@ThePocky said in pfSense & HAProxy:

wenn anfragen an: http://www.MEINE-ERSTE-DOMAIN.de kommen, findet keine weiterleitung zu HTTPS statt

This cannot be, if it is handled by the "frontend http-to-https" then everything gets a redirect back with the configuration above.
Are you sure the domain-name is resolving to the same IP that haproxy is handling the traffic for? Or perhaps a browser-cache doing something strange.?

p.s.
Also i see you have defined some acl's manually, but don't really use them in a 'action' that would tell what backend to use.. Only the automatic certificate-acl's are currently performing that functionality. This is not a problem as long as both domains are using different certificates. But if you one day decide to switch to a single certificate that handles both domains, the traffic would end up on the same backend..

Hi *,

alles gut - habs gefunden - man muss sich nur nicht blöd anstellen 8-<
Die Einträge für Key und Secret müssen in pfSense zusammenpassen - ob sie dann in der Zonendefinition von bind genutzt werden, ist irrelevant.
Komisch finde ich das allerdings trotzdem - bind mault rum, dass Key und Secret nicht zusammenpassen, obwohl sie eigentlich nicht genutzt werden 8-/

Ciao.
Michael.

Hallo,

Problem gelöst, hinter der pfsene einen Mirotikrouter und von Mikrotik zu Mikrotik EoIP.
Christian

@Bob-Dig said in Noob hat Verständnisfrage bezüglich Bridge bzw. Switch?:

@JeGr Also nicht bridgen, aber dann wäre die zweite NIC das opt Interface und oder könnte nicht mit dem Rest des LAN kommunizieren oder wie wäre das.

Kommt drauf an. Du kannst beliebige virtuelle NICs machen und/oder die physikalischen zuweisen. Das geht. Dann hast du aber eben bspw. 3 PCs an 3 NICs hängen. Jeden sauber ein einem eigenen Netz und den Traffic erlauben zwischen den Kisten - das geht schon. Klappt eben nur nicht, wenn du was nutzen willst, was Multicast oder Broadcasts macht. Das geht über Netzgrenzen nicht. Also irgendwas auto-magisches. Alles andere sollte eigentlich schon gehen. Ist aber eben wie gesagt nicht schön und ein ~30€ Switch bringt da mehr.

@JeGr Hi,
und Danke.
"retry-resolv-infinite"...gesetzt und Problem gelöst.
Gruß orcape

Für den Zugriff auf Endgeräte im Mobilnetz gibt es auch einige kommerzielle Anbieter, z.B. mdex (https://www.mdex.de/shop/ip-dienste/), je nach Anforderung per OpenVPN aus dem Mobilnetz heraus oder alternativ eine öffentliche und feste IPV4.

@mike69 said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

Und beides funktioniert nicht, entweder wird die VLAN ID zugeteilt oder ist fest an eine andere SSID getaggt.

Ok das hatte ich befürchtet.
Ich wollte faul sein und nur den paar Benutzern welche ins andere VLAN gehören ein Radius VLAN geben und den Rest über das VLAN der SSID abdecken...

Das im Fehlerfall die STA's im Managment landen ist nicht schön, aber da gibt es zumindest keine IP Adresse vom DHCP.
Das Risiko ist vermutlich ohnehin sehr gering.

@slu said in FreeRADIUS + Unifi - EAP-TTLS als default, warum?:

Schade das man die nicht einzeln deaktivieren kann.

Kannst du. Haken nicht setzen und statt dessen Custom Config von FreeRadius. Ist aber unnötig umständlich :)

@PFsense-User2019 said in WLAN mit USB-Stick:

So hätte ich dann das Lokales Netz, Gast Netz, Arbeits Netz und mein Test Netzt auf einem Gerät laufen und ich könnte auch alles über die Pfsense Steuern.

Wie gesagt, lies dir mal im Unterforum "Allgemeines" meinen "MiniBlog Bericht" zu meinem persönlichen Umbau durch, da gehen dir vielleicht ein paar Ideen durch den Kopf, was man mit dem Unifi AP in Verbindung mit pfSense schönes machen kann OHNE dass man 3-4 SSIDs erstellen muss (und jede Bandbreite kostet). Da kommst du ggf. sogar ganz um mehr als eine drumherum, wenn du ein Gästenetz machst in dem du das pfSense Captive Portal aktivierst.

Version 2.4.4 p3 zurückgespeilt und alles läuft.
Y

@deleted said in Interfacetrennung / DMZ:

Wenn die gewünschten "Infos" genauer als mit "ich brauche mehr Infos" spezifiziert wurden, habe ich geantwortet.

Hatte ich oben bereits beschrieben: mache doch einfach ein Bild oder beschreibe einfacher, was das im Endstadium werden soll? Es ist einfach unklar, und bevor wir jetzt ewig lange rumbasteln mit hinterher dann doch unnützen oder falschen Wegen, die dir am Ende nicht helfen, will man gleich ordentlich helfen. Da muss man nichts abbrechen, sondern sich nur einmal ordentlich äußern wenn man gefragt wird. Aber auf meine Anfragen kam lediglich dann eine einzelne Zeile mit einer Antwort zu drei oder mehr Fragen? Was soll ich dazu dann sagen?

Was ich nicht genau erwähnt habe, da es erst im letzten Post erfragt wurde und es für mich keinen Sinn ergab, ist, dass es sich nicht um eine statische WAN-IP handelt. Ich hatte lediglich geschrieben, dass es sich um einen normalen privat DSL Anschluss handelt. Entschuldigung.

Dann wird das aber auch nicht funktionieren. PPPoE gibt dir immer eine neue dynamische IP. Somit kannst du kein 1:1 NAT machen. Du schreibst aber immer wieder

Wie geschrieben möchte ich erreichen, dass ein Interface von der pfSense komplett ignoriert wird. Es soll keine Filterung stattfinden. Die restlichen Interfaces sollen unberührt bleiben. Interface <-> PPPoE!

Das ist aber "technischer" Quatsch. Es gibt kein "Ignorieren". Was soll denn nun passieren? Das habe ich nun mehrfach gefragt aber außer deiner "ich bin kein Netzwerker" Antwort bleibt es bei "ignorieren". WAS soll die pfSense mit dem Interface machen? Das habe ich mehrfach gefragt.

Soll ALLER Traffic von außen einfach auf die Firewall in der DMZ geschoben werden? Ja? Nein? Weiß nicht? Was ist mit anderen Interfaces an der Firewall? Sollen die von extern auch erreichbar sein? Über einzelne Ports? Was ist für dich "Interface ignorieren, nicht filtern, blah"? Siehe Punkt 1 -> Soll vom Internet einfach jeder Scheiß auf die andere Firewall dahinter geschoben werden? Abgehend alles rauslassen ist ja kein Thema mit einer any-any Regel auf dem DMZ Interface?

Was ich ebenfalls mehrfach(!) geschrieben habe - wenn externer Zugriff auf die DMZ Firewall soll - dass dann alles weitergeleitet werden muss. Das geht normalerweise via 1:1 NAT, aber nur bei fixer IP. Bei dynamischer ist das nicht möglich, weil bei BiNAT die IP des Zugriffs von außen angegeben werden muss. Also kannst du nur mit Port Forwards auf die DMZ Firewall arbeiten, das ist aber nicht "ALLEN Traffic durchschieben".

Daher habe ich klare Fragen gestellt, auf die leider keine Antworten kamen. Da muss man auch nicht von Philosophie faseln oder lachen, sondern einfach mal den Hintern hochbekommen und auf die Fragen antworten, die gestellt werden, dann bekommt man auch gerne Antworten.

Grüße

AKTUELL setzt du pfSense 2.2.5 ein?

Sorry, bitte erstmal updaten auf Aktuellen Stand! Du nutzt eine fast VIER Jahre alte obsolete Software mit entsprechenden Bugs, Problemen und sonstigem Ballast. Eine Firewall sollte up2date sein, es gibt keinen Grund 2019 auf <2.3.5 rumzueiern wenn man steinalte Hardware hat und nicht auf 2.4.4 zu sein, wenn die halbwegs aktuell 64bit unterstützt.

Zudem ist Aggressive Mode für IPSEC IKE1 ein No-No seit 2018. Wird nirgends mehr gern gesehen. Wenn schon (nur) IKE1 dann main mode.

Aber wenn du heute noch mit der steinalten pfSense bastelst, dann hast du leider ganz andere Probleme als IPSEC an der Stelle.

Grüße

Jap, ich hatte mich im englischen Thread ja mit beteiligt, aber gut zu wissen auch für andere Kabelkunden, egal welches Bundesland (inzwischen: leider).

Super, danke auch für die Ergänzung der Lösung!

@be1001

Danke Dir.

@JeGr said in Nur Windows Updates ohne Proxy erlauben?:

Das kommt aber ganz darauf an, was "NUR Windows Updates" heißt. Soll sonst gar nichts gehen ins Internet? Oder wie ist das gemeint?

Ja so war das gedacht, die andere Server stehen im Intranet.
Wenn ich aber so darüber nachdenke, Firefox und Adobe Reader Updates gibt es ja auch noch...
Doch nicht so einfach.

Ich bin mit meinem Debian und einem internen apt-mirror sehr verwöhnt :)

@Kalle13 said in [SOLVED] Ich bekomme nicht das zugesicherte /56 Präfix:

@Rico Wollte ich, konnte ich aber nicht. Ich bekam nur die Nachricht, dass ich nicht die Berechtigung dazu habe.

Liegt daran, dass die Mods (also ich hier) das letzte Wort haben, ob ein Topic wirklich gelöscht oder nur versteckt/ausgeblendet wird, damit man noch eine Post History hat von BadGuys oder BotUsers und man das hinterher nachvollziehen kann. Ich kann dann auch Posts tatsächlich abnicken zum komplett löschen oder eben wiederherstellen...

...was ich in dem Fall auch mache, weil ich es sinnvoll finde das Thema hier zu lassen mit der Lösung (danke dafür!) damit andere das vielleicht auch mitnehmen können falls sie mal drüberstolpern :)

Grüße

Hi,

Somit müsste die Regeln doch stimmen, oder?

Jein, das heißt theoretisch nur, dass ICMP/Ping eben geht. Wenn du TCP/UDP geblockt hast, wird trotzdem nichts gehen. Aber da ich mal davon ausgehe, dass du eher "protocol any" genutzt hast, sollte es gehen, ja.

Es könnte sein das das Gateway auf den Druckern nicht stimmt. Werde ich die Tage mal checken!

Richtig das wäre fatal.

@deleted Die erste (XMPP) habe ich ja schon oben im Bild eingetragen, aber ja, wenn auf die selbe IP noch mehre Einträge verweisen sollen, dann kann das unten hin. ☺
Ebenso!