Ja das sollte so gehen wobei du den HA Proxy ja nur für Port 80 benötigst (acme).
Alle anderen Ports 5222/tcp, 30000-35000/udp, 8884/tcp solltest du aus meiner Sicht per DNAT machen.
Das Webfrontend der Pascom (443) aber auf jedenfall das Management (8443) sollte du auf keinen Fall von extern erreichbar machen
Ja, ACME auf der PFSense macht die ACME-Challange und legt den ACME-Token auf einem Webserver hinter der Firewall (LAN) am. Der HA-Proxy regelt das die LE-CA von extern auf diesen HTTP-Server zugreifen kann um den Token zu prüfen. da funktioniert ja bereits alles.
Ja, da hatte ich noch einen kleinen Denkfehler. Diese Ports werden nicht vom HA-Proxy behandelt sondern einfach per Port-Forwarding auf die MD-VM geleitet. Der Proxy kann ohnehin kein ankommendes UDP handeln (soweit ich weiß)
Ja, diese kann ich von extern erreichen indem ich vorher eine VPN-Verbindung aufbaue.
Du meinst damit das Feld “Schnittstellen-DNS-Name (FQDN)” ? Hier trage ich die IP der Schnittstelle (192.168.24.9) oder den FQHN (pbx01.mydomain.de) … also die externe Subdomain für welche beim Provider ein A-Record gesetzt wurde welcher auf die feste WAN-IP des lokalen PFSense zeigt … ein?
Ich habe mir gerade nochmal meine alten Notizen zur MD-Installation im UCS-Netz angeschaut. Für die DHCP-Server-Anpassung habe ich hier notiert die Option: tftp-server-name "http://192.168.X.7/provisioning/{mac}"
zu setzen. Also in meinem Fall die IP der LAN-NIC (192.168.24.8). Ist das noch aktuell? Ich habe da irgendwie noch eine andere DHCP-Option im Kopf die ich aber wohl nicht notiert habe.