Messages

Hallo liebe Opnsense Community,

aktuell versuche ich auf meinen UCS per SFTP Automation, Zertifikate hochzuladen.
Leider aber klappt das nicht :( ich befürchte der Fehler sitzt vor dem Bildschirm und sieht den Wald vor lauter Bäumen nicht mehr.

Die Zertifikate wurden erfolgreich bei LE geholt. Die SFTP Automation schlägt dann aber fehl.

es gab hier auch Beiträge, die den Pfad zu den korrekten Keyfiles zeigen, dieser Pfad existiert aber nicht auf meiner Sense.
Nutze ich die SSH RSA Keys die ich für Putty verwende, schlägt das Ganze fehl.

Nach meinem Verständnis muss ich doch die Keyfile nutzen die ich auch für den Login per SSH auf dem UCS verwende damit die SFTP Verbindung funktioniert? - oder liege ich hier falsch?

Vielen lieben Dank

Gruß Rocker

Hallo,

danke für deine Hilfe!
Ich konnte das Problem inzwischen beheben, ich habe die komplette Konfiguration noch einmal gemacht und schwupps habe ich auch die IP´s in den Hosts hinter dem HAproxy erhalten!
ich denke ich hatte da irgendwo einen Fehler in der Konfig.

Danach habe ich nur noch den Nnginx vhost um:

Code Select Expand

set_real_ip_from    XX.XX.XX.XX;
real_ip_header      X-Forwarded-For;

erweitert.

Jetzt klappt alles :D und es tauchen die remote client ip´s auf, bzw. arbeitet fail2ban wie gewünscht.

Danke für die Unterstützung

Gruß Rocker

Hallo,

Danke für die Unterstützung,
ich habe auf 2 dahinterliegenden Servern die Logs überprüft, hier sind keine externen IP Adressen zu finden.
was müsste ich den wo eintragen damit er es weiterschubst?

Danke

Gruß Rocker

Hallo,

Danke für deine Antwort,
aber ist nicht eigentlich genau der X-Headers Haken dafür da, um die Infos der Clients an den Host weiterzuleiten? (inkl. der Client IP´s)
wie gesagt ich sehe im HA Proxy die externen IP´s er leitet diese aber nicht weiter.
Kann man so etwas mit einer Regel einstellen, dass er diese weiterschubst?

Danke

Gruß Rocker

Hallo,

evtl. noch als kurze Ergänzung,
Im HAProxy log sehe ich die "externen" IP´s diese werden aber anscheinend nicht weiter an die Server dahinter gegeben.

Gruß Rocker

Hallo,

Anbei die Konfiguration des HA Proxy,
wie gesagt, ich habe diesen exakt nach der Vorlage von schulnetzkonzept.de konfiguriert.
Es funktioniert alles, auch die Erstellung von LE Zertifikaten, aber ich bekomme immer die Gateway Adresse in den Logs angezeigt :( - das ist aber auch etwas komisch, da das NAT ja auf 2 Adressen innerhalb des Server Netzes (eine für http und die andere für https) zeigt und diese IP sehe ich aber nicht in den Logs.

Vielen Dank

Gruß Rocker

Danke für die Antwort.
Ja, ist gesetzt.
Wenn ich später zuhause bin poste ich die Konfiguration mal.

Gruß Rocker

Hallo,

ich habe den HAProxy nach der Anleitung vom Schulkonzept.net eingerichtet, und dieser läuft auch!
(HAProxy Konfiguration inkl. der NAT und Firewall Regeln wurden aus https://schulnetzkonzept.de/opnsense übernommen)

Jetzt bin ich aber auf ein Problem gestoßen, denn im Logging der Server (z.B. der Nextcloud) die ich dahinter betreibe, taucht immer nur die Gateway Adresse als anfragende IP auf, es macht auch keinen Unterschied, ob ich ein Handy aus dem Funknetz oder einen sich im Lan befindenden Rechner für die Anfrage nutze.
Das Resultat ist immer, dass die Anfragende IP die Schnittstelle des Server-Netzes ist.

Was müsste ich umstellen, dass die "echten" IP Adressen der Anfragenden bei den Servern landen, den ich möchte z.B. Fail2Ban nutzen.

vielen Dank

Gruß Rocker

darüber habe ich auch schon nachgedacht, aber dann müsste ich die ganzen Server umbauen, und überall den nginx neu konfigurieren - ich dachte zudem dass es deutlich einfacher ist das Ganze nur durchzureichen und die Server dahinter machen den Rest selbst...

Gruß Rocker

Hallo,

so ich habe jetzt  mal weiter experimentiert.
Ich habe jetzt eine Condition und eine Regel mit SNI erstellt, damit er den Domain mitbekommt und zuordnen kann.
Zudem habe ich eine virtuelle IP innerhalb der DMZ angelegt, auf diese zeigt ein NAT-Portforwarding mit den Ports 80 und 443.
Diese Adresse hab ich dann im Öffentlichen Dienst als hörend eingetragen.

Leider funktioniert auch diese Konfiguration im Browser nicht - "Session timed out"

Ist es eigentlich nötig FW Regeln zu definieren, oder würde es auch reichen wenn der Öffentliche Dienst auf der WAN Schnittstelle horcht?

Danke

Gruß Rocker

Hier noch die anderen 3 Bilder der Konfiguration

Danke

Gruß Rocker

Im Anhang sind nun Bilder was ich Konfiguriert habe, aber ich bekomme so keine Verbindung hin.
es ist egal ob ich als hörende Ports 0.0.0.0 oder 127.0.0.1 eingebe.
FW Regeln habe ich zu diesem Zeitpunkt noch keine erstellt.

Da hast du natürlich vollkommen recht :D

anbei eine grobe Skizze meines Netzes von Zuhause im Anhang.

Als Konfig habe ich aktuell nichts mehr eingetragen, da ich nach den zig Versuchen ein Backup eingespielt habe.
Ich könnte Quasi von vorne neu Aufsetzen.

bzw. ich lege mal eine Konfig an und poste diese dann hier.

Danke Gruß Rocker

Hallo,

ich kämpfe seit ein paar Wochen jetzt mit dem haproxy :D ich habe verschiedene Tutorials durchprobiert, aber ich bekomme keine Verbindung zu meinen Diensten dahinter.

Ich betreibe in einer DMZ aktuell eine Searx und eine Nextcloud beides mit Subdomains.
Das weiterleiten zum richtigen Server macht aktuell der Nginx auf der Nextcloud zudem übernimmt er auch die Zertifikatsverwaltung für alle Server dahinter.

Zugriff von draußen erfolgt über ein NAT Portforwarding. (Port 80 und 443)

Das alles funktioniert auch erst mal alles soweit.

Jetzt würde ich die Dienste aber gerne etwas entflechten. Denn wenn ich z.B. ein Backup der Nextcloud mache ist die Searx nicht mehr erreichbar, da der Nginx hierzu abgeschaltet werden muss.

Ich würde gerne das jeder Server seine Zertifikate selbst regelt und somit auch "autark" ist.
Die Zuweisung der Anfragen soll aber dann der haproxy übernehmen.

jetzt habe ich die Anleitung aus dem wiki versucht und ich habe folgende Anleitung leicht abgeändert versucht:
https://schulnetzkonzept.de/opnsense

auch habe ich versucht den haproxy im tcp modus zu betreiben, da ich die Zertifikate dahinter nutzen möchte.
Aber ich komme einfach nicht auf die Dienste :(
Entweder erhalte ich einen Timeout, oder einen SSL Fehler.

hat so etwas schon mal jemand von euch versucht? oder hat eine Anleitung für so ein Vorhaben.
Bzw. steht am Ende des Wikis, dass entsprechende Regeln in der FW angelegt werden müssen - evtl. hängt es einfach nur daran.

Vielen lieben Dank

Gruß Rocker

WOW! - Danke für die ausführliche Antwort!

Wir werden deinem Rat folgen und es versuchen genau so zu lösen.

Vielen Dank

Gruß Rocker