Messages

Hi,

ich betreibe verschiedene OPNsense's bei Hetzner unter Proxmox. Diese betreibe ich mit Einzel-IPs.

Nun möchte ich anstelle von Einzel-IPs über den vSwitch bereitgestellte IP Adressen nutzen. Dies würde ich gerne anfänglich parallel machen wollen um die Dienste nicht unterbrechen zu müssen.

Wenn ich nun eine neue Netzwerkkarte für die neue Bridge, über welchen die IP Adresse vom vSwitch bezogen wird, erstelle, so wird diese erkannt.

Im nächsten Schritt habe ich angefangen die neue Schnittstelle zu konfigurieren. Ob nun korrekt oder nicht, kann ich nicht genau bestimmen. Wie könnte ich an dieser Stelle vorgehen um von extern vorerst beide IP Adressen also die Einzel-IP und die neue IP zu nutzen?

In der Übersicht der Zertifikate steht unter letzter ACME Status: Überprüfung fehlgeschlagen

Hi,

ich nutze auf der OPNsense den HAproxy. Die nötigen Zertifikate hole ich mir mit dem ACME Client.

Seit einiger Zeit werden mir in dem ACME Client Fehler angezeigt. Bedeutet die Zertifikate können nicht automatisch erneuert werden. Wenn ich es dann manuell versuche klappt es manchmal. Manchmal aber auch nicht.

Hat sich hier ein Bug eingeschlichen? Oder gibt es Ideen woran es liegen kann?

Hi,

ich habe mit der OPNsense eine Site2Site IPSec Verbindung aufgebaut. Diese funktioniert auch.

Nun möchte ich eine weitere Site2Site IPSec Verbindung zu einem anderen Ziel aufbauen. Diese beiden Ziele haben nichts miteinander zu tun.

1. Frage: Kann ich mehrere IPSec Verbindungen zu unterschiedlichen Zielen erstellen und diese gleichzeitig betreiben?
2. Frage: Können die Ziele per default miteinander kommunizieren? Sollen sie nämlich nicht.
3. Frage: Falls Frage 2 positiv ausfällt, wie kann ich die Kommunikation zwischen beiden Zielen unterbinden?

Danke für eure Antworten.

Super, vielen Dank. Mir fehlte eine Bedingung... Nun klappt es.

Ohne alle Einstellungen deines Haproxy zu sehen ist das hier das suchen der Nadel im Heuhaufen.

Wie viele Public Services hast du auf der selben IP?
Machst du SSL Offloding via Haproxy?

Ist dir unterschied zwischen Rules und Conditions klar?

Natürlich, verstehe ich, dass mehr Informationen erforderlich sind. Kannst du mir sagen welche Infos gebraucht werden?

Ja, ich mache SSL Offloading via HAproxy.

Nein, den Unterschied kenne ich zwischen Rules und Conditions nicht.

Hi,

ich betreibe einige Server hinter der OPNsense/HAProxy.

Nun habe ich beispielsweise eine Bitwarden/Vaultwarden VM erstellt. Diese ist auch über die entsprechende Domain subdomain.meinedomain.de erreichbar.

Mir fällt auf, dass die VM sowohl über HTTP wie auch HTTPS erreichbar ist. Einige Browser bevorzugen dann automatisch HTTPS aber ich würde gerne ausschliesslich HTTPS nutzen wollen.

Kann ich dies ausschliesslich also ohne Eingriff in die VM zu nehmen direkt am HAProxy steuern?

1 Eine Regel erstellen.


2 Die dann am Public Service für Port 80 anheften.

Tatsächlich hatte ich schon solch eine Regel. Ich habe zusätzlich eine weitere wie du beschrieben hast erstellt. Leider ist weiterhin http möglich.

Eine Idee wo ich den Fehler suchen kann? Irgendwie scheint diese nicht zu greifen.

Hi,

ich betreibe einige Server hinter der OPNsense/HAProxy.

Nun habe ich beispielsweise eine Bitwarden/Vaultwarden VM erstellt. Diese ist auch über die entsprechende Domain subdomain.meinedomain.de erreichbar.

Mir fällt auf, dass die VM sowohl über HTTP wie auch HTTPS erreichbar ist. Einige Browser bevorzugen dann automatisch HTTPS aber ich würde gerne ausschliesslich HTTPS nutzen wollen.

Kann ich dies ausschliesslich also ohne Eingriff in die VM zu nehmen direkt am HAProxy steuern?

Danke, dann kann ich mir ja sparen weiter zu suchen, ärgerlich.

Ich habe unter Reale Server den Servernamen mit der IP angelegt. Unter Backendpoolname habe ich einen weiteren Eintrag mit dem entsprechenden Server.

Die Einstellungen sind wie meine anderen Einträge.

Änderungen an anderen Einträgen greifen auch nicht. Wie beispielsweise wenn ich die IP eines anderen Servers ändere.

Hi,

ich habe hier einen neuen Eintrag im HAProxy angelegt. Habe mehrere welche auch funktionieren.

Mein neuer Eintrag ist nicht erreichbar. Ich erhalte 503 Service Unavailable. Was übersehe ich hier?

Gefühlt werden neue Einstellungen nicht übernommen. Oder ich habe etwas entscheidendes übersehen. Leider komme ich nicht darauf. Jemand eine Idee für mich?

OPNsense - öffentliche IP (Rechenzentrum) / Intern 10.0.0.1
3CX - interne 10.0.0.147
Geräte kommen von außen an die OPNsense über HAProxy und/oder NAT rein.

Gleiches Problem habe ich auch. Mein IP Telefon zeigt an als wäre es registriert. Aber wenn ich den Hörer abnehme kommt ein Piep Piep Piep und erst danach pieeeeeeeeeeeeeeeeeep.

Kann darüber auch keine Anrufe absetzen. Wenn ein Anruf rein kommt klingelt das Endgerät.

Ok, ich habe nun die Ports 5060 UDP/5061 TCP, 5090 TCP und UDP, 5001 TCP und UDP per NAT an die 3CX Instanz geleitet.

1. Brauche ich tatsächlich 5001 wenn ich da 443 nutze und dieser durch den HAProxy auf die 3CX landet?
2. Brauche ich trotzdem Lokal einen SBC für die Hardwaretelefone?
3. Könnte ich mir NAT für 5060/5061 sparen da es ausgehend ist?
4. Brauche ich für den 3CX Tunnel einen SBC?
5. Kann ich mein Setup nicht so einrichten als hätte die 3CX eine öffentliche IP um dann auch kein SBC benutzen zu müssen?

@lewald

Danke für deine Ausführungen. Ich habe aktuell die 3CX hinter die OPNsense genommen. Die 3CX ist über die subdomain.my3cx.de erreichbar und verbindet sich mit dem Provider und die Anrufe scheinen dort auch anzukommen.

Im ersten Schritt versuche ich die 3CX App für Smartphone zum laufen zu bringen. Eine Kommunikation findet statt da der Status verfügbar ist. Unter dem Status steht dann aber Verbindung wird hergestellt.... Also fehlt mir noch etwas.

Zitat: Jetzt ist allerdings noch wichtig in der 3cx einzustellen das telefonate immer über die 3cx geführt werden. Dann laufen alle RTP session über diese und es sind keine weiteren ports nötig.

Dies habe ich nicht tun können da ich es nicht gefunden habe. Wo mache ich das? Könnte dann mein Problem gelöst sein?

Wenn ich mich dann auf dem webclient anmelde wird ein ankommender Anruf signalisiert. Leider lässt sich dieser nicht annehmen. Ich klicke und es passiert nichts. Auch kann ich selbst keine Anrufe initiieren. Hängt das auch mit der oben genannten Einstellung (welche ich nicht gemacht habe) zusammen?