Follow-Up:

Dass DHCP Server oder deren Konfiguration häufiger mal mit /30 ein Problem haben, zeigt sich bspw. auch hier, auf das wir durch Zufall bei anderem Kundenkontakt und Supportfall gestolpert sind (Kunde wollte hier auch eine /30 Delegation haben):

https://community.ui.com/questions/How-to-setup-DHCP-30/00f029f1-9a42-46c9-a3b6-074c3de39c77

Es ist durchaus "Besonders", nur eine einzelne IP via DHCP bereitstellen zu wollen und nicht jeder Service kommt damit klar, dass Start und Ende gleich sein sollen - da es nur eine IP gibt. Wenn zudem dann noch dazu kommt, dass man diese IP reservieren will für ein Gerät (via MAC) wird es annähernd unmöglich für Server, die es nicht mögen, wenn die static mappings im Pool Range sind. Was in der Vergangenheit selbst der ISC DHCP zu älteren Tagen nicht leiden konnte. Während der Monowall Zeit wäre das bspw. unmöglich gewesen. Das wird durch die Beobachtung gestützt, dass KEA mit /29 wohl kein Problem hat. Kleinere Netze als /29 sollte man außerdem tunlichst vermeiden, wenn man mit Segmentierung arbeitet, da /29 die kleinste Größe ist um ein Netz ggf. redundant auszulegen. Dafür werden für ein sauberes Setup alleine 3 IPs notwendig, womit /30 kategorisch ausscheidet.

Außer bei einem Peer2Peer DirektRouting bei einem VPN Interface bspw. ist daher von /30 in Routings oder Interface Setups abzuraten. Unabhängig davon, ob man hier pfSense, OPNsense, IPfire, OpenWRT oder Unifi einsetzt. Das ist schlichtweg durch das generelle Netzlayout und -design vorgegeben. Daher laufen auch Transfernetze häufig via /29. Und darum setzt man auch so gut wie nirgends kleinere Netze als /64 bei IPv6 ein, da alles andere ein Schuß ins eigene Bein ist und man sich die verwendeten Protokolle oder Dienste sabotiert.

Cheers :)

@do3lk
Hast du die korrekte externe Domain beim Setup angegeben?
Falls nicht, kannst du hinterher die config.php editieren und die Domain bei 'trusted_domains' hinzufügen bzw. den vorhandenen Eintrag ersetzen.

Okay, ich sehe gerade, dass du AIO verwendest.
Aber auch da müsste man die Domain im Setup angeben können.

AIO möchte standardmäßig ein Lets Encrypt Zertifikat installieren. Das wird hinter HAproxy nicht möglich sein. Macht auch nicht viel Sinn.
Da sollte es andere Optionen geben. Vielleicht kannst du TLS deaktivieren oder ein eigenes Zertifikat dafür generieren.
Das habe ich auch so laufen, allerdings hinter OPNsense. Der Backendserver hat ein Zertifikat von einer internen CA und HAproxy verwendet ein LE Zertifikat, das er vom ACME Client bekommt.

Allerdings die Konfiguration dafür müsste im AIO Setup gemacht werden. Ob es diese Option bietet, weiß ich nicht.

Hallo zusammen,

Habe es neuinstalliert und meine Config auf den USB Stick. Hat einwandfrei funktioniert. Grüße

@DasBrot
ja das ist korrekt.

Oder einfach die CE nehmen...

@JeGr

Und das die GW alle die 10.100.0.2, das liegt daran das diese "dynamisch" zugeteilt werden ?
So ist es bei allen wenn ich auf das "bearbeiten" Symbole klicke. Da Feld ist auch ausgegraut, also nicht änderbar.

Was mache ich da jetzt am besten ?

Gateways.jpg

@Beerman said in Glasfaser mit APU2E4 - welcher Durchsatz möglich?:

@ITSGS_

Danke, ich dachte aber eher an einen Ersatz, für meine bestehende Proxmox HW, welche auch schon in die Jahre gekommen ist.

Aber ich bezweifle ein wenig, dass die kleinen Boxen wirklich 24/7 durchhalten...

Also als Proxmox Kiste hab ich im Lab eine Beelink Box mit SSD, 32GB RAM und Ryzen 5 5560U laufen. Schnell, sparsam, läuft problemlos, hat nachts beim Logrotate und Backup mal gaaanz selten ein wenig den Lüfter an und man hörts leise rauschen - das wars aber. Heiß wir die nicht. Läuft jetzt schon fast 2J problemlos. Solche NUC-artigen Teile bekommt man immer wieder gut ran.

Als Firewall eher semi, da meistens Realtek NICs verbaut sind. Unter Linux/Win sind die Treiber noch halbwegs brauchbar, BSD war da in der Vergangenheit aber recht brutal, dass es immer mal wieder Zicken gab mit den Dingern. Darum würde ich da auf Realtek verzichten. Gerade die 2.5er sind da EXTREM empfindlich und haben teils "Wackelkontakt" ähnlichen Betrieb.

@micneu Du hast aber auch eine Domain bei desec geparkt. Er hat keine. Und da es momentan gerade keine dedyn.io DynDNS Domains gibt wegen dem massiven Bot/Spam Angriff, wird das etwas problematischer.

@slu wenn du das trotzdem lösen möchtest, schreib mich an, dann bauen wir was

@Markus4210 said in HAProxy SSL Offloading, wie komme ich mit Zert auf die Server im selben Netz? DANKE!:

Puh, also mit 2 ACME´s das überstiegt meinen Horizont.
Vorallem warum?

Betrifft doch nur sein Setup, das hat keine Allgemeingültigkeit, dass du 2 Zertifikate haben MUSST. Er hat eins für die Firewall und eins für HAproxy.

Ich hab doch ein gültiges zert - es geht nur drum das ich das auch bekomme wenn ich den Dienst anspreche.

Eben.

Noch mal zum Thema in der PFSense DNS Überschreibungen auf die HA-Proxy Eingangsseite.
Also eigentlich mache ich ja dann eine DNS Überschreibung auf meine Öffentliche IP.

Nein, du machst normalerweise einen Override auf die interne Adresse. Du brauchst die externe eigentlich nicht aufrufen. Geht aber theoretisch beides.

Das passiert ja so wie so bei meinem Domain Anbieter

Dafür bräuchtest du aber kein Override. Der Override spielt nur eine Rolle, wenn du auf eine interne HAproxy Adresse gehst, nicht auf die externe. Und man geht im Normalfall auf eine interne, weil man den Paket Flow korrekt halten will. Die WAN IP hängt auf dem WAN Interface. Wenn du aber von intern das WAN aufrufst, kommst du wieder auf dem Proxy raus etc. - das ist alles mit dem Finger durch die Brust ins Auge statt einfach in den Nacken geschlagen ;)

Wenn die die Hostüberschreibung auf die Interne IP des Servers mache habe ich wieder das selbe Problem mit den Ungültigen Zert´s.

Davon redet doch hier keiner. Du sollst AUF DER pfSense im DNS Resolver (außer du nutzt den Forwarder) die aufgerufene Domain überschreiben mit der INTERNEN IP des HAproxy.

Irgendwas hab ich da nicht verstanden.......

Jep :)

HAproxy Frontend: Da gibst du nicht nur die WAN IP:443 an, sondern auch bspw. die LAN IP. DNS Resolver: <domain.arpa> als Host override eintragen und auf die LAN IP setzen. Firewall Rules: prüfen, ob du von deinem Netz/Rechner/whatever überhaupt auf die LAN IP/443 zugreifen darfst. Dann testen im Browser mit Aufruf "https://domain.arpa"

Zugriff sollte dann von

Client -> pfSense (HAproxy) LAN IP -> deinInternerDienst

laufen. So läuft/nutzen das hier die meisten würde ich behaupten und so wird das im Normalfall auch bei unseren Kunden konfiguriert.

WAN IP selbst (ohne Override die Domain) nutzt man im Normalfall eher selten, da privat es oft vorkommt, dass du noch nen Router davorstehen hast und die externe IP eben NICHT auf der pfSense hängt, sondern auf einer Fritte davor oder sonstwo. Dadurch läuft der ganze Traffic falsch und kommt nicht da an wo er soll. Umschreiben auf die interne pfSense IP und den HAproxy darauf lauschen lassen(zusätzlich) löst das Problem und alles funktioniert wie auch von extern.

Cheers :)

@JeGr

danke für die Info, es scheint etwas mit ip6 zu tun zu haben. Das letzte Update brachte keine Besserung und ich ich kann derzeit nicht auf ip6 verzichten. Ich frage mal beim pfBlocker nach.

Gruß ré

@eagle61 said in Wie die selbe Fritzbox sowohl für PPPoE-Passthrough als auch für Telefonie mit 1&1 nutzen:

Dann hast du aber großes Glück. Im Netz liest man überall, dass 1&1 zwangsweise alle Kunden auf DS-Lite umgestellt habe. Da ich bei o2 bin und für die Telefonie auch keine Fritte nutze, sondern eine Gigaset Go Box 100 als DECT-Basis und am WAN der pfsense ein Vigor 167 werde ich dir wohl leider keine konkreten Hielfen anbieten können.

Das stimmt nur nicht. Wenn man beim Support anruft und für sein DSL auf Dual Stack umstellen lässt, war das überhaupt kein Problem und ein Anruf mit 5min. Warum da alle so Panik schieben kann ich nicht nachvollziehen.

@xxlexanixx
Einen Automatismus gibt es leider noch nicht, die Config von der Box aus zu sichern ist aber nicht schwer. Und mit einer NC solltest du eh schon eine Kiste haben, wo auch SSH möglich ist, da ich kaum annehme, du hast Nextcloud unter Windows installiert ;)

Am Einfachsten ist da wirklich auf der NC schlichtweg einen User anzulegen fürs Backup, einen SSH Key zu erstellen, den auf der Sense einzuspielen und entweder von der NC->Sense aus per SFTP die config zu sichern oder per Cron auf der Sense das Ganze Sense->NC zum Backup User zu sichern. Kommt auf die Richtung an die man gehen möchte. Per SSH/SFTP die /conf/config.xml abziehen und sichern ist aber recht simpel.

Cheers

@heiko3001 said in OpenVPN Site-to-Site Routing Frage hinter Fritzbox:

Also quasi als reines VPN-Gateway. Die VPN Verbindung steht soweit und ich kann von der Server-Seite die PfSense 192.168.178.220 erreichen und anpingen. Was muss ich tun (vermutlich eine Route setzen, oder?) um die anderen Geräte der Fritzbox hinter der PfSense vom anderen Standort zu erreichen?

Vielen Dank für eure Hilfe im Voraus.

Das wird ungemütlich und schreit nach Problemen, da es asymetrisches Routing ist!

@Snoopy354 said in OpenVPN Site-to-Site Routing Frage hinter Fritzbox:

Du musst auf der Server Seite eine Statische Route eintragen, zum Netzwerk hinter der FRITZ!Box, über deine VPN Verbindung.

Nein muss man nicht. Die Route wird in OpenVPN konfiguriert. Nicht statisch irgendwo reingeklöppelt :)

@viragomann said in OpenVPN Site-to-Site Routing Frage hinter Fritzbox:

Besser wäre es aber, die pfSense in ein gesondertes Netzwerksegment zu verlagern und die Route am Standardgateway, also der FB zu setzen. Ich kenne aber deren Fähigkeiten nicht, weiß nicht, ob du da noch ein zusätzliches Subnetz einrichten kannst.

Antworten

Genau das. Die Sense direkt ins gleiche Netz wie den restlichen Kram zu hängen gibt immer Ärger. An der Fritte ist aber nun sonstiger Kram stark limitiert. Das macht es leider nicht einfach. Besser wäre an der Stelle schlichtweg die Sense auf der Seite zwischen Fritte und Rest zu hängen und sie zum Default GW zu machen und die Fritte lediglich als Internet zu nutzen. Das wäre für alle besser.

@eagle61 said in OpenVPN Site-to-Site Routing Frage hinter Fritzbox:

Mich würde mal interessieren, warum man das so kompliziert macht? Offenbar willst Du ja nur Geräte erreichen, die am zweiten Standort direkt an der Fritzbox angeschlossen sind.

Weil man ansonsten asymetrisches Routing hat und damit "im Kreis" oder "im Dreieck" routet was sehr häufig zu allerlei Problemen, langsamer Datenübertragung oder Verbindungs-Abbrüchen, Problemen bei der Verbindung, Lags und Latenzen führt.

@eagle61 said in OpenVPN Site-to-Site Routing Frage hinter Fritzbox:

Das wiederum könnte man doch viel einfacher per Wireguard statt openVPN erreichen. Die FritzBoxen mit aktueller Firmware können doch alle Wireguard und die pfsense auch, wenn man das WireGuard-Paket istalliert. Dann können pfsense und FritzBox einen permanenten Wiregurad-VPN-Tunnel errichten.

Aber Wireguard ist viel besser "yada yada"...
Das ist in diesem Fall völlig irrelevant, da der Tunnel steht. Egal ob WG oder nicht, das zu Grunde liegende Problem von Routing löst auch Wireguard nicht "magisch" in Luft auf. Es macht das Ganze nur noch unübersichtlicher. Und die Fritte als WG Device zu nutzen ist auf andere Art "challenging", weil AVM hier auch wieder einige Fußangeln eingebaut hat. Sobald das Netz nicht simpel nur "dieses eine FB Netz" routen ist, löst sich das "ist viel einfacher" schnell in Luft auf.

Zumal ich hier nicht sehe, warum man - wenn eh schon eine Box mit pfSense vor Ort ist - man die lieber abschaltet als schlicht vollends als Router in Betrieb zu nehmen. Oder hat die Box ggf. nur einen NIC und kann deshalb keinen Router spielen? Das wäre dann natürlich unglücklich.

Cheers

@CharlyTango said in Upgrade Lanner FW-7541 pfSense 2.3.4-RELEASE-p1 (i386):

Ich kann mich noch nicht überwinden alle Einstellungen ggfs zu verlieren :-(

Warum verlieren - die Einstellungen stehen doch in der config.xml. Was wird da verloren?
Die Configs der Sense sind versioniert und sollten entsprechend dessen auf die neueste Version konvertiert werden. Einzig wenn da richtige alte Schrott-Einstellungen drin sind oder wenn Dienste genutzt werden, die es nicht mehr gibt, könnte es Probleme geben. Dazu müssten wir aber Hellseher sein, ohne mehr Details ist da wenig zu zu sagen.

Cheers

@DerCedrik
Angenommen auf dem NAS ist es auch möglich, VLANs zu terminieren und die VMs damit zu verbinden, kannst du da bspw. VLAN10 für HA einrichten, während das NAS selbst auf VLAN5 seinen Service + Management bereitstellt.

Auf dem AP laufen die Geräte, die mit HA im selben Layer 2 Netz sein müssen, auf VLAN11.
Auf pfSense kannst du dann VLAN10 und 11 brücken. So können sich die Geräte alle sehen und sind glücklich, entsprechende Firewall Regeln vorausgesetzt, während sie von andren Netzwerksegmenten fern gehalten werden.

@slu
Der Proxy ist das Problem.
Der Agent funktioniert selbst für pfSense 6,4 zu 7.

Beim Proxy bekomm ich z.B die Autoregistration nicht zum laufen.

@slu
Servus, danke für den Tipp.
Ja momentan - testbetrieb sinds 2 Wans -> wird aber wieder eins, Produktiv dann.

MfG.

@DarkMasta
Soweit ich weiß ist die Installation nicht verschlüsselt. Wer physischen Zugriff hat, kann auch im Zweifel die Config auslesen. Wie gesagt, wenn es um das reine Entsorgen geht, würde ich die Datenträger zerstören. Ansonsten DBAN für HDDs oder Secure-Erase-Befehl bei SSDs durchführen. Das ist aber deutlich mehr Aufwand.

Moinsen,
umm, mal so gefragt:
du hast auf der pfsense ALLES bzgl DNS (forwarder und auch resolver) deaktiviert, nutzt aber im screenshot auf dem pihole das conditional forwarding (und gibst da dann die IP der pfsense an).
Nun kommt also deine Anfrage aus dem LAN zu pihole, dieses schickt es dann (conditional forwarding) an die pfsense. Dort aber ist sowohl die Resolver als auch die Forwarder Funktion aus. Also...
Frage:

warum google und cloudflare? Du kannst im pihole doch als Resolver unbound aktivieren, das fragt dann nicht unbedingt diese datenhungrigen Anbieter. und wie …@viragomann schon gefragt hat: deine Clients sind korrekt in pihole hinterlegt? Sonst keine Auflösung...
Bau dir da mal nicht so viele Domains. Da ist jetzt einmal pi.hole, dann das Workgroup Teil und diese (vorherige) pfsense Domain...
Mach es dir einfach (und mach es korrekt): für interne Domain das .internal nutzen...davor ggf. noch etwas wie pascalhome...dann wird am Ende für die Clients das pihole.pascalhome.internal draus...oder meinpc.pascalhome.internal... darf pihole Anfragen aus anderen Netzen beantworten (falls du dein LAN in subnetze oder VLANs unterteilt hast)?

Ein Wireshark sieht ganz normal aus, es gibt keine Reply's von UDP Packeten.

Würde ich die MTU für das OpenVPN in "Interfaces -> VPNS2S" setzen oder in den OpenVPN Einstellungen direkt?

@Beerman said in DSL Modem:

Zyxel VMG4005
Draytek Vigor 167

Hallo,

ich nutze sowohl das Zyxel VMG4005 als auch das Draytek Vigor 167 bei verschiedenen Kunden.

Das Vigor hat einen schöneren Lieferumfang, läuft direkt im Bridges Mode und hat VLAN 7 bereits voreingestellt. Beim Zyxel muss man ein paar Optionen ändern, damit es funktioniert. Dafür kann es WAN-Bonding. Prinzipiell tun beide ihren Job.

Hoffe das hilft dir bei der Entscheidungsfindung.

VG
Max

@MaxMixer

Hybrid der Telekom funktioniert nur mit einigen wenigen Speedports überhaupt.

Wenn man diese Router dann in den Modem-Modus versetzt, dann funktioniert das nur für DSL, nicht mehr für den Mobil-Teil.

Du kannst die pfSense mit Hybrid nur hinter dem Speedport kaskadieren, mit dessen LAN-IP als Upstream-Gateway. Natürlich mit all den Einschränkungen, die damit einhergehen. Speedports sind nur beschränkt konfigurierbar.

@NOCling said in Netgate 1100: Übernahme der Konfiguration von APU.2D4 (pfSense 23.01-RELEASE (amd64)):

Ohne pfBlocker hält auch die eMMC sehr lange durch, keine Panik.
Mit dem pfBlocker und ZFS kam die Problematik dann zusammen und hat eine hohe Schreiblast zur Folge.
Gleichzeitig benötig er aber auch mal schnell über 1GB Ram für die ganzen Blocklisten, das funktioniert dann auf der kleinen mit Ram Disk zusammen nicht mehr.

Bei meiner 21er ist die Ramdisk 256MB und 1,5G groß, die hat aber auch deutlich mehr verbaut.

Mit zwei Stunden Aufwand ist es mir gelungen, pfSense auf einer per USB am Netgate SG-1100 angeschlossenen SSD zu installieren. Mit dem Filesystem ZFS habe ich es nicht hinbekommen, nur mit USF hat es funktioniert.
ZFS ohne ECC-RAM, und vor allem mit so wenig RAM, halte ich eh nicht für sinnvoll. ZFS nutze ich mit Xigmanas auf einem HP Proliant Microserver Gen. 7.

Jetzt kann ich bedenkenlos pfBlockerNG installieren und auch das Logging wieder aktivieren. Die eMMC ist ja nicht mehr aktiv!?

Ich suche mir gerade einen Wolf, wo ich in pfSense 24.03 ein SWAP-File anlegen kann?
Was mich wundert ist, dass trotz abgeschalteter RAM-Disks trotzdem für /var/run eine 4 MByte große RAM-Disk angelegt wurde. Ist das normal?

Edit:
Das Problem wurde mit einem Sense Update auf die Version 24.03_1 und somit dem pfblocker update behoben, kann meinen Montor somit wieder anderweitig verwenden.🙇

@eagle61 Was lange währt. Es funktioniert! Danke für Deine Hilfe und einen schönen restlichen Sonntag.

EuroPC

Du kannst auch bestimmte Bereiche auswählen unter anderem IPsec.

@pfsense-neuling
Wie gesagt, du musst den FQDN verwenden, um die Hostnamen des Firmennetzes aufzulösen.

Was genau gibt nslookup zurück?

Du kannst mit nslookup zum Testen explizit bestimmte Server abfragen, bspw. mal den Windows Server, dann die pfSense:

nslookup <host>.<domain> <DNS-Server>

Das Gateway auf die pfSense zu stellen sollte nicht nötig sein, wenn die pfSense als Uplook-Server im Windows DNS-Server gesetzt ist.
Ich dachte aber, dass sie ohnehin das Standardgateway in deinem internen Netz ist.

Wenn das gegeben ist, lässt sich Standard-DNS auch per NAT Port Forwarding auf die pfSense umleiten, so dass sie jede Abfrage bekommt und beantwortet.

MSS 1328 ist für IPsec und AES Tunnel mode der Wert der das geringste Padding erzeugt, alles andere ist entweder zu groß oder zu klein und du hast wieder Fülldaten.

Bei UDP muss es der Applikation steuern, das hängt hier also vom Programmierer ab, ob er das sauber eingebaut hat oder nicht.
Wenn nicht, kannst du die Applikation über WAN Strecken und gerade VPN Tunnel hinweg vergessen.

Bei UDP selber gibt es keine Mechanismus der das steuert.

@JeGr said in pfSense / OPNsense Hardware - Eure Empfehlungen?:

Je nachdem was man dann für sich entscheidet - go for it :)

Wenn das mal so einfach wäre😁 Würdest du von selbstbauten ala HP Elitedesk generell abraten?

1G Port würde mir übrigens erstmal reichen.

@n300 Das ist tatsächlich mal ein vorbildliches Ergebnis von "Leichenfledderei" ;) Also nach all der Zeit tatsächlich einen Workaround zu haben, macht hier auf jeden Fall Sinn - da braucht es dann auch kein Sorry :)

Finde ich aber sehr interessant, dass hier wohl UDP versagt. Das klingt eher so, als würde A1 da vllt unterwegs DNS/UDP mit zu großer Payload vllt wegfiltern(?) um ggf. irgendwelche DNS countermeasures umzusetzen o.ä. oder es ist tatsächlich irgendwelche MTU oder sonstiger Kram - der bei TCP dann nicht zu Tragen kommt, weil es da frisch ausgehandelt werden kann. Spannend. Und durchaus wichtig zu wissen um das ggf. als Debug/Diagnose mal nutzen zu können!

Danke dafür!

@sven_apsware said in Von LTE Modem bereitgestelltest IPv6 nicht einrichtbar:

Ganz kurzes btt:
Tausend Dank an @JeGr , Retter in der Not :D
Mit zweiter pfSense Instanz auf VPS ist das Problem geshickt umgangen und wir sind happy :)

Es hat zwar ein wenig gedauert, bis der 'Notruf' auf den richtigen Frequenzen ankam 😉 aber wir sind hier wie immer gern eingesprungen und haben geholfen. Und vielleicht können wirs dann demnächst dann wenn die Fasern liegen auch noch ein wenig für den Zukunftsbetrieb besser absichern und ein paar Verbesserungen zusammen vornehmen!

War mir eine Freude 😃

Cheers
\jens

3000 war der Zauberport, jetzt geht es.

@chris_6n
Warum Postgres? Grafana funktioniert da wesentlich besser mit ner InfluxDB weil Logs genauso wie Stat Werte ja über die Zeit gespeichert werden. Da ist eine time based DB wie Influx sinnvoller als was klassisch DBMS mäßiges wie Postgre oder MxSQL. Darum wirds bspw. von Grafana, Graylog oder Prometheus u.a. als Basis genutzt oder ist dort direkt importierbar ohne große Konverter.

Für Grafana würde sich daher das Telegraf Plugin und ne Influx als Basis anbieten. Ansonsten gäbe es da nur die Möglichkeit, die Logs via rsyslog Server auf ne andere Kiste zu schieben und dort als Eingangsfilter dann was zu bauen, was das Ganze statt in Syslog dann konvertiert in einzelne Postgres Queries umsetzt. Sieht für mich aber auf den ersten Blick nach einem ziemlichen Bottleneck aus da Filter Regeln je nach Einschlag von Paketen stark eskalieren können und dementsprechend ordentlich Logs raushauen können. Und klassische DBMS die das noch dazu dann ggf. transaction based importieren würden da etliche Queries mit Inserts pro Sekunde abbekommen. Das klingt extrem unperformant - darum der Hinweis das ggf. direkt via Telegraf & Influx zu machen da weniger Overhead und bessere Speicherung über Zeit möglich.

Cheers

@caso1990
Danke,
Funktioniert immer noch / still works (Hyper-V Server 2019)