Aufbrechen musst du die Verbindung immer sonst kannst du nicht rein schauen.
Dafür ist HTTPS ja da das keiner reinschauen kann.

Ein öffentliches Zertifikat kannst du das nicht  nehmen da dies ja immer auf einem Domain geschlüsselst ist. Im Bestenfall vielleicht noch ein Wildcard was dann für *.domain.de gilt mehr aber auch nicht.

Wenn dann müsstest du schon selbst eine öffentliche CA betreiben und das ist eher nicht realistisch ;)

Hier bleibt die fast nur die Verbindungsdaten mit zu loggen. Also nur von welcher IP zu welcher IP mit Datum und Uhrzeit.
Reinschauen geht dann eben nicht. Muss aber auch nicht immer oft reichen die IP Daten.

Kommt noch drauf an wieviele User bzw. wieviele Verbindungen du planst.
Würde aber fast zu einem APU raten. Die Dinger können schon was.
Leider steht bei deinem Angebot nicht dabei auf was PfSense installiert wird.
Wenn du Squid mit cache laufen lassen willst würde ich dafür noch keine kleine mSata empfelen da eine SD Karte sonst schneller kaputt gehen kann.

Hat Deine pfSense die gleiche IP-Adresse (zum Netgear) wie die Monowall? Kommt der für den Webserver bestimmte Traffic auf der pfSense überhaupt an?

Taucht dann im Firewall-Log was auf?

(Evtl. mußt Du Dir eine Default-Block-Regel manuell anlegen, damit Du das Loggin dazu aktivieren kannst.)

Hah! Das wars! Jetz funktionierts!

Danke dir @l4k3km4n :-)

An dem 3. IF hängt die WLAN Fritte derzeit. Da es eine alte 7270 ist, hat diese nur 100 MBit LAN Anschlüsse.

Die pfSense zeigt in der Weboberfläche auch korrekt die 100 MBit an.
Was mich wundert ist, dass die LEDs des Interfaces dauerhaft an sind (jedenfalls das Orangene) und nicht wie die anderen beiden, die per 1000 MBit angebunden sind flackern.

Die pfSense wird per URL aufgerufen:

https://pfsense/index.php

Sollte funktionieren, woran scheitert es denn?

Dein system idled zu 100%, macht also quasi GARNIX  = 100% Ressourcen frei. :P

Guten Morgen,

also ich habe es nun so gelöst, dass ich die Proxy-IP aus der manuellen Konfiguration am iPhone entfernt habe. Nun bekomme ich auch Mails.
Warum auch immer ich den Proxy manuell eingetragen habe in den WLAN Einstellungen des iPhones… Der Proxy ist ja derzeit als transparenter Proxy aktiv. Komisch...

Ok, kleiner Nachtrag :( DECT scheint nicht zu funktionieren. Es klingelt zwar durch, kann auch abheben aber man hört nichts :(

EDIT: Nach 2 stunden googeln und durch verschiedene foren gehen hab ich die Lösung in einem 2 Minütigem Youtube video gefunden… https://www.youtube.com/watch?v=ZG5s4YXK5zM

VOIP geht nun :-)

naja, wenn du eh nen richtigen switch brauchst, kannste das Ding im reinen Mondem-Betrieb dann ja eh knicken denke ich… dann vielleicht doch nen Draytek Vigor 130 und ne xtra hardware wie zB APU oder jetway (http://www.jetwaycomputer.com/JBC373F38.html)

Dann sollte mal schleunigst jemand nen minecraft reverser proxy für pfsense schreiben :)

Das Ding hier: https://github.com/benjojo/mcod geht ja zumindest schonmal in die richtige Richtung.
Ja ich weiß, ist leider auch nicht ganz das Richtige.  :(

So… nach dem Drehen ist die Verbindung jetzt seit 2 Tagen ok... Es erklärt zwar nicht, was da schiefgelaufen ist - aber ist ein möglicher Ansatz zum lösen eines solchen Problems...

Nachteile gibt es, aber wenn sie dir nicht auffallen, wirst du in deinem Setup auch keine finden ;)

In großen Umgebungen mit Loadbalancern und Co. kann NAT Reflection richtig mies sein, weil es zu asynchronem Routing führen kann, was dann die entsprechenden Maschinen verwirrt. Aber sollte bei dir nicht der Fall sein.

Nö :)

Erstens, weil ich persönlich keine Sophos UTM einsetze und kenne (im Prinzip waren das doch eh nur die alten Astaro Büchsen).
Zweitens, weil e-Penis Vergleiche niemandem was bringen und die andere Seite oft aus Fans besteht, die sich eh nicht überzeugen lassen wollen.

Sollen sie doch mit der Sophos UTM glücklich werden, ich finde ein Produkt, das "frei für den Hausgebrauch" sein soll, dann aber IP Limitationen mitbringt doch eher suboptimal.
Die UTM ist ja nur dann frei für zu Hause, wenn man intern nicht mehr als 50 IP Adressen nutzt. Das wäre bei mir schonmal ein kompletter Reinfall, zumal sich bei Sophos zum Thema v6 noch niemand geäußert hatte, das letzte Mal als ich nachgesehen habe ;) Und 50 IP Adressen bekomme ich durch herumspielen mit Virtualisierung und neuen Geräteklassen wie TV etc. schnell weg. Alleine solche eine Beschränkung einzubauen ist schon amüsant. Mit all den Geräten, die nun alle IP Adressen bekommen (können) und dem Fakt, dass bspw. IPV6 ja grundsätzlich mehrere Adressen nutzt für die Privacy Extension habe ich sehr schmunzeln müssen. Ich habe lieber eine Software, von der ich weiß was sie tut, und die nicht für jeden Schnick und Schnack extra Lizenzkosten etc. verlangt :)

„Reject Leases From“

…gibt es nur bei Typ DHCP. Bei Static gibt es diese Einstellung logischerweise nicht. Warum auch, was sollte denn verworfen werden? Es läuft kein DHCP Prozess.

Alias IPv4 addresses

Die ganzen Einstellungen gibt es nicht bei statischer Konfiguration. Diese beziehen sich lediglich auf den DHCP Client.

Quote:  Sometimes you need an IP alias in addition to a DHCP lease, that's its purpose, it should virtually always be left blank.

Und um das zu ergänzen: 0/0 ist dann natürlich alles bzw. die Default Route :)

Hmm, da würde mir gerade nur einfallen die Logs auf nen Remote Syslog-Server zu schicken (ausgewählte oder alle) und dort dann zu filtern.  :-[

Ja genau das stand ja in dem geposteten Link  ;)