Messages

One of you could open an issue on github and how to reproduce this issue:

https://github.com/opnsense/core/issues

There will be an export import feature that provides a csv like in the dhcp leases for example. (between both rule implementations)

Die Anleitung müsste theoretisch viel kürzer und prägnanter sein, und weniger rumlabern. Dann kann man den Fokus viel besser auf die Core features setzen. Habe aber gerade keine Lust drauf die Anleitung umzuschreiben.

General Settings > Advanced Settings > HTTP Port / HTTPS Port sind die default ports, die Caddy auch für ACME verwendet (steht im Help Text). Wenn man den Port in einer Domain leer lässt, werden auch diese standard Ports für den normalen traffic verwendet. Außerdem müssen die geändert werden wenn man im "www user" modus läuft.

Load Balancing Anleitung ist out of scope, habe ich keine Ahnung von. Die Optionen wurden auf nachfrage hinzugefügt oder wurden als PR angeboten. Am besten in der Caddy Anleitung schauen.

Upstream Pfad macht ein rewrite: https://github.com/opnsense/plugins/blob/565bd0223599bb2910438fb160b657a1d13503d5/www/caddy/src/opnsense/service/templates/OPNsense/Caddy/Caddyfile#L403-L405

Wildcard kannst du einbinden entweder Cloudflare, oder indem sie in den OPNsense Trust Store importiert werden und dann als Zertifikat ausgewählt werden. In meinem Fork gibt es auch noch XX andere DNS Anbieter:
https://github.com/Monviech/os-caddy
https://github.com/Monviech/os-caddy/blob/main/www/caddy-plus/src/opnsense/service/templates/OPNsense/Caddy/includeDnsProvider
Da diese Provider aber kompiliert werden müssen, gibt es die (nicht mehr) im Haupt Plugin. Nur noch Cloudflare ist übrig.

Wenn du ein SAN im os-acme-client generiert hast, wähle es einfach in Caddy aus und benutze es. Lege eine Caddy reload automation im os-acme-client an.

Subdomains sind nur dafür da, wenn man ein Wildcard Zertifikat verwenden will. Wenn man für alles ein Single Name Zertifikat hat braucht man die nicht.

-------

Viel in dem Plugin hat sich historisch aufgebaut und ist jetzt halt so, vieles war auch im Hintergrund mal anders (z.b. hatte Caddy Upstream eine eigene Methode Subdomains zu rendern) und ist jetzt nicht mehr so.

Man könnte etwas aufräumen aber es gibt gerade /niemanden/ der sich auf github oder so beschwert dass etwas nicht geht, also fasst man auch nichts an damit man Ruhe hat :)

If the ISP Router is configurable it would be simpler to create a separate subnet on the OPNsense for each LAN (and VLAN), and then set up static route(s) on the ISP router.

That way you have clean L3 separation, no double NAT (as you would deactivate NAT on the OPNsense), and no bridge.

Naja geh halt zu den Projekten und wirf ihnen Geld hin damit sie es Maintainen. Bei Caddy ist es dieses Plugin hier was auch in der OPNsense Caddy Plugin version kompiliert ist. Und das hat auch 2-3 Jahre funktioniert:

https://github.com/caddyserver/ntlm-transport

Aber die meisten nutzen jetzt halt Exchange Online, da passiert nicht mehr viel gerade auser es ist ein Business Case und jemand ist Sponsor.

Okay np, in the meantime I merged this all and it will be released in the next version.

Wenn der Exchange ein öffentliches Zertifikat hat kannst du es noch so testen (in Caddy):

General Settings:
- Enable Layer4 Proxy

Layer 4 Proxy: Add Layer 4 Route
- Routing Type: listener_wrappers
- Matchers: TLS (SNI Client Hello)
- Domain: autodiscover.example.com mail.example.com    (also alle Domains vom Exchange Zertifikat hier rein)
- Upstream Domain: 192.168.1.1                         (IP vom Exchange)
- Upstream Port: 443

Die Exchange Domains in "Reverse Proxy" deaktivieren, da sie jetzt von "Layer 4" benutzt werden.

Dann Apply.


Jetzt wird ohne TLS termination gearbeitet.

Did you upgrade to the latest available BIOS?

https://forum.opnsense.org/index.php?topic=48449.0

Ja, aber Dinge ändern sich mit der Zeit. Z.B "Exchange Extended Protection" im Exchange Server je nach Service Pack, NTLM deprecation von Microsoft, Outlook dass zu Outlook Classic wurde, ob mapi over http oder rpc over http verwended wird...

Ganz viele Themen die es gerade langsam immer schwerer machen den Exchange korrekt zu reverse proxien.

Welches plugin wird denn verwendet?

Mit Caddy und OPNWAF habe ich es erst heute getestet weil ich auf Fehlersuche bin.

Popups passieren sporadisch, manchmal keine, manchmal unendlicher loop, manchmal nur eins.

Wenn man Outlook ein paar mal schließt und startet geht es manchmal plötzlich.

Ich kann gerade keine Tips geben.

Most likely either:

- No virtual server has been configured yet
or
- https://docs.opnsense.org/vendor/deciso/opnwaf.html#prerequisites
Your Firewall listens on port 80 and 443, you gotta change that. Change webgui port and disable the redirect in system - settings - administration.

I don't think I can explain it better without writing way too much.

TLDR: You don't have to change anything more. You could also input your quad dns server in system - settings - general and uncheck using the ISP dns servers again if you want.

For anybody that comes after: Using wireguard with hostnames and forcing the OPNsense to be a DNS client to Adguard itself can be a bad idea due to race conditions during boot.

There is no selection  system - settings - general and uncheck using the ISP dns servers again if you want.

You cannot view this attachment.Do you mean untick the selection Allow DNS server list to be overridden by DHCP/PPP on WAN  then I put the empy line on DNS server 9.9.9.9 ????

and use gateway?

I upload screenshot

You can remove the checkbox "Allow DNS server list to be overridden by DHCP/PPP" and add 9.9.9.9 in one of these DNS fields, but do not select a gateway.

Also please read the helptexts and think about what you are doing, I cannot hand hold every configuration change you want to make. Try things out and try to understand the why and how. (E.g., why is the firewall a DNS client, and a DNS server, whats the difference...)

If that rule works it means something in your ruleset was wrong.

Maybe ICMPv6 was blocked (which is essential for IPv6 to work), or your aliases did not match.

Or Link Local traffic targeting the firewall was blocked.

Or other things, IPv6 is a deep dive sadly.

- Die Anleitung hat viel Zeit gekostet aber niemand gab Feedback oder verbesserte sie. Bitte hilf mit wenn Dinge unklar sind.

- Multi Domain Zertifikate werden nicht unterstützt, nur wenn sie manuell ausgewählt werden. Wildcard ist die beste Alternative, ansonsten sind es mit dem eingebauten ACME immer single name.

- HSTS muss man in der Caddy Anleitung nachschauen, es auszuschalten ist nicht im Plugin eingebaut wenn es das gibt, hat aber auch noch nie jemand gefragt

- CAs müssen im Trust Pool ausgewählt werden um bei HTTPS zum Backend den Trust herzustellen, aber ich hatte die vermutung dass es bei Lets Encrypt automatisch wäre da Caddy diese CAs ja kennt

- TLS Skip wird nicht default weil der User lieber HTTP zum Backend verwenden soll (ist der Caddy standard). Bisher gab es nicht viel Feedback dass es schwer zu finden ist.

- Redirect Code ist derzeit hardgecoded, gab bisher kein Feedback dass andere benötigt werden

- Automatischer redirect kann in den General Settings ausgestellt werden (Disable Redirects dort wo man die Acme Email eingibt)

- TlS versionen und Cipher kann man nicht einstellen weil ab TLS 1.3 in der go stdlib extra keine Optionen dafür angeboten werden. Gibt es lange github diskussione drüber in der stdlib. Hauptargument ist dass man es eh nur falsch macht wenn man es selber einstellt.

Uff so ich hoffe ich konnte alles beantworten.

Wenn dir was fehlt helfe mit feature requests oder PRs in opnsense/docs und opnsense/plugins auf github.

Best just host a Plesk or cPanel server on a vps somewhere.

For my emails I host 2 plesk servers with a cloud provider.

I think total cost is ~30€ or so per year for both of them unlimited traffic etc.

Benefit is you can do whatever you want, drawback you need a bit of admin experience so theyre configured correctly and safe.