@kira12 said in bestimmte Domain über proxy/VPN routen:

und unterwegs mit dem Telefon um etwas mehr Privatsphäre zu nutzen.

Warum hat man dann unterwegs mehr "Privatsphäre" wenn man alles zu den Servern von irgendeinem dubiosen VPN Anbieter bläst? Ich werd's nie verstehen ;) Ja gegen GeoBlocks helfen VPNs. Für sonst? Eigentlich nix.

Mahlzeit.

Was sagen denn die Firewall Logs?

Du kannst ja erst mal einen Alias der Drucker erstellen, dann eine Rule mit allow tcp/udp Printer to any, Log aktivieren und sehen, welche Ports noch gebraucht werden.

Die Drucker stehen bei Dir und der Printerserver im RZ?

Hallo @Woodsomeister ,

ich habe zwar nur die kleiner 5-Port-Variante im Einsatz und weiß gerade auswendig auch nicht, ob es eine v3 oder v2 ist, aber hier geht der Zugriff über VLAN-Trunk auch über VPN Problemlos.

Was mich ein bisschen an Netgear stört ist, dass die kleinen managed Switche nicht wirklich abgesichert werden können über ihre Verwaltungssoftware prinzipiell aus jedem Netzt gefunden und angepasst werden können, sprich: auch auf jedem Netz lauschen. Ich könnte mir vorstellen, dass es zu Problemen kommen könnte, wenn der Switch auf DHCP gestellt ist und die statische Adressvergabe nur über einen DHCP-Server erfolgt.

Mein Switch ist also auf eine statische IP am Switch konfiguriert. VLAN ist 802.1Q Advanced. Die PVID des Trunk-Ports ist auf das Management-VLAN eingestellt. Ansonsten würde ich vielleicht noch die VLAN Mempership des Trunk Ports doppelt nachprüfen. Nachdem die Konfiguration für jedes einzelne VLAN doch etwas umständlich ist, vergisst man vielleicht mal ein VLAN oder hat es versehentlich auf untagged eingestellt.

Sofern die 30 OVPN Verbindungen nicht wirklich viel Bandbreite ziehen (ergo viel Verschlüsselung aufwenden), solltest du mit dem Xeon da kein Problem haben. Sollen die 30 wirklich gleichzeitig aktiv sein sollen (Einwahl oder Tunnel?) und wirklich Bandbreite ziehen, käme es stark auf die SingleCore Performance an und/oder ob man die User ggf. auf mehrere OVPN Server verteilen kann (um sie auf unterschiedliche Kerne zu splitten).

10Gbps im LAN ist dann wieder andere Baustelle und eher I/O, Platine und Netwerkhardware abhängig. Wenn die 10G wirklich gefordert sind, könnte es aber auch mit der Leistung noch etwas nach oben gehen.

Gruß

Danke für die ausführliche Erklärung!

Inzwischen habe ich es ja am laufen, so wie du beschrieben hast.

Kann mich per IPv6 mit dem VPN Server verbinden, und kann die IPv4 Clients im Heimnetz über IPv4 ansprechen.

Kannst du ggf noch was dazu sagen? -> https://forum.netgate.com/topic/147953/client-openvpn_ipv4-vserver-openvpn_ipv6-zuhause-und-zur%C3%BCck-m%C3%B6glich

Die DG verwendet doch DS-Lite? Aber wie man das konfiguriert weiß ich nicht.

Es war ein Bug und wurde mit diesem Release behoben:
https://forum.netgate.com/topic/147933/snort-3-2-9-10-package-update-release-notes

Das hilft leider nicht weiter.

Grundsätzlich benötigt PPPoE nichts weiter als Ethernet, daher glaube ich nicht an ein Hardwareproblem, wenn die Netzwerkschnittstelle sonst ordentlich funktioniert.

Grüße

Hi

das ist eine super Idee - danke für den Tipp.
Ich werde mir das mal anschauen sobald ich etwas Zeit habe.

Ein netter Arbeitskollege gab mir den Tipp, es doch mal mit einem symbolischen link zu versuchen. Gesagt, getan. Das Einfügen eines symbolischen links im Verzeichnis /usr/local/lib: ln -s libnettle.so.6.4 libnettle.so.7 heilt dieses Problem.

Es tritt das nächste Problem beim Aufruf von tshark auf:
Shared object "libhogweed.so.5" not found, required by "libgnutls.so.30"

ln -s libhogweed.so.4.4 libhogweed.so.5 heilt dieses nächste Problem nicht.

Die neue Fehlermeldung lautet: /usr/local/lib/libhogweed.so.5: version HOGWEED_INTERNAL_5_0 required by /usr/local/lib/libgnutls.so.30 not found

Weiß jemand wie man das lösen kann?

Hallo.

Hatte so ein Phänomen auch, eine Alias erstellt mit einer Sub-Domain (smtp.strato.de) für ein SMTP-Relais, eingebaut als "destination" in einer Rule.
Konnte den Namen nicht auflösen, Tests unter Diagnose/NS-Lookup oder ein

dig smtp.strato.de

in der Konsole lösten den Namen auf. Habe das aber nicht weiter verfolgt.

Mike

@PFsense-User2019

Schönes Board. 😀

Ein kleiner Tip zum RAM, das Board unterstützt Registered ECC RDIMM, deshalb wäre das hier imho die bessere Wahl. Vor allen, wenn die Büchse monatelang läuft. Ansonsten ist an dem Board nichts auszusetzen, und IPMI wirst du lieben.

Zu den Temperaturen, Core wird ohne Zirkulation ca 70°C warm im Leerlauf bei 26°C Raumtemperatur, die CPUgibt mehr wärme ab als ein N3070 oder J3455. Um die Bauteile zu schützen wird hier aktiv gekühlt. Kann sein, dass dein Netzteil dafür ausreicht, musst Du sehen.

Ansonsten viel Spaß. 👍

Ich hab an einem Standort über zwei Jahre den SIP Trunk mit SRTP betrieben, solche Probleme gab es da nicht.

Auch das config file ist nicht vollständig gefüllt.

[2.4.4-RELEASE][root@Coro.local]/var/etc/ipsec: cat ipsec.conf # This file is automatically generated. Do not edit config setup uniqueids = yes conn bypasslan leftsubnet = 192.168.23.0/24 rightsubnet = 192.168.23.0/24 authby = never type = passthrough auto = route

@ThePocky said in pfSense & HAProxy:

wenn anfragen an: http://www.MEINE-ERSTE-DOMAIN.de kommen, findet keine weiterleitung zu HTTPS statt

This cannot be, if it is handled by the "frontend http-to-https" then everything gets a redirect back with the configuration above.
Are you sure the domain-name is resolving to the same IP that haproxy is handling the traffic for? Or perhaps a browser-cache doing something strange.?

p.s.
Also i see you have defined some acl's manually, but don't really use them in a 'action' that would tell what backend to use.. Only the automatic certificate-acl's are currently performing that functionality. This is not a problem as long as both domains are using different certificates. But if you one day decide to switch to a single certificate that handles both domains, the traffic would end up on the same backend..