Versuch mal folgenden Ansatz für jedes backend das du von extern auf der gleichen IP+Port (für den Anfang) mit ssl offloading erreichen willst a) im frontend das Zert für das erste Backend eingeben [image: 1589092851288-d1a7d735-23d2-4fc9-8bfb-17a105924eff-grafik.png] b) weiter unten die Zertifikate für jedes weitere Backend eintragen [image: 1589092593623-fa950d8f-6d97-4b6f-bae5-597336842bce-grafik.png] [image: 1589092927780-63ad6e74-2bc7-4d5c-9f13-1ad7dfeeed85-grafik.png] deine CA eintragen [image: 1589092959447-fc25a24b-46ca-4711-af74-3df75a7a49b7-grafik.png] den Rest mittels ACL host matches machen !!Nicht vergessen!! ein default backend zu definieren wenn die ACLs nicht greifen das er darauf zurück fällt (man kann drüber diskutieren ob das sinnvoll oder anders zu handhaben aber für die Fehlersuche sehr hilfreich) so rennt das mit einer domain und ein paar backends ;) alle Certs via LE / DNS zeigt mittels A Record auf die extIP lgNP

Mein Setup ist Telekom - Fritzbox 7530 - Pfsense (NordVPN) - Fritzbox 7590 (Mesh Master) - Fritzbox Repeater 1750E (3 Stück). Telefonie geht über 7530. Funktioniert tadellos.

Warum schaust du nicht mal hier rein: https://forum.netgate.com/topic/151990/telefonie-mit-fritzbox-hinter-pfsense-und-draytek-vigor-165/12

@proficleaner Du kannst z.B. mit pfBlocker auch Einschränkungen machen, dass nur deutsche IPs auf Ports 22 zugreifen können oder Du schaltest noch ein VPN davor. Du kannst sogar eine Ausnahme nur für eine bestimmte DDNS-Adresse machen usw.

Perfekt, Danke für die Rückmeldung. -Rico

OK, kaskadierene Router sind immer problematisch in der Konfiguration, auch wegen dem Double-Natting. Ich nutze die pfSense als einzigen Router mit einem Vigor165 davor im Full-Bridge-Mode.

Und nochmal Danke ;) Hab in den netgate-Docs einen Hinweis dazu gefunden und teste das jetzt - RFC 1918 war der richtige Tipp. Lieben Gruß, Lauri

Lieben Dank Dir, mit nur noch der einen Firewall-Regel und Entfernung der überflüssigen Gateways funktioniert es nun einwandfrei ,) Ich habe noch ein 2tes Thema, aber dafür werde ich einen neuen Thread eröffnen. Gruß, Lauri

Mit PuTTY geht das ohne Probleme, ich tunnel mir öfter ein Port über SSH. Auf pfSense Seite musst du nichts weiter einstellen. -Rico

Hallo @JeGr said in mehrere Router virtualisieren: Dazu zwei Punkte: Warum das ganze mit 3 verschiedenen pfSense Instanzen in denen jede WAN + LAN hat, anstatt EINE Instanz mit 3 VLANs nutzen, die dann auf die 3 VSwitche gehen? Was ist der Nutzen 3 separate Instanzen zu haben und Ressourcen zu verbrennen anstatt eine größere Instanz mit 3 VLANs zu erstellen? die verschiedenen Router haben komplett unterschiedliche Aufgaben, die eine macht nur viele VPN Tunnel ohne große Regelen, die andere das eigentliche Firewalling. Bestes Beispiel für den Sinn mehrere Instanzen ist gerade aktuell recht gut zu sehen: Die aktuelle Version 2.4.5 hat ein Mega Performance Problem wenn mehr als eine CPU genutzt wird. Damit wird die Firewall faktisch unbrauchbar. Hab ich auch lange gesucht um die Ursache zu finden. Abhilfe schaft nur ein Rückgang auf die 2.4.4 oder nur eine CPU zu nutzen. Damit bin ich mit meinen 3 Instanzen dann für solche Fälle besser bedient, dann hab ich wenigstens 3 CPU's statt einer :) pfSense bzw. FreeBSD wenn es um Netzwerkdurchsatz geht ist - auf Hardware - kein Freund von HT. Wenn du virtualisierst kann es allerdings durchaus sein, dass es Sinn machen kann. Da habe ich aber leider keine Hands On Werte/Erfahrung mit Hyper-V Bin aktuell recht weit mit meinen Tests. Netzwerkperformance ist TOP! Wenn man die Warteschlange für virtuelle Computer in den Broadcom Treibern deaktiviert! Das HT ist ja aktuell eh kein Thema weil nur eine CPU nutzbar ist... Danke und viele Grüße

@tomxl said in Schnittstelle reagiert nach mehrstündiger Nichtbenutzung nicht mehr: Hallo fireodo, ja genau, dass ist die Hardware die ich verwende. Dann weiß ich ja jetzt woran es liegt. Ist aber kein Problem mehr weil ich jetzt einen Switch dazwischen habe. :-) ... na dann ist es doch gut, aber nur um die Schnittstelle am Leben zu erhalten eine Stromfresser dazuschalten ... naja

Das erste Mapping ist gemeint. Hier, und bitte die Querverweise lesen. Mit 192.168.1.0/24 ist der Bereich von 192.168.1.1 bis 192.168.1.254 gemeint. Durch dein Mapping hast du den ganzen IP Bereich erwischt. Wenn nur die IP der Fritze gemeint ist, muss ein /32 hinter der IP der Fritzbox stehen.

@JeGr Hallo Jens, danke für die Rückmeldung. Genau das war meine Frage. Gruß Jürgen

Was ich noch vergessen habe. Ich habe mit Static, nicht Static und gemischt getestet. Die AAAA eintrage landen nie in der Domain und die A aus ipv4.

So weit ich es verstanden habe, läuft auf ESXI 6.7 (free) weder apcupsd noch nut (kann mich natürlich irren), daher die Krücke über plink. Weil plink auf pfSense nicht läuft der Umweg über eine eigene VM. Ich würde mir die VM gerne ersparen und den Befehl von der pfSense (apcupsd oder nut) direkt an ESXi senden - k. A. wie? Bin für Tipps dankbar ...

@JeGr Danke für den Tipp. Bin aber jetzt super zufrieden, da, wenn ich die VPN-Server direkt als Socks-Proxy angesprochen habe, es immer wieder zu Problemen wie Timeouts etc kam. Jetzt, über die Sense, Null Probleme dieser Art und Ausnahmen kann ich auch in der Sense anlegen. Vielleicht hilft der Erfahrungsbericht wem anders.

Freut mich zu lesen! :)