Netzwerk für MD richtig planen

Hallo Sven,

Ja das sollte so gehen wobei du den HA Proxy ja nur für Port 80 benötigst (acme).

Alle anderen Ports 5222/tcp, 30000-35000/udp, 8884/tcp solltest du aus meiner Sicht per DNAT machen.
Das Webfrontend der Pascom (443) aber auf jedenfall das Management (8443) sollte du auf keinen Fall von extern erreichbar machen

Gruß Markus

Ja, ACME auf der PFSense macht die ACME-Challange und legt den ACME-Token auf einem Webserver hinter der Firewall (LAN) am. Der HA-Proxy regelt das die LE-CA von extern auf diesen HTTP-Server zugreifen kann um den Token zu prüfen. da funktioniert ja bereits alles.

Ja, da hatte ich noch einen kleinen Denkfehler. Diese Ports werden nicht vom HA-Proxy behandelt sondern einfach per Port-Forwarding auf die MD-VM geleitet. Der Proxy kann ohnehin kein ankommendes UDP handeln (soweit ich weiß)

Ja, diese kann ich von extern erreichen indem ich vorher eine VPN-Verbindung aufbaue.

Meine DM hat ja nun 2 virtuelle NIC’s die beide an der br0 (LANG hängen).

Die erste für die Kommunikation im LAN (192.168.24.8) die zweite für den Mobil-Zugriff (192.168.24.9).

Die Ports Ports 5222/tcp, 30000-35000/udp, 8884/tcp leite ich auf die 192.168.24.9, richtig?

Korrekt. Die entsprechenden Dienste müssen in der pascom natürlich auf diesem Interface aktiviert sein.

Gruß,
Rapha

ok, habe jetzt erst mal installiert und er hat die erste NIC (192.168.24.8) auch als LAN vorgeschlagen und darunter konnte ich das Setup abschließen.

Muss ich die Diensten gesondert mitteilen dass sie auf der zweiten NIC laufen oder geschieht dies automatisch?

Das kannst du im UI einstellen bzw. musst du einstellen.
https://pascom-ip:8443/ui/interfaces

Hier ein Screenshot von unserer Einstellung für das 2. (öffentliche) Interface.

Wir benutzen allerdings keinen DNS sondern die statische externe IP-Adresse für die Mobile Clients.

Gruß,
Rapha

Du meinst damit das Feld “Schnittstellen-DNS-Name (FQDN)” ? Hier trage ich die IP der Schnittstelle (192.168.24.9) oder den FQHN (pbx01.mydomain.de) … also die externe Subdomain für welche beim Provider ein A-Record gesetzt wurde welcher auf die feste WAN-IP des lokalen PFSense zeigt … ein?

Ja, genau. Diese Einstellung wird dann für die Mobile Clients genutzt (beim Pairing über den QR-Code).

Edit: Die externe (öffentliche) IP oder den FQDN, nicht die interne IP.

Ich habe mir gerade nochmal meine alten Notizen zur MD-Installation im UCS-Netz angeschaut. Für die DHCP-Server-Anpassung habe ich hier notiert die Option:
tftp-server-name "http://192.168.X.7/provisioning/{mac}"
zu setzen. Also in meinem Fall die IP der LAN-NIC (192.168.24.8). Ist das noch aktuell? Ich habe da irgendwie noch eine andere DHCP-Option im Kopf die ich aber wohl nicht notiert habe.

Diese hat sich wohl leicht geändert mit:
tftp-server-name "http://192.168.xx.8:8880/p/name01/{mac}"
funktioniert es.