Messages

1

Tutorials and FAQs / Re: HowTo - Let's encrypt with HaProxy with 19.1.4

« on: April 18, 2021, 08:10:08 pm »

Hey there,

could you write the instructions without abbreviations? I'm going crazy right now to bring bitwarden online with a subdomain 

I search and search my german interface to find out what you mean with P/HAP The rest is okay right now, although it would be more understandable with screenshots.

Thank you in advance
HC

2

German - Deutsch / Subdomain mit CNAME nicht erreichbar

« on: April 17, 2021, 05:48:50 pm »

Hallo zusammen,

ich habe nun seit einiger Zeit eine OPNSense am laufen und bisher hat auch alles wunderbar funktioniert, auch wenn ich mich an manchen Stellen echt einfuchsen musste. Aber mit den Problemen wächst man bekanntlich ja auch Doch nun bin ich an einem Punkt, an dem ich partou nicht weiter komme und ich hoffe, ihr könnt mir helfen. Ich möchte eine subdomain nextcloud.xyz.de erreichbar machen. Das ganze soll mit NGINX und letsencrypt laufen. Die Domain habe ich bei INWX registriert, dyndns angelegt, ein A Record von dyndns.xyz.de auf die Domain gelegt und einen CNAME mit der Subdomain angelegt. Temporär habe ich ICMP ankommend an der OPNSense erlaubt und der ping klappt wunderbar. Die OPNSense ist übrigens dedizierte Hardware und wählt sich per pppoe mit einem Modem ein.

Bei Lets encrypt (acme-client plugin) habe ich per DNS-01 handshake auch Zertifikate erhalten. Joa und an der Stelle weiß ich nicht, ob ich das Problem im NGINX (plugin) habe, oder bei OPNSense itself. Gehe ich per Port 80 auf nextcloud.xyz.de, kommt folgende Meldung. Mittlerweile doch recht simpel gefunden, deaktiviere ich das NGINX plugin, erscheint keine Fehlermeldung. D.h. nach meiner Schlussfolgerung, irgendeinen Denkfehler habe ich wahrscheinlich im NGINX.

"Server Error Sorry, but something went wrong on our side. There is nothing you can do except waiting until we fix the issue."

Per 443 läuft er ins leere, auch per Smartphone und LTE um extern zu testen. Die Fehlermeldung auf 80 irritiert mich etwas ud sollte sie von der Sense kommen und nicht vom NGINX, würde ich dies natürlich ebenfalls gerne ändern. Geklärt, kommt offensichtlich vom NGINX Plugin.

Nun zu meiner Konfiguration. Der Nextcloudserver hat eine funktionierende IP und das GW ist die IP der Firewall. Rufe ich das Webinterface intern per IP auf, funktioniert alles einwandfrei.

Im Protokoll des NGINX Plugins steht folgendes, wenn ich mit dem Smartphone zugreife:

HTTP Access Log
17/Apr/2021:19:01:14 +0200   46.114.141.100   -   502   7701   -   Mozilla/5.0 (Linux; Android 10; Client) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.66 Mobile Safari/537.36   -   GET / HTTP/2.0

17/Apr/2021:19:01:15 +0200   46.114.141.100   -   502   7701   https://nextcloud.abc.de/   Mozilla/5.0 (Linux; Android 10; Client) AppleWebKit/537.36 (KHTML, like Gecko) Browser Mobile Safari/537.36   -   GET /favicon.ico HTTP/2.0

HTTP Error Log
2021/04/17   19:01:14   crit   28717#100178   *259 connect() to 192.168.next.cloud:443 failed (13: Permission denied) while connecting to upstream, client: 46.114.phone.mobil, server: nextcloud.abc.de, request: "GET / HTTP/2.0", upstream: "https://192.168.next.cloud:443/", host: "nextcloud.abc.de"

2021/04/17   19:01:15   crit   28717#100178   *259 connect() to 192.168.next.cloud:443 failed (13: Permission denied) while connecting to upstream, client: 46.114.phone.mobil, server: nextcloud.abc.de, request: "GET /favicon.ico HTTP/2.0", upstream: "https://192.168.next.cloud:443/favicon.ico", host: "nextcloud.abc.de", referrer: "https://nextcloud.abc.de/"

In den Allgemein Einstellungen der OPNSense habe ich das Webinterface auf 447 gelegt und die HTTP Weiterleitung deaktiviert. In den Firewallregeln habe ich WAN wie auf dem Screenshot konfiguriert und 80+443 frei gegeben.

NGINX Konfiguration:

Enabled

Upstream Server:

• IP des Nextcloudservers
• Port 443
• Prio 1
• max connections 1000, fehler 20, timeout 900

Upstream

• Server Nextcloud
• Round Robin
• TLS?? Muss hier etwas rein? Beides geht aber nicht, ob mit oder ohne
• Bei vertrauenswürdiges Zertifikat, habe ich das von lets encrypt ausgewählt

HTTP(S) Position

• URL pattern /
• Upstream Servers: Nextcloud
• Ansonsten alles leer

HTTP(S) - HTTP Server

• HTTP/HTTPS listen Ports: 80,443
• Servername: nextcloud.xyz.de
• Locations: Nextcloud
• TLS Zertifikat: lets encrypt nextcloud
• Client CA Zertifikat: R3 (lets encrypt)
• Charset: utf-8

So dies sind alle Konfigurationen die ich vorgenommen habe... kann mir jemand bei meinem (aus meiner Sicht) nicht ganz trivialen Problem helfen? Das wäre Klasse

Viele Grüße und einen Schönen Abend
Daniel aka HC

3

Hardware and Performance / Re: A few more Qotom Devices

« on: September 19, 2018, 03:59:22 pm »

Hey Mark,

oh let us delight in old times  But I never compiled this thing, in my times it gave an image  But yes... this is long time ago.

To my Background. Yes it is for home but I am a sysadmin and try out new Software to recommend it otherwise. I also have (and plan to expand my Homelab / Small Home Office). In Future there is more Traffic and also other traffic then Netflix & Co. And usually I Prefer reliable Hardware e.g. my Synology for NAS.

Much greetings
HC

4

Hardware and Performance / A few more Qotom Devices

« on: September 19, 2018, 01:34:36 pm »

Hey There,

I'm a new guy from Germany here. My previous experience with FWs were with IP(Cop/Fire), but now I want to go the Next steps. My requirements are about similar to racielrod in Home Gigabit Setup - Best... but I want to use IPS and the new Sensai Addon. I have read that these two points are very hardwarehungry and so I have searched the whole day für the right Devices. My results are new Qotom Hardware in Aliexpress with up to 16GB RAM and new CPUs.

Does anyone have any experience with these Devices? (sorry I had searched with Euros and not in USD  )

• Qotom Q550G6 (1) (16GB, Gen Core i5-6200U Skylake Dual Core, 6 (Intel) NICs, ca. 15W) Costs: ca. 400€
• Qotom Q550G6 (2) (16GB, Gen Core i5-6200U Skylake Dual Core, 6 (Intel) NICs, ca. 15W) Costs: ca. 390€
• Qotom Q500G6 (16GB, Intel Celeron 3865U Dual Core, 6 (Intel) NICs) Costs: ca. 286€
• Qotom Q570G6 (16GB, Intel Core i7-6500U Dual Core, 6 (Intel) NICs) Costs: ca. 459€

Is one of this hardware enough to use OPNSense with a 100Mbit WAN, IPS, Sensai and perhaps ICAP with AV (internal or external)? I launch DNS in a Raspi Config with PI-Hole, so this is negligible in the O-Sense.

Best regards
HC

P.s. If the Qotom are not enough, or have a bad price-performance ratio, wich Device do you recommend?

5

German - Deutsch / Re: OPNSense Neuling sucht Hardware

« on: September 19, 2018, 09:51:01 am »

Moin,

okay mir ist schon klar dass meine Ansprüche zu hoch und der Geldbeutel zu klein ist ^^ Mit Kompromissen habe ich gerechnet, doch vielleicht findet sich ja noch etwas. Hat hier jemand Erfahrungen mit den Qotom Geräten? 1-2 Modelle würden mir da schon zusagen. Nur habe ich zu anderen chinesischen Günstiganbietern gelesen, dass sie nach 10 Tagen im Dauerbetrieb unter etwas Last den Hitzetod gestorben sind.

Einen anderen Hersteller den ich gefunden habe ist Spo-Comm, allerdings haben die auf ihrer Seite keine Preise. Besonders das "Windbox II" sieht smart aus. Fällt raus, da der kein AES-NI unterstützt. Und beim
Rugged GTX 1050Ti gibt Intel schon für den Prozessor rund 200€ als empfohlenen Preis an.

ich weiß aber nicht, ob es da überhaupt ein Modell mit min. 3xLAN und max. 16 GB RAM gibt!

Haben sie Nur Merkwürdig, dass sie bei Aliexpress so etwas anbieten, auf Ihrer Homepage davon aber nichts zu finden ist.

Schau Dir mal einen HP Microserver an.

Habe ich, der (oder ein Äquivalent) kommt für meine zukünftige Proxmox Umgebung.

Ich habe jetzt dutzende hunderte Angebote bei Aliexpress angeschaut und davon verbleiben die QOtom als die seriösesten. Und da vielleicht noch Andere Interesse haben, hier mal meine Ergebnisse. Noch sind sie nicht in Stein gemeißelt, aber andere Alternativen mit einem solchen Preis- Leistungsverhältnis habe ich bis jetzt nicht gefunden. Dabei sind 400-460€ eigentlich weit über meinem angesetzten Budget.

Noch etwas, sollte es eines der werden, würde ich die 60€ auch noch ausgeben und gleich zum i7 greifen. Nun möchte ich auch etwas in die Zukunft schauen, so dass das System mit steigenden Anforderungen auch mit einer, sagen wir 100Mbit Leitung klar kommt. Gerade wenn es um Suricata geht, steigt ja die Prozessorlast, dann noch das Sensai Addon... reicht da ein Dual Core mit 4 Threads und 2,50 GHz? Wäre es ggf. nicht sogar sinnvoller einen Quad Core mit weniger Leistung Pro Kern zu haben?

Aber hier erst einmal meine aktuellen Fundstücke, über Alternativen wäre ich sehr dankbar.

• Qotom Q550G6 (1) (16GB, Gen Core i5-6200U Skylake Dual Core, 6 (Intel) NICs, ca. 15W) Preis: ca. 400€
• Qotom Q550G6 (2) (16GB, Gen Core i5-6200U Skylake Dual Core, 6 (Intel) NICs, ca. 15W) Preis: ca. 390€
• Qotom Q500G6 (16GB, Intel Celeron 3865U Dual Core, 6 (Intel) NICs) Preis: ca. 286€
• Qotom Q570G6 (16GB, Intel Core i7-6500U Dual Core, 6 (Intel) NICs) Preis: ca. 459€

Viele Grüße
HC

6

German - Deutsch / OPNSense Neuling sucht Hardware

« on: September 18, 2018, 09:15:26 am »

Moin zusammen,

kurz zu mir. Ich bin im besten Alter und schon eine Gefühlte Ewigkeit in den Bereichen Linux und Co Anwender. Ich habe schon einige IP(Cop/Fire)-Installationen aufgesetzt und bin als Sysadmin tätig. Wie wahrscheinlich fast alle Syadmins nutze ich meine private IT als Spielwiese und da ich im beruflichen Alltag wenig Berührungspunkte mit Security und Hardware habe, ist hier wahrscheinlich die bessere Anlaufstelle

Als neues Projekt möchte ich meine FB ablösen und eine OPNSenseinstanz intigrieren. Für diese suche ich nun passende Hardware die auch ein wenig zukunftsorientiert sein soll. Die generellen Anforderungen sind ja nicht all zu hoch, doch die letzten Tage bin ich auf das Sensai Plugin gestoßen welches ich gerne ebenfalls testen möchte. Damit steigen die empfohlenen Ressourcen auf 8GB Ram und damit fallen APUs leider schon einmal weg. Außerdem möchte ich nach und nach Squid und Surricata implemetieren.

Wie es mit VPN aussieht werde ich schauen. Momentan habe ich auf einem Raspbi meinen DNS Server mit PiHole und OpenVPN integriert. Da ich nur hin und wieder eine VPN Einwahl nutze ohne riesige Bandbreiten zu benötigen sind hier meine Voraussetzungen eher gering.

Nun wäre die Frage, welche Hardware? mein Preisrahmen bewegt sich bei ~300€, wobei es mir nicht auf 20-30€ ankommt, nur sollten es halt keine 200-300€ mehr sein. Decisos A10 GEN2 (Modell E oder G) hören sich zwar interessant an, jedoch habe ich keine Preisangaben und Händler gefunden. Die Komplettsätze bei Deciso bewegen sich dann doch eher in der 500-600€ Region und das ist mir als Freizeitprojekt doch ein wenig zu viel.

Intel NUCs haben leider, soweit ich gesehen habe, nur ein Ethernetanschluss. Als nächstes bin ich auf Pondesk Pico PCs gestoßen. Diese hören sich zwar sehr gut an, nur finde ich nirgendwo Erfahrungsberichte. Ein System aus China, welches einer Heizung ähnelt und nach zwei Wochen den Hitzetod stirbt möchte ich auch nicht haben.

Gibt es weitere Empfehlungen von euch? Bei supermicro.com scheint es diverse Sets zu geben, nur finde ich keine Händler / Preise. Es kann doch nicht so unmöglich sein? 2-3 (Intel)-Ethernet  ports, >8GB, QuadCore >1,5 GHz mit 10-15 Watt Energieverbrauch, höher sind meine Ansprüche gar nicht 

Viele Grüße
HC