OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • Profile of Nephiria »
  • Show Posts »
  • Messages
  • Profile Info
    • Summary
    • Show Stats
    • Show Posts...
      • Messages
      • Topics
      • Attachments

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

  • Messages
  • Topics
  • Attachments

Messages - Nephiria

Pages: [1] 2 3 ... 6
1
German - Deutsch / Service Redis startet nicht
« on: June 18, 2024, 07:19:34 pm »
Hallo zusammen,

ich wollte fragen ob jemand von euch eine Lösung zu dem Problem hat.
Seit ungefähr 2 Tagen habe ich das Problem das der Service Redis über Gui nicht starten lässt.

Die Fehlermeldung das IP bereits benutzt wird habe es auch mit netstat etc. gecheckt aber der Service ist dann trotzdem nicht gestartet ich habe auch einen Workaround gefunden aber anscheinend nach dem nächsten Änderung über GUI ist der Dienst wieder offline. Datenbank hatte ich auch reset gemacht hat aber nichts gebracht.


Das Problem ist wohl das ich in der Konfiguration 2x die Interne IP drin stehen habe.

Es siehst dann so aus:

bind 127.0.0.1 ::1 172.29.2.1 172.29.2.1
Wenn ich dann den doppelten eintrag rauslöscht habe lässt sich die DB wieder starten.

Irgendwie richtig seltsam das ganze.

Viele Grüsse


2
German - Deutsch / Re: https Fehler - beim Surfen kommt das Falsche Zertifikat
« on: May 31, 2024, 11:49:13 am »
Falscher Name im Zertifikat.
Klick mal drauf und schau dir den Namen dann siehst du warum du die Fehlermeldung bekommst du hast ein Interception oder erstellt.

Wenn du andere Server absichern willst so habe ich es gemacht mit einem Zertifkat dann würde ich einen Reverse Proxy bauen. Allerdings habe ich das nicht mit dem HA-Proxy das geht damit auch aber ich habe dafür eine VM genommen mit NGINX und habe dort ein Wildcard Zertifikat hinterlegt und mit diesem sämtliche Webservices abgedeckt.
Vermutlich ist das was du machen wolltest.

https://docs.opnsense.org/manual/reverse_proxy.html

Hier ist sowas z.b auch beschrieben wie es geht.


3
German - Deutsch / Re: https Fehler - beim Surfen kommt das Falsche Zertifikat
« on: May 31, 2024, 11:34:19 am »
Anders gefragt was passiert wenn du HA-Proxy und den Regeln dazu deaktivierst hast du dann immer noch die Zertifikats Probleme weil so wie ich das verstehe verwendest du diesen doch für deine Outbound Addresse um diese dann absichern über SSL.

Wenn du deine Outbound Traffic absichern möchtest weis nicht ob de HA-Proxy das richtige ist ich würde dazu entweder ein Externes Produkt nehmen als Webproxy oder installier dir das Webproxy Plugin was angeboten wird unter den Pungins.

Es kommt aber darauf an was mit dem HAProxy genau erreichen wolltest. Ich habe diesen z.b bei mir nur laufen um für eine Weiterleitung auf das Webinterface vom RSPAMD.

4
German - Deutsch / Re: Adguard WebUI vs OPNsense WebUi - Entweder oder
« on: May 31, 2024, 11:14:08 am »
Bin mir nicht 100% sicher aber wenn du die Ersteinrichtung macht und stellt dabei auf ALL / WAN macht er mit ziemlicher Sicherheit eine Regal auf der Firewall. Und zwups hast du das im Internet. Daher wüde ich halt an der stellt vorschlage eine LAN Addresse funktioniert genauso gut als wenn du 0.0.0.0 nimmst nur das du den Access eingrenst von wo aus das teil erreichbar ist.

Kann für die Ersteinrichtung übrings dieses YT Video hier vorschlagen wird dort im übringen auch davor gewarnt.

https://www.youtube.com/watch?v=fP_mQWSI8tc&t=221s (Ab Minute 6:45 ca.)

Viele Grüsse

5
German - Deutsch / Re: Adguard WebUI vs OPNsense WebUi - Entweder oder
« on: May 31, 2024, 11:03:14 am »
1. würde ich ADGuard nicht auf 0.0.0.0 es sei den du möchtest das dein Interface im Internet erreichbar ist.
2. Wenn möglich empfehle ich euch hier eine separate IP für das Dashboard zu konfigurieren in der Config macht das ganze im übrigen um einiges einfacher wie ich finde.

Sind aber nur meine Gedanken dazu müsst ihr selbst entscheiden.

6
German - Deutsch / Re: https Fehler - beim Surfen kommt das Falsche Zertifikat
« on: May 31, 2024, 10:57:08 am »
Ich persönlich denke das er einen Proxy laufen hat unter einen Interception Check macht und dort hast du wahrscheinlich ein z.b internes Zertifikat hinterleg was diesen Fehler mit dem Zertifikat versucht oder ein Self Sign.
Ist aber nur eine Vermutung ohne auf deine Box zu schauen.

7
German - Deutsch / Re: Unifi AP und freeRadius auf OPNsense, wie wird es klappen?
« on: May 29, 2024, 12:34:49 pm »
Frage zum Unifi AP wieso verwendest du für die Konfiguration nicht die Software von Unifi dazu soweit ich gesehen habe in der Version 8 sollte das alles soweit möglich sein. Ich habe die Software für das Webinterface direkt auf einer VM laufen so das immer Zugriff auf meinen AP habe und kann von dort aus alles mögliche Konfigurieren.

8
German - Deutsch / Dkim Gui Modul?
« on: May 29, 2024, 12:30:40 pm »
Hallo zusammen,

gibt es schon für Postfix/RSPAMD/Redis ein Modul womit man Dkim über die Gui konfigurieren kann?
Danke für eurer Feedback.

Viele Grüsse

9
German - Deutsch / Nach Upgrade 24.1.6 Probleme mit HAProxy
« on: April 30, 2024, 04:48:50 pm »
Nachdem ich nun auf 24.1.6 Upgegraded habe habe ich nun Probleme mit dem HAProxy.
Irgendwas scheint dort mit der Configuration nicht mehr zu passen im neuen Release.


Fehlermeldung dazu hier:

Erstmal hat er erkannt das wohl eine Differenz in Configuration gibt:

--- /usr/local/etc/haproxy.conf   2023-10-13 21:25:15.801837000 +0200
+++ /usr/local/etc/haproxy.conf.staging   2024-04-30 16:37:37.211591000 +0200
@@ -12,6 +12,7 @@
     nbthread                    1
     hard-stop-after             60s
     no strict-limits
+    httpclient.resolvers.prefer   ipv4
     tune.ssl.default-dh-param   1024
     spread-checks               0
     tune.bufsize                16384
@@ -42,7 +43,7 @@
 
 # Frontend: Frontend_RSPAMD ()
 frontend Frontend_RSPAMD
-    bind 172.29.2.1:11334 name 172.29.2.1:11334 ssl  crt-list /tmp/haproxy/ssl/5f0b440942b9d4.71019842.certlist
+    bind 172.29.2.1:11334 name 172.29.2.1:11334 ssl no-alpn crt-list /tmp/haproxy/ssl/5f0b440942b9d4.71019842.certlist
     mode http
     option http-keep-alive
     default_backend Backend_RSPAMD


Beim Syntax Check meint er das hier:

[NOTICE] (96963) : haproxy version is 2.8.9-1842fd0
[NOTICE] (96963) : path to executable is /usr/local/sbin/haproxy
[ALERT] (96963) : config : parsing [/usr/local/etc/haproxy.conf.staging:46] : 'bind 172.29.2.1:11334' in section 'frontend' : 'crt-list' : cannot open file '/tmp/haproxy/ssl/5f0b440942b9d4.71019842.certlist' : No such file or directory
[ALERT] (96963) : config : Error(s) found in configuration file : /usr/local/etc/haproxy.conf.staging
[ALERT] (96963) : config : Fatal errors found in configuration.

Wie ich das lese hat der nun Probleme das Zertifikat zu lesen weil er keins findet.
Bzw. kann es sein das ich mal wieder ein Directory anlegen muss da es nicht vorhanden ist evtl. ?

Hier noch Update:

root@opensense01:/tmp/haproxy/ssl # ls -alF
total 39
drwxr-x---  2 www  www     5 Apr 30 16:37 ./
drwxr-x---  7 www  www     7 Apr 30 15:45 ../
-rw-------  1 www  www  5183 Apr 30 16:46 5f0b436c884250.54714133.calist
-rw-------  1 www  www  1911 Apr 30 16:46 6628cfc91b808.issuer
-rw-------  1 www  www  8156 Apr 30 16:46 6628cfc91b808.pem
root@opensense01:/tmp/haproxy/ssl #

Anscheinend sucht nach einem File was dort nicht gibt.


Update:
Ok konnte das Problem Lösen einfach das Zertifkat nochmals neu zugewiesen im Frontend dann ging es wieder.

10
German - Deutsch / Re: Frage: Upgrade 24.1.6
« on: April 30, 2024, 04:33:36 pm »
Und wie kann ich releay weiter nutzen gibt es ein Plugin oder irgentwas?

11
German - Deutsch / Frage: Upgrade 24.1.6
« on: April 30, 2024, 03:54:41 pm »
Hallo,

ich habe den Patchnotes gelesen das nun was mit dem DHCPReleay geändert wurde.
Auf meiner Firewall sehe ich auch das es nun Einträge dort gibt von wegen Migrated IPV4 Server Entry.

Jetzt wäre meine Frage ist das DHCPRelay schon abgelöst? Und wurden die Einträge nun ins ISC DHCP Migriert oder wo finde ich die Konfiguration nun?

Vielleicht kann mir das mal einer kurz mitteilen was man da nun unternehmen muss. Weil ich z.b nutze nämlich keine DHCP Funktionalitäten auf der Firewall sondern habe diese auf meinen DHCP / DNS Server ausgelagert daher nutze ich nur die DHCPReleay funktion dort.

Viele Grüsse

12
German - Deutsch / Re: RspamD Webinterface
« on: April 27, 2024, 12:45:50 pm »
Danke werde es mal ausprobieren mit der neu erstellen Datei ob es dann funktioniert.

13
German - Deutsch / Re: RspamD Webinterface
« on: April 12, 2024, 06:15:12 am »
Hallo Mimugmail,

ich denke du meinst diese Datei?
/usr/local/etc/rspamd/worker-controller.inc
Aber leider ist das auch die die immer anpassen muss. Und nach einem Upgrade wird sie wieder überschrieben.

Eine andere finde auch nicht auf dem System.
find / -name worker-controller.inc
/usr/local/etc/rspamd/worker-controller.inc
root@opensense01:~ #

Wäre froh über weiteren Input um das Problem zu lösen.
Viele Grüsse


14
German - Deutsch / RspamD Webinterface
« on: March 31, 2024, 07:14:57 pm »
Hallo zusammen,

ich habe eine Frage es geht um das Webinterface von RspamD. Dieses funktioniert auch soweit nur das ich nach jedem Upgrade für das Webinterface wieder auf der Console das Passwort neu setzten muss das ist ein wenig nerfig und wollte fragen ob es dafür eine Lösung gibt. Dieses kann leider nicht über die GUI eingegeben werden so das ich immer die Datei "worker-controller.inc" anfassen muss und dort das entsprechende Passwort hinterlegen muss.

Gibt es eine bessere Möglichkeit möglicherweise?

Derzeit sehen die schritt so aus.

1. rspamadm pw (neues passwort generieren)
2. Datei editieren und zeile :
password="q1"; mit dem neuen Passwort hinterlegen (verschlüsselt versteht sich)
3. Speichern
4. Webservice reloaden.

Schön wäre es wenn man das in der GUI hinterlegen könnte damit wäre es dann überflüssig nach jedem Update diesen schritt durchzuführen.

Viele Grüsse

15
German - Deutsch / Syslog-NG nicht erreichbar
« on: May 23, 2023, 04:02:18 am »
Hallo zusammen,

ich habe gesehen, dass man recht simple einen SYSLOG-NG Server laufen lassen kann, z.mind in der Theorie.
Bei mir auf der opnsense läuft der Service auch auf dem Port 514 hab es auch versucht auf einem anderen Port aber anscheinend ist der Service nicht erreichtbar wenn dann die vergebene IP Aufrufe z.b per Telnet.

Ich habe sowohl mit der zugewiesenen IP Addresse auf der Firewall probiert als auch als Localhost probiert ohne erfolg.
Selbst wenn ich hingehe und 127.0.0.1 versuche über den Port 514 auf der Shell von der Opnsense anzusprechen bekomme ich leider keine Verbindung zu Service.

Hier mal ein paar fakten zur Konfiguration.

https://i.postimg.cc/QMzwf2xZ/1.jpg

https://i.postimg.cc/Hx5ZBjhb/2.jpg

netstat -an | grep 514
udp4       0      0 172.29.2.1.5092        172.29.2.1.514
udp4       0      0 127.0.0.1.51489        127.0.0.1.53
udp4       0      0 127.0.0.1.51465        127.0.0.1.53
udp4       0      0 172.29.2.1.25146       172.29.2.20.53
root@opensense01:~ # telnet 172.29.2.1 514
Trying 172.29.2.1...
telnet: connect to address 172.29.2.1: Operation timed out
telnet: Unable to connect to remote host

service syslog-ng status
syslog_ng is running as pid 41691.

Ich habe auch geschaut er schreibt auch die Konfiguration auf der Shell in den Konfigurationsfiles runter unter Syslog-NG.
Ich habe auch auf der Firewall entsprechende portregeln erstellt damit der Port erreichbar wäre.
All das hat leider nicht geholfen.

Es macht auch keinen Unterschied ob ich nun UDP, TCP oder TLS als Transport Layer verwendende.
In allen 3 Konfigurationsbeispielen läuft es nicht.
Genauso macht auch keinen Unterschied ob nun Localhost oder die IP Addresse von der Firewall verwende für den Service das Ergebnis bleibt das gleiche.

Für mich sieht es so aus, weil wenn 127.0.0.1 verwendende sollten Firewallregeln keinen Unterschied machen das sollte aus meinen Verständnis auf der opnsense erreichbar sein wenn ich direkt auf der shell versuche den Service zu erreichen, zumal dieser läuft. Aber anscheinend hört er nicht auf der IP + Port das er dort reagiert.

Habe ich vergessen irgendwas zu konfigurieren benötigt es noch irgendwas ?
Weil ich wenn ich das Handbuch dazu mir anschaue stand nicht mehr dabei was man für den Service konfigurieren musste wäre froh wenn jemand vielleicht noch eine Idee hätte woran es liegen können das Problem hatte ich auf 22.7 Firmware gehabt und auch auf der aktuellen Firmware : OPNsense 23.1.7_3-amd64.

Vielleicht hat jemand ähnliche Problem gehabt und konnte es lösen ich wäre sehr dankbar über eine mögliche Lösung.

Hoffe ich konnte es einiger massen verständlich rüberbringen. Falls noch Fragen sind einfach Fragen dann versuche ich diese zu beantworten.

Viele Grüsse








Pages: [1] 2 3 ... 6
OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2