@JeGr said in Immer wieder Ausfälle der DNS Auflösung: Für die Zukunft würde ich ein Board wählen, welches weniger Overhead hat (du brauchst für pfSense ja keinen SoundChip etc.) aber ansonsten - schöner Einstieg :) Danke :) Und ja, du hast durchaus Recht, aber mein Großhändler hatte nicht viel anderes passendes da. Und da ich Erfahrung sammeln will, so schnell wie möglich auf dem Gebiet und wie es meine Lernkurve zulässt, musste da ein kleiner Kompromiss her. Das Gehäuse selber ist auch für C232 Chipsätze ausgelegt, also konnte ich die Connectoren gar nicht bedienen etc., es ist also ein kleines bisschen ein Behelfs-Build. Die nächsten Geräte werden dann in allem effizienter, IPMI ist definitiv auch eine Überlegung wert. Muss jetzt noch schauen, wie die pfSense arbeitet und funktioniert, ehe ich dann auch für meine Kunden die Geräte anbieten kann um etwas mehr Sicherheit ins Netz zu bringen. Habe vorwiegend kleine bis mittlere Unternehmen, die ich langsam davon überzeuge mal auf mehr als ihre FritzBox oder den Speedport zu vertrauen. Und am besten lernt man, wenn man selber anfängt mit den Sachen zu arbeiten, die man dann später auch entsprechend anbieten möchte :) Bislang ist wie gesagt alles perfekt, die Standardeinstellungen sind ja schon mal eine gute Basis. Jetzt bin ich gespannt, Ende des Monats hält Gigabit-WAN Einzug, mal schauen ob die Kiste das dann auch packt :) Macht jedenfalls Freude, und das Internet ist durch den Einsatz diverser Filterlisten nicht nur angenehmer geworden was Werbung betrifft, sondern auf manchen Seiten auch merklich flotter. Alles weitere eigne ich mir gerade Stück für Stück an, man findet durchaus brauchbares auf YouTube, teils sogar auf deutsch.

@mike69 said in Problem beim Setzen von statischer Endgeräte-IP: Wieder was gelernt. :) Zumal der "Clientbezeichner" (was für ein deutsch) bei uns leer ist. Was hat der Eintrag für einen Sinn? Was mit ein Grund ist, warum ich - trotz sonst Muttersprachenbefürworter (was ein Wort) - gegen die Nutzung von lokalisierten UIs wie bspw. der pfSense bin. Warum? Weil oftmals dt. Übersetzung wenig Sinn macht oder das Wort eh schon eingedeutscht/verdenglischt ist - siehe Proxy weil es bei manchen fixen Bezeichnungen schlicht durch Mehrdeutigkeit zu Problemen kommt und bei Community Übersetzungen oder I18N Projekten gerne fixe Strings übersetzt werden, die im Deutschen aber ggf. andere Bedeutungen haben (oder umgekehrt). Da das in der Übersetzung aber gar nicht vorgesehen ist, wird dann einfach platt das Wort überall gleich übersetzt weil es Sinn macht, die Originalen Fachbegriffe zu lernen/wissen weil es Sinn macht, da man dadurch auch besser in Suchmaschinen etc. nach dem Fehler sucht und seine Auswahl nicht allein auf deutsche Ergebnisse beschränkt. Natürlich gibt es sicher Sätze oder Begriffe die man nicht versteht - dann fragt doch hier! Reißt keiner den Kopf ab ;) Aber auch wenns für Einsteiger sicher im ersten Moment "einfacher" ist, entstehen durch falsche/überlappende Begrifflichkeiten schnell Verständigungsprobleme, weil man nicht versteht, was das Problem ist. Was hat der Eintrag für einen Sinn? Soweit ich die Syntax vom DHCP Server noch korrekt im Kopf habe, ist die Client-ID intern für die Zuweisung der fixen IP zuständig. Sprich es wird ein Eintrag erzeugt, der die MAC Adresse dieser spezifischen Client-ID zuweist und die Client-ID wird dann der IP zugewiesen. Ist keine ClientID definiert wird IMHO per default die MAC selbst genommen. Die ClientID muss deshalb eindeutig sein. Man kann im ISC DHCPD auch Spielchen machen wie Substring Matches auf die ClientID, also bspw. alle ClientIDs die mit "client-" anfangen in eine Gruppe stecken und entsprechend behandeln etc. etc. das geht aber weit über den Scope von DHCP Reservierungen raus ;) Der Hostname ist dann IMHO das, was an den DNS Resolver bzw. Forwarder weitergereicht wird zum Eintrag in deren "Hosts" Äquivalent, also zum Reservieren der DNS Namen für fixe DHCP-Reservierungen. Darum wird oft auch clientid und hostname gleich gesetzt, muss man weniger einstellen oder überlegen ;)

@Bob-Dig said in NAT Typ von STRIKT auf OPEN für mehrer Clients für COD MW: Hast Du überhaupt (...) tatsächlich sind das sogar die wichtigsten Fragen. Denn damit kann es sein, dass man 90% der Probleme schon im Keim erstickt :)

Was ist "elend langsam"? Das sagt nichts aus. "Hinbekommen" sagt auch leider nichts aus und da niemand Konfigurations-Raten spielen möchte, hilft das auch nicht, einen Fehler zu suchen. Ohne, dass du mehr Input gibst was die Konfiguration angeht, kann niemand "eine Idee haben", weil die Grundlagen fehlen :)

Entschuldige, mein Fehler, ich hatte das VPN im kleinen Zitattext nicht korrekt gelesen und dachte es scheitert schon an der IPv6 Setting der FB :(

@wkn Ich habe das mal getestet: Data-Interface gelöscht. WAN: (PPPOE auf Interface em1.10) VOIP: (VLAN 20: DHCP) Allerdings war die Internetverbindung danach weg. Beim Wiederaufruf von Interfaces war das DATA-Interface wieder da... Jetzt ist so eingestellt (Nach Nachbearbeitung, weil die Zuweisungen etwas durcheinander waren): WAN: PPPOE (Der PPPOE-Eintrag benutzt em1.10, der stand wieder auf em1) DATA: VLAN 10 auf em1 -> Interface "enabled", IP-Configuration auf "None" VOIP: VLAN 20 auf em1 -> Interface "enabled", IP-Konfiguration auf DHCP em1 ist nicht mehr zugewiesen Die Interfaces DATA und VOIP haben keine Regeln definiert. Es gibt jetzt 2 Gateways: WAN und VOIP. Alle Verbindungen funktionieren einwandfrei. Wenn das DATA-Interface wie vorher auf PPPOE stand (keine Zugangsdaten eingetragen, die pfsense hatte beim Zuweisen des DATA-PPPOE auf WAN diese Angaben rausgelöscht, im WAN waren die Zugangsdaten dafür eingetragen wie ganz zu Anfang, nur war da in den PPP-Einstellungen wieder em1 eingetragen. Ich mußte das ändern auf em1.10, damit ich wieder eine Internet-VErbindung bekam. Um in den Logs die vergeblichen Anwahlversuche des leeren PPPOE-Eintrags vom DATA-Interface wegzubekommen, habe ich diesem die IP-Konfiguration "None" zugewiesen. Alle Interfaces sind "Up", das DATA-Interface zeigt nur keine IP an, da es keine gibt. Da jetzt alle klappt, bin ich erstmal zufrieden.

Schau mal hier bitte: https://forum.netgate.com/topic/153596/ipv6-connectivity-from-lan-is-lost-after-pppoe-reconnect Da habe ich es noch einmal auf Englisch zusammengeschrieben und auch die Logs vom PPPoE Abbruch reingepackt.

Versuch mal folgenden Ansatz für jedes backend das du von extern auf der gleichen IP+Port (für den Anfang) mit ssl offloading erreichen willst a) im frontend das Zert für das erste Backend eingeben [image: 1589092851288-d1a7d735-23d2-4fc9-8bfb-17a105924eff-grafik.png] b) weiter unten die Zertifikate für jedes weitere Backend eintragen [image: 1589092593623-fa950d8f-6d97-4b6f-bae5-597336842bce-grafik.png] [image: 1589092927780-63ad6e74-2bc7-4d5c-9f13-1ad7dfeeed85-grafik.png] deine CA eintragen [image: 1589092959447-fc25a24b-46ca-4711-af74-3df75a7a49b7-grafik.png] den Rest mittels ACL host matches machen !!Nicht vergessen!! ein default backend zu definieren wenn die ACLs nicht greifen das er darauf zurück fällt (man kann drüber diskutieren ob das sinnvoll oder anders zu handhaben aber für die Fehlersuche sehr hilfreich) so rennt das mit einer domain und ein paar backends ;) alle Certs via LE / DNS zeigt mittels A Record auf die extIP lgNP

Mein Setup ist Telekom - Fritzbox 7530 - Pfsense (NordVPN) - Fritzbox 7590 (Mesh Master) - Fritzbox Repeater 1750E (3 Stück). Telefonie geht über 7530. Funktioniert tadellos.

Warum schaust du nicht mal hier rein: https://forum.netgate.com/topic/151990/telefonie-mit-fritzbox-hinter-pfsense-und-draytek-vigor-165/12

@proficleaner Du kannst z.B. mit pfBlocker auch Einschränkungen machen, dass nur deutsche IPs auf Ports 22 zugreifen können oder Du schaltest noch ein VPN davor. Du kannst sogar eine Ausnahme nur für eine bestimmte DDNS-Adresse machen usw.

Perfekt, Danke für die Rückmeldung. -Rico

OK, kaskadierene Router sind immer problematisch in der Konfiguration, auch wegen dem Double-Natting. Ich nutze die pfSense als einzigen Router mit einem Vigor165 davor im Full-Bridge-Mode.

Und nochmal Danke ;) Hab in den netgate-Docs einen Hinweis dazu gefunden und teste das jetzt - RFC 1918 war der richtige Tipp. Lieben Gruß, Lauri

Lieben Dank Dir, mit nur noch der einen Firewall-Regel und Entfernung der überflüssigen Gateways funktioniert es nun einwandfrei ,) Ich habe noch ein 2tes Thema, aber dafür werde ich einen neuen Thread eröffnen. Gruß, Lauri

Mit PuTTY geht das ohne Probleme, ich tunnel mir öfter ein Port über SSH. Auf pfSense Seite musst du nichts weiter einstellen. -Rico