OPNsense Forum

Ich bin nochmals wie vor 2 Tagen vorgegangen - damals hatte es genau so funktioniert und erst später kamen Probleme:

Quote from: Anderer on October 06, 2025, 02:25:09 PM#35

• ich habe OPNsense auf Werkseinstellungen zurückgesetzt und mit dem Assistant gestartet.
• Änderungen:
  - IP geändert in 192.168.50.1/24
  - IP range von 192.168.50.101 bis 102.169.50.241 (andere vergebe ich gerne manuell)
  => sonst habe ich alles auf Voreinstellung belassen - also auch keine Regeln erstellt oder geändert
• HAProxy strikt nach Tutorial installiert:
  https://forum.opnsense.org/index.php?topic=23339.0 (https://forum.opnsense.org/index.php?topic=23339.0)
• PING + DNS funktioniert für andere IP und Domains, aber dieses Mal nicht für SUBDOMAIN.dedyn.io
• Services: Dynamic DNS: Log File:
  Warning, ddclient, Account c55... [custom - SUBDOMAIN.dedyn.io] no global IP address detected, check config if warning persists
• lt. deSEC wurde Token nie verwendet (habe bereits 2 neue Token ausprobiert)
• SUBDOMAIN.dedyn.io hat zwar den CAA und CNAME Record, aber keine A und AAAA bekommen (wie werden die vergeben?)
• https://www.ssllabs.com/ssltest/analyze.html bringt "Unable to resolve domain name"
• https://dnschecker.org/all-tools.php zeigt CNAME, NS, SOA, CAA, DS, DNSKEY, aber KEIN A, AAAA, MX, PTR, SRV, TXT

Es scheint, als ob Services: Dynamic DNS gar nicht aktiv wird. Trotz Rücksetzen steht dort Updated: 2025-09-26T20:11:50+02:00

Und gerade finde ich auch noch folgende Fehler:

System: Log Files: Backend
025-10-08T01:52:55
Error
configd.py

 [41eda28c-fd48-479d-a428-a6d75652527d] Script action failed with
Command '/usr/local/opnsense/scripts/interfaces/ping.py --job
'dde980bb-90b4-4f5b-9346-2e43798c19a6' remove' returned non-zero exit
status 1. at Traceback (most recent call last):   File
"/usr/local/opnsense/service/modules/actions/script_output.py", line 89,
 in execute     subprocess.run(script_command,
env=self.config_environment, shell=True,   File
"/usr/local/lib/python3.11/subprocess.py", line 571, in run     raise
CalledProcessError(retcode, process.args, subprocess.CalledProcessError:
 Command '/usr/local/opnsense/scripts/interfaces/ping.py --job
'dde980bb-90b4-4f5b-9346-2e43798c19a6' remove' returned non-zero exit
status 1.


2025-10-08T00:53:10
Error
configd.py
 Configd disconnected while executing : dnsmasq list dhcp_options


2025-10-08T00:50:03
Error
configd.py

 [2b5bb0c8-575b-4373-943d-bda2972558dd] Script action failed with
Command '/usr/local/opnsense/scripts/interfaces/ping.py --job
'33de3b91-5dee-4c8a-b650-6238e6710317' remove' returned non-zero exit
status 1. at Traceback (most recent call last):   File
"/usr/local/opnsense/service/modules/actions/script_output.py", line 89,
 in execute     subprocess.run(script_command,
env=self.config_environment, shell=True,   File
"/usr/local/lib/python3.11/subprocess.py", line 571, in run     raise
CalledProcessError(retcode, process.args, subprocess.CalledProcessError:
 Command '/usr/local/opnsense/scripts/interfaces/ping.py --job
'33de3b91-5dee-4c8a-b650-6238e6710317' remove' returned non-zero exit
status 1.


2025-10-08T00:39:24
Error
configd.py

 [1194f58d-6b49-4215-9ea7-026972129b42] Script action stderr returned
"b'pkg: https://pkg.opnsense.org/FreeBSD:14:amd64/25.7/latest/meta.txz:
No address record\npkg:
https://pkg.opnsense.org/FreeBSD:14:amd64/25.7/latest/packagesite.pkg:
No address record\npkg:
https://pkg.opnsense.org/FreeBSD:14:amd64/25.7/latest/packagesite.txz'"
System: Log Files: General
2025-10-08T00:47:22
Warning
opnsense
 /usr/local/etc/rc.bootup: radvd_configure_do(auto) found no suitable IPv6 address on lan(igc0)


2025-10-08T00:47:22
Error
dhcp6c
 transmit failed: Can't assign requested address


2025-10-08T00:40:08
Error
opnsense

 /usr/local/etc/rc.newwanip: The command '/bin/kill -'TERM'
'68112''(pid:/var/run/unbound.pid)  returned exit code '1', the output
was 'kill: 68112: No such process'

• Ist die ganze OPNsense korrupt?
• Kann das repariert werden oder müsste ich nochmals mit einem Stick ganz neu booten?
• Kann der Fehler nochmals an einem Interface LAN/WAN oder an einer Route liegen?
• Andere Ideen?

Ich weiß nicht, wo ich noch suchen soll, da ich jetzt nochmals alles neu und aufmerksam eingegeben habe, aber dynDNS (Tutorial Part 2 Nr. 1-9) nicht funktioniert. Deshalb möchte ich dort gar nicht weitermachen.
Falls es keine Hinweise gibt, plane ich, OPNsense nochmals komplett platt zu machen und mit einem USB-Stick neu zu installieren.

Mach doch bitte einen extra Thread zum Thema DynDNS auf - den lesen Leute, die sich damit auskennen, eher.

Ich kann dir da leider nicht helfen, ich benutze das grundsätzlich nicht. Ich würde eher einen Tunnel zu einem VPC bei Hetzner oder etwas ähnliches benutzen statt DynDNS. Aber ich habe eben überall Business-Tarife, auch zuhause.

Quote from: Patrick M. Hausen on October 08, 2025, 08:02:46 AMMach doch bitte einen extra Thread zum Thema DynDNS auf

OK, mache ich. Danke

• Kann #11 in einen neuen Thread kopieren und soll das hier gelöscht oder geschlossen werden?

Vielleicht haben die Fehler auch gar nichts mit DynDNS zu tun und das System wurde beschädigt. Irgendwie läuft es nicht, wie es wohl sollte. Andernfalls mache ich die Kiste heute Abend nochmals mit einem USB-Stick platt. Bzgl. OPNsense habe ich zwischenzeitlich  dazugelernt - es lief am Sonntagabend ja genau, wie beschrieben, sonst hätte ich dort aufgegeben.

Ich verschieb das - kein Problem.

Ich habe nochmals ALLES komplett CLEAN installiert und trotzdem: Dynamic DNS geht offensichtlich gar nicht raus:

• SSD des Firewall Mini-PCs mit USB-Stick "platt gemacht" und OPNsense 25.7 (VGA) neu installiert.
  WICHTIG: mit "installer" statt "root" anmelden, um die SSD überschreiben zu können.
• Anschließend Wizzard durchlaufen, neugestartet und mit CMD: ipconfig /release, ipconfig /renew
• IP auf 192.168.50.1/24 mit Range 192.168.50.101 bis 192.168.50.241 umgestellt, Port 55443 vergeben
• Update auf OPNsense 25.7.5, Test von Ping und DNS erfolgreich
• WICHTIG: KEINE Regel hinzugefügt, gelöscht oder geändert. System läuft seit gestern problemlos.
• Snapshot und Backup Konfiguration mit "...CLEAN-IP-DHCP-PORT", obwohl Rollback zuvor erfolglos war.
• Nochmals Schritt-für-Schritt und strikt nach Tutorial: https://forum.opnsense.org/index.php?topic=23339 (https://forum.opnsense.org/index.php?topic=23339)
• Part 1: OPNsense updated, plugins: os-acme-client, os-ddclient, os-haproxy installiert
• Part 2 (1.-6.): SUBDOMAIN.dedyn.io und CAA sowie CNAME mit Wildcard kontrolliert
• Part 2 (7.-8.): Services: Dynamic DNS: General settings: enabled und folgender Eintrag unter Accounts:
  - Service: custom
  - Protocol: DynDNS 2
  - Server: update.dedyn.io
  - Username: SUBDOMAIN.dedyn.io (zum Verständnis: Ist das der Name des TOKENs?)
  - Password: TOKEN
  - Wildcard: No
  - Hostname(s): SUBDOMAIN.dedyn.io
  - Check ip method: Interface IPv4
  - Interface to monitor: WAN
  - Check ip timeout: 10
  - Force SSL: Yes
  vgl. auch Printscreen im Anhang
• Part 2 (9.): Interfaces: Diagnostics: Ping funktioniert mit anderer Domain oder IP, aber nicht mit SUBDOMAIN.dedyn.io
  - deSEC zeigt, TOKEN: Last used: never
  - SUBDOMAIN.dedyn.io hat CAA und CNAME*, aber kein A und AAAA Record (wie beim letzten Mal, als es funktionierte).
  - externe Tests wie ssllabs.com oder dnschecker.or funktionierten analog ebenfalls nicht
  - Interfaces: Diagnostics: Ping: Fehler: cannot resolve anderer.dedyn.io: No address associated with name

Eigentlich musste ich keine weitere Regel anlegen oder Einstellung vornehmen, sondern nur strikt nach Tutorial vorgehen und damit funktionierte es am Sonntagabend. Ich konnte *.SUBDOMAIN.dedyn.io von extern und von intern aufrufen und bekam ein A+ Zertifikat.

Bevor ich nun wieder etwas zerschieße, bitte ich um Hilfe bei der Suche nach dem Fehler. Ich würde gerne sehen, wo etwas blockiert bzw. nicht weitergegeben wird.

• Fehlt mir evtl. noch eine Route o. ä.?

Ich habe noch Folgendes getestet:

• Interfaces: Diagnostics: Ping: 9.9.9.9 zeigt folgenden Eintrag:
   Firewall: Log Files: Live View: WAN out 2025-10-09T14:24:32 192.168.178.5 9.9.9.9 icmp let out anything from firewall host itself (force gw)
  
• Interfaces: Diagnostics: Ping: SUBDOMAIN.dedyn.io zeigt KEINEN Eintrag
  es gibt zwischen den beiden PING mit 9.9.9.9 und 1.1.1.1 KEINEN weiteren ICM Eintrag, also geht Dynamic DNS überhaupt nicht raus.
  
• Interfaces: Diagnostics: Ping: 1.1.1.1 zeigt folgenden Eintrag:
  Firewall: Log Files: Live View: WAN out 2025-10-09T14:24:47 192.168.178.5 1.1.1.1 icmp let out anything from firewall host itself (force gw)

Ergänzung: Ich habe noch folgende Fehler / Hinweise gefunden:

• Services: Dynamic DNS: Log File: 
  - 2025-10-09T14:10:32 Warning ddclient Account 025... [custom - SUBDOMAIN.dedyn.io] no global IP address detected, check config if warning persists
  
• Google: DNS-Auflösung:Stellen Sie sicher, dass OPNsense selbst DNS-Anfragen korrekt auflösen kann. Wenn OPNsense den DDNS-Anbieter-Server nicht auflösen kann, kommt die Anfrage nicht an.
  
• Services: Unbound DNS: Log: 2025-10-09T00:38:50 Error unbound [38502:7] error: recvfrom 67 failed: Protocol not available

Wer kann mir bitte helfen oder hat einen Ratschlag oder eine Idee? Dankeschön

OK, ich bin einen Schritt weiter.

Services: Dynamic DNS: Settings: General settings: advanced mode

• Enable: Yes
• Verbose: No
• Allow IPv6: Yes, Allow IPv6 for updates
• Interval: 300 (testweise auf 30 reduziert)
• Backend: ddclient (statt bisher "native"), andernfalls mit "native":
  => Services: Dynamic DNS: Log File: no global IP address detected, check config if warning persists

Das sehe ich nicht im Tutorial und erinnere mich auch nicht, das zuvor schon mal umgestellt zu haben.

"Allow IPv6" brauche ich vermutlich deshalb, weil die IPv4 Adresse FALSCH auf 192.168.178.5 (OPNsense im FritzBox LAN) gesetzt wird. Richtig wäre, hier die öffentliche IPv4 zu setzen. Das hatte am Sonntagabend auch geklappt.

• Hat jemand einen Tipp, woher die falsche IPv4 Adresse statt der öffentlichen IPv4 kommen könnte?
• Und wie kann ich bitte ddclient gezielt triggern? Selbst "Restart Service" hilft nicht. ddclient startet scheinbar willkürlich.

Services: Dynamic DNS: Log File
2025-10-09T15:50:39 Notice ddclient INFO: setting IPv4 address to 192.168.178.5 for SUBDOMAIN.dedyn.io
2025-10-09T15:50:39 Notice ddclient INFO: setting IPv6 address to 2005:cb:5v14:3n88:4sdr:sfg4:fsfg:f44g for SUBDOMAIN.dedyn.io
2025-10-09T15:50:39 Notice ddclient RECEIVE:
2025-10-09T15:50:39 Notice ddclient RECEIVE: allow: GET, HEAD, OPTIONS
2025-10-09T15:50:39 Notice ddclient RECEIVE: content-length: 4
2025-10-09T15:50:39 Notice ddclient RECEIVE: content-type: text/plain
2025-10-09T15:50:39 Notice ddclient RECEIVE: date: Thu, 09 Oct 2025 13:50:39 GMT
2025-10-09T15:50:39 Notice ddclient RECEIVE: good
2025-10-09T15:50:39 Notice ddclient RECEIVE: HTTP/2 200
2025-10-09T15:50:39 Notice ddclient RECEIVE: server: nginx
2025-10-09T15:50:39 Notice ddclient RECEIVE: strict-transport-security: max-age=31536000
2025-10-09T15:50:39 Notice ddclient RECEIVE: vary: origin
2025-10-09T15:50:39 Notice ddclient SENDING: connect-timeout=120
2025-10-09T15:50:39 Notice ddclient SENDING: Curl system cmd to https://update.dedyn.io
2025-10-09T15:50:39 Notice ddclient SENDING: include
2025-10-09T15:50:39 Notice ddclient SENDING: max-time=120
2025-10-09T15:50:39 Notice ddclient SENDING: request=GET
2025-10-09T15:50:39 Notice ddclient SENDING: silent
2025-10-09T15:50:39 Notice ddclient SENDING: url="https://update.dedyn.io/nic/update?system=dyndns&hostname=SUBDOMAIN.dedyn.io&myip=192.168.178.5,2005:cb:5v14:3n88:4sdr:sfg4:fsfg:f44g"
2025-10-09T15:50:39 Notice ddclient SENDING: user="SUBDOMAIN.dedyn.io:mPcnNLadfereadafvgraDRddssQJ"
2025-10-09T15:50:39 Notice ddclient SENDING: user-agent="ddclient/3.11.2"
2025-10-09T15:50:39 Notice ddclient SUCCESS: updating SUBDOMAIN.dedyn.io: good: IPv4 address set to 192.168.178.5
2025-10-09T15:50:39 Notice ddclient SUCCESS: updating SUBDOMAIN.dedyn.io: good: IPv6 address set to 2005:cb:5v14:3n88:4sdr:sfg4:fsfg:f44g
2025-10-09T15:50:39 Notice ddclient UPDATE: updating SUBDOMAIN.dedyn.io
2025-10-09T15:50:39 Notice ddclient WARNING: 'if-skip' is deprecated and does nothing for IPv4
2025-10-09T15:50:39 Notice ddclient WARNING: 'if-skip' is deprecated and does nothing for IPv6
2025-10-09T15:50:41 Notice ddclient SUCCESS: SUBDOMAIN.dedyn.io: skipped: IPv4 address was already set to 192.168.178.5.
2025-10-09T15:50:41 Notice ddclient SUCCESS: SUBDOMAIN.dedyn.io: skipped: IPv6 address was already set to 2005:cb:5v14:3n88:4sdr:sfg4:fsfg:f44g.
2025-10-09T15:50:41 Notice ddclient WARNING: 'if-skip' is deprecated and does nothing for IPv4
2025-10-09T15:50:41 Notice ddclient WARNING: 'if-skip' is deprecated and does nothing for IPv6

Quote from: Anderer on October 09, 2025, 04:22:40 PMHat jemand einen Tipp, woher die falsche IPv4 Adresse statt der öffentlichen IPv4 kommen könnte?

Vermutlich hiervon:

Quote from: Anderer on October 09, 2025, 02:32:21 PM- Check ip method: Interface IPv4
- Interface to monitor: WAN

Du stellst den Client so ein dass er die WAN IP überwacht. Diese übermittelt er dann an den Server.
Für mich macht der alles richtig.

Ich bin jetzt mit dieser Art dynamischem DNS nicht vertraut. Aber was für alternative Check Methoden werden noch angeboten?

Nachdem die OPNsense ein private WAN IP hat (lässt sich das wirklich nicht ändern?), kann sie deine tatsächliche öffentliche IP (des vorgeschalteten Routers) nur durch einen Lookup ins Internet ermitteln. Aber das musst du entsprechend einstellen.

Dir muss auch klar sein, dass der Dyn-DNS Client die Prüfung "auf Verdacht" machen muss, also zeitgesteuert. Ich weiß jetzt nicht, ob der Cron Job dafür automatisch eingerichtet wird. In jedem Fall dauert nach der IP-Änderung es bis zur nächsten Ausführung, bis das Update gemacht werden kann.
Um sich diesen schwammigen Workaround zu ersparen, sollte der Dyn-DNS Client besser am externen Router laufen.

Na klar, das ist nur eins der vielen Probleme, die bei einem Router-behind-Router Szenario entstehen (weshalb ich immer nahelege, das zu vermeiden, siehe auch: https://forum.opnsense.org/index.php?topic=42985.0, Punkt 4):

Deine OpnSense "kennt" nicht die wirkliche WAN-IP, denn ihr WAN hat eine RFC1918-IP (eben genau 192.168.178.5). Je nachdem, wie Du den DynDNS-Client die IP bestimmen lässt, stimmt diese eben nicht. Du kannst per Web-Abfrage die IP herausbekommen, z.B. mit der checkip-Methode "Akamai".

Der DynDNS-Client wird getriggert, wenn das WAN eine neue IP bekommt (was es natürlich bei Router-behind-Router nie tut, die WAN-IP-Änderung sieht ja zunächst nur Deine Fritzbox), man muss deshalb eine geringe TTL einstellen, damit aktiv nachgefragt wird.

Alles nicht ideal, viragomann hat Recht. Wenn Du kannst, nutze die Fritzbox nur als Telefonie-Gateway (siehe https://forum.opnsense.org/index.php?topic=39556).

Quote from: viragomann on October 09, 2025, 04:38:39 PMAber was für alternative Check Methoden werden noch angeboten?

Check ip method:

•     akamai
•     akamai-ipv4
•     akamai-ipv6
•     cloudflare
•     cloudflare-ipv4
•     cloudflare-ipv6
•     dynu-ipv4
•     dynu-ipv6
•     freedns
•     he
•     icanhazip
•     ipify-ipv4
•     ipify-ipv6
•     loopia
•     myonlineportal
•     noip-ipv4
•     noip-ipv6
•     nsupdate.info-ipv4
•     nsupdate.info-ipv6
•     zoneedit
•     Interface

Interface to monitor:

• None
• LAN
• WAN

Leider kann ich hier nicht ohne Weiteres die Topologie ändern. Dazu müsste ich einen neuen DSL-Anschluss beauftragen und einiges an Kabel verlegen, wo ich wiederum nicht ohne Weiteres die Wände, Decken oder Böden aufklopfen kann. Mit der aktuellen Topologie habe ich kaum Verluste und werde den FritzRepeater 1750E gelegentlich durch die neuen Wifi-7 Repeater ersetzen, was aufgrund der Internetgewschwindigkeit, aber nachrangig sein sollte.

OPNsense ist als "Exposed Host" eingetragen und checkt alle 300ms die IP. Das könnte ich ggf. herabsetzen. Für das LE Zertifikat wird es einen Cronjob geben, aber soweit komme ich aktuell noch gar nicht, denn Ping sollte sofort funktionieren und es muss wohl mit der IPv4 zusammenhängen.

Am Sonntagabend funktionierte es mit diesem Setup - bis ich mit der Installation von Nextcloud begann und/oder sich die öffentliche IP geändert hat. Da damals die öffentliche IP korrekt eingetragen wurde, muss ich aktuell irgendwo einen Fehler haben oder es gab noch eine unbewusste Einstellung.

"akamai" ("akamai-ipv4") als Checkmethode hat @meyergru schon vorgeschlagen. Vormutlich würden auch andere funktionieren. "Interface" scheint mir die schlechteste Wahl aus dem Sortimen für dein Setupt zu sein. Denn diese liefert die Interface-IP, wie beschrieben, und die kannst du in dein DynDNS nicht eintragen, weil RFC 1918. Wenn auch, würde es auch nix bringen.

Quote from: meyergru on October 09, 2025, 04:59:17 PMProbleme, die bei einem Router-behind-Router Szenario entstehen (weshalb ich immer nahelege, das zu vermeiden

Ja, das hatte ich bereits zur Kenntnis genommen und ich bin grds. vollkommen einverstanden, aber hier wäre der Aufwand unverhältnismäßig hoch bzw. aktuell gar nicht machbar - insbesondere, da am Sonntagabend alles bereits funktioniert hatte.

Quote from: meyergru on October 09, 2025, 04:59:17 PMcheckip-Methode "Akamai

Bingo! mit "Akamai" funktioniert es. DANKESCHÖN

Quote from: viragomann on October 09, 2025, 05:45:06 PM"Interface" scheint mir die schlechteste Wahl aus dem Sortimen für dein Setupt zu sein.

Danke! Ich werde noch einen Kommentar unter dem Tutorial ergänzen, falls andere auch dieses Problem bekommen sollten. OPNsense als "Exposed Host" hinter FritzBox ist vermutlich keine völlig extreme Ausnahme, wenn auch nicht "empfohlen". Akamai ist zudem bereits voreingestellt. Merci :-)

---

Bevor ich weitermache, darf ich bitte noch um Rat zu folgenden Einstellungen bitten?

• System: Routes: Configuration: 0.0.0.0/0, WAN_DHCP - 192.168.178.1, Standardroute
  => Muss ich diese Standardroute eintragen, obwohl aktuell das Meiste mit Voreinstellungen funktioniert?
  
• System: Settings: General: Networking: DNS Server
  => sollte ich hier DNS Server eintragen oder NUR dann, wenn ich eine andere Reihenfolge wünsche?
  
• Services: Dynamic DNS: Settings: General settings: Allow IPV6: Yes, for updates
  => Soll ich das wieder auf Voreinstellung = "No" zurückstellen, oder kann IPv6 eine Verbesserung sein?

Quote from: Anderer on October 09, 2025, 05:52:33 PMSystem: Routes: Configuration: 0.0.0.0/0, WAN_DHCP - 192.168.178.1, Standardroute
=> Muss ich diese Standardroute eintragen, obwohl aktuell das Meiste mit Voreinstellungen funktioniert?

Nein. Das macht die FritzBox per DHCP. Da wird die Route auch gesetzt.

Quote from: Anderer on October 09, 2025, 05:52:33 PMSystem: Settings: General: Networking: DNS Server
=> sollte ich hier DNS Server eintragen oder NUR dann, wenn ich eine andere Reihenfolge wünsche?

Auch das macht die FB via DHCP. Die trägt vermutlich ihre eigen IP als DNS ein.
Du kannst manuell aber einen anderen Server setzen, wenn gewünscht.
Ob dieser auch für die Hosts hinter der OPNsense verwendet wird, hängt von deiner DNS Bereitstellung ab (Dnsmasq, Unbound).

Quote from: Anderer on October 09, 2025, 05:52:33 PMServices: Dynamic DNS: Settings: General settings: Allow IPV6: Yes, for updates
=> Soll ich das wieder auf Voreinstellung = "No" zurückstellen, oder kann IPv6 eine Verbesserung sein?

Wenn du IPv6 verwendest, ist es nützlich. Wenn nicht, ist es überflüssig. Wenn auf den Clients, aber am WAN nicht, führt es zu Fehlern.
Also ja, zurückstellen.

Mit IPv6 gibt es dann die nächsten Probleme bei diesem Setup. Danach geht es weiter mit Wireguard Site2Site.

Ich finde es immer wieder lustig, wie mit der Begründung "das ist mir jetzt zu aufwendig" die Leidensgeschichte beginnt... ;-)

Quote from: meyergru on October 09, 2025, 06:21:40 PMdas ist mir jetzt zu aufwendig

Also das sind nun gerade nicht meine Worte - im Gegenteil. Nachdem 2x Zurücksetzen und mehrfach Rollback nicht funktionierten, habe ich sogar die ganze SSD nochmals überschrieben, damit OPNsense wirklich CLEAN ist, was beim Rücksetzen über Webgui nicht der Fall ist.

Ich hänge jetzt auch schon 2 Wochen mit der Grundinstallation von OPNsense und HAProxy fest, weil ich das korrekt machen möchte, aber eigentlich brauche ich DRINGEND Nextcloud.

Deshalb auch nochmals meine Frage:

• Kann mit meiner öffentlichen IPv4 noch etwas anderes gestört sein?

Wenn ich die selbst eingetragene Standardroute sowie Verbose und Allow IPv6 jeweils deaktiviere, kommt wieder dieser Fehler:
Services: Dynamic DNS: Log File
2025-10-09T18:19:54 Notice ddclient WARNING: Could not determine an IP for SUBDOMAIN.dedyn.io
2025-10-09T18:19:54 Notice ddclient WARNING: SUBDOMAIN.dedyn.io: unable to determine IP address with strategy use=cmd
2025-10-09T18:19:54 Notice ddclient WARNING: found neither IPv4 nor IPv6 address
Sobald ich die Standardroute sowie Verbose und Allow IPv6 jeweils aktiviere, funktioniert es wieder:
2025-10-09T18:20:46 Notice ddclient SUCCESS:  SUBDOMAIN.dedyn.io: skipped: IP address was already set to 93.214.62.185.
Ich frage deshalb nochmals nach, damit am Ende nicht die ganze Installation auf wackligen Beinen steht, weil IPv4 o. a. eigentlich nicht korrekt funktioniert.

Am Sonntag war zwar auch diese Standardroute eingetragen, aber sicher nicht Verbose und IPv6 - und es funktionierte.

Ich kenne den DynDNS-Provider nicht. Die Meldung ist an sich nur eine Warnung, die ausgelöst wird, wenn der eingetragene Name, der darauf getestet wird, ob er bereits mit der gewünschten IP übereinstimmt, nicht aufgelöst werden kann. Im Zweifel würde dann der Update durchgeführt. Manche DDNS-Provider mögen es nicht, wenn überflüssige Updates passieren (zu oft).

Ich weiß nicht, wieso der Name da gerade nicht aufgelöst werden kann (also, was dem vorausging) oder warum das mit IPv6 zusammenhängt.

Quote from: Anderer on October 09, 2025, 06:32:05 PMSobald ich die Standardroute sowie Verbose und Allow IPv6 jeweils aktiviere, funktioniert es wieder:
Code Select Expand

Code Select Expand

2025-10-09T18:20:46 Notice ddclient SUCCESS:  SUBDOMAIN.dedyn.io: skipped: IP address was already set to 93.214.62.185.
Ich frage deshalb nochmals nach, damit am Ende nicht die ganze Installation auf wackligen Beinen steht, weil IPv4 o. a. eigentlich nicht korrekt funktioniert.

Also ich habe hier auch ein OPNsense WAN an einem DHCP Server hängen. Ich hatte keine Route manuell eingetragen. Das geschah automatisch.
Ist die Standardroute mit der FB als Gateway in System: Routes: Status gelistet?

In System: Gateways: Configuration müsste ebenso die FB IPv4 als Gateway zu sehen sein.

Dann sollte die OPNsense nach außen verbinden können. Bspw. ein Ping auf 1.1.1.1

Eventuell ist auch ein IPv6 DNS-Server konfiguriert. Wenn der nicht erreichbar ist, ist selbstverständlich auch die Auflösung von Namen gestört (oder verlangsamt). Das zu tun, ist natürlich nur sinnvoll, wenn IPv6 auch richtig funktioniert.

Quote from: viragomann on October 09, 2025, 06:56:43 PMDann sollte die OPNsense nach außen verbinden können. Bspw. ein Ping auf 1.1.1.1

Also PING 1.1.1.1, 8.8.8.8, 9.9.9.9 oder andere Domains haben immer funktioniert.
Lediglich SUBDOMAIN.dedyn.io funktioniert nur mit Standardroute und IPv6 aktiviert.

System: Routes: Status
Protokoll    Ziel                                Gateway                            Flags    MTU     Netzwerk        Netzwerkschnittstelle
ipv4         default                             192.168.178.1                      UGS      1500    WAN             igc1
ipv4         127.0.0.1                           link#7                             UH       16384   Loopback        lo0
ipv4         192.168.50.0/24                     link#1                             U        1500    LAN             igc0
ipv4         192.168.50.1                        link#7                             UHS      16384   Loopback        lo0
ipv4         192.168.178.0/24                    link#2                             U        1500    WAN             igc1
ipv4         192.168.178.5                       link#7                             UHS      16384   Loopback        lo0
ipv6         default                             fe80::...%igc1                     UG       1500    WAN             igc1
ipv6         ::1                                 link#7                             UHS      16384   Loopback        lo0
ipv6         2003:xxxx:xxxx::/64                 link#2                             U        1500    WAN             igc1
ipv6         2003:xxxx:xxxx:...                  link#7                             UHS      16384   Loopback        lo0
ipv6         2003:xxxx:xxxx:...                  fe80::...%igc1                     UGHS     1500    WAN             igc1
ipv6         fdxx:xxxx:xxxx::/64                 link#2                             U        1500    WAN             igc1
ipv6         fdxx:xxxx:xxxx:...                  link#7                             UHS      16384   Loopback        lo0
ipv6         fdxx:xxxx:xxxx:...                  fe80::...%igc1                     UGHS     1500    WAN             igc1
ipv6         fe80::%igc0/64                      link#1                             U        1500    LAN             igc0
ipv6         fe80::...%lo0                       link#7                             UHS      16384   Loopback        lo0
ipv6         fe80::%igc1/64                      link#2                             U        1500    WAN             igc1
ipv6         fe80::...%lo0                       link#7                             UHS      16384   Loopback        lo0
ipv6         fe80::%lo0/64                       link#7                             U        16384   Loopback        lo0
ipv6         fe80::1%lo0                         link#7                             UHS      16384   Loopback        lo0

Quote from: meyergru on October 09, 2025, 08:40:46 PMEventuell ist auch ein IPv6 DNS-Server konfiguriert.

System: Settings: General:  Prefer IPv4 over IPv6: No
=> Soll ich das auf Yes,  Prefer to use IPv4 even if IPv6 is available umstellen?
=> DNS servers habe ich komplett leer gelassen

Ich werde nochmals alle Einstellungen nach IPv6 durchsuchen, da ich das tatsächlich gerne beheben würde.

---

Zwischenzeitlich habe ich noch eine EIGENE DOMAIN direkt über do.de mit FlexDNS eingerichtet, um mögliche Fehler bei DynDNS auszuschließen.

Ich wollte damit nur sagen: Wenn Du IPv6 für bestimmte Zwecke deaktivierst, für andere aber nicht, dann greift die Regel, dass IPv6 bevorzugt verwendet wird. Wenn also IPv6 nicht komplett deaktiviert ist, kann es dann passieren, dass per IPv6 eben keine Namensauflösung klappt, was ja anscheinend Dein Problem war. Also entweder gar kein IPv6 oder eben funktionierend - problematisch wäre IPv6 aktiviert, funktioniert aber nicht.

Und wenn Du keine DNS-Server einträgst, dann werden je nach Einstellungen in Unbound (wenn Du den verwendest) die Namen direkt resolviert (wobei jedes Protokoll, dass eingeschaltet ist - nicht: funktioniert - ausprobiert oder irgendwelche ISP-DNS-Server verwendet oder DoT-Server.

Hier noch die Ergebnisse meiner IPv6-Suche:

System: Gateways: Configuration

• WAN_DHCP (active), WAN, IPv4, 254, 192.168.178.1, Status: grün, Interface WAN_DHCP Gateway
• WAN_DHCP6 (active), WAN, IPv6, 254, fe80::dj76:87ff:ad45:a354, Status: grün, Interface WAN_DHCP6 Gateway

Interfaces: Overview
Status        Device    VLAN    IPv4            IPv6            Gateway        Routes
LAN (lan)    Igc0    static    192.168.50.1/24        fe80::...:c2f5/64            192.168.50.0/24
                                                fe80::%igc0/64
WAN (wan)    Igc1    dhcp    192.168.178.5/24    2003:...:c2f6/64    192.168.178.1    default
                            fd5e:...:c2f6/64    fe80::...:e579    192.168.178.0/24
                            fe80::...:c2f6/64            default
                                                2003:...:e579
                                                fd5e:...:e579
                                                fe80::%igc1/64
Unassigned    Igc2, 3, 4, 5                       
           
Loopback    lo0    static    127.0.0.1/8        ::1/128                    127.0.0.1
                            fe80::1/64                192.168.50.1
                                                192.168.178.5
                                                ::1
                                                2003:...:c2f6
                                                fd5e:...:c2f6
                                                fe80::...:c2f6%lo0
                                                fe80::...:c2f5%lo0
                                                fe80::%lo0/64
                                                fe80::1%lo0
Unassigned    eno0                       
Unassigned    pflog0       


• Services: Dynamic DNS: Settings: advanced mode
  Verbose: No 
  Allow IPv6: No

• System: Routes: Configuration:
  0.0.0.0/0, WAN_DHCP - 192-168-178.1 Standardroute (noch aktiviert)
• Ergebnis:
  Ping EIGENE_ DOMAIN.de funktioniert
  Ping SUBDOMAIN.dedyn.io funktioniert nicht

Ich werde morgen nochmals nach Unterschieden zwischen den beiden Domains suchen und das Tutorial zu Ende durchgehen.

Quote from: meyergru on October 09, 2025, 09:02:13 PMAlso entweder gar kein IPv6 oder eben funktionierend

• Wie kann ich bitte für den Anfang sicherstellen, dass "gar kein IPv6" aktiviert ist?
• Soll ich das WAN Gateway IPv6 deaktivieren?
• Dürfte ich dann bei
  
  • - Interfaces:Overview
  • - System: Gateways: Configuration

• GAR KEINE IPv6 Adressen sehen?

Ich habe die Beiträge READ THIS FIRST (https://forum.opnsense.org/index.php?topic=42985.0) und OpnSense für Dummies (speziell für Fritzbox-Umsteiger) (https://forum.opnsense.org/index.php?topic=39556) sowie mehrere zu "RFC 1918" nochmals genau gelesen.

• OPNsense hängt als "Exposed Host" mit selbständiger Portfreigabe hinter einer FritzBox 5690 Pro an deren WLAN
• Die FritzBox soll hier nur das Internet an der WAN-Schnittstelle der OPNsense zur Verfügung stellen. Keine andere Aufgabe.
• Leider kann ich das physikalische Setup aktuell hier nicht ohne Weiteres ändern/verbessern, aber letzten Sonntag funktionierte HAProxy mit DynDNS und ACME.

Tatsächlich habe ich jedoch noch immer ein Problem mit "RFC 1918", welches ich am Sonntag nicht hatte.

• SSLLabs (https://www.ssllabs.com/) meldet für meine EIGENE_DOMAIN.de
  - Certificate not valid for domain name
  - IP address is from private address space (RFC 1918)
  => also wird noch immer die RFC 1918 statt öffentlicher IP übermittelt.

Die Zertifikate für *.EIGENE_DOMAIN.de und *.SUBDOMAIN.dedyn.io wurden jedoch ausgestellt und installiert. Last ACME Status: OK
=> SUBDOMAIN.dedyn.io habe ich danach überall deaktiviert (ACME: Accounts, Challenge Types, Certificates; Dynamic DNS: Settings: Accounts)

Meine EIGENE_DOMAIN.de ist bei do.de (Domain Offensive) gehostet und dort nutze ich das integrierte FlexDNS, also ohne weiteren DynDNS-Provider dazwischen.

---

Ergänzung:

Interfaces: [WAN]: IPv6 Configuration Type: None (jetzt deaktiviert)

System: Gateways: Configuration: Es gibt nur noch IPv4

Interfaces: Overview: IPv6 Adressen werden trotzdem noch mit /64 am Ende sowie bei Routen angezeigt

Services: Dynamic DNS: Settings: Accounts zeigt die korrekte öffentliche IPv4

Interfaces: Diagnostics: Trace Route: ANY_STRING.MEINE_DOMAIN.de ergibt:  has multiple addresses
ohne ANY_STRING, also nur mit MEINE_DOMAIN.de kommt dieser Fehler nicht
traceroute: Warning: xxx.de has multiple addresses; using 116.181.223.12 traceroute to xxx.de (116.181.223.12), 64 hops max, 40 byte packets

TTL AS# Host Address Probes
1 AS0 192.168.178.1 192.168.178.1 2.363 ms
2 AS3320 p3e9bf52b.dip0.t-ipconnect.de 62.155.245.43 6.253 ms
3 AS3320 f-ed53-i.F.DE.NET.DTAG.DE 217.5.118.230 11.250 ms
4 AS3320 62.157.443.128 62.157.251.167 11.394 ms
5 AS24940 core12.nbg1.hetzner.com 213.239.245.34 15.016 ms
8 AS24940 268338.your-cloud.host 128.140.19.82 20.061 ms

https://www.thomas-krenn.com/en/wiki/OPNsense_disable_IPv6

Offenbar hat der DNS-Eintrag mehrere Adressen - Du willst ja offenbar nur eine und zwar eine IPv4, die nicht RFC1918 ist. Wie gesagt, ich kenne den DDNS-Provider nicht, aber Du musst sicherstellen, dass nur eine IP vorhanden ist - im Zweifel, indem Du dort alle anderen Adressen per Web-UI löschst.

Quote from: meyergru on October 10, 2025, 03:02:57 PMhttps://www.thomas-krenn.com/en/wiki/OPNsense_disable_IPv6

Offenbar hat der DNS-Eintrag mehrere Adressen - Du willst ja offenbar nur eine und zwar eine IPv4, die nicht RFC1918 ist. Wie gesagt, ich kenne den DDNS-Provider nicht, aber Du musst sicherstellen, dass nur eine IP vorhanden ist - im Zweifel, indem Du dort alle anderen Adressen per Web-UI löschst.

Sehr guter Link. Dankeschön. Ich habe das durchgearbeitet und eine Frage, die dort unterschiedlich zum Tutorial oder sonstigen Empfehlungen ist:

• Block private networks: Y/N
• Block bogon networks: Y/N

Jetzt habe ich auch verstanden, woher die "multiple addresses" kamen und beim Hoster alle Records gelöscht und nur CAA und CNAME eingetragen.
Anschließend wurde A mit der korrekten öffentlichen IPv4 und AAAA mit :: vermutlich durch ddclient gesetzt.
Der Hinweis von ssllabs.com auf private address space (RFC 1918) stand übrigens bei IPv6: 0:0:0:0:0:0:0:0
Bei der öffentlichen IPv4 steht jetzt Ready.
Immerhin bekomme ich jetzt ein Zertifikat mit A, ohne +, aber das könnte noch and diesen Cliphers liegen. Dazu lese ich nochmals nach.

Beim Aufruf von intern und extern bekomme ich jetzt 503 Service Unavailable
Das war zuvor nicht und da muss ich ggf. auch nochmals danach suchen.

https://dnschecker.org/dns-record-validation.php (https://dnschecker.org/dns-record-validation.php) zeigt folgende Hinseise:

• Name Servers are on the Same Subnet.
• SOA Expire Value is out of recommended range.
• SOA Serial Number Format is Invalid.

Gibt eis dazu bitte einen Hinweis, was ich bei den Records ändern sollte? Printscreen anbei

Quote from: Anderer on October 10, 2025, 06:06:03 PMIch habe das durchgearbeitet und eine Frage, die dort unterschiedlich zum Tutorial oder sonstigen Empfehlungen ist:

• Block private networks: Y/N
• Block bogon networks: Y/N

Du könntest dir auch mal selbst zu den diversen Einstellungen Gedanken machen anstatt jedes Detail hier zu erfragen.
Die beiden Punkte sind selbsterklärend. Wenn du mehr Information benötigst, klicke auf das "i" links daneben, oder schalte rechts oben "full help" ein. Das macht die Seite zwar nicht übersichtlicher, hilft aber einem Anfänger beim Einstieg.

Quote from: Anderer on October 10, 2025, 06:06:03 PMImmerhin bekomme ich jetzt ein Zertifikat mit A, ohne +, aber das könnte noch and diesen Cliphers liegen. Dazu lese ich nochmals nach.

Es liegt nicht ausschließlich an den Ciphers. Aber ja, schwache sollten rausgeworfen werden. Hier mal meine, die an A+ beteiligt sind:
Cipher Suites: TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256

Auch ein CAA Record im DNS und HSTS (HAproxy Frontend) mit langer Laufzeti wird da positiv bewertet. Letzteres empfehle ich aber erst dann zu aktivieren, wenn sonst alles läuft, vor allem, wenn du nicht weißt, was es macht und wie du ein Problem damit lösen kannst, was ich annehme. Das hat schon so manchen zur Weißglut gebracht.

Quote from: Anderer on October 10, 2025, 06:06:03 PMBeim Aufruf von intern und extern bekomme ich jetzt 503 Service Unavailable
Das war zuvor nicht und da muss ich ggf. auch nochmals danach suchen.

Gute Idee.
Üblicherweise bedeutet es, dass das Backend auf Anfragen von HAproxy nicht (korrekt) antwortet.
Erst mal in Services: HAProxy: Maintenance den Backend-Status prüfen. Is der down, antwortet das Backend nicht auf Health Checks und HAproxy versucht gar nichts weiteres. Die sind dann meist falsch konfiguriert, sollte es eigentlich antworten.
Es könnte aber auch ein anderer Konfigurationsfehler in HAproxy oder im Backend vorliegen.

Quote from: Anderer on October 10, 2025, 06:06:03 PMhttps://dnschecker.org/dns-record-validation.php (https://dnschecker.org/dns-record-validation.php) zeigt folgende Hinseise:

• Name Servers are on the Same Subnet.
• SOA Expire Value is out of recommended range.
• SOA Serial Number Format is Invalid.

[/list]
Gibt eis dazu bitte einen Hinweis, was ich bei den Records ändern sollte? Printscreen anbei

Ersteres ist wieder selbsterklärend. Ist einfach so. Du kannst dir ggf andere Namensserver suchen.

"SOA Expire Value" ist wohl das Zeitlimit in deinem Screenshot. Wenn du es dnschecker.org recht machen möchtest, musst du herausfinden, was sie denn empfehlen. Ich hätte mit dem Wert kein Problem.
"SOA Serial Number" kannst du anscheinend eh nicht ändern, wie der Screenshot vermuten lässt.
Es gibt unterschiedliche Verfahren der Zählung bzw. unterschiedliche Startnummern. Das Prüftool mag wohl eher ein anderes.

Vorab: Probleme weitgehend gelöst.

Zusammenfassung:

• OPNsense finde ich sehr gut und möchte das auf jeden Fall nutzen und mit der Zeit weiter vertiefen.
• Bei HAProxy gefällt mir der Aufbau mit Server, Backend, Map-File, ACME-Plugin usw. besser, als bei Caddy, aber vielleicht nur, weil ich mich damit zuerst und viel länger beschäftigt hatte. Evtl. schaue ich mir das später, mit mehr Zeit, nochmals an.
• Caddy hatte mich gestern morgen zunächst abgeschreckt, da mir ein Tutorial mit PrintScreen fehlte und einige Fragen unbeantwortet blieben.
• Ohne DeepSeek hätte ich gestern Caddy nicht installieren können und trotzdem musste ich aufmerksam Fehler korrigieren, die auch DeepSeek machte.
• Ohne OPNsense zu installieren, loszulegen und vor allem im Forum die Unterstützung zu erhalten, wäre ich gar nicht soweit gekommen. Nur mit Lesen, sehe ich nicht, wie das funktionieren könnte. Es bleibt auch unklar, weshalb Caddy funktioniert und HAProxy nicht.

Ergebnis:

• tatsächlicher Installationsaufwand (ohne HAProxy und Fehlersuche) ca. 4-6 Stunden für OPNsense vom USB-Stick, wenige Grundeinstellungen (IP, DHCP, Port, Backup), DynDNS (ddclient) und Caddy sowie Nextcloud AIO auf dem NAS inkl. Fehlerbehebung (Header, MIME-TYPE, CLI-URL etc.) sowie eigene Doku.
• ddclient und caddy laufen und waren einfach bzw. problemlos zu installieren
• FlexDNS und Token für Let's Encrypt von Domain Offensive (do.de) ist bereits inklusive und einfach einzustellen.
• nc.DOMAIN.de, nas.DOMAIN.de usw. sind von intern und extern erreichbar "Verbindung sicher"
• ssllabs.com bestätigt A+ Zertifikat
• Nextcloud AIO installiert. Version: Nextcloud Hub 25 Autumn (32.0.0)
• bei nc.DOMAIN.de erfolgreich angemeldet
• NC Fehler und Warnungen konnte ich heute weitgehend beheben

noch offen:

• Synchronisation mit Thunderbird, Smartphones etc.
• dnschecker.org meldet SOA Warnungen, lt. Domain Offensive do.de jedoch unerheblich (z. B. anderes Zahlenformat)
• Services: Caddy: Log File meldet Fehler und Warnungen, die noch zu klären wären, aber Funktionalität ist soweit gegeben
• andere Log Files von System und anderen Plugins prüfen

Herzlichen Dank nochmals an alle für Tutorials sowie die Unterstützung in Beiträgen und per PN. Das war sehr hilfreich und notwendig.