Messages

Hello, I'm using my OPNsense as described in the well-known tutorial 'HAProxy + Let's Encrypt Wildcard Certificates'.

Recently, I've encountered a frequent issue where services behind the proxy are not accessible, apparently because IPv6 is being used primarily. Generally, IPv6 works for me.

Now, I'm wondering if there's a way to register the IPv6 address of the firewall in the DNS system of my hosting provider, and if a request to a service (which is filtered by URL) comes through the IPv6 address, it is forwarded to the service.

Thank you

Hello,

my previous question is canceled. I build up my whole OPNsense from scratch and now the Tutorial worked very fine.

Thanks for writing this!

For using the DNS challange with the german provider "All-Inkl", I edited the file

"/usr/local/share/examples/acme.sh/dnsapi/dns_kas.sh"

You have to replace the invalid URL "https://kasapi.kasserver.com/dokumentation/formular.php" with the vaild "https://test-account.com/formular.php".

But this is only temporary. In the future updates it's intended to implement a REST API.

I got it in an other way.

There was a file to edit, which was used by the plugin, so the plugin worked with right values then.

Hey,

ne mit dem PR hab ich nix zu tun, meiner ist #4226.

Ich habe aber zwischenzeitlich über die Shell, mit ein bisschen Suchen und Softlinks verfolgen, die Datei

"/usr/local/share/examples/acme.sh/dnsapi/dns_kas.sh"

gefunden. Hier kann man dann einfach die alte URL durch die neue ersetzten und jetzt funktioniert die DNS Challange über All-inkl.

LG

Hallo,

ich hab die Frage schon im englishen Dev. Bereich gestellt, allerdings ist hier mehr los und ich habe die Hoffnung das meine Frage hier vielleicht auch eher beantwortet werden kann.

Ist es möglich und wenn ja, dann wie, den Code installierter Plugins in der Shell zu editieren verändern?

Durch Try&Error und ganz viel Log lesen, ist mir aufgefallen das die API URL von All-inkl im ACME plugin nicht mehr aktuell ist. Da das Plugin keine DNS Challange zustande bringt, hoffe ich durch beheben des Fehlers das Plugin in Funktion zu bringen.

[Alt: "https://kasapi.kasserver.com/dokumentation/formular.php"] -> [Neu: "https://test-account.com/formular.php"]

Ich habe direkt für das ACME Plugin bei Github auch schon ein Pull Request eingebracht, aber bis es von dem acme.sh git, über die Plugins bis in meiner Firewall kommt, wird es wohl was dauern. Kann ich das nicht vorab, evt. über die Shell, editieren?

Beste Grüße

Hello,

is there a simple (shell) way to edit the plugins?

I found out, that the API URL of a dns challenge service in the ACME plugin is invalid. I allready pull a request for updating the error in the ACME Git, but is there a possibility, to edit the acme plugin manually so that i can use the service in short time?

Thanks

Okay... thank you! That was more than easy.

Sorry, I don't expect the configuration at HomeAssistant side.

Thank you very much! It solved the basic problem!

Hello everyone,

for becoming familiar with reverse proxy, I decided to use the HAProxy plugin in my runnig OPNsense installation. So build up a very basic HAProxy configuration close to the documentation "HAProxy" ("https://docs.opnsense.org/manual/how-tos/haproxy.html").

As backend servers for testing I have two simple apache webserver instances (one on :80 and the other on the random port :52317, i want to test if HAProxy forwarded from public :80 to any random port) running on an extra device in my network. Both are working.

My goal is to bring diffrent services from my homelab to the "outside" and one (big) of them is HomeAssistant, which struggle with the "X-Forwarded-For header" option in the frontends.

My actual situation is, that I have for testing purpose two frontends which listing on port 80,
- public_port80 with checked "X-Forwarded-For header" option
- public_port80_nonxforward with unchecked "X-Forwarded-For header" option

With "public_port80" activated (the other deactivated) the HomeAssitant Server runs in a 503 error.
With "public_port80_nonxforward" activated (sure, the other deactivated) HA works fine.

Because I read that the "X-Forwarded-For header" option is necessary for other services i struggle with deactivate it generally.

Now my question, is there a possibility to deactivate the "X-Forwarded-For header" by a rule for the HomeAssitant backend? Or is there a way to run the one frontend "public_port80_nonxforward" only for the HomeAssitant backend and then append the standard "public_port80" which activate then the "X-Forwarded-For header"? Or vice versa?

Sorry if this question, but reverse proxy is my new home-project and i only deal with this stuff for some days.

Please tell me when i am running the wrong way with my way of thinking of haproxy.

Thanks

Hallo zusammen,

ja, so wie hgkdd das beschreibt trifft es das am nächsten.

Das Gateway ist ein geschlossenes Gerät, dass sich nicht konfigurieren lässt (ausser IP, da über DHCP). Die App lässt auch keine Möglichkeiten der Netzwerk-Konfiguration zu. Es wirft halt eine Fehlermeldung aus, dass eine Verbindung nur im gleichen WLAN (das Gateway ist kabelgebunden ist ::) , laut manual meinen die Subnet) möglich ist.

Daher meine Idee / Fragestellung das Smartphone in das zweite Subnet zu bringen, bzw. das Gateway über ne Art Alias IP in das jeweilige andere Subnet.

Ich selbst hätte das jetzt auch eher als Netzwerkproblem gesehen, allerdings sind die ZigBee Ansätze auch relativ interessant.

Aktuell habe ich mir eine WireGuard Verbindung angelegt, die aus dem "data" Netz in das "smart" Netz verbindet. Das ist halt dauerhaft etwas unkomfortabel.

Hallo zusammen,

ich habe zwei getrennte Netze "data" (192.168.3.0/24) und "smart" (192.168.5.0/24).

Jetzt habe ich im "smart" Netz ein Hardware-Gateway (ZigBee), dass per Smartphone App bedient wird, aber nur funktioniert wenn Gateway und Smartphone im gleichen Subnetz sind.

Wie kann ich sowas unter OPNsense realisieren? Sind virtuelle IP Alias dafür geeignet?

Kann man dem Smartphone eine virtuelle IP im "smart" Netz zuweisen, so dass dieses dort bekannt ist? Oder muss das 'Gateway' per v. IP ins "data"-Netz?
Ich kann mir die praktische Konfiguration nicht wirklich vorstellen. Stelle ich der Schnittstelle eine virtuelle IP zur verfügung und der Adressbereich wird um diese IP erweitert? Also ungefähr so 192.168.3.0/24 + 192.168.5.123/32? Muss ich eine freie IP angeben, oder gebe ich die IP des Gerätes an, welches in das andere Subnet verbinden soll?

Letztendlich benötige ich sinngemäß folgende Konstellation

[data Netz (192.168.3.0/24)]                              [smart Netz (192.168.5.0/24)]
Smartphone 192.168.3.16     <--- + --->             Smartphone 192.168.5.17
                                                                         Gateway 192.168.5.32

Vielen Dank

[Keine weiteren Fragen.]

Hallo,

Intel Karte bestellt und eingebaut.

Keine weiteren Fragen.

Solved! Danke und mit besten Grüßen

Schande über mein Haupt, da sind in der Tat Realtek Karten drin.

Wo liegt da das Problem?

- Und warum beeinflusst das nur den Download? -

Sind für WAN und LAN beide Karten baugleich (beide auch Passthrough). Ansonsten ist die onMainboard Karte nur für das Proxmox und eine weitere NIC für Container (geplant, noch keine im aktuellen Zustand aufgesetzt)

Ansonsten ist das ein älterer Xeon E3-1245 v3 mit 16 Gig und 1,7 TB SSD in je zwei ZFS Pools. Die OPNsense VM hat 2 Kerne und 8 Gig Ram bekommen, sowie 60 Gig SSD.

Wenn die Karten das Problem sind, welche kann ich alternativ kaufen?

Hallo zusammen,

vielleicht hat hier jemand einen Hinweis für mich oder kann mir sogar helfen. Mein Grundproblem ist, dass hinter meiner OPNsense der Download extreme langsam ist (8,xx MBit/s : 550 MBit/s sollten möglich sein). Der Upload ist davon interessanterweise unbeeinflusst (60 MBit/s : 60 MBit/s), die Latenz ist ebenfalls normal schnell.

Die Ausgangssituation ist folgende

Code Select Expand


      WAN / Internet
            :
            : Cable-Provider
            :
      .-----+-----.
      |  Router   |  (Fritz!Box, leider nicht als Bridge)
      '-----+-----'
            |
        static IP
            |
      .-----+------.
      |  OPNsense|
      '-----+------'
            |    |
        LAN | 10.1.1.1/24 (Daten)
        LAN | 10.2.1.1/24 (SmartHome)
            |    |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            ||||
    ...-----+------... (Clients/Servers)


Die OPNsense läuft dabei als virtuelle Proxmox Maschine, allerdings mit ausreichend Ressourcen und Netzkarten sind als Passthrough durchgereicht. Ich denke auch nicht das es an der virtuellen Umgebung liegt, da der Upload ja ausreichend performant ist.

Die OPNsense ist frisch installiert, im LAN aggiert die OPNsense als DHCP allerdings sind die virtuelle OPNsense und auch der Host mit festen IPs versehen, die garantiert auch nirgendwo im Konflikt stehen. OPNsense und Fritz!Box sind direkt verbunden und die OPNsense hat gegen die Fritte auch eine statische IP, ansonsten sind keine Geräte an der Fritz!Box.

Ich stehe vor einem Rätsel, hat jemand eine Idee?

Vielen Dank und beste Grüße

Hello,

I want to add a wireless network card (ASUS PCE-N15) to my OPNsense installation. The card works with the RTL8192CE chip and as far as I googled about it, there is a driver issue which can be solved by editing the driver file in freebsd (see Git here: "https://github.com/freebsd/freebsd/commit/57f16e900dfc21dc7ed636d71e4e19b0a43da1d0").

I would edit the files for my own, but in OPNsense i not found the associated directories.

Can someone help me please with this special problem or in genreal to add the wificard that the card will be recordnized by OPNsense to be configured by the WebGUI?

Thanks and regards!

Fabian