Entschuldige, mein Fehler, ich hatte das VPN im kleinen Zitattext nicht korrekt gelesen und dachte es scheitert schon an der IPv6 Setting der FB :(

@wkn Ich habe das mal getestet: Data-Interface gelöscht.
WAN: (PPPOE auf Interface em1.10)
VOIP: (VLAN 20: DHCP)
Allerdings war die Internetverbindung danach weg.
Beim Wiederaufruf von Interfaces war das DATA-Interface wieder da...
Jetzt ist so eingestellt (Nach Nachbearbeitung, weil die Zuweisungen etwas durcheinander waren):

WAN: PPPOE (Der PPPOE-Eintrag benutzt em1.10, der stand wieder auf em1)
DATA: VLAN 10 auf em1 -> Interface "enabled", IP-Configuration auf "None"
VOIP: VLAN 20 auf em1 -> Interface "enabled", IP-Konfiguration auf DHCP
em1 ist nicht mehr zugewiesen

Die Interfaces DATA und VOIP haben keine Regeln definiert.
Es gibt jetzt 2 Gateways: WAN und VOIP.
Alle Verbindungen funktionieren einwandfrei.
Wenn das DATA-Interface wie vorher auf PPPOE stand (keine Zugangsdaten eingetragen, die pfsense hatte beim Zuweisen des DATA-PPPOE auf WAN diese Angaben rausgelöscht, im WAN waren die Zugangsdaten dafür eingetragen wie ganz zu Anfang, nur war da in den PPP-Einstellungen wieder em1 eingetragen. Ich mußte das ändern auf em1.10, damit ich wieder eine Internet-VErbindung bekam.
Um in den Logs die vergeblichen Anwahlversuche des leeren PPPOE-Eintrags vom DATA-Interface wegzubekommen, habe ich diesem die IP-Konfiguration "None" zugewiesen.
Alle Interfaces sind "Up", das DATA-Interface zeigt nur keine IP an, da es keine gibt.

Da jetzt alle klappt, bin ich erstmal zufrieden.

Schau mal hier bitte:

https://forum.netgate.com/topic/153596/ipv6-connectivity-from-lan-is-lost-after-pppoe-reconnect

Da habe ich es noch einmal auf Englisch zusammengeschrieben und auch die Logs vom PPPoE Abbruch reingepackt.

Versuch mal folgenden Ansatz
für jedes backend das du von extern auf der gleichen IP+Port (für den Anfang) mit ssl offloading erreichen willst

a) im frontend das Zert für das erste Backend eingeben

d1a7d735-23d2-4fc9-8bfb-17a105924eff-grafik.png

b) weiter unten die Zertifikate für jedes weitere Backend eintragen
fa950d8f-6d97-4b6f-bae5-597336842bce-grafik.png

63ad6e74-2bc7-4d5c-9f13-1ad7dfeeed85-grafik.png

deine CA eintragen
fc25a24b-46ca-4711-af74-3df75a7a49b7-grafik.png

den Rest mittels ACL host matches machen

!!Nicht vergessen!! ein default backend zu definieren wenn die ACLs nicht greifen das er darauf zurück fällt (man kann drüber diskutieren ob das sinnvoll oder anders zu handhaben aber für die Fehlersuche sehr hilfreich)

so rennt das mit einer domain und ein paar backends ;)
alle Certs via LE / DNS zeigt mittels A Record auf die extIP

lgNP

Mein Setup ist
Telekom - Fritzbox 7530 - Pfsense (NordVPN) - Fritzbox 7590 (Mesh Master) - Fritzbox Repeater 1750E (3 Stück).
Telefonie geht über 7530. Funktioniert tadellos.

Warum schaust du nicht mal hier rein:
https://forum.netgate.com/topic/151990/telefonie-mit-fritzbox-hinter-pfsense-und-draytek-vigor-165/12

@proficleaner Du kannst z.B. mit pfBlocker auch Einschränkungen machen, dass nur deutsche IPs auf Ports 22 zugreifen können oder Du schaltest noch ein VPN davor. Du kannst sogar eine Ausnahme nur für eine bestimmte DDNS-Adresse machen usw. ☺

Perfekt, Danke für die Rückmeldung.

-Rico

OK, kaskadierene Router sind immer problematisch in der Konfiguration, auch wegen dem Double-Natting.

Ich nutze die pfSense als einzigen Router mit einem Vigor165 davor im Full-Bridge-Mode.

Und nochmal Danke ;)
Hab in den netgate-Docs einen Hinweis dazu gefunden und teste das jetzt - RFC 1918 war der richtige Tipp.

Lieben Gruß,

Lauri

Lieben Dank Dir,

mit nur noch der einen Firewall-Regel und Entfernung der überflüssigen Gateways funktioniert es nun einwandfrei ,)

Ich habe noch ein 2tes Thema, aber dafür werde ich einen neuen Thread eröffnen.

Gruß,

Lauri

Mit PuTTY geht das ohne Probleme, ich tunnel mir öfter ein Port über SSH.
Auf pfSense Seite musst du nichts weiter einstellen.

-Rico

Hallo

@JeGr said in mehrere Router virtualisieren:

Dazu zwei Punkte:

Warum das ganze mit 3 verschiedenen pfSense Instanzen in denen jede WAN + LAN hat, anstatt EINE Instanz mit 3 VLANs nutzen, die dann auf die 3 VSwitche gehen? Was ist der Nutzen 3 separate Instanzen zu haben und Ressourcen zu verbrennen anstatt eine größere Instanz mit 3 VLANs zu erstellen?

die verschiedenen Router haben komplett unterschiedliche Aufgaben, die eine macht nur viele VPN Tunnel ohne große Regelen, die andere das eigentliche Firewalling.

Bestes Beispiel für den Sinn mehrere Instanzen ist gerade aktuell recht gut zu sehen: Die aktuelle Version 2.4.5 hat ein Mega Performance Problem wenn mehr als eine CPU genutzt wird. Damit wird die Firewall faktisch unbrauchbar.
Hab ich auch lange gesucht um die Ursache zu finden. Abhilfe schaft nur ein Rückgang auf die 2.4.4 oder nur eine CPU zu nutzen. Damit bin ich mit meinen 3 Instanzen dann für solche Fälle besser bedient, dann hab ich wenigstens 3 CPU's statt einer :)

pfSense bzw. FreeBSD wenn es um Netzwerkdurchsatz geht ist - auf Hardware - kein Freund von HT. Wenn du virtualisierst kann es allerdings durchaus sein, dass es Sinn machen kann. Da habe ich aber leider keine Hands On Werte/Erfahrung mit Hyper-V

Bin aktuell recht weit mit meinen Tests. Netzwerkperformance ist TOP! Wenn man die Warteschlange für virtuelle Computer in den Broadcom Treibern deaktiviert! Das HT ist ja aktuell eh kein Thema weil nur eine CPU nutzbar ist...

Danke und viele Grüße

@tomxl said in Schnittstelle reagiert nach mehrstündiger Nichtbenutzung nicht mehr:

Hallo fireodo,

ja genau, dass ist die Hardware die ich verwende. Dann weiß ich ja jetzt woran es liegt. Ist aber kein Problem mehr weil ich jetzt einen Switch dazwischen habe. :-)

... na dann ist es doch gut, aber nur um die Schnittstelle am Leben zu erhalten eine Stromfresser dazuschalten ... naja 😎

Das erste Mapping ist gemeint.
Hier, und bitte die Querverweise lesen. Mit 192.168.1.0/24 ist der Bereich von 192.168.1.1 bis 192.168.1.254 gemeint. Durch dein Mapping hast du den ganzen IP Bereich erwischt. Wenn nur die IP der Fritze gemeint ist, muss ein /32 hinter der IP der Fritzbox stehen.

@JeGr

Hallo Jens,

danke für die Rückmeldung. Genau das war meine Frage.

Gruß Jürgen