Messages

habe ich noch garnicht gesehen das ist ja easy :-)


Snapshots/Boot-Environments nutzen

https://www.youtube.com/watch?v=1pb_PZX0_5c


jetzt mal eine andere frage als firewall hardware welche cpu macht da sin ?
ein board mit n100 oder n305 ?

aktuell habe ich einen hp dl380 gen 8 mit 2 xeon 2680v2 den firewalls habe ich 4 kerne durchgereicht und die langweilen sich.
genügt da n100 oder lieber n305 oder was anderes ?
braucht die firewall ecc? in meinem server habe ich ecc aber das ist was anderes denke ich, da die firewall ja nur überwacht und nicht viel schreiben muss.

nextcloud habe ich auf meinem server und google drive kann ich noch dazu nehmen, so bekomme ich dann meine backups gemacht wenn ich da mal was kaputt mache.

ja die sollen aber von proxmox runter.
und als eigene kleine systeme laufen.

möchte meinen server neu aufsetzen. da ist proxmox verschlüsselt und wenn der server mal neustartet muss das passwort eingegeben werden und solange geht bei mir zuhause das wlan nicht und meine schwiegermutter ist am schreien.

und deshalb will ich die firewalls aus proxmox raus haben dann kannn ich den server neu machen ohne das mir einer in den ohren liegt.

dann mache ich nur noch eine firewall und habe das was ich möchte mir ging es nur darum wenn ich mal an der firewall bastel und die kille ich noch ein backup habe und alles weiter läuft.

[Du kannst das nur im RFC-1918-Netz hinter der Fritzbox machen mit "Exposed Host".]

dann sag es so das ich deine worte auch verstehe
gehe davon aus du meinst deine aussage hier.

Du kannst das nur im RFC-1918-Netz hinter der Fritzbox machen mit "Exposed Host".


das ist für mich latein :-)

wollte das so haben nur mit der vodafone ip
https://b3n.org/pfsense-firewall-ha-failover-cluster/

 so ist das bei mir und läuft seid jahren nur wie geht das mit dem bridge-mode ich kann ja schlecht von vodafone 2 ip bekommen oder ?
die habe ich gerade von vodafone
IPv4-Adresse: 84.119.95.245 und hier sollen 2 firewalls ran.


   System: High Availability: Settings
opnsens slave 10.6.4.12
opnsens master 10.6.4.10

opnsens slave  192.168.2.126
opnsens master  192.168.2.127

    Interfaces: Virtual IPs: Settings
10.6.4.1/24   1 (freq. 1/0)   Vlan40   CARP   CARP Vlan40 Interface

192.168.2.30/24   1 (freq. 1/0)   WAN   CARP   WAN

ja das ist klar auf meinem proxmox server laufen die ja als HA nur da macht zuerst der edge-router ein dhcp und darin bewegen sich die firewalls. firewall 1 192.168.2.5 und die andere 192.168.2.6 und das ganze als carp Ip das ist klar nur will ich das ganze jetzt direkt an der fritzbox machen und am bridge-mode-port ist die IP die ich von vodafon direkt bekommen habe.
also z.b. 32.168.154.241 und wenn ich eine firewall daran direkt hänge trägt die firewall diese ip und woran hänge ich die zweite ?
muss ja an die selbe ip ran sonst habe ich keinen ausfallschutz.

moin,

ich habe auf meinem proxmoxserver 2 opnsense zusammen als hoch verfügbarkeit laufen alles schön.
vor dem server ist ein unify edge-router und davor die fritzbox im bridge-mode.
meine öffentliche ip liegt auf dem edge-router soll aber zur firewall.

meine idee ist die firewall raus aus dem proxmox als hardware-lösung direkt an die fritzbox/bridge-mode und dann liegt die öffentliche ip an meiner firewall.
nun möchte ich aber 2 firewall wieder haben damit eine mal ausfallen kann aber alles läuft weiter.
die fritzbox hat 2 ports für bridge-mode 3 + 4 kann ich jeweils eine firewall an die ports hängen und beide haben die selbe öffentliche ip oder wie geht das ?

möchte gerne das doppelte NAT weg haben deshalb möchte ich keinen switch davor machen der baut ja wieder einen eigenen ip-bereich auf.
wenn ich nur eine firewall mache ist das kein problem aber ich spiele gerne an den diensten rum und bin dann froh wenn ich ein backup habe und eine erstatz firewall.

10.6.8.20 ist ja wohl nicht die IP der OPNsense. Und einen Pihole hast du auch noch im Spiel.
10.6.8.20 ist meine VM Nextcloud.

10.6.4.10 opnsense-master
10.6.4.12 opnsense-slave

10.6.6.20 ist meine VM Pi-hole die ist in jedem netz als DNS-Server eingetragen.
da stand vorher immer nur als beispiel für das 10.6.6.0/24 netz 10.6.6.1 für 10.6.7.0/24 die 10.6.7.1.

in der VM Pi-Hole ist 10.6.6.1 als upstream DNS Server eingetragen.

Advanced DNS settings

diese 3 einstellungen sind deaktiviert

Never forward non-FQDN A and AAAA queries
Never forward reverse lookups for private IP ranges
Use DNSSEC

Interface settings

Respond only on interface eth0  nur das ist aktiviert.

alles was sich im web befindet läuft super nur die eigenen namen gehen nicht.

Klaus@asus-rog-fedora:~$ nslookup 10.6.8.20 nextcloud.xxx-xxx.org
;; communications error to 10.6.8.20#53: timed out
;; communications error to 10.6.8.20#53: timed out
;; communications error to 10.6.8.20#53: timed out
;; no servers could be reached


Klaus@asus-rog-fedora:~$ nslookup 10.6.8.20
20.8.6.10.in-addr.arpa   name = nextcloud.xxx-xxx.org.

Authoritative answers can be found from:

Klaus@asus-rog-fedora:~$ nslookup nextcloud.xxx-xxx.org
Server:      127.0.0.53
Address:   127.0.0.53#53

Non-authoritative answer:
Name:   nextcloud.xxx-xxx.org
Address: 10.6.8.20

Klaus@asus-rog-fedora:~$






Klaus@asus-rog-fedora:~$ nslookup 10.6.4.10
10.4.6.10.in-addr.arpa   name = opnsense-master.xxx-xxx.org.
10.4.6.10.in-addr.arpa   name = opnsense-master.xxx-xxx.lan.

Authoritative answers can be found from:

Klaus@asus-rog-fedora:~$ nslookup 10.6.4.12
12.4.6.10.in-addr.arpa   name = opnsense-slave.xxx-xxx.org.

Authoritative answers can be found from:



##########

ich frage mich gerade wo der doppelte eintrag bei meiner master opnsense herkommt.

in den netzen habe ich noch diese regel für DNS

IPv4 TCP/UDP    Vlan50 net    *    10.6.6.20    *    *    *       Allow access to DNS

10.6.2.0 ist Pi-Hole bei mir um die werbung zu filtern.
diese einträge kann man in Pi-Hole selber noch eintragen, sind aber beide listen leer, da opnsense Unbound DNS diese änderungen macht.

Local DNS Records [A/AAAA]
Local CNAME Records




Klaus@asus-rog-fedora:~$ nslookup opnsense-master.xxx-xxx.org
Server:      127.0.0.53
Address:   127.0.0.53#53

Non-authoritative answer:
Name:   opnsense-master.xxx-xxx.org
Address: 192.168.2.126
Name:   opnsense-master.xxx-xxx.org
Address: 10.6.4.10

192.168.2.126 kommt als WAN von der Fritzbox
10.6.4.10  ist mein VLAN was die opnsense erzeugt.


jetzt wird es seltsam:
Klaus@asus-rog-fedora:~$ nslookup opnsense-master.xxx-xxx.lan
Server:      127.0.0.53
Address:   127.0.0.53#53

Non-authoritative answer:
Name:   opnsense-master.xxx-xxx.lan
Address: 10.6.5.10
Name:   opnsense-master.xxx-xxx.lan
Address: 10.6.6.10
Name:   opnsense-master.xxx-xxx.lan
Address: 10.6.7.10
Name:   opnsense-master.xxx-xxx.lan
Address: 10.6.8.10
Name:   opnsense-master.xxx-xxx.lan
Address: 10.6.4.10

das sind alles meine VLANS

in den DHCP netzen waren die einstellungen hier noch auf .lan ändere sie gerade auf .org
Domain name    
Domain search list

########################

Klaus@asus-rog-fedora:~$ nslookup opnsense-slave.xxx-xxx.lan
Server:      127.0.0.53
Address:   127.0.0.53#53

** server can't find opnsense-slave.xxx-xxx.lan: NXDOMAIN

Klaus@asus-rog-fedora:~$ nslookup opnsense-slave.xxx-xxx.org
Server:      127.0.0.53
Address:   127.0.0.53#53

Non-authoritative answer:
Name:   opnsense-slave.xxx-xxx.org
Address: 10.6.4.12


die slave wird sauber gefunden.




#############
Klaus@asus-rog-fedora:~$ nslookup opnsense-master.xxx-xxx.lan
Server:      127.0.0.53
Address:   127.0.0.53#53

Non-authoritative answer:
Name:   opnsense-master.xxx-xxx.lan
Address: 10.6.5.10
Name:   opnsense-master.xxx-xxx.lan
Address: 10.6.7.10
Name:   opnsense-master.xxx-xxx.lan
Address: 10.6.4.10
Name:   opnsense-master.project-xxx.lan
Address: 10.6.6.10
Name:   opnsense-master.xxx-xxx.lan
Address: 10.6.8.10

Klaus@asus-rog-fedora:~$ nslookup opnsense-master.xxx-xxx.org
Server:      127.0.0.53
Address:   127.0.0.53#53

Non-authoritative answer:
Name:   opnsense-master.xxx-xxx.org
Address: 10.6.5.10
Name:   opnsense-master.xxx-xxx.org
Address: 10.6.6.10
Name:   opnsense-master.xxx-xxx.org
Address: 10.6.7.10
Name:   opnsense-master.xxx-xxx.org
Address: 10.6.8.10
Name:   opnsense-master.xxx-xxx.org
Address: 192.168.2.126
Name:   opnsense-master.xxx-xxx.org
Address: 10.6.4.10

Klaus@asus-rog-fedora:~$


die master wird auf .lan und .org noch gefunden habe beide neu gestartet wo kommen die einträge her gibts noch ein cache den ich löschen muss ?

Unbound DNS cache habe ich bei beiden opnsense mal ausgeschaltet und starte neu.
Flush DNS Cache during reload = aktiv

hat leider nix genutzt.

    Host Overrides
        host : nextcloud
        domain : xxx-xxx.org
        Type : A (IPv4 address)
   Value : 10.6.8.20

so sollte der name dann sein :  nextcloud.xxx-xxx.org

Klaus@asus-rog-fedora:~$ nslookup nextcloud.xxx-xxx.org
Server:      127.0.0.53
Address:   127.0.0.53#53

** server can't find nextcloud.xxx.xxx.org: NXDOMAIN

#######

Klaus@asus-rog-fedora:~$ nslookup 10.6.8.20
20.8.6.10.in-addr.arpa   name = nextcloud.xxxt-xxx.org.

Authoritative answers can be found from:

moin, meine Namensauflösung hatte überall von den localhost maschinen funktioniert mit unbound DNS und overrides.
meine maschinen hatten die Endung   .lan

dann habe ich letscrypt ein neues certificat andelegt über cloudflare so wie hier unten beschrieben und das hat funktioniert.
Bei cloudflare habe ich eine Domain registriert und hat den gleichen namen wie mein localhost nur eben mit  .org
dann habe ich die overrides auch von .lan nach .org geändert und nun sind sie nicht mehr erreichbar auch wenn ich es wieder nach .lan änder.
kann es sein das ich systemweit alle einträge auch bei proxmox und in alle etc/hosts der VM alles von .lan auf .org ändern muss ?


https://www.youtube.com/watch?v=bY5mLytgDek


https://homenetworkguy.com/how-to/replace-opnsense-web-ui-self-signed-certificate-with-lets-encrypt/

ich habe es so gemacht und es funktioniert.

https://www.youtube.com/watch?v=bY5mLytgDek


https://homenetworkguy.com/how-to/replace-opnsense-web-ui-self-signed-certificate-with-lets-encrypt/

Wenn das alles ist warum schreiben die es nicht so werde es testen und Bescheid sagen.

ich kann aber hier keine eindeutige ip erkennen die ich angeben kann.
Ist damit die IP von der Docker-VM gemeint ?

192.168.2.50:8080/dashboard als beispiel wenn ich was normal in docker installiere .
wenn ich die IP so eingebe kommt nix:

https://192.168.2.50:9443 hier kommt portainer.

diese IP 192.168.2.50 ist vor der opnsense vmbr0
ich denke die VM braucht eine IP die von der opnsense erzeugt wird kann das sein ?
Also z.b. vmbr60= 10.6.6.0/24 aus dem netz

Dieses verstehe ja gerade nicht wo wird das gemacht bei cloudflare wo meine Domain für ssl-certificate ist .
Bei no-ip einem dyndns Anbieter oder netcup bei dem habe ich auch Domains liegen.

Soll ja nur für mein homeserver sein zuhause und die cloud.