OPNsense Forum
International Forums => German - Deutsch => Topic started by: rantwolf on March 09, 2018, 05:40:58 pm
-
Moinsen.
Hab da mal ne bescheidene Frage.
Ich hatte bisher meine OpenSense hinter einer FritzKiste betrieben.
Die hab ich nun durch ein VDSL Modem ersetzt und die Sense macht die 'DHCP-Einwahl' direkt.
Seit dem geht aber der HAproxy nicht mehr.
In den Logs steht nix drin...
Hab aber bei einem Neustart gesehen, daß OpenSense den HAproxy auf aufm ehemaligen IF 'em0' starten will.
Kann man das irgendwo einstellen, welches IF die WAN Schnittstelle ist?
-
Wirklich einstellen nicht, aber wenn du die aktuelle WAN schnittstelle bei den Schnittstellen Assignments entfernst und dann eine andere / neue hinzufügst, nimmt die den WAN Platz wohl als ersten freien Platz ein.
Ansonsten geht es auch, die Config zu exportieren, händisch zu bearbeiten und wieder zu importieren, aber das ist gefährlich, wenn man etwas falsch macht. Ich vermeide das lieber...
Problem ist noch, dass beim Entfernen von interfaces manchmal Einstellungen die Bezug drauf hatten verschwinden, wann und wie genau bin ich mir aber nicht sicher... die Firewall Regeln sollten es eigentlich überleben, aber kanns nicht garantieren.
Ach: Auf was sind denn deine Public Interfaces am "Listening"? Liegt es vllt daran?
-
Die Firewall Regeln haben den Wechsel überlebt.
Ich meinte eigentlich das folgendermaßen.
Dem HAproxy müßte irgendwie erzählt werden, was die WAN Schnittstelle ist.
In der Config wollte ich eigentlich auch nicht basteln.
em0 war bisher das WAN und ist jetzt LAN.
re0 ist jetzt WAN.
Hilft es vielleicht, das HAproxy Erweiterung zu entfernen und dann alles neu zu machen?
Und was meinst du damit?
Ach: Auf was sind denn deine Public Interfaces am "Listening"? Liegt es vllt daran?
Versteh den Satz nicht...
-
Also HAproxy ist eigentlich egal, wie die Interfaces heißen etc. Es kommt HAproxy drauf an, auf welcher Adresse der Socket auf Verbindungen hört.
Der Public Service (bzw. die mehreren), die vorher z. B. auf *:80 und *:443 gehört haben, funktionieren weiterhin nun eben mit dem anderen Interface.
Angenommen dein WAN (em0) hatte die IP 172.16.0.1 und dein Public Service im HAproxy hörte bei der "Listen Address" auf 172.16.0.1:80, und dein neuer WAN (re0) hat jetzt auch 172.16.0.1 statt dem alten em0, was jetzt z. B. 192.168.0.1 hat, dann passt der HAproxy Public Service automatisch(!) nun zum neuen WAN (re0) ohne dass was getan werden musste.
Kurz: Hat sich die WAN-Adresse nicht geändert, hat sich dein HAproxy auch nicht geändert und geht weiterhin.
Jetzt ist das natürlich nicht dein Problem, denn du hast ja nen DHCP auf WAN und bekommst irgendeine Adresse, weißt aber nicht welche. In so einem Fall ist es besser, wenn du bei HAproxy als Listen Address bei den Public Services einfach den * nimmst statt der IP, dadurch hört er im Hintergrund auf allen Interfaces (wie 0.0.0.0 bei anderen Linux Systemen). D. h. du kannst ihn dann von überall intern wie extern aufrufen, sofern die Firewall die Verbindung durchlässt.
Irgendwie hab ich das Gefühl, dass es an dieser Listening Address bei den Public Services bei dir liegen muss, evtl. ist da noch ne alte IP von nem früheren DHCP-Lease eingetragen. Der Punkt ist nämlich der: In der haproxy.conf Datei (unter /usr/local/etc/haproxy.conf) steht kein einziger(!) Interfacebezeichner drin. Was auch immer du im syslog gesehen hast, muss einen anderen Zusammenhang gehabt haben...
Also mein Tipp: Auf * hören (wobei eine Domain theoretisch auch geht, also z. B. www.example.org:80), per Firewall überall blockieren wo unerwünscht und extern auf dem WAN Interface per Firewall den Port eben zulassen.
-
Ja danke für die Erklärung.
Ja meine WAN IP hat sich geändert...
Und ich hatte auch die so genannte ListenAddress der Einträge geändert.
In der Konfiguration hatte ich ja auch nix gefunden.
Das mit dem Interface hab ich nur beim booten der VM gesehen.
Hatte es mir dann einfach gemacht und die Erweiterung gelöscht und wieder neu installiert.
Aber nun gehts wieder prima.
Trotzdem Danke.