Ja, aber da ich das Setup selbst nicht mehr betreibe kann ich leider nicht mehr reinschauen, wie das aufgesetzt war. Ich kann leider nur noch rekonstruieren, dass es so wie beschrieben funktioniert hat, aber da ich auch nicht "davor" sitze, kann ich da leider auch gerade nichts mehr dazu sagen, da mir der Vergleich fehlt, wo vllt. die kleine fiese Schraube falsch gedreht ist, die dich gerade behindert. :/

Sorry, wäre gerne hilfreicher.

Es ist möglich eine Weiterleitung einer Domain auf einen Server mit einer angehängten url durchzuführen.

Ich habe hierfür HAProxy verwendet. Dies gibt es auch in der Pfsense.

Als Reverseproxy kann ich auch Varnish empfehlen, auch diese ist in der Pfsense enthalten.

Varnish ist ein sehr mächtig und flexibel.

Was deine Weiterleitung angeht habe ich folgenden Regex im  Backend des Haproxy's eingerichtet.

reqrep ^([^\ :]*)\ /    \1\ /website1\2

Zu finden unter Services/dhcp Server/DNS
zuerst das entfernte DNS eintragen und dann das der FW.

@JeGr:

@dkrizic: Das ändert aber nichts an der Tatsache, dass Asterisk - korrekt bemerkt - eben nichts ist, was man mal eben in ner Stunde fix aufsetzt, sondern durchaus etwas mehr Zeit in Anspruch nehmen kann, weil es ein komplexeres Thema ist. Was bei pfSense auch der Fall ist.

Das sehe ich anders. Askozia (ich habe mit denen nichts zu tun, ausser, dass ich ein zufriedener Kunde bin) versteckt das gesamte Thema Asterisk-Konfigurationsdateien (sip.conf, extensions.conf) und man macht alles über die GUI. Natürlich muss man sich etwas mit dem Thema beschäftigen, aber es fällt wesentlich leichter. Ich behaupte mal, dass man – wenn man weiss, was man macht -- eine Telefonanlage innerhalb einer Stunde aufsetzen kann.

Also bei mir steht lediglich "UDP" anstatt "UDP/TCP" in der Regel.

Das hängt davon ab, was Du für eine Tunnelconfig hast, leider kennen wir ja selbige nicht.
Wenn UDP eingetragen ist, sollte das dann eigentlich ausreichen.
Alles was Bei Dir nicht durchkommt und geblockt wird, muss dann auch als geblockt in den Firewall-Logs auftauchen.
Einen….

Scheinst Du ja zu haben, sonst würde kein Ping gehen.

Leider erreiche ich keine der im LAN möglichen WebIF's.

Blockt da vielleicht eine Firewall ?
Wenn nicht, solltest Du mal noch die…...

….posten.
Gruß orcape

Mit browsen war meines Verständnisses nach der normale "Netzwerk" Button im Explorer gemeint. Und was dort auftaucht ist eh zu guten Teilen oft zufällig, insofern würde ich es komplett ignorieren. Via IP oder auch Namen geht das Problemlos auch über Netzgrenzen hinweg ohne irgendwelche Zusatzsoftware, Avahi oder Zeroconf wegen ein bisschen "schönbrowsen" installieren empfinde ich zum einen als Overkill und auch für das Netz als unnötig (da das auch wieder genug Traffic erzeugt). Zudem gibt es viele lokale Domänen, die noch aus alten Tagen mit ".local" angelegt wurden, was sich MASSIV mit Zeroconf und Avahi beißt. Das sollte man wirklich vermeiden, wenn man da keinen Streß mit seltsamen Namens-Auflösungs-Problemen bekommen will.

Vielen Dank für die Antwort.

Ich werde dann den Supermicro 5018A-FTN4 in Haus 1 verbauen und den APU in Haus 2.

Noch eine Frage.

Wie würden denn die Firewall Regeln aussehen?

Ich habe zum Testen die APU mit der Alix auf dem freien Port verbunden, jeweils das Interface angelegt (10.255.255.1+2).
Dann die Gateways erstellt (in Haus 1 GW= 10.255.255.2 und Haus 2 GW = 10.255.255.1)
Und dann noch die Routen erstellt.
Von Haus 1: 192.168.1.0/24 über das Gateway 10.255.255.2.
Von Haus 2: 192.168.178.0/24 über das Gateway 10.255.255.1

Ich denke das passt auch soweit. Nur konnte ich mit den von mir angelegten Regeln keinen Ping auf das NAS (192.168.178.10) absetzen.

Bilder hierzu im Anhang

Vielen Dank

1-interface.png
1-interface.png_thumb
2-gateway.png
2-gateway.png_thumb
3-routes.png
3-routes.png_thumb
4-rules.png
4-rules.png_thumb

Hi,
ne alles gut. Ich schaue regelmäßig drauf, kein Thema. Der Vorfall ist ja von einem auf den anderen Tag passiert - war meine ich der Jahreswechsel. Da schlug dann die Logauswertung zu und hat mehr geschrieben als frei war. Bis dato war mir auch nicht klar wieviel Squid bzw. Sarg speichert. Inzwischen habe ich von 30T auf 10T runtergeschraubt. Die Benachrichtigung ist gut und werde ich dann mal einrichten ;).
In sofern hat mir der Vorfall auch geholfen PFS besser zu verstehen.
Danke für deine Hilfe…

Was ist das denn für eine Hardware?
Mit re0-3 könnte das eine APU mit embedded NICs sein oder auch etwas ganz anderes wie gesteckte Karten.

Strangely enough, http://test-ipv6.com/ auf einem Linux host (Ubuntu 14.04) auf dem selben Netzwerk funktioniert problemlos.

Ich habe auch jumbo frames auf dem Windows-System abgestellt, hat nichts gebracht.

Was ist das Problem mit pfSense hinter der Fritzbox?

Mein WAN2 ist auf 192.168.178.2 und die 7362 SL Fritte unter 192.168.178.1 hat die pfSense als exposed Host.

Welche Probleme gibt es mit diesem setup?

An FRITZ!Box angeschlossene Computer sind sicher vor unerwünschten Zugriffen aus dem Internet. Für einige Anwendungen wie z.B. Online-Spiele oder das Filesharing-Programm eMule muss Ihr Computer jedoch für andere Teilnehmer des Internets erreichbar sein. Durch Portfreigaben erlauben Sie solche Verbindungen.
Liste der Portfreigaben
Aktiv Bezeichnung Protokoll Port an Computer an Port
Exposed Host alle anderen Ports PC-192-168-178-2 Bearbeiten Löschen
Neue Portfreigabe
Achtung: Die Firewall Ihrer FRITZ!Box ist deaktiviert.
Der als "Exposed Host" angegebene Computer ist ungeschützt im Internet sichtbar und erreichbar. Ausgenommen sind Portfreigaben zu anderen Computern in der Liste der Portfreigaben, welche nur an diese weiter geleitet werden.
Änderungen der Sicherheitseinstellungen über UPnP gestatten
Geräte und Anwendungen mit UPnP-Unterstützung können im Heimnetz Sicherheitseinstellungen wie die Portfreigaberegeln der FRITZ!Box automatisch verändern. Aktivieren Sie diese Option aus Sicherheitsgründen nur, wenn Sie tatsächlich eingehende Verbindungen aus dem Internet gestatten möchten.
Die aktuelle Konfiguration Ihrer FRITZ!Box gestattet die Änderung der Sicherheitseinstellungen über UPnP. Anwendungen mit UPnP-Unterstützung können somit automatisch weitere Ports öffnen.
Liste der UPnP geöffneten Ports
Protokoll Port an Rechnername an IP-Adresse an Port
Es sind keine UPnP-Portfreigaben eingerichtet.

Super, freut uns :)

Eine relativ simple Antwort ist das es mein Mail Provider so vorgibt. Warum die das so machen kann ich nicht beantworten.

OK dann eine dumme Frage: Was gibt der vor?
Dass man sich per SSH einloggen und Mails übertragen soll? Das wäre der erste Mailprovider der solche Macken macht. Denn das ist hinten wie vorne nicht standardkonform und gibt garantiert irgendwo Probleme beim Einliefern.

Kein seriöser Mailprovider weicht von den Default Ports ohne Grund ab. Deshalb gibt es festgelegte Service Ports und nicht bei Provider A 2525 und bei B 25 aber bei C 4981. Das macht für mich gerade gar keinen Sinn.

Grüße

Hallo!

Wenn du rausgefunden hast, wie man auf der pfSense Zertifikate verlängert, post es bitte hier, würd mich auch interessieren.
;)

Die Möglichkeit einer Verlängerung gibt es wohl nur mit einem externen Generator.
Sicherheitstechnisch und im Hinblick auf den Arbeitsaufwand ist es egal, ob du ein Zertifikat verlängerst oder ein neues erstellst. In beiden Fällen erhältst du ein neues Zertifikat, es muss von derselben CA stammen wie das des VPN-Servers, muss es dem User auf der pfSense hinzugefügt und im Client ersetzt werden.
Das alte kann dann gelöscht werden, verliert aber ohnehin mit Ablauf seine Gültigkeit.

Grüße