Messages

Du könntest in Erwägung ziehen, die betroffenen Hosts aus dem internen DNS raus zu schmeißen und HAproxy auch für interne Verbindungen zu nutzen. So kommst du bspw. in den Genuss der öffentlichen SSL Zertifikate, ohne sie auf das Backend kopieren zu müssen.

Das ist nicht nötig, da ich eine interne CA habe, die Zertifikate á la LetsEncrypt ausliefert. Dadurch ist intern alles per SSL abgesichert, auch wenn es nicht von außen erreichbar ist. Und interne Dateitransfers (z.B. Nextcloud) gehen dann nicht über die Firewall, sondern direkt zum Server.

Ist der HAProxy besser als der Caddy?

Keine Ahnung. Der HA-Poxy ist ein OPNsense-Plugin und daher besser integriert. Beim Caddy weiß ich das nicht. Aber wenn du dich mit Caddy auskennst, kommst du ggf. besser zurecht.

Der Reverse Proxy soll einfach auch noch eine zusätzliche Sicherheit bieten

Nein, mehr Sicherheit bietet tatsächlich eher das VPN, da das den Zugriff nur für dessen Benutzer auf die Services begrenzt. Wenn du die Services von außen per Reverse-proxy erreichbar machst, musst du für jeden Service sicherstellen, dass nur authorisierte Benutzer Zugriff bekommen und es keine Sicherheitsprobleme gibt. Beim VPN ist das Risiko geringer, da nur das VPN der Allgemeinheit ausgesetzt ist.

Aber inwiefern dir hierbei Caddy oder ein anderer Reverse-Proxy helfen kann, ist mit nicht klar.

Nun ja, der sorgt dafür, dass die internen Dienste (unabhängig von deren IP / Port) über die externe IP basierend auf dem DNS-Namen erreichbar sind. Das ist bei mir die Aufgabe des HA-Proxy. Intern werden die Dienste über den DNS-Server der OPNSense mit ihren privaten IPs aufgelöst und extern zeigen deren DNS-Namen auf die WAN-IP, wo der HA-Proxy dann das weiterleiten an die interne Adresse übernimmt.

Macht das Sinn?

Wenn die Dienste von außen erreichbar sein sollen, dann sicherlich. Ich nutze den HAProxy in der OPNsense dafür. Der regelt den Zugriff auf die intern definierten Dienste.

Und noch viel wichtiger, ist es dann überhaupt sicherer?

"Sicherer" als was? VPN? Nein.

Hallo,

ich habe bei meiner OPNsense-Firewall IPv6 konfiguriert. Die WAN IPv6 bekomme ich via 6RD aus der DHCPv4 Lease. Das System erzeugt dann ein wan_stf-Device. Jetzt frage ich mich, was als WAN-Interface für IPv6 in den Firewall-Regeln zu verwenden ist?

• Ist das nach wie vor das Interface "WAN (wan)"?
• Oder sollte ich dem Device "wan_stf" ein Interface zu ordnen (z.B. WAN_6RD) und dieses verwenden?

You cannot view this attachment.

- Under "Services/Router Advertisements/LAN", set the DNS server to the full ULA of your Adguard DNS server,

I've nearly the same setup, thank you for sharing this steps. So I could compare and know, that my setup is valid. But one question: Make it a difference, if I activate in "Services/Router Advertisements/LAN" the DNS option "Use the DNS configuration of the DHCPv6 server" instead of enter the IPv6 of the Adguard DNS Server? The advantage of mine maybe, that there's only one location to configure the custom DNS server.

[/var RAM disk]

Do you have /var RAM disk and /tmp RAM disk settings active? If yes, all files below this directories fillup the memory including swap. I had the same issue after switch from 21.7 to 22.1: Over time the memory fills up until the OPNsense doesn't react on anything and had to be hard reseted.

My investigations showed, that many log files were stored und this the memory filled up. I reconfigured System -> Settings -> Logging -> Preserve logs (Days) to 3 and changed the Log level verbosity of Unbound to 1. Now the memory usage keeps below 50% and OPNsense is working without any problem over weeks.