Nein, DHCP läuft auf dem UCS
Gibt es eine neue griffige Abkürzung? 
Diese habe ich jetzt auch entfernt aber jetzt dauert es wieder 5 Min bis die Provisionierung durch ist.
Wo genau finde ich (In der PBX) die Provisionierungs-Config?
Ich habe am UCS-DHCP-Server nochmal nachgeschaut. Dort ist:
tftp-server-name "http://192.168.24.8:8880/p/gehr01/{mac}"
Als Option gesetzt.
Die Basis-Config findest du in der pascom (PBX 
) unter Endgeräte -> Basiskonfiguration.
Hier nochmal die Doku dazu:
https://www.pascom.net/doc/de/endpoints/snom/#provisionierung
https://www.pascom.net/doc/de/endpoints/snom/#basis-konfiguration
Dort kannst du auch die Config deinen Geräten zuweisen.
Sonst schau mal auf deinem Snom unter Status -> Einstellungen ob dort dir unbekannte IP-Adressen oder URLs eingetragen sind.
Edit: Fehlende/Falsche DNS-Server könnten evtl. auch zu einem Problem führen.
Gruß,
Rapha
So, ich habe jetzt das Gerät vom Arbeitsplatz entfernt und aus der Geräteliste entfernt. Anschließend das Gerät vom Netz getrennt und einen Werks-Reset am Gerät durchgeführt.
Danach das Gerät wie im Handbuch angelegt und dem Arbeitsplatz hinzugefügt. Gerät ans Netz gehängt.
Nach einer Weile kommt der Hinweis wegen dem selbst signierten Zertifikat. Also im WebUI des Geräts das Zertifikat hinzufügen.
An der Basis-Config für Snom habe ich am Server ja nichts angepasst bzw. diese nicht dupliziert.
An der Pascom PBX unter Geräteliste → Gerät auswählen → Provisionierungs URL finde ich zwei Einträge:
Beim D375 welches ja nicht so rum zickst sind diese Einträge jedoch gleich.
Nach der oben beschrieben Vorgehensweise hat sich im Gerät als Settings-URL die mit der externen Domain: pbx01… eingetragen.
Ich wüsste nicht was ich da falsch mache
So, das Problem ist weg 
Allerdings erst wenn ich aus Pascom PBX die Provisionierungs URL mit der LAN-IP kopiere und im WebUI des Geräts als Settings-URL rein kopiere.
Wie stelle ich es an dass die GEräte sich automatisch die richtige (interne) holen?
Funktioniert denn DNS am Snom korrekt?
Schau dir mal die Snom-Einstellungen dns_domain, dns_server1 und dns_server2 an.
Falls das Snom die pbx01.externe-domain.de nicht auflösen kann könnte ich mir diesen Timeout, bzw. die Suche nach Provisionierung, gut vorstellen.
Das sollte je nach erreichbarem Interface gewählt werden (ifens18 oder ifens19 bei deiner Einstellung) - war ich zumindest der Meinung. Offenbar ist das nicht so
Nehme mal an das pbx01.externe-domain.de zeigt auf eine andere IP-Adresse als 192.168.24.8.
Gruß,
Rapha
Ja, da stehen die korrekten Werte drin.
Nicht ganz. Dieser Name ist beim Provider auf per Record auf die WAN-IP der pfSense geleitet und wird dort mittels HA-Proxy auf die PBX-VM (192.168.24.8) geleitet. Mittels NAT-Reflection aber auch von intern direkt nutzbar.
Aber du hast schon zwei Interfaces an der pascom?
Habe hier das selbe Setup (pfsense, HA-Proxy und NAT reflection). Das interne Interface ist dabei aber nur intern erreichbar. Per NAT-R zwar auch das externe Interface, dies hat aber eine andere IP-Adresse.
- Interface: 192.168.1.2 (nur intern)
- Interface: WAN -> NAT -> 192.168.1.3 (intern und per NAT-R erreichbar, DNS zeigt extern und intern immer auf die WAN-Adresse)
Die Snoms können bei uns intern oder extern genutzt werden. Intern wird per tftp-server-name verteilt. Wenn ein Snom extern verbindet muss die Update-URL manuell eingetragen werden (mit der externen Domain).
Was passiert wenn du die externe Adresse (WAN) per NAT auf das 2. Interface der pascom umleitest und nicht auf das 1.?
Ja, das war für den MobileHub ja notwendig … wenn ich mich recht erinnere.
Verstehe nicht genau was Du meinst. Der HA-Proxy mappt ja alle HTTPS-Anfragen mit “pbx01.externe-domain.de” auf das 1. Interface der PBX (192.168.24.8). Dass muss IMHO so sein.
Per NAT habe ich noch folgende Mappings auf das 2. Interface der PBX (192.168.24.9)
Deine NAT-Einstellungen sind aber nur fürs Mobile-Hub, da fehlt die Provisionierung, das hat erstmal nichts mit dem HAProxy (via Port 443) zu tun.
https://pbx01.externe-domain.de:8884/p/6zfyKl86Ozna7LGQVNHq3hXWElte2tg-3Pz3SYs5LmU=+
Hier läuft der Request deines Snom dann gegen die Firewall, hier fehlt also noch Port 8884 für die Provisionierung (via HTTPS - das ist ja nur das zu verwendende Protokoll).
Für das Telefonbuch (via LDAPS) dann noch Port 636.
Hier nochmal die komplette Referenz:
https://www.pascom.net/doc/de/server/port-overview/#ihre-firewall-anpassen -> Onsite
Gruß,
Rapha
Das sollte passen
Trotzdem wird offensichtlich die zweite Provisionierungs-URL (externe Domain) genutzt. Warum das so ist kann ich dir nicht sagen.
Erst mal vielen Dank für Deine Geduld & Hilfe!!! 
Ich setze das Telefon heute Abend nochmal zurück. Oder meinst Du diese NAT-Regel wirkt sich darauf nicht aus?
Schon, NAT reflection läuft bei der pfsense immer die komplette Kette durch, also als wenn es ein externer Request wäre. Da greifen dann auch WAN-Regeln (inkl. NAT).
Hoffentlich letzte doof Frage. Um es nochmal zu testen:
- Gerät aus dem AP entfernen
- Gerät in der Liste löschen & Neu anlegen
- Gerät zurücksetzen
Oder kann man sich das Löschen aus der Liste sparen?
Fragen sind nie doof; Die Antwort kann manchmal langweilig werden
Wenn das Snom zurückgesetzt wird sollte es bereits genügen. Da nicht konfiguriert zieht es sich die Config auf dem vorgegebenen Weg (hier also via DHCP-Option).
Habe die Geräte in der pascom nie entfernt, hat soweit immer funktioniert.
Habe es schnell gemacht. Er nimmt zwar immer noch pbx01 aber durch die neue NAT Regel klappt es nun ruck zuck
Mal interesse halber; Steht denn im Snom unter Status -> Einstellungen irgendwo pbx01… ?
Bei unseren Geräten ist überall nur die IP-Adresse hinterlegt (außer bei den externen).