Messages

Running OPNsense as a VM on Virtualbox 6.1

Post upgrade I'm unable to check for package updates.

***GOT REQUEST TO CHECK FOR UPDATES***
Currently running OPNsense 22.1 (amd64/OpenSSL) at Tue Oct  6 10:11:06 BST 2189
Fetching changelog information, please wait... Certificate verification failed for /OU=GlobalSign Root CA - R3/O=GlobalSign/CN=GlobalSign
34374492160:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify

I have the same problem.
For quite a long time everything worked fine and was updated. However, at some point in time I got the same error.
I read the topic, but did not understand whether the problem was solved and how or not.

***GOT REQUEST TO CHECK FOR UPDATES***
Currently running OPNsense 22.1.3 (amd64/OpenSSL) at Mon Jun 27 10:33:54 +11 2022
Fetching changelog information, please wait... Certificate verification failed for /OU=GlobalSign Root CA - R3/O=GlobalSign/CN=GlobalSign
34374492160:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1916:
fetch: https://pkg.opnsense.org/FreeBSD:13:amd64/22.1/sets/changelog.txz: Authentication error
Updating OPNsense repository catalogue...
Certificate verification failed for /OU=GlobalSign Root CA - R3/O=GlobalSign/CN=GlobalSign
34378686464:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1916:
Certificate verification failed for /OU=GlobalSign Root CA - R3/O=GlobalSign/CN=GlobalSign
34378686464:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1916:
Certificate verification failed for /OU=GlobalSign Root CA - R3/O=GlobalSign/CN=GlobalSign

Вопрос для направления пути: чем в принципе интерфейс для WAN отличается от интерфейса для LAN?
Всё определяется настройками как самого интерфейса, так и межсетевого экрана.

1. ставить OPNSense лучше на проходе, а не сбоку микротика. А Микротик выкинуть  ;) - зачем 2 железки с одним функционалом?
2. адресация в схеме в теории верна, единственное, почему в адресе клиента HTTP Proxy   192.168.10.1? Когда ему выдан "у opensense указал адрес 192.168.10.71"?

PS какую роль будет выполнять прокси? - Учёт кто куда ходит и сколько качает?

Похоже что проблема локализована.
Дело в том что HAProxy устанавливался в одной сети, а сама сеть с Exchange была в другой "параллельной сети" с другим  интернет адресом IP.
Перенёс  HAProxy на шлюз с которого Exchange  имеет доступ в сеть интернет - и всё сразу заработало.
Единственный момент который ещё меня терзает - версия HAProxy там другая, более свежая. В принципе может быть и с этим заморочка. Но самое главное выяснено, ssl и сертификат в норме.

Доброго дня!
Помогите пожалуйста разобраться с проблемой настройки.
В Opnsense настраивается служба HAProxy как реверс прокси для установленного сервера Exchange (т.е. сервер в локальной сети, а доступ к нему OWA и ActiveSync  с интернета через HAProxy)
Имеется так же SSL сертификат  (Let's Encrypt) для домена Exchange.
Что сделано:
OPNSense настроена служба HAProxy определён frontend, включена разгрузка SSL и определён SSL сертификат (импортирован в OPNSens).
Определён backend и сервер.
На первый взгляд работает. OWA открывается.
Однако далее возникают проблемы с ActiveSync (начинает работать только если сказать "принимай все сертификаты", хотя это сертификат Let's Encrypt, и в случае не использования HAProxy ActiveSync работает штатно (не требуется указывать "принимай все сертификаты").
Начинаю разбираться и SSL Checker (https://www.sslshopper.com/ssl-checker.htm) говорит, что есть проблема.
Выходит я не верно настраиваю  SSL на HAProxy. Но в чём моя ошибка не пойму.

Да, такой нюанс. Сертификат  Let's Encrypt - корневой сертификат на смартфоне присутствует по умолчанию, в доверенных. А вот сертификата издающего СА (Let's Encrypt Authority X3) нет, и если я его импортирую на смартфон, то соединение ActiveSync устанавливается и почтовый ящик подключается без   необходимости указывать "принимай все сертификаты".
Если подключаю напрямую Exchange сервер (пробросом портов), без прокси, всё вкатывает на ура и без установки сертификата (Let's Encrypt Authority X3) на смартфон.

Где посмотреть на счёт жизненного цикла OPNsense? Т.е. какова длительность поддержки релизов, есть ли релизы с длительной поддержкой (типа LTS у Ubuntu), что там со сроком поддержки?
Интересует исключительно публичные обновления (безопасность и исправление ошибок в текущей версии), а не коммерческая поддержка.