Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: Brick_In_The_Wall on May 29, 2022, 09:45:56 PM

Title: os-acme-client in Verbindung mit Hochverfügbarkeit
Post by: Brick_In_The_Wall on May 29, 2022, 09:45:56 PM
Hallo zusammen,

Ich betreibe zwei OPNsense Installationen als Hochverfügbarkeit. Ich habe nun auf dem ersten Rechner den os-acme-client installiert und er holt sich bereits das Zertifikat. Ich habe es nun durch den Sync auf den zweiten Rechner übertragen, ich sehe es auch in den Einstellungen - Verwaltung bereits ausgewählt, jedoch hat die GUI noch nicht neu geladen und liefert immer noch das alte Zertifikat aus.

Wie macht man das?
Ich könnte mir einen Cronjob vorstellen, habe auch einen testweise angelegt, der jede Minute die GUI neu laden soll, aber das Zertifikat bleibt immer noch unverändert das Alte.
Erst, als ich den configd Dienst neu gestartet habe, war das neue Zertifikat zu sehen. Dieses finde ich jedoch nicht als Cron Auswahl.

Wie stellt man das nun richtig ein?

Danke Euch

Title: Re: os-acme-client in Verbindung mit Hochverfügbarkeit
Post by: PotatoCarl on June 07, 2022, 08:56:54 AM
Das ist eine funktionierende 22er Version mit ACME und funktioniert?  Mit HTTP/TLS challenge? Bei mir geht seid der 22er Version gar nichts mehr mit dem ACME client. DNS challgenge geht nicht, mein provider kann das nur manuell (und das geht nicht mit opnsense).
Title: Re: os-acme-client in Verbindung mit Hochverfügbarkeit
Post by: superwinni2 on June 07, 2022, 06:04:53 PM
Jede Minute die GUI neu laden ist erstmal eindeutig ein Overkill...
Also eigentlicch klingt es erstmal richtig was du gemacht hast.
Haupt-FW erstellt sich das Zertifikat und synchronisiert es auf die Backup-FW.

Dann das Zertifikat in der GUI auswählen und die GUI neu laden.


Kann es eher sein, dass dir dein Client einen Streich spielt?
Cache vom Browser gelöscht?
Mal einen Client genommen dern och nie mit der Firewall GUI verbunden war?
Alternativ versuche doch mal das Zertifikat mithilfe von curl oder sslclient herauszufinden was wirklich ausgegeben wird.
Title: Re: os-acme-client in Verbindung mit Hochverfügbarkeit
Post by: mr44er on June 08, 2022, 09:00:04 PM
Quotejedoch hat die GUI noch nicht neu geladen
An dem Punkt wenn das Zahnrädchen kommt, gebe ich der sense immer nochmal 20-30 Sekunden extra Zeit, da mehr im Hintergrund abläuft.

Generell empfiehlt sich bei solchen Änderungen zur GUI ein reboot. Wenn man nach z.B. 100 Tagen uptime rebooten muss und die Kiste kommt mit unerwarteten Settings hoch, erinnert man sich selten dran, was man vor 100 Tagen gefummelt hat. Bei HA dann slave runterfahren, master rebooten und alles checken, dann slave wieder booten.

Wenn das dann immer noch nicht wie erwartet läuft, die andere guten Tips mit Browsercache leeren und frischen Client ausprobieren.
Text only | Text with Images