Hi,

ich kann meinem Vorrednern nur zustimmen. Das ist Sache von einem Mailserver! Folgende Punkte solltest du hier in betracht ziehen:

Du willst den ganzen Traffic, verursacht durch SPAM nicht zu dir nach Hause leiten Mails zu verarbeiten kostet kaum CPU Zeit, die SPAM Bekämpfung schon! Und je nach Konfiguration nicht wenig Auf einem Vorgelagerten Mailgateway solltest du eine Liste aller "gültigen" Empfänger hinterlegen (als Datei). Ist der interne Mailboxserver nicht verfügbar bleiben die Mails in der Query bis der Tunnel wieder da ist, oder an einen anderen Failover Standort geschwenkt wird Du solltest alle eingehenden Mails auch durch einen Virenscanner laufen lassen. Rein wie raus kannst du Konfigurieren indem dein externer Host der MX Server für eingehende Mails ist und bei deinem internen Mailserver als "smart-relay" eingetragen ist. Bei vServern ist oft schon eine IPv6 Adresse mit dabei. Denke daran diese auch als MX Eintrag zu hinterlegen.

Alles in allem lohnt ich ein externer vServer der z.B. Mail + Web macht.

Gruß blex

Hi, wie so oft hat viragomann recht!

@viragomann:

Dafür müsstest du einen Proxy installieren, der das kann. Das Paket HA-Proxy wäre dafür geeignet, das arbeitet u.a. auch mit dem HTTP Protokoll.

Ich arbeite sehr viel mit dem HA-Proxy auf der pfSense. Daher möchte ich hier noch auf ein zwei Punkte hinweisen.

1. Bei httpS musst du wegen den Zertifikaten aufpassen. Bei 2 Hosts lohnt sich noch kein Wildcard Zertifikat. Aber ab einer gewissen Menge solltest du darüber nachdenken
2. Die pfSense ist ne Firewall. Sie KANN das was du beschrieben hast, es ist aber auch zu überlegen ob du eventuell das HA-Proxy oder apache / nginx mit reverse Proxy auf einen dedizierten Host in der DMZ installierst. Diese können dann die Anfragen via reverse proxy an andere interne Host leiten
3. Je nach dem was du hier veröffentlichen willst / welche Sicherheitsanforderungen du hast, solltest du über den Einsatz von mod-security nachdenken.
4. Bei Mod-security kann man ein Setup machen wo der ha-proxy auf der pfSense die Anfrage auf dem WAN entgegen nimmt, ALLE dann an den mod-security Server in der DMZ schiebt und dann von dort die "sauberen" Anfragen auf dem LAN Interface annimmt und an die internen Webserver weiter gibt. (gibt es hier im Forum gute Informationen zu).

Gruß blex

Hallo

ich habe für einen Produktivbetrieb mal nach Wochen des Versuchens eine S2S Verbindung zwischen Pfsense und FB hergestellt bekommen. Nach viel Hilfe und suche im netz - manuellem an passen der Configs in der FB etc..

Letzendlich lief das ganze dann endlich stabil (mehr oder weniger) dann war aber sofort klar dass die Performance der FB nicht ausreicht - an einem 100MBIT anschluss schaffte die FB max 8Mbit-bis 10Mbit über das VPN.

Ich habe die FB´s noch immer - setzte dahinter aber inzwischen PFSENSE für das VPN ein - läuft SUPER.

Oh. Okay jetzt habe ich dich verstanden. Das werde ich mir in den nächsten Tagen einmal näher ansehen.

Vielen Dank dir & einen schönen Abend noch, 5p9

Hi,

du flutest dein OPT1 und dein WLAN mit Broadcasts, genau deshalb sollte der Switch ja IGMP können.

Ich denke, dass es ein Problem des Zyxel ist. Du kannst und solltest aber die Konfig und Rules der pfsense hier posten, sonst kann keiner was machen.

Der Zyxel 1900 soll nur auf IGMP enabled, v3 und flood gestellt werden müssen. Wobei ich das flood für falsch halte, aber es kann ja erstmal zu Testzwecken an sein. Ob der 1910 genau so geht weiß ich nicht, ich habe auch kein Entertain.

Gruß
pfadmin

Muss ich auf dem LAN dann einen DHCPv6 Server laufen lassen?

Muss nicht, wäre aber ggf. sinnvoll. Zumindest dass DNS/NTP an Clients gepusht wird, also Assisted.

Bzw. was muss ich am WAN anfordern? DHCPv6, SLAAC?

Das was die Provider vorgeben - das weiß ich ja nicht.

Wenn ich bei Unitymedia im LAN nicht mit Tracked Interface arbeite, bekomme ich von ihnen gar keine IPv6 zugewiesen  :-\

Dann stimmt deine Einstellung nicht, DHCP6 sollte klappen - mit Einstellungen.

Ah, das habe ich überlesen, dass beide Prefixe dynamisch sind. Das wird wahrscheinlich dann nicht laufen. Es sei denn der zugewiesene Prefix-Bereich für dich bleibt gleich und nur der Upstream-Prefix ändert sich.

Gruß

@mad|V|aX:

Nein, außer dass ich ein ähnliches Verhalten mit folgendem Setup sehe:

Telekom Magenta Zuhause M, VDSL2 BNG (Easy Setup abgeschaltet im Kundencenter) DrayTek Vigor 130 (Modem7 Firmware) im Bridgemodus mit VLAN7 Tag pfSense 2.4.3, IGMPProxy, PPoE-Einwahl Telekom Media Receiver 401 direkt am pfSense (kein Switch dazwischen).

Ist der MR ausgeschaltet gewesen, bekommt man zunächst kein Bild, nach einmaligem Umschalten (z.B. 1 -> 2) kommt dann was. Nach Standby flüssiger.

Hängt ein (IGMP v3 fähiger) ZyXEL Gs1910-24 dazwischen, geht nix.

Würdest du bitte entweder hier, oder in deinem extra Topic das Problem behandeln? Beides verwirrt.
https://forum.pfsense.org/index.php?topic=147473.0

Ich nutze die 2.4.3. Lese mich mal in Deinen Workaround Thread ein…

@5p9

genau so ist es. Da es sich bei der WAN Adresse um eine private IP handelt, kann es schon sein, dass er dies nicht mitbekommt. WAN Adresse ist auf der Fritzbox als ExposedHost hinterlegt.

Nope, das bekommt die pfSense trotzdem mit. Ist die WAN IP eine private IP wird der Check mittels Prüfung auf checkip.dyndns.org erledigt. Steht bei dem DynDNS Eintrag sogar extra dabei:

Interface to Monitor: WAN
-> If the interface IP address is private the public IP address will be fetched and used instead.

Somit sollte das immer funktionieren und nicht manuell angestoßen werden müssen. Gerade checkip kann sonst auch mal zickig werden wenn zu oft angefragt wird. Ich nutze das hinter einer Kabel-Fritte schon seit Jahr und Tag zuverlässig

Danke. Das hat geholfen! Was ich auch noch übersehen habe, der default ist ja so wenn nichts definiert ist wird auch nichts zugelassen ;)

VG, 5p9

@sanches:

Komme ich auch im Bridgemodus an das WebInterface?

Weiß ich nicht mehr, könnte sein.

Wenn, dann so: https://doc.pfsense.org/index.php/Accessing_modem_from_inside_firewall

Ja, natürlich. Das ist ja der Sinn des 1:1 NAT.

Für das ausschließliche Weiterleiten einer externen IP an eine interne ist das Port Forward da. Die ausschließliche Umsetzung einer internen auf eine externe IP macht das Outbound NAT. 1:1 macht beides.

ich würde erst einmal ausschließen, dass es die MySQL ist. MySQL bindet sich per default absichtlich nicht auf any IP. Und sowas remote aus dem Internet freizugeben ist schon sehr fragwürdig!
Trotzdem würde ich erstmal innerhalb des Netzes testen, ob man von einem anderen System aus remote auf die MySQL verbinden kann. Wenn die Userrechte das nicht erlauben kannst du dich schwarz probieren.

Bekommt man den scope7-7525 auch irgendwo bei einem Onlineshop oder nur beim Hersteller? Irgendwie find ich da nix.

Kein "Onlineshop" aber bei genügend Resellern wie uns schon. Sind im Normalfall aber Geräte die eher für Firmen denn Privatnutzer interessant sind, ich habe mir aber selbst eine gegönnt und möchte sie nicht missen.
Und nein, die scope7 Devices sind alles fertige Appliances. Natürlich kann man aber auch die Barebone Variante bestellen und ggf. mit RAM vorbestücken/testen lassen, dann wird es ein paar Euro billiger, billig ist sie sicher nicht :D

Grüße

Hallo zusammen,

kleiner Haken große Wirkung.
Ich hatte unter Advanced->Networking->Reset All States angeklickt. Haken raus und die GW-Gruppen machen was sie sollen.

Vielen Dank für den Denkanstoß

Dann kannst du mit Verlaub den Preis auch vergessen. Ich kenne Jörg (von mini-itx) und die Preise sind alles mal Snapshots von anno-tuk bis ein Gerät mal wieder angefragt wird. Leider war das schon mehrfach ein Problem, dass er steinalte Preise auf der Seite hatte und dann Anfragen kamen, warum er so billig anbietet. Ist auch deshalb schon häufiger mal angesprochen worden, leider macht er das immer noch.

Da die Preise seit Anfang des Jahres durch den RAM Anstieg im letzten Jahr und im ersten Quartal immer weiter klettern (leider), bezweifle ich ob er wirklich den Preis halten will/kann wenn tatsächlich was angefragt wird. Und es gibt nicht nur "einen" official reseller :P Wir sind z.B. Landitec Silver Partner genauso aber auch pfSense Partner und ein paar andere Sachen eben auch, die für uns einfach eine Runde Sache in Punkto Angebot ergeben. Damit man Alternativen hat und nicht nur eine Antwort geben kann ;)

Grüße

Viel einfacher geht es nicht: https://doc.pfsense.org/index.php/Firewall_Rule_Processing_Order
Und: https://doc.pfsense.org/index.php/Port_Forward_Troubleshooting

Hey m0nji,

habe es durchgeführt und so wie es sich darstellt hat es geholfen! Vielen Dank für den Tip

Grüße
Frank

@viragomann:

Es kann auch sein, dass die System-Firewall der VM selbst den Zugriff aus dem anderen Netz blockiert. Ist bspw. bei Windows Standard.

Vielen Dank… Standard Image auf die VM ausgerollt und da sind iptables aktiv mit sehr restriktiven Einstellungen. Nun läuft's.

Nochmals vielen Dank und schönen Abend.

Grüße
ich