Bin gerade an der Umstellung von meiner pfSense zu OpnSense und bin mir nicht sicher, ob das eine gute Idee ist oder war.
Ausschlaggebend war der Umstand, dass ich auf der pfSense IP-TV nicht zum Laufen bekam und dass ich meine, OpnSense sei das modernere System.
Wo ich Probleme habe:
- Unifi-Controller habe ich nicht zum Rennen gebracht; inzwischen habe ich dafür eine eigene VM eingerichtet
- HAProxy vor einer VM, die über meine öffentliche IP-Adresse erreichbar sein soll
- Lets Encrypt soll für die Firewall ein Zertifikat einrichten
- VPN-Zugang IKEv2 mit Zertifikatsauthentifizierung fürs iPhone
All das funktionierte auf der pfSense einwandfrei.
Leider habe ich nicht wirklich Lösungen für meine Probleme gefunden. Kann jemand helfen?
Oder muss ich schweren Herzens die Übung abbrechen und zurück? >:(
Vielen Dank für die Hilfe.
Das sind leider zu viele Themen in einem Thread und nirgends eine konkrete Fehlerbeschreibung.
Also Unifi funktioniert angeblich, aber es ist weder auf of noch auf OPN supported. HAProxy und LE laufen eigentlich problemlos, wo ist da genau das Problem?
also, ich setze ubnt cloud-key ein, so haben ich den controller auf einer eigenen hardware (also kein problem mit der sense). Habe den HAProx am laufen, einfach mal im forum suchen, da habe ich mal einen externen link zu einer deutschen seite gepostet (mit LE). VPN Setze ich auf OpenVPN und ist in ca. 10 minuten eingerichtet.
also alles möglich mit der sense.
Quote from: mimugmail on December 23, 2020, 08:01:34 AM
Das sind leider zu viele Themen in einem Thread und nirgends eine konkrete Fehlerbeschreibung.
Also Unifi funktioniert angeblich, aber es ist weder auf of noch auf OPN supported. HAProxy und LE laufen eigentlich problemlos, wo ist da genau das Problem?
Mit meinem Beitrag wollte ich ja auch in erster Linie nicht Hilfe suchen, denn man findet schon Lösungen, die aber bei mir einfach nicht funktionieren. Es sollte eine Art Standortbestimmung, Erfahrungsbericht sein.
Da jetzt auch noch IPv6 nicht mehr tut, was es soll und IP-TV auch nicht mehr läuft (das war das Erste, was nach der Installation funktionierte), verzichte ich nun auf IP-TV (muss ich ja wohl auch beim jetzigen Setting) und gehe zurück zu pfSense. Schade!
Ernsthaft?
Du bist nur zum meckkern gekommen.
Es läuft nicht auf Konopfdruck und deshalb ist alles blöd.
So ein bissel hört sich Dein Post nach Framen an.
Nein, ich wollte nicht meckern. Auf jeden Fall konnte ich das IP-TV-Problem lösen. Nachdem ich die VM neu aufgesetzt hatte, hatte ich vergessen IGMP-Proxy zu installieren.
Ich habe mit keinem Wort gesagt, dass alles blöd ist. Sonst würde ich mir ja nicht die Mühe machen, es weiter zu versuchen.
Aber ja, ich erwarte schon, dass Vieles auf Knopfdruck funktioniert. Aber ich bin natürlich auch bereit, mich irgendwo einzulesen. Aber ich frage mich schon, wie sinnvoll es z. B. ist, ein Problem als gelöst anzugeben, wenn statt IKEv2 einfach OpenVPN verwendet wird. ;)
Ist eher ein Workaround als eine Lösung. Aber vielleicht sollte ich auf dem englischen Forum suchen. Wie so oft, sind die Leute aus dem nichtdeutschsprachigen Raum hilfsbereiter und weniger arrogant.
Danke, im Englischen Bereich wirst du wahrscheinlich einige aus dem deutschen Bereich wieder treffen [emoji41]
Gesendet von iPhone mit Tapatalk Pro
Aber Du hast doch selbst geschrieben das Du keine Hilfe suchst sondern nur eine Standortbestimmung abgeben wolltest. Das nenn ich in der Regel meckkern.
Wenn Du hilfe suchst bin ich gerne bereit was zum Thema Haproy zu schreiben. Da habe ich auch lange gekämpft.
Das Interface kann da schon mal zu verwirungen führen.
PS: Habe heute unsere OPNsense im WEB auf den aktuellsten Stand gebracht. Hatte da bedenken mit dem Haproxy. Lief aber zum Glück alles wie gehabt. :)
Quote from: hidalgo on December 23, 2020, 02:44:34 AM
- Unifi-Controller habe ich nicht zum Rennen gebracht; inzwischen habe ich dafür eine eigene VM eingerichtet
- HAProxy vor einer VM, die über meine öffentliche IP-Adresse erreichbar sein soll
- Lets Encrypt soll für die Firewall ein Zertifikat einrichten
- VPN-Zugang IKEv2 mit Zertifikatsauthentifizierung fürs iPhone
IPTV ist so eine Sache. Der IGMP Proxy kann nur IGMPv2, Magenta TV z.B. braucht aber IGMPv3, das läuft aktuell also nicht.
Unifi Controller auf der OPNsense finde ich nicht gut, war eine gute Idee das auf eine eigene VM zu legen
HAProxy hab ich am Laufen. Was klappt nicht?
Lets Encrypt läuft super bei mir. Wo hakt es?
IPsec mit IKEv2 hab ich auch mehrere Tunnel laufen. Klappt alles. Kann mich nicht an Probleme bei der Einrichtung erinnern.
Keine Ahnung, wo Deine Probleme liegen. Möglich sind die Themen außer (Magenta-)IPTV alle.
Quote from: hidalgo on December 23, 2020, 03:01:39 PM
Nein, ich wollte nicht meckern. Auf jeden Fall konnte ich das IP-TV-Problem lösen. Nachdem ich die VM neu aufgesetzt hatte, hatte ich vergessen IGMP-Proxy zu installieren.
Ich habe mit keinem Wort gesagt, dass alles blöd ist. Sonst würde ich mir ja nicht die Mühe machen, es weiter zu versuchen.
Aber ja, ich erwarte schon, dass Vieles auf Knopfdruck funktioniert. Aber ich bin natürlich auch bereit, mich irgendwo einzulesen. Aber ich frage mich schon, wie sinnvoll es z. B. ist, ein Problem als gelöst anzugeben, wenn statt IKEv2 einfach OpenVPN verwendet wird. ;)
Ist eher ein Workaround als eine Lösung. Aber vielleicht sollte ich auf dem englischen Forum suchen. Wie so oft, sind die Leute aus dem nichtdeutschsprachigen Raum hilfsbereiter und weniger arrogant.
Ohne eine Fehlermeldung vom Log oder Screenshots wird dir leider keiner bei IKEv2 helfen können :(
Fast alle Probleme gelöst. Bei Let's Encrypt hat mir dieses Video https://www.youtube.com/watch?v=IR41duTqN6Y (https://www.youtube.com/watch?v=IR41duTqN6Y) geholfen. Wahrscheinlich hatte ich irgendwas sonst überlesen. HAProxy brauche ich in meinem angepassten Setting nicht mehr.
Was fehlt ist IKEv2. Ja, ich weiss, dass Logs sehr hilfreich sind fürs Debugging. Ich habe noch nicht gefunden, wo ich z. B. den Log-Level erhöhen könnte, da ich aktuell halt nichts sehe, was irgendwie weiterhelfen kann. Aus irgendeinem Grund (wahrscheinlich eine Fehlkonfiguration) hat das iPhone die Firewall gar nie erreicht und deshalb wurde auch nichts ins Log eingetragen. :-\
VPN: IPsec: Advanced Settings
Da kann man Dinge bzgl Debugging einstellen. Nehme an, dass man dann auch mehr im Log sieht.
vielleicht ist der fehler auch sehr simpel; in den ipsec einstellungen ist unten ein kleiner haken "enable ipsec" ohne den ist alles aus. das hat mich beim ersten mal OPNsense (nach jahren von pfsense) auch kurz am kopf kratzen lassen, weil man es leicht übersehen kann und sich dann wundert, warum nix geht...
So, ein weiterer Erfolg ist zu verbuchen. Danke für alle Tipps. Nach einer weiteren Suche bin ich auf diese Anleitung https://newsweb.w-3.de/Tutorials/Tutorial_MobIKE.pdf (https://newsweb.w-3.de/Tutorials/Tutorial_MobIKE.pdf) gestossen. Damit hat es geklappt. Entgegen der Anleitung habe ich es vom iPhone aus auch mit dem FQDN statt der IP-Adresse geschafft.
Was jetzt noch ansteht? Es wäre schön, die Authentifizierung über ein Zertifikat statt mit Username/Passwort zu haben.
@alle
Bin froh über die Entscheidung zum Wechsel. Nicht nur kann ich die Feiertage mit etwas «Sinnvollem» ausfüllen, ich lerne auch wieder was und mir gefällt OPNsense immer besser.
Der anfängliche Frust ist Freude gewichen.
Merry Christmas!! 8)
Das ist doch zumindest mal schön. Auch wenn ich wenigstens - ebenfalls ohne zu meckern oder den Wechsel zu kritisieren - anmerken möchte, dass IP-TV auf pfSense ebenfalls funktioniert und es angepasste, neuere oder alternative Wege gibt, das dort zum Laufen zu bringen. Aber das wäre eben ein Weg wie hier gewesen, mit etwas einlernen, durchversuchen und testen, denn wie oben schon Gauss korrekt geschrieben hat, IP-TV ist eben so eine Sache mit den Anforderungen. :)
Trotzdem hier auch frohe Feiertage :)
Wenn auch keine Hilfe, aber etwas verstehen kann ich dich schon. Habe vor recht genau einem Jahr den Wechsel von IPfire nach gefühlt einem Jahrzehnt zu OPN gewagt.
Erst voller Euphorie, danach doch immer wieder kurz vorm dev null gewesen :D
Es ist schon so, das manches einfach nicht funktioniert...man startet das Teil neu, stellt genau das selbe ein, und es geht. Mittlerweile bin ich aber schon sehr zufrieden, manchmal hakt das Renew der Lets Encrypt, was ich bis heute nicht verstehe. Aber ansich läuft es stabil und man hat viele Möglichkeiten es seinen Bedürfnissen anzupassen.
PFsense kam "damals" schlicht aus ideologischer Sicht nicht in Frage.
Dass jeder Umstieg erstmal frustrierend ist, weil hier und da und dort irgendeine widerwärtig versteckte Kleinigkeit nicht funktioniert, das kenne ich selbst. Ich hatte da neulich ne Sophos UTM abzulösen (einfach weil ich deren Geschäfts- und Lizenzmodell nicht mehr unterstützen wollte), und nachdem das mit professioneller Hilfe echt richtig geil vorbereitet war, war ich von der Couch aus, also remote, in ner guten Stunde durch, so dass ich auf nem anderen Standort genauso dann auch noch nen IPcop abgelöst hatte. Letzterer war sowas von dran, aber ich hatte das Monat um Monat immer vor mir her prokrastiniert, weil das Setup doch auch recht komplex war. Nur verkabelt war da schon mal alles.
Ja, an beiden Standorten gab es noch die ein oder andere Nachwehe – das waren dann irgendwelche falsch eingestellten Parameter in der IKE-Lebensdauer oder das ein oder andere vergessene Pinhole aus der DMZ heraus und an dem anderen Standort ein auf dem IPcop noch laufender DHCP-Server –, aber ich habe den Umstieg zu keinem Zeitpunkt bereut.
Ich würde jetzt mal den Vorschlag in den Raum werfen, für die Anbindung von deinem iPhone (das ist dann wohl ein externer Roadwarrior, richtig?) evtl OpenVPN zu verwenden.
Ich arbeite bei meinen Sensen mit IPsec bei den Netz-Netz-Geschichten. Einfach deswegen, weil ich es schon seit anderthalb Jahrzehnten so mache (weil damals OpenVPN einiges mehr an Ressourcen brauchte und noch bissi experimentell war). Die ganzen Roadwarrior sind diverse Windows, OSX, iOS und Androids, ach ja, ein Debian ist auch dabei. Hier ist nach meiner Erfahrung die Client-Unterstützung einfach schicker mit OpenVPN gelöst. Wenn es muss, sogar über Port 443, das geht von überall aus. Wenn sich das mit nem anderen Webserver auf derselben IP beißen sollte, wäre HAproxy dein Freund (nur um dich schon mal ein bisschen prophylaktisch zu verwirren). Will sagen, mit dem Standard UDP/1194 liegst du schon mal nicht falsch, auch hier habe ich noch keine Restriktionen erlebt.