Messages

[opt1]

Sehr schön, das hat mir auch geholfen!
Vielleicht noch eine Ergänzung (ich hab hier zunächst erstmal probieren müssen):
Als Parameter gibt man die Schnittstelle an. Falls man nur eine (WAN-)Schnittstelle hat, ist das "wan", da kann man nicht viel falsch machen. Hat man aber mehrere WAN-Schnittstellen, stellt sich die Frage: welche soll es denn nun sein? Je nachdem, wo man in der GUI wühlt, finden sich unterschiedlichste Bezeichnungen.
Bei mir hat die gewünschte Schnittstelle die interne Bezeichnung "opt1". Zu finden unter Schnittstellen/Überblick:

WAN_WTel Schnittstelle (opt1, pppoe1)

Also in diesem Fall "opt1" als Parameter in den cron-Job eintragen - schon funktioniert es.

Moin @ll,

ich habe mit dem Load Balancing ein Problem. Könnte auch ein Verständnisproblem meinerseits sein - seht es mir nach, wenn ich hier technischen Unfug schreiben sollte :-)

Meine OPNSense ist über 2 WAN-Provider (DTAG PPPoE 100/40Mbit, DHCP & williTel PPPoE 100/20Mbit, DHCP) nach draußen angebunden. Beide Anbindungen funktionieren auch. Das Load-Balancing habe ich nach dieser Anleitung eingerichtet:

https://www.thomas-krenn.com/de/wiki/OPNsense_Multi_WAN?xtxsearchselecthit=1

Beide Gateways sind aktuell mit der Priorität 254 und Gewichtung 2 konfiguriert und unter Gateway/Gruppe mit Tier 1 konfiguriert.
Nun würde ich erwarten, dass der Traffic auch auf beide Gateways aufgeteilt wird.
Ist aber nicht so: das WilliTel-Gateway bekommt 100% Traffic, das DTAG-Gateway 0 bis max 1Mbit. Was mich irritiert: in der Ansicht Gateways/Einzeln ist das WilliTel-Gateway mit dem Suffix (active) dargestellt (siehe Anhang). Über die Priorität lässt sich zwar das DTAG-GW priorisieren, aber dann bekommt das WilliTel-GW keinen Traffic.
Ich habe auch versuchsweise in den Firewall-Regeln den Wert für Gateway (ganz unten) auf die GW-Gruppe geändert => führt dann dazu, dass ich nur noch sporadisch Webseiten aufrufen kann, meistens endet es mit "Webseite nicht erreichbar".

Frage: liegt hier ein Missverständnis meinerseits vor (das Loadbalancing hat eine ganz andere Funktion, als ich es mir denke) oder übersehe ich irgendwo eine Schraube in den Einstellungen?

ok, das hört sich an, als würde es grundsätzlich möglich sein. Nur ist der Groschen bei mir noch nicht gefallen: im Frontend habe ich die Option "Client Certificate Auth", mit der habe ich die Authentifizierung via Client-Zertifikat erfolgreich getestet.
Im Backend finde ich diese Option nicht. Ich brauch doch noch etwas Hilfe, um auf's Pferd zu kommen...

Huch, hier tut sich ja was!
Sorry, ich war ne Woche nicht im Forum und hatte auf eine Info-Mail gehofft
Ja, ich habe für jede zu veröffentlichende Web-Seite je 1 Realserver und das dazu korrespondierenden Backend angelegt. Alle Backends werden dann im Frontend über Regeln (über die Subdomain) selektiert und angesprochen.

ein ähnliches Problem habe ich auch - könnte sogar die selbe Ursache haben. Es äußert sich bei mir so, dass die Firewall nach wenigen Minuten nicht mehr ansprechbar ist. in der Konsole sind dann massenhaft folgende Meldungen zu sehen:

Code Select Expand

netmap_transmit lagg0 drop mbuf that needs checksum offload

auf der Schnittstelle "lagg0" (2x 1GBit/s aggregiert) liegt ein ungetaggtes LAN sowie ein getaggtes VLAN.
Ich habe testweise die Anzahl der IPS-Regeln auf 1 Satz reduziert (welcher, weiß ich aktuell nicht mehr), keine Änderung im Verhalten.

Zu dem Thema habe ich schon folgenden Thread gefunden, bin aber selbst noch nicht weiter gekommen (IPS ist derzeit deaktiviert):
https://forum.opnsense.org/index.php?topic=19141.0
UPNSense-Version bei mir: 20.7.5-amd64

Moin @ll,

ich bin vor ca. 1 Woche von Sophos XG auf OPNSense umgestiegen und habe schin fast alle meiner Wünsche mit der OPNSense realisieren können. U.A. auch die Veröffentlichung mehrerer Webserver auf den WAN-Schnittstellen.

Nun stehe ich vor einem Problem, wo ich nicht weiterkomme:
Ich habe 1 öffentliche Webseite (www.domain.net), die soll direkt zugänglich sein. Weitere Webseiten (abc.domain.net, def.domain.net) sind derzeit auch zugänglich, sollen aber später nur durch mich selbst (via Client Zertifikat) zugänglich sein. Über die Option "Client Certificate Auth" der Backend-Konfiguration kann ich die gesuchte Funktionalität zuschalten. Dann ist aber auch die öffentliche Webseite auch nur noch über Client Zertifikat erreichbar.

Frage: gibt es in HAProxy eine Möglichkeit, die oben beschriebene Funktionalität herzustellen (und wenn ja: wie?)?

Vielleicht noch eine Ergänzung: alle Webseiten sollen ausschließlich über Port 443 von außen erreichbar sein.

mit gebücktem Gruß
Raketenschnecke