Messages

Warte damit auf die 18.1 Ende des Monats, die hat einen Mailproxy als Plugin.

Naja dass er ungeeignet ist kann man so pauschal nicht sagen. Der Mailserver muss halt damit zurechtkommen.

Z.B. muss man einstellen können, dass die Verbindung schon extern SSL-verschlüsselt ist und plain-text-auth daher zulässig ist.
Diverse Antispam-Funktionen (Greylisting, DNSBL) klappen auch nicht mehr, weil die eingehende IP ja immer die vom HAProxy ist, nicht vom eigentlichen Client.

Bei mir klappt das mit einem Exchange ganz wunderbar.

Wenn er eine Firewall Regel einrichtet sagt dass ja nur, dass der Host das Gateway nutzen kann.

Äh - nein?

Leave as 'default' to use the system routing table. Or choose a gateway to utilize policy based routing.

Und das ist genau das, was er will.

In der Firewall-Regel kannst du ein Gateway auswählen - reicht das nicht schon?

Also eine Regel anlegen mit Source = HOST und Gateway = DSL

Hast du auch eine zugehörige Firewall-Regel angelegt (bzw. anlegen lassen)?

As I read it that's a pf limitation, not a pfsense one. Since OPNsense uses pf as well (because that's the packet filter BSD has) it should have the same problem.

But different users should be able to connect to different PPTP servers, no? As I read it the limitation is only relevant if two users want to connect to the same PPTP server.

I'm guessing IPv6 is not an option for you?

My question is this: which site would be better to upgrade?

The one where the database is. Obviously.

Replication as suggested by fabian is the better solution, but might be expensive depending on the existing infrastructure in Melbourne (new server hardware, additional SQL license and CALs...).

Depending on how many users you have in Melbourne and how stupid Access does its SQL queries it might also be better to run the Access frontend only in Sydney and access it from Melbourne via Remote Desktop...

Ja, das funktioniert natürlich. Ein Frontend im TCP-Modus anlegen und als Backend-Server deinen Mailserver.

Geht aber nur mit IMAPS (Port 993) und SMTPS (Port 465) - explizite Verschlüsselung auf den Standardports 143 und 25/587 mittels STARTTLS klappt natürlich nicht.

I don't think this is possible with a reverse proxy.

Can you just publish the management sites with normal port forwarding on a separate port?

Na wenn schon HA, dann auch zwei Leitungen, zwei Provider und zwei Modems ;)

(Ja, ich habe das wirklich so)

Wieviele LAN-Ports sollte ein Modem denn auch haben?

I found it pretty much straightforward. Is there anything specific you need help with?

Maybe this can point you in the general direction: https://github.com/opnsense/plugins/issues/264

https://znil.net/index.php?title=FritzBox_-_Site_to_Site_VPN_zu_pfSense_2.2

Zu pfSense findet man oft Anleitungen, die sich 1:1 auf OPNsense übernehmen lassen ;)

In that case just use SSL between HAProxy and the webserver. If you don't check the "check ssl certificate" box in HAProxy, the webserver can use a self-signed certificate or even an outdated one.

I had the same problem with an Exchange box that didn't know about HAProxy already encrypting the connection to the client.

I don't think this can work. Even if you configure OpenVPN to use port 443, it's still not HTTP.
HAProxy can redirect requests to the same front end to different servers, but IMHO only in HTTP mode, not in TCP mode.
You'll need two IPs or a separate port for OpenVPN.