so ich glaub ich dreh jetzt durch !!!

kurzum wenn ich:

port 443 mittels eea4dc65-d823-4ca5-8715-1578d7cc7b36-grafik.png and die zB 10.0.0.1 (die interne IP der Firewall weiterleite)

3 stk Frontends
(1. shared mit LAN Adress IPv4 | https offloading | default backend | use forward option | dem default cert d pfsense einrichte [serverCert] | Add ACL for certificate Subject Alternative Names aktiviere.)
(2. das auf das shared auf pkt 1 zeigt die ACLs für die Backends einrichte | default backend | cert = das LE widcard cert" für diese domain | Add ACL for certificate Subject Alternative Names aktiviere | Add ACL for certificate Subject Alternative Names.)
(3. das auf das shared auf pkt 1 zeigt die ACLs für die Backends einrichte | default backend | cert = das LE mit dem TXT IEntrag u d _acme_challenge für diese domain | Add ACL for certificate Subject Alternative Names aktiviere | Add ACL for certificate Subject Alternative Names.)

funktioniert das genau so wie gewollt .... naja ....

@Bob-Dig hatte mich mit seiner Anmerkung " könnte ggf. auch deine Probleme erklären"
drauf gebracht ... die frontends die auf der WAN0 laufen abgedreht .... siehe da man konnte aufgrund der port forwarding ein backend noch erreichen ..... shared frontend eingerichtet ... 2te & 3te domain fix zack bumm rennt mit ssl offloading...

wieso es am WAN0 nicht geht versteh ich bis jetzt noch immer nicht .... verdacht der ISP tut was komisches trau ich der Bande zu :(

ich geh jetzt staubsaugen weil ich grantig bin und morgen weitersuchen !

man liest sich!

Jetzt läuft es.
Habe auf dem WAN Interface den Prefix von 64 auf 56 und den Haken bei "Only request an IPV6 prefix, do not request an IPV6 address". Danach ging es und der unbound läuft stabil.

Bildschirmfoto 2020-05-25 um 20.40.59.png

@JeGr said in Wie automatisiert (m)einen Port prüfen:

Okay, wenn der Loopback klappt, super. Ansonsten würde ich ggf. (trotzdem) einfach mal reinschauen

Hab's gemacht und ist wie beschrieben. 👍

Die Geschwindigkeit ist hier nicht wirklich relevant. Das VPN wird lediglich dazu benutzt um an den ADS zwecks Anmeldung zu kommen.

Aber ja, habe schon bemerkt dass das Teil nicht das Wahre ist. Schaue bei Gelegenheit mal nach einem kleinen Mini-Server auf dem ich ganz normal Linux-Server + VM's installieren kann

Ja die werden nicht ins Filesystem geschrieben, liegen nur in der config.xml

-Rico

Habe jetzt:
2606:4700:4700::1001

eingetragen und jetzt ist alles grün !

Danke

Also die Performance reicht für 1Gbit. Mit Snort fällt die Performance auf etwas unter 800mbit. Das ganze versteht sich mit einem Anschluss ohne PPPoE.

Gruss

jop erledigt !
neues topic (oder wieder ein anderes gekapert ösi like ) ;)

NP

@JeGr said in Immer wieder Ausfälle der DNS Auflösung:

Für die Zukunft würde ich ein Board wählen, welches weniger Overhead hat (du brauchst für pfSense ja keinen SoundChip etc.) aber ansonsten - schöner Einstieg :)

Danke :) Und ja, du hast durchaus Recht, aber mein Großhändler hatte nicht viel anderes passendes da. Und da ich Erfahrung sammeln will, so schnell wie möglich auf dem Gebiet und wie es meine Lernkurve zulässt, musste da ein kleiner Kompromiss her. Das Gehäuse selber ist auch für C232 Chipsätze ausgelegt, also konnte ich die Connectoren gar nicht bedienen etc., es ist also ein kleines bisschen ein Behelfs-Build. Die nächsten Geräte werden dann in allem effizienter, IPMI ist definitiv auch eine Überlegung wert. Muss jetzt noch schauen, wie die pfSense arbeitet und funktioniert, ehe ich dann auch für meine Kunden die Geräte anbieten kann um etwas mehr Sicherheit ins Netz zu bringen. Habe vorwiegend kleine bis mittlere Unternehmen, die ich langsam davon überzeuge mal auf mehr als ihre FritzBox oder den Speedport zu vertrauen. Und am besten lernt man, wenn man selber anfängt mit den Sachen zu arbeiten, die man dann später auch entsprechend anbieten möchte :)

Bislang ist wie gesagt alles perfekt, die Standardeinstellungen sind ja schon mal eine gute Basis. Jetzt bin ich gespannt, Ende des Monats hält Gigabit-WAN Einzug, mal schauen ob die Kiste das dann auch packt :) Macht jedenfalls Freude, und das Internet ist durch den Einsatz diverser Filterlisten nicht nur angenehmer geworden was Werbung betrifft, sondern auf manchen Seiten auch merklich flotter. Alles weitere eigne ich mir gerade Stück für Stück an, man findet durchaus brauchbares auf YouTube, teils sogar auf deutsch.

@mike69 said in Problem beim Setzen von statischer Endgeräte-IP:

Wieder was gelernt. :)

Zumal der "Clientbezeichner" (was für ein deutsch) bei uns leer ist.
Was hat der Eintrag für einen Sinn?

Was mit ein Grund ist, warum ich - trotz sonst Muttersprachenbefürworter (was ein Wort) - gegen die Nutzung von lokalisierten UIs wie bspw. der pfSense bin. Warum? Weil oftmals

dt. Übersetzung wenig Sinn macht oder das Wort eh schon eingedeutscht/verdenglischt ist - siehe Proxy weil es bei manchen fixen Bezeichnungen schlicht durch Mehrdeutigkeit zu Problemen kommt und bei Community Übersetzungen oder I18N Projekten gerne fixe Strings übersetzt werden, die im Deutschen aber ggf. andere Bedeutungen haben (oder umgekehrt). Da das in der Übersetzung aber gar nicht vorgesehen ist, wird dann einfach platt das Wort überall gleich übersetzt weil es Sinn macht, die Originalen Fachbegriffe zu lernen/wissen weil es Sinn macht, da man dadurch auch besser in Suchmaschinen etc. nach dem Fehler sucht und seine Auswahl nicht allein auf deutsche Ergebnisse beschränkt.

Natürlich gibt es sicher Sätze oder Begriffe die man nicht versteht - dann fragt doch hier! Reißt keiner den Kopf ab ;) Aber auch wenns für Einsteiger sicher im ersten Moment "einfacher" ist, entstehen durch falsche/überlappende Begrifflichkeiten schnell Verständigungsprobleme, weil man nicht versteht, was das Problem ist.

Was hat der Eintrag für einen Sinn?

Soweit ich die Syntax vom DHCP Server noch korrekt im Kopf habe, ist die Client-ID intern für die Zuweisung der fixen IP zuständig. Sprich es wird ein Eintrag erzeugt, der die MAC Adresse dieser spezifischen Client-ID zuweist und die Client-ID wird dann der IP zugewiesen. Ist keine ClientID definiert wird IMHO per default die MAC selbst genommen. Die ClientID muss deshalb eindeutig sein. Man kann im ISC DHCPD auch Spielchen machen wie Substring Matches auf die ClientID, also bspw. alle ClientIDs die mit "client-" anfangen in eine Gruppe stecken und entsprechend behandeln etc. etc. das geht aber weit über den Scope von DHCP Reservierungen raus ;)

Der Hostname ist dann IMHO das, was an den DNS Resolver bzw. Forwarder weitergereicht wird zum Eintrag in deren "Hosts" Äquivalent, also zum Reservieren der DNS Namen für fixe DHCP-Reservierungen. Darum wird oft auch clientid und hostname gleich gesetzt, muss man weniger einstellen oder überlegen ;)

@Bob-Dig said in NAT Typ von STRIKT auf OPEN für mehrer Clients für COD MW:

Hast Du überhaupt (...)

tatsächlich sind das sogar die wichtigsten Fragen. Denn damit kann es sein, dass man 90% der Probleme schon im Keim erstickt :)

Was ist "elend langsam"? Das sagt nichts aus.

"Hinbekommen" sagt auch leider nichts aus und da niemand Konfigurations-Raten spielen möchte, hilft das auch nicht, einen Fehler zu suchen. Ohne, dass du mehr Input gibst was die Konfiguration angeht, kann niemand "eine Idee haben", weil die Grundlagen fehlen :)

Entschuldige, mein Fehler, ich hatte das VPN im kleinen Zitattext nicht korrekt gelesen und dachte es scheitert schon an der IPv6 Setting der FB :(

@wkn Ich habe das mal getestet: Data-Interface gelöscht.
WAN: (PPPOE auf Interface em1.10)
VOIP: (VLAN 20: DHCP)
Allerdings war die Internetverbindung danach weg.
Beim Wiederaufruf von Interfaces war das DATA-Interface wieder da...
Jetzt ist so eingestellt (Nach Nachbearbeitung, weil die Zuweisungen etwas durcheinander waren):

WAN: PPPOE (Der PPPOE-Eintrag benutzt em1.10, der stand wieder auf em1)
DATA: VLAN 10 auf em1 -> Interface "enabled", IP-Configuration auf "None"
VOIP: VLAN 20 auf em1 -> Interface "enabled", IP-Konfiguration auf DHCP
em1 ist nicht mehr zugewiesen

Die Interfaces DATA und VOIP haben keine Regeln definiert.
Es gibt jetzt 2 Gateways: WAN und VOIP.
Alle Verbindungen funktionieren einwandfrei.
Wenn das DATA-Interface wie vorher auf PPPOE stand (keine Zugangsdaten eingetragen, die pfsense hatte beim Zuweisen des DATA-PPPOE auf WAN diese Angaben rausgelöscht, im WAN waren die Zugangsdaten dafür eingetragen wie ganz zu Anfang, nur war da in den PPP-Einstellungen wieder em1 eingetragen. Ich mußte das ändern auf em1.10, damit ich wieder eine Internet-VErbindung bekam.
Um in den Logs die vergeblichen Anwahlversuche des leeren PPPOE-Eintrags vom DATA-Interface wegzubekommen, habe ich diesem die IP-Konfiguration "None" zugewiesen.
Alle Interfaces sind "Up", das DATA-Interface zeigt nur keine IP an, da es keine gibt.

Da jetzt alle klappt, bin ich erstmal zufrieden.

Schau mal hier bitte:

https://forum.netgate.com/topic/153596/ipv6-connectivity-from-lan-is-lost-after-pppoe-reconnect

Da habe ich es noch einmal auf Englisch zusammengeschrieben und auch die Logs vom PPPoE Abbruch reingepackt.

Versuch mal folgenden Ansatz
für jedes backend das du von extern auf der gleichen IP+Port (für den Anfang) mit ssl offloading erreichen willst

a) im frontend das Zert für das erste Backend eingeben

d1a7d735-23d2-4fc9-8bfb-17a105924eff-grafik.png

b) weiter unten die Zertifikate für jedes weitere Backend eintragen
fa950d8f-6d97-4b6f-bae5-597336842bce-grafik.png

63ad6e74-2bc7-4d5c-9f13-1ad7dfeeed85-grafik.png

deine CA eintragen
fc25a24b-46ca-4711-af74-3df75a7a49b7-grafik.png

den Rest mittels ACL host matches machen

!!Nicht vergessen!! ein default backend zu definieren wenn die ACLs nicht greifen das er darauf zurück fällt (man kann drüber diskutieren ob das sinnvoll oder anders zu handhaben aber für die Fehlersuche sehr hilfreich)

so rennt das mit einer domain und ein paar backends ;)
alle Certs via LE / DNS zeigt mittels A Record auf die extIP

lgNP

Mein Setup ist
Telekom - Fritzbox 7530 - Pfsense (NordVPN) - Fritzbox 7590 (Mesh Master) - Fritzbox Repeater 1750E (3 Stück).
Telefonie geht über 7530. Funktioniert tadellos.

Warum schaust du nicht mal hier rein:
https://forum.netgate.com/topic/151990/telefonie-mit-fritzbox-hinter-pfsense-und-draytek-vigor-165/12