe, weil mir heute was komisches aufgefallen ist.

Gerade aktiv im Netz ist mein Home/Gaming-Server, der unter OPT1 läuft und auch mein Daily PC, unter LAN.

Weder der Server, noch mein Daily PC haben im moment den nötigen Traffic um rund 2MB an Traffic OUT vom WAN zu erklären.

Kommt das alles nur von den IPv6 ICMP Anfragen etc?



Danke!

Ich werde mir jetzt die VP2430 kaufen und meine RAM testen.
Protectli hat den nicht getestet und auf die getesteten Modelle verwiesen.

Coreboot ist aber glaube ich die Empfelung von Protectli.

Ja,korrekt, Protectli empfiehlt Coreboot und Coreboot wird ja ebenfalls aktiv und breit entwickelt, somit sollte der RAM auch funktionieren.

Wenn du noch Teile selbst hast, solltest du aber ohnehin erst das testen was das du hast, weil im schlechtesten Fall muss du auch nur das kaufen was du unter Umständen bei Protectli mit gekauft hättest und die geben auf diese Teile auch keinen besonderen Rabatt.

Es wäre also dumm nicht erst zu testen ob die vorhandene Hardware geht oder nicht. Lg

Danke für Deine Antwort.

Ich habe noch ein Riegel 16GB 1Rr8 PC-5600B-SA0-1010-XT DDR5 SODIMM aus einem HP Mini Elite PC, diesen würde ich dann nutzen wollen.
Der RAM ist quasi neu, wurde nie benutzt.
Die Preise für RAM sind ja heute recht hoch, deshalb nicht extra neu kaufen.
Auch habe ich eien Samsung EVO 960 Plu mit 1 TB noch über.

Das sollte doch mit CoreBoot kompatibel sein, oder?
Hat CoreBoot eigentlich einen Vorteil gegenüber dem "klassischen" bis auf das es opensource ist?
Ich würde nämlich lieber coreBoot nehmen aus dem "Bauch" heraus.

Von den Stats her passt es sogar prima, aber wie ich sagte, können Probleme immer auftreten.

Versuchen würde ich es aber definitiv und wenn es nicht klappt, musst du halt in den sauren Apfel beißen und kaufst
halt einen von Crucial oder Kingston.

Ich kann dir zur Coreboot nicht viel sagen, außer das es keine Probleme macht und wahrscheinlich besseren Support hat, weil für mehr müsste ich das andere
Bios für die Boxen kennen. Dann könnte ich sehen, wie viel mehr Optionen man hat, usw.

Diese Option besteht nämlich durchaus, weil meine Optionen bei Coreboot sehr begrenzt waren.

Ich hatte bereits den Vorgänger, ebenfalls mit 2.5G aber mit J6412.

Ich habe Coreboot genommen und diese Version passt auch auf jeden Fall für das Gerät.

Ich kenne die andere Version des BIOS nicht und es mag sein das man dort mehr einstellen kann
aber so lange man keine Probleme hat, soll man ohnehin nie updaten.

Das einzige Risiko, sind Hardwareteile die nicht der Norm entsprechen, daher würde ich immer raten
die Hardware zu nehmen die auch getestet wurde bzw, die man bei Protectli selbst kaufen kann.

Das betrifft aber beide Versionen des BIOS.

Das ist aber bei jeder Hardware so, oder besser, es ist ratsam.

Ich habe Coreboot genommen und hatte keinerlei Probleme.

Hast du gesehen das die Box SODIMM DDR5 braucht?

Noch ein Update.


IPV6 funktioniert jetzt auch mit KEA.

Warum ich überhaupt nach Hilfe gefragt habe, lag daran, das es beim ersten Versuch die alten Settings von ISC zu übernehmen nicht funktioniert
hat und ich somit vermutet habe, dass es spezielle Settings braucht, was nicht der Fall ist.

Insofern, war mein Gedankengang zwar richtig, doch mein Setup wollte nicht gleich so funktionieren wie es soll.


Danke für die Hilfe!

Was ist so schwierig daran, einen CSV-Export aus den ISC Reservierungen und danach einen CSV-Import in den Kea Reservierungen durchzuführen?

Aber bitte: https://homenetworkguy.com/how-to/migrate-from-isc-dhcp-to-dnsmasq-or-kea-dhcp-in-opnsense/

Danke für den Artikel, der ist top!

Warum ich nicht genau wusste was du meinst, hängt damit zusammen, dass ich meine Einträge unter ISC DHCPv6 kannte und ich wusste
das dort nie was stand, weil es ja deaktiviert war und IPv6 dennoch ging.

Ich hatte deine Worte dazu also nicht verstanden nach Schema:

Wenn du Reservierungen hast, dann kannst du die mit rübernehmen, sondern, du musst das machen damit die Migration funktioniert.

Ich hab also gedacht das ISC noch versteckt ein paar Settings hat, die ich dann ex und importieren muss und genau da hätte ich nicht gewusst
wie man das macht.



Kann auch sein das es ich es immer noch verstanden haben, von daher sehe mir meine Noobhaftigkeit bitte etwas nach. :DD

So einen einfach Export hätte ich natürlich ergoogln können, weil bisher hatte ich das tatsächlich noch nicht, nur Backups.

Wenn Du keine speziellen Anforderungen hast, kannst Du einfach ISC durch Kea DHCPv4 ersetzen und weiterhin RADVD für SLAAC nutzen.

Die festen Reservierungen kann man aus ISC per CSV-Export in Kea übernehmen.

Klasse, dass hört sich doch schon mal gut an und es ist exakt das was ich ohnehin bevorzugen würde
nur wie genau muss ich die Reservierungen übertragen?

Etwas Hilfe auch dabei, wäre toll. Lg

Hallo werte Gemeinde!

Kurz zu Erlärung wie mein altes Setup mit IPv6 lief, welches ich ebenfalls nach Anleitung von euch
nachempfunden habe.

WAN - 56 Präfix anfordern, zu letzt war, Send Präfix hint, aus

LAN/OPT1 - Track Interface, LAN Präfix standart 0, OPT1 = 1. Allow manual adjustment of DHCPv6 and Router Advertisements, war auch aktiv.

DHCPv6 war aus, Router Advertiser stand auf Assisted.

Das lief soweit bisher problemlos, doch mit dem Umstieg habe ich so meine Schwierigkeiten.

Die KI war zwar wirklich hilfreich, aber ich hätte hier so oder so noch mal um Korrektur dazu gebeten.


Habt ihr vielleicht ein paar Ratschläge, wie man es ähnlich simple einrichtet wie zuvor, ohne aktives DHCPv6?

Lg!

[nicht]

Das VLAN hat zunächst mal den Vorteil, dass Du den Spiele-PC, den Du bei Einsatz solcher Mechanismen als potentiell verseucht betrachten musst, von Deinen wertvollen Daten/Services in Deinem LAN isolieren kannst. Das ist praktisch wie ein komplett getrenntes Netz, in dem Du unsichere Praktiken akzeptierst (solange Du den PC nicht später wieder ein Deinem LAN anschließt).

Das VLAN ist dann genauso, als ob es auf dem Mond stünde und keinen Zugang zu Deinem LAN hat. Es ist nur zufällig so, dass beide Netze (VLAN und LAN) über die OpnSense verwaltet werden und sich einen Internet-Zugang teilen.

Mit "unsicheren Praktiken" meine ich, dass ohne Kontrolle durch OpnSense mit Freigabe großer Portbereiche alle Verantwortung auf der Windows-Firewall des Spiele-PCs liegt. Was das bedeutet, kannst Du ganz aktuell hier nachlesen.

Und übrigens: Du kannst im selben Subnetz (auf dem selben Interface) den Traffic nicht kontrollieren - er passiert die OpnSense nicht einmal, weil die Geräte direkt miteinander reden. Entsprechende Firewall-Regeln sind wirkungslos, siehe hier, Punkt 1.

Alles klar, danke!

Dann werde ich das so machen.

[hatten]

O.K., ich nehme (fast) alles zurück. Apex Legends ist offenbar wirklich so braindead programmiert, dass sie eingehende Ports die Menge brauchen. EA hat sogar die offizielle Liste von Ports, die sie mal hatten, wieder entfernt, weil diese sich ständig ändern. Aktuell ist es wohl wie folgt:

https://portforward.com/apex-legends/

Da sind Bereiche dabei wie 37000-40000, an anderer Stelle heißt es sogar bis 42000 - das sind mal eben 5000 Ports. Und offenbar kann es gar kein UPnP.

So, jetzt musst Du Dich entscheiden, Susi: Solche Spiele spielen oder OpnSense ihre Arbeit tun lassen. Im verlinkten Artikel wird vorgeschlagen, ein VPN zu verwenden. Ich würde einen solchen Spiele-PC mindestens in ein VLAN einsperren... Und: klar kannst Du per Port-Forwarding ganze Bereiche von-bis angeben.

Joa, und das sind noch die alten Ports, ohne den riesen Bereich von 49k-65k. :D

Ich weiß nicht warum bestimmte Spiele diesen Weg gehen, weil es aus meiner Sicht kaum Sinn macht, außer vielleicht um
DDoS Attacken minimal zu erschweren, weil man immer einen neuen Port raussuchen muss.

Mit diesem Problem hatten beide Spiele, PUBG & Apex, massiv zu kämpfen.

Ich war lange als Troubleshooter in der Community von PUBG aktiv und ich weiß daher das es kaum Leute gibt die darauf wert legen
die Ports geschlossen zu halten, eben weil fast alle Casualrouter nutzen.

Das mit den Vlans ist ein guter Tip, da muss ich mich mal einlesen, ich nehme aber an, das der Vorteil darin liegt das ich besser kontrollieren kann
wohin das Vlan Verbindung hat?

Ich hätte versucht den ganzen Sektor 168.1-50, den Zugang zu anderen Subnetzen zu verbieten, zum anderen werden ich wohl jedes mal nach dem zocken
die Ports wieder schließen. Das ist zwar mühsam, aber VPN kommt nicht in Frage.

Danke!

Also, wenn Du von Port Forwarding zu einem PC im LAN sprichst:

1. Alle Ports freizugeben entspricht einem "Exposed Host" - damit machst Du Deine OpnSense quasi wirkungslose, weil alles, aber auch alles, ausnahmslos an Deinen PC weitergeleitet wird. Das ist ein Sicherheitsrisiko und auch für Spiele ziemlich ungewöhnlich, denn das ist fast nirgends möglich - beispielsweise bei CG-NAT.

2. Selbst große Bereich freizugeben, ist ein Risiko und recht ungewöhnlich. Höchstens werden einzelne Ports benutzt, oft wird eine Verbindung mit einem Spiele-Server aufgebaut, die dann rückwärts als Tunnel genutzt wird.

Ich weiß nicht genau, was die Anforderungen des konkreten Spiels sind oder was Du genau konfiguriert hast, deshalb weiß ich auch nicht, wieso es funktioniert, wenn Du "alle Ports öffnest".

Ich hatte schon erklärt welchen Bereich ich genau frei geben muss, aber ich verstehe gut das man das schnell überließt, wieder vergisst.

Ich gebe nicht alle Ports frei, nur alle für TCP/UDP.

Also IPv4 - TCP/UDP - Den Alias der zu meiner IP führt, der Rest sind in der Regel alles Sternchen.

Eben weil es ein Risiko ist, will ich so wenig Ports wie möglich frei geben, was bei Spielen wie Counter Strike auch noch funktioniert.
Andere, wie PUBG, oder eben Apex, haben auch feste Ports, aber jeder Server bekommt eine neuen, zufälligen Port.

Diese steigen nach jeder Runde an und immer im Bereich von 49152 - 65535.

Das Problem ist, das die meisten Spieler Standartrouter verwenden, die diese Ports alle offen haben, oder UPnP nutzen, aber das ist für Nutzer wie uns eben ausgeschlossen...

Rein theoretisch, würde eine Portrange/Regel mit 49152:65535 gehen?

Ich nehme an, Du sprichst von ausgehenden Ports, oder? Die unterliegen der outbound NAT und die verwendet per default dynamische, d.h. "umgeschriebene" Quellports. Eventuell versuchen Deine Spieleserver, per UDP an die Absender Daten zurück zu übertragen und benötigen "static ports", weil diese im verwendeten Protokoll mitgegeben werden.

Danke!

Ich rede von Inbound Regeln, also die ganz normalen Ports die man gewöhnlich freigibt.
Die restlichen Ports für das Spiel sind ja freigegeben und wenn er noch mehr brauchen würden, müsste der Log der Opnsense und Windows das nicht ebenfalls anzeigen?

Bei beidem kommen für TCP und UDP jeweils nur diese bestimmen Ports von 40k-65k.

Was mich bei deinem Punkt wundert, ist die Tatsache das es ja geht sobald ich alle TCP/UDP Ports aufmachen.

Spezielles woanders muss ich nicht weiter freigeben..

Hallöchen!


Man versucht ja immer unnötige Ports geschlossen zu halten, nur wird das heute immer schwieriger, weil viele Spiele dynamischen
Ports nutzen, im Bereich von 49152:65535.

So auch bei Apex.

Wenn ich die Regel TCP/UDP IPv4 alles offen, an habe, läuft das Spiel, doch wenn ich versuche die besagte Portrange auf zu machen
klappt es nicht mehr.

Der Ressourcenmonitor zeigt mir für Apex aber nur diesen Bereich für TCP und UDP an und auch die Ausgabe der Opensense
zeigt bei Versuch zu connecten immer nur Ports in diesem Bereich an 192.168.1.2:59846.

Die Regel habe ich mehrfach überprüft, neu gemacht, von anderen kopiert usw.

Übersehe ich etwas?

Gibt es vielleicht ein Limit für die Portrange, so das diese Range = 49152:65535 zu groß ist?

Die Firewall von Windows ist aus und das es was mit Firewall der Sense zu tun hat, zeigt ja auch das es geht sobald ich alle Ports aufmache.

Danke!

danach habe ich in Win 11 die temporären IPv6 Adressen ... deaktiviert

Wie macht man das?

Da gibt es verschiedene Wege, je nach dem ob man es mit CMD oder Powershell macht.

Für CMD = Randomizer

netsh interface ipv6 set privacy state=disabled store=active

netsh interface ipv6 set privacy state=disabled store=persistent

netsh interface ipv6 set global randomizeidentifiers=disabled store=active

netsh interface ipv6 set global randomizeidentifiers=disabled store=persistent

Das sollte beides deaktivieren, aber du findest das auch leicht mit den Stichwörtern für Powershell.