@PFsense-User2019

Schönes Board. 😀

Ein kleiner Tip zum RAM, das Board unterstützt Registered ECC RDIMM, deshalb wäre das hier imho die bessere Wahl. Vor allen, wenn die Büchse monatelang läuft. Ansonsten ist an dem Board nichts auszusetzen, und IPMI wirst du lieben.

Zu den Temperaturen, Core wird ohne Zirkulation ca 70°C warm im Leerlauf bei 26°C Raumtemperatur, die CPUgibt mehr wärme ab als ein N3070 oder J3455. Um die Bauteile zu schützen wird hier aktiv gekühlt. Kann sein, dass dein Netzteil dafür ausreicht, musst Du sehen.

Ansonsten viel Spaß. 👍

Ich hab an einem Standort über zwei Jahre den SIP Trunk mit SRTP betrieben, solche Probleme gab es da nicht.

Auch das config file ist nicht vollständig gefüllt.

[2.4.4-RELEASE][root@Coro.local]/var/etc/ipsec: cat ipsec.conf # This file is automatically generated. Do not edit config setup uniqueids = yes conn bypasslan leftsubnet = 192.168.23.0/24 rightsubnet = 192.168.23.0/24 authby = never type = passthrough auto = route

@ThePocky said in pfSense & HAProxy:

wenn anfragen an: http://www.MEINE-ERSTE-DOMAIN.de kommen, findet keine weiterleitung zu HTTPS statt

This cannot be, if it is handled by the "frontend http-to-https" then everything gets a redirect back with the configuration above.
Are you sure the domain-name is resolving to the same IP that haproxy is handling the traffic for? Or perhaps a browser-cache doing something strange.?

p.s.
Also i see you have defined some acl's manually, but don't really use them in a 'action' that would tell what backend to use.. Only the automatic certificate-acl's are currently performing that functionality. This is not a problem as long as both domains are using different certificates. But if you one day decide to switch to a single certificate that handles both domains, the traffic would end up on the same backend..

Hi *,

alles gut - habs gefunden - man muss sich nur nicht blöd anstellen 8-<
Die Einträge für Key und Secret müssen in pfSense zusammenpassen - ob sie dann in der Zonendefinition von bind genutzt werden, ist irrelevant.
Komisch finde ich das allerdings trotzdem - bind mault rum, dass Key und Secret nicht zusammenpassen, obwohl sie eigentlich nicht genutzt werden 8-/

Ciao.
Michael.

Hallo,

Problem gelöst, hinter der pfsene einen Mirotikrouter und von Mikrotik zu Mikrotik EoIP.
Christian

@Bob-Dig said in Noob hat Verständnisfrage bezüglich Bridge bzw. Switch?:

@JeGr Also nicht bridgen, aber dann wäre die zweite NIC das opt Interface und oder könnte nicht mit dem Rest des LAN kommunizieren oder wie wäre das.

Kommt drauf an. Du kannst beliebige virtuelle NICs machen und/oder die physikalischen zuweisen. Das geht. Dann hast du aber eben bspw. 3 PCs an 3 NICs hängen. Jeden sauber ein einem eigenen Netz und den Traffic erlauben zwischen den Kisten - das geht schon. Klappt eben nur nicht, wenn du was nutzen willst, was Multicast oder Broadcasts macht. Das geht über Netzgrenzen nicht. Also irgendwas auto-magisches. Alles andere sollte eigentlich schon gehen. Ist aber eben wie gesagt nicht schön und ein ~30€ Switch bringt da mehr.

@JeGr Hi,
und Danke.
"retry-resolv-infinite"...gesetzt und Problem gelöst.
Gruß orcape

Für den Zugriff auf Endgeräte im Mobilnetz gibt es auch einige kommerzielle Anbieter, z.B. mdex (https://www.mdex.de/shop/ip-dienste/), je nach Anforderung per OpenVPN aus dem Mobilnetz heraus oder alternativ eine öffentliche und feste IPV4.

@mike69 said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

Und beides funktioniert nicht, entweder wird die VLAN ID zugeteilt oder ist fest an eine andere SSID getaggt.

Ok das hatte ich befürchtet.
Ich wollte faul sein und nur den paar Benutzern welche ins andere VLAN gehören ein Radius VLAN geben und den Rest über das VLAN der SSID abdecken...

Das im Fehlerfall die STA's im Managment landen ist nicht schön, aber da gibt es zumindest keine IP Adresse vom DHCP.
Das Risiko ist vermutlich ohnehin sehr gering.

@slu said in FreeRADIUS + Unifi - EAP-TTLS als default, warum?:

Schade das man die nicht einzeln deaktivieren kann.

Kannst du. Haken nicht setzen und statt dessen Custom Config von FreeRadius. Ist aber unnötig umständlich :)

@PFsense-User2019 said in WLAN mit USB-Stick:

So hätte ich dann das Lokales Netz, Gast Netz, Arbeits Netz und mein Test Netzt auf einem Gerät laufen und ich könnte auch alles über die Pfsense Steuern.

Wie gesagt, lies dir mal im Unterforum "Allgemeines" meinen "MiniBlog Bericht" zu meinem persönlichen Umbau durch, da gehen dir vielleicht ein paar Ideen durch den Kopf, was man mit dem Unifi AP in Verbindung mit pfSense schönes machen kann OHNE dass man 3-4 SSIDs erstellen muss (und jede Bandbreite kostet). Da kommst du ggf. sogar ganz um mehr als eine drumherum, wenn du ein Gästenetz machst in dem du das pfSense Captive Portal aktivierst.

Version 2.4.4 p3 zurückgespeilt und alles läuft.
Y

@deleted said in Interfacetrennung / DMZ:

Wenn die gewünschten "Infos" genauer als mit "ich brauche mehr Infos" spezifiziert wurden, habe ich geantwortet.

Hatte ich oben bereits beschrieben: mache doch einfach ein Bild oder beschreibe einfacher, was das im Endstadium werden soll? Es ist einfach unklar, und bevor wir jetzt ewig lange rumbasteln mit hinterher dann doch unnützen oder falschen Wegen, die dir am Ende nicht helfen, will man gleich ordentlich helfen. Da muss man nichts abbrechen, sondern sich nur einmal ordentlich äußern wenn man gefragt wird. Aber auf meine Anfragen kam lediglich dann eine einzelne Zeile mit einer Antwort zu drei oder mehr Fragen? Was soll ich dazu dann sagen?

Was ich nicht genau erwähnt habe, da es erst im letzten Post erfragt wurde und es für mich keinen Sinn ergab, ist, dass es sich nicht um eine statische WAN-IP handelt. Ich hatte lediglich geschrieben, dass es sich um einen normalen privat DSL Anschluss handelt. Entschuldigung.

Dann wird das aber auch nicht funktionieren. PPPoE gibt dir immer eine neue dynamische IP. Somit kannst du kein 1:1 NAT machen. Du schreibst aber immer wieder

Wie geschrieben möchte ich erreichen, dass ein Interface von der pfSense komplett ignoriert wird. Es soll keine Filterung stattfinden. Die restlichen Interfaces sollen unberührt bleiben. Interface <-> PPPoE!

Das ist aber "technischer" Quatsch. Es gibt kein "Ignorieren". Was soll denn nun passieren? Das habe ich nun mehrfach gefragt aber außer deiner "ich bin kein Netzwerker" Antwort bleibt es bei "ignorieren". WAS soll die pfSense mit dem Interface machen? Das habe ich mehrfach gefragt.

Soll ALLER Traffic von außen einfach auf die Firewall in der DMZ geschoben werden? Ja? Nein? Weiß nicht? Was ist mit anderen Interfaces an der Firewall? Sollen die von extern auch erreichbar sein? Über einzelne Ports? Was ist für dich "Interface ignorieren, nicht filtern, blah"? Siehe Punkt 1 -> Soll vom Internet einfach jeder Scheiß auf die andere Firewall dahinter geschoben werden? Abgehend alles rauslassen ist ja kein Thema mit einer any-any Regel auf dem DMZ Interface?

Was ich ebenfalls mehrfach(!) geschrieben habe - wenn externer Zugriff auf die DMZ Firewall soll - dass dann alles weitergeleitet werden muss. Das geht normalerweise via 1:1 NAT, aber nur bei fixer IP. Bei dynamischer ist das nicht möglich, weil bei BiNAT die IP des Zugriffs von außen angegeben werden muss. Also kannst du nur mit Port Forwards auf die DMZ Firewall arbeiten, das ist aber nicht "ALLEN Traffic durchschieben".

Daher habe ich klare Fragen gestellt, auf die leider keine Antworten kamen. Da muss man auch nicht von Philosophie faseln oder lachen, sondern einfach mal den Hintern hochbekommen und auf die Fragen antworten, die gestellt werden, dann bekommt man auch gerne Antworten.

Grüße

AKTUELL setzt du pfSense 2.2.5 ein?

Sorry, bitte erstmal updaten auf Aktuellen Stand! Du nutzt eine fast VIER Jahre alte obsolete Software mit entsprechenden Bugs, Problemen und sonstigem Ballast. Eine Firewall sollte up2date sein, es gibt keinen Grund 2019 auf <2.3.5 rumzueiern wenn man steinalte Hardware hat und nicht auf 2.4.4 zu sein, wenn die halbwegs aktuell 64bit unterstützt.

Zudem ist Aggressive Mode für IPSEC IKE1 ein No-No seit 2018. Wird nirgends mehr gern gesehen. Wenn schon (nur) IKE1 dann main mode.

Aber wenn du heute noch mit der steinalten pfSense bastelst, dann hast du leider ganz andere Probleme als IPSEC an der Stelle.

Grüße

Jap, ich hatte mich im englischen Thread ja mit beteiligt, aber gut zu wissen auch für andere Kabelkunden, egal welches Bundesland (inzwischen: leider).

Super, danke auch für die Ergänzung der Lösung!

@be1001

Danke Dir.