1
24.7 Production Series / Re: HAProxy no SNI
« on: November 05, 2024, 08:04:46 pm »
Ah found it. Seems to work now.
Thank you a lot!
Thank you a lot!
Show Posts
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
2
24.7 Production Series / Re: HAProxy no SNI
« on: November 05, 2024, 07:55:55 pm »
Thanks for the reply.
I already enabled strict_sni in my frontend. After that a connection from Apple Mail is working, but thunderbird and other clients not
I already enabled strict_sni in my frontend. After that a connection from Apple Mail is working, but thunderbird and other clients not
3
24.7 Production Series / HAProxy no SNI
« on: November 05, 2024, 07:45:00 pm »
Hello everyone,
at the moment I am trying to filter via SNI on HaProxy for my SMTPS and IMAPS connections.
Its all working fine when I select the default backend for SMTPS and IMAPS.
So I tried to create a condition where the SNI matches "smtp.mydomain.de" and "imap.mydomain.de".
Than no connection is possible.
The HAProxy is only in TCP Mode (working fine when default Backend is selected).
I already did a wireshark pcap on my WAN Interface, where the HAProxy is listening. The first TLS package show thats the SNI is set correctly "Client Hello (SNI=smtp.mydomain.de)".
So seems like HAProxy isn't respecting the SNI.
All Updates are installed.
Maybe anyone has an idea.
at the moment I am trying to filter via SNI on HaProxy for my SMTPS and IMAPS connections.
Its all working fine when I select the default backend for SMTPS and IMAPS.
So I tried to create a condition where the SNI matches "smtp.mydomain.de" and "imap.mydomain.de".
Than no connection is possible.
The HAProxy is only in TCP Mode (working fine when default Backend is selected).
I already did a wireshark pcap on my WAN Interface, where the HAProxy is listening. The first TLS package show thats the SNI is set correctly "Client Hello (SNI=smtp.mydomain.de)".
So seems like HAProxy isn't respecting the SNI.
All Updates are installed.
Maybe anyone has an idea.
4
German - Deutsch / Re: Private IP wird über WAN geroutet
« on: August 29, 2024, 08:53:24 am »
Das ist ein Punkt, was ich bei OPNsense wesentlich besser finde.
Das Ding macht eben das, was man einstellt. Und nicht irgendwelche Dinge, die der Hersteller mal für sinnvoll befunden hat, sobald man abweicht aber in einem Chaos enden.
Das Ding macht eben das, was man einstellt. Und nicht irgendwelche Dinge, die der Hersteller mal für sinnvoll befunden hat, sobald man abweicht aber in einem Chaos enden.
5
German - Deutsch / Re: Openvpn Clients bekommen offenbar den DNS-Server nicht mitgeteilt
« on: August 29, 2024, 08:46:28 am »Nachtrag:
Es scheint ein Windows-Problem mit dem OpenVPN-Client zu sein :'(
Parallel mit dem KDE Networkmanager auf einer Linux-Box getestet, da wird der DNS sauber übergeben und auch eingebunden.
Bin etwas Ratlos...
Welchen Windows Client verwendest du?
6
24.1 Legacy Series / Re: Can't get VOIP traffic to be allowed.
« on: July 10, 2024, 02:05:10 pm »
When it is still not working. Some hints:
When you use voip.ms just as a SIP Trunk, you don't need to do a Port forwarding.
Just register the FreePBX online and allow the outgoing connections to voip.ms on your OPNsense <-> FreePBX Interface.
If not working then, i think your issue is in your FreePBX config, not OPNsense...
Basically the FreePBX is acting like a normal SIP Client, you need to forward ports, when you want to register devices from the internet to your FreePBX (like a SMartphone or so), or do it via VPN - but thats another topic.
When you use voip.ms just as a SIP Trunk, you don't need to do a Port forwarding.
Just register the FreePBX online and allow the outgoing connections to voip.ms on your OPNsense <-> FreePBX Interface.
If not working then, i think your issue is in your FreePBX config, not OPNsense...
Basically the FreePBX is acting like a normal SIP Client, you need to forward ports, when you want to register devices from the internet to your FreePBX (like a SMartphone or so), or do it via VPN - but thats another topic.
7
German - Deutsch / Re: Diverse Fragen zur DMZ und Reverse Proxy
« on: June 23, 2024, 08:32:53 pm »
Mal eine Info wie ich das ganze meist mache.
Pro System welches im Internet hängt habe ich eine eigene DMZ (frisst ja kein Brot, wenn man das per VLAN macht). Diese ist soweit eingeschränkt, dass das jeweilige System Update laden kann und der Dienst funktioniert. Nicht mehr, kein Zugriff auf das LAN oder eine andere DMZ (außer es ist notwendig).
Die DMZ hat ja erstmal nichts mit dem Reverseproxy zutun. Ziel der DMZ ist es, den Schaden zu begrenzen, falls mal ein System gehackt wird.
Den Reverseproxy habe ich meist ebenfalls auf der OPNsense, da dort sowieso die Webanfragen ankommen. Von da aus wird dann an den jeweiligen Dienst in der DMZ verwiesen.
Den Reverseproxy nehme ich lager ich nur aus, wenn die OPNsense die Performance nicht hergibt.
Zu den einsehbaren Zertifikaten: Es ist auch einsehbar, wenn du einzelne Zertifikate nutzt. Gibt diverse Dienste im Netz, die das können.
Da ist ein Wildcard sogar versteckter, da man nur *.domain sieht und nicht nextcloud.domain, proxmox.domain ...
Pro System welches im Internet hängt habe ich eine eigene DMZ (frisst ja kein Brot, wenn man das per VLAN macht). Diese ist soweit eingeschränkt, dass das jeweilige System Update laden kann und der Dienst funktioniert. Nicht mehr, kein Zugriff auf das LAN oder eine andere DMZ (außer es ist notwendig).
Die DMZ hat ja erstmal nichts mit dem Reverseproxy zutun. Ziel der DMZ ist es, den Schaden zu begrenzen, falls mal ein System gehackt wird.
Den Reverseproxy habe ich meist ebenfalls auf der OPNsense, da dort sowieso die Webanfragen ankommen. Von da aus wird dann an den jeweiligen Dienst in der DMZ verwiesen.
Den Reverseproxy nehme ich lager ich nur aus, wenn die OPNsense die Performance nicht hergibt.
Zu den einsehbaren Zertifikaten: Es ist auch einsehbar, wenn du einzelne Zertifikate nutzt. Gibt diverse Dienste im Netz, die das können.
Da ist ein Wildcard sogar versteckter, da man nur *.domain sieht und nicht nextcloud.domain, proxmox.domain ...
8
German - Deutsch / Re: Schulprojekt OPNsense mit VPN
« on: January 23, 2024, 11:09:10 am »
Denke ein grober Netzplan wäre da am hilfreichsten, damit jeder Versteht wo genau die FritzBox hängt und was genau diese macht.
Ansonsten ist euer Vorhaben durchaus machbar. Auf welche VPN Lösung man dann setzt ist euch überlassen.
Der einfachheit halber würde ich eher richtung OpenVPN oder Wireguard tendieren.
Ansonsten ist euer Vorhaben durchaus machbar. Auf welche VPN Lösung man dann setzt ist euch überlassen.
Der einfachheit halber würde ich eher richtung OpenVPN oder Wireguard tendieren.
9
German - Deutsch / Re: RDP Verbindung bricht immer wieder ab
« on: September 29, 2023, 02:44:31 pm »
Habe allgemein bessere Erfahrungen damit gemacht die RDP Verbindungen über TCP laufen zu lassen.
10
German - Deutsch / Re: SIP an FritzBox, hinter OPNsense
« on: July 22, 2023, 08:11:08 am »Das vermutest du richtig.....dank Outbound NAT muss die FB das Netz auch nicht kennen...in der TheorieAn sich hast du recht.
(Netzwerkplan siehe Anhang.)
SIP ist da aber etwas anders unterwegs und hat meist die IP nochmal in den SIP und RTP Paketen, da bringt NAT dann nicht viel.
11
German - Deutsch / Re: SIP an FritzBox, hinter OPNsense
« on: July 19, 2023, 03:19:37 pm »Die FB läuft im Router-Modus - muss sie ja auch, da sie den Internetzugang zur Verfügung stellt....Bitte erstell doch mal einen kurzen Netzwerkplan damit wir wissen welches Netz wo ist.
Vermutlich ist da ja das LAN Netz der OPNsense, welches die FritzBox nicht kennt.
OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk
PM for paid support
12
General Discussion / Re: Discord...unpopular opinion?
« on: July 19, 2023, 07:15:59 am »I wish there was a discord, every other tech project I have worked on has one, whether official or community built. Get my questions answered in 10 minutes or less. Stuff stalls on here for months.The forum here is the biggest place for information about OPNsense.
It’s searchable for non registered Users which is important.
For small issues or just discussing something like discord wouldn’t be bad (I hate discord). But there is also an unofficial telegram group, maybe that’s already what you are looking for?
If not, why do you don’t open up a discord?
OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk
PM for paid support
13
General Discussion / Re: esxi Host - Ports not connecting - disconnected and now won't reconnect
« on: July 17, 2023, 08:40:51 pm »
Is it possible that the NICs have a new name (eth0 now igb0 for example)?
If yes you need to reassign them.
OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk
PM for paid support
If yes you need to reassign them.
OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk
PM for paid support
14
German - Deutsch / Re: Verständnisfrage, Firewall Rules
« on: July 17, 2023, 08:22:13 pm »
Nein das sollte vom Platz locker ausreichen.
Tipp:
Mach von Anfang an so viel mit der Alias Funktion wie es geht. So kann man später einfacher die Regeln zentral anpassen
OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk
PM for paid support
Tipp:
Mach von Anfang an so viel mit der Alias Funktion wie es geht. So kann man später einfacher die Regeln zentral anpassen
OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk
PM for paid support
15
German - Deutsch / Re: SIP an FritzBox, hinter OPNsense
« on: July 17, 2023, 08:20:53 pm »
Ist die FB noch im Router Modus oder als IP-Client eingerichtet ?
Habe da ebenfalls mal ewig probiert, allerdings bei dem Versuch die FB per VPN an eine Asterisk anzubinden. Das ganze lief erst wo ich die FB in den IP-Client Modus versetzt habe.
OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk
PM for paid support
Habe da ebenfalls mal ewig probiert, allerdings bei dem Versuch die FB per VPN an eine Asterisk anzubinden. Das ganze lief erst wo ich die FB in den IP-Client Modus versetzt habe.
OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk
PM for paid support