Messages

Bingo!

Das war es!

Vielen Dank nochmal!

Das war es!
Ich habe jetzt einen gemeinsamen öffentlichen Dienst eingerichtet und dann per Regel aufgesplittet.

Jetzt ist mir auch klar, warum in den meisten HowTos als Listen Address 0.0.0.0:80 bzw. 0.0.0.0:443 steht.
Allerdings kann ich die nicht nehmen, da sonst HAProxy nicht mehr startet, da auf 0.0.0.0:80 schon irgend ein Dienst lauschen würde. :-\

Also gleich noch eine Anschlussfrage, wie kriege ich raus, was auf 0.0.0.0:80 bzw. 0.0.0.0:443 lauscht? ::)

Ja, hab ich, was mir aber gerade komisch vorkommt, das Zertifikat für nextcloud.meinetolle.domain ist zweimal vorhanden! :o
Wie kommt sowas und wie bekomme ich das wieder weg?

Mahlzeit!
Ich weiß, das Thema wurde schon mehrfach behandelt, aber irgendwie hab ich das noch nicht ganz erfasst.

Wenn ich eine Domain mit HAProxy und Lets encrypt konfiguriere, dann funktioniert das ganze wunderbar.
Jetzt versuche ich eine weitere Domain auf die selbe Art und Weise zu konfigurieren und dabei Scheiter ich kläglich.
Wenn ich die zweite Domain aktiviere, dann wird das Lets encrypt Zertifikat der zweiten Domain beim Aufruf der ersten ausgeliefert.... ::)
Ist es vielleicht gar nicht möglich mehre Domains so zu betreiben?
Gibt es irgendwo eine Anleitung für einen solchen Fall? ich hatte bisher leider nichts dazu gefunden... :-\

Hier mal meine HAProxy config:

Code Select Expand

#
# Automatically generated configuration.
# Do not edit this file manually.
#

global
    uid                         80
    gid                         80
    chroot                      /var/haproxy
    daemon
    stats                       socket /var/run/haproxy.socket group proxy mode 775 level admin
    nbproc                      1
    nbthread                    1
    tune.ssl.default-dh-param   2048
    spread-checks               2
    tune.chksize                16384
    tune.bufsize                16384
    tune.lua.maxmem             0
    log /var/run/log local0 info
    ssl-default-bind-options no-sslv3 no-tlsv10 no-tlsv11 no-tls-tickets ssl-min-ver TLSv1.2
    ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
    ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256

defaults
    log     global
    option redispatch -1
    timeout client 30s
    timeout connect 30s
    timeout server 30s
    retries 3
    default-server init-addr last,libc

# autogenerated entries for ACLs


# autogenerated entries for config in backends/frontends

# autogenerated entries for stats




# Frontend: nextcloud_80 ()
frontend nextcloud_80
    bind nextcloud.meinetolle.domain:80 name nextcloud.meinetolle.domain:80
    mode http
    option http-keep-alive
    # tuning options
    timeout client 30s

    # logging options
    # ACL: find_acme_challenge
    acl acl_606b40e6729f55.07300814 path_beg -i /.well-known/acme-challenge/
    # ACL: no_acme_challenge
    acl acl_606b42393e0889.34160247 path_beg -i /.well-known/acme-challenge/
    # ACL: SSLEstablished
    acl acl_606b4213be2157.54308208 req.ssl_ver gt 0

    # ACTION: redirect_acme_challenges
    use_backend acme_challenge_backend if acl_606b40e6729f55.07300814
    # ACTION: HTTPRedirect
    http-request redirect scheme https code 301 if !acl_606b42393e0889.34160247 !acl_606b4213be2157.54308208

# Frontend: nextcloud_443 ()
frontend nextcloud_443
    http-response set-header Strict-Transport-Security "max-age=15768000"
    bind nextcloud.meinetolle.domain:443 name nextcloud.meinetolle.domain:443 ssl no-sslv3 no-tlsv10 no-tlsv11 no-tls-tickets ssl-min-ver TLSv1.2 ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256 crt-list /tmp/haproxy/ssl/606b4c0858aa63.89346434.certlist
    mode http
    option http-keep-alive
    # tuning options
    timeout client 30s

    # logging options
    # ACL: host_matches_nextcloud
    acl acl_606ac6de47ca46.73915082 hdr(host) -i nextcloud.meinetolle.domain

    # ACTION: Test_nextcloud
    use_backend nextcloud if acl_606ac6de47ca46.73915082

# Frontend: ttrss_80 ()
frontend ttrss_80
    bind ttrss.meinetolle.domain:80 name ttrss.meinetolle.domain:80
    mode http
    option http-keep-alive
    # tuning options
    timeout client 30s

    # logging options
    # ACL: find_acme_challenge
    acl acl_606b40e6729f55.07300814 path_beg -i /.well-known/acme-challenge/
    # ACL: no_acme_challenge
    acl acl_606b42393e0889.34160247 path_beg -i /.well-known/acme-challenge/
    # ACL: SSLEstablished
    acl acl_606b4213be2157.54308208 req.ssl_ver gt 0

    # ACTION: redirect_acme_challenges
    use_backend acme_challenge_backend if acl_606b40e6729f55.07300814
    # ACTION: HTTPRedirect
    http-request redirect scheme https code 301 if !acl_606b42393e0889.34160247 !acl_606b4213be2157.54308208

# Frontend: ttrss_443 ()
frontend ttrss_443
    http-response set-header Strict-Transport-Security "max-age=15768000"
    bind ttrss.meinetolle.domain:443 name ttrss.meinetolle.domain:443 ssl no-sslv3 no-tlsv10 no-tlsv11 no-tls-tickets ssl-min-ver TLSv1.2 ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256 crt-list /tmp/haproxy/ssl/606c89ebc63cb9.78334866.certlist
    mode http
    option http-keep-alive
    # tuning options
    timeout client 30s

    # logging options
    # ACL: host_matches_ttrss
    acl acl_606c8cd2e14a59.09882539 hdr(host) -i ttrss.meinetolle.domain

    # ACTION: Test_rss
    use_backend ttrss if acl_606c8cd2e14a59.09882539

# Backend: nextcloud ()
backend nextcloud
    # health checking is DISABLED
    mode http
    balance source
    # stickiness
    stick-table type ip size 50k expire 30m 
    stick on src
    # tuning options
    timeout connect 30s
    timeout server 30s
    http-reuse safe
    server nextcloud 192.168.2.57:80

# Backend: acme_challenge_backend (Added by Let's Encrypt plugin)
backend acme_challenge_backend
    # health checking is DISABLED
    mode http
    balance source
    # stickiness
    stick-table type ip size 50k expire 30m 
    stick on src
    # tuning options
    timeout connect 30s
    timeout server 30s
    http-reuse safe
    server acme_challenge_host 127.0.0.1:43580

# Backend: ttrss ()
backend ttrss
    # health checking is DISABLED
    mode http
    balance source
    # stickiness
    stick-table type ip size 50k expire 30m 
    stick on src
    # tuning options
    timeout connect 30s
    timeout server 30s
    http-reuse safe
    server ttrss 192.168.2.26:8280


So, ich setze dann hier mal mein Selbstgespräch fort...

Nach Stunden des stocherns im Nebel habe ich die fehlende Einstellung gefunden!

Leider habe ich den Hinweis hier nicht in einem Thread gelesen!

Ich bin über einen kurzen sehr alten Artikel bei heise gestolpert, bei dem eine Einstellung erwähnt wurde, die ich noch nirgends gesehen hatte.
Man sollte doch in der Regel einen Haken setzen bei "Allow IP options"!?!?!?!
Dies kann man in den Regeln finden, wenn man auf erweitert/advanced klickt.
Im deutschen heißt es "erlaube Einstellungen"...
Ich habe diesen Haken jetzt bei allen Regeln die etwas mit IPTV zu tun haben gesetzt, ob das richtig ist weiß ich nicht, aber es funktioniert seitdem...



Habe derzeit "nur" noch das Problem, dass der IGMP Proxy alle paar Stunden stirbt und nicht wieder startet....

Bilder sagen bekanntlich mehr als tausend Worte!
Ich habe jetzt mal alle hoffentlich relevanten Einstellungen angehangen.
Vielleicht fällt ja jemanden noch etwas auf, warum es nicht funktioniert.... :-\

Hallo Skywalker007!

Ich habe jetzt versucht anhand Deiner Anleitung MagentaTV in Betrieb zu nehmen über die OPNsense.
Leider friert das Bild nach kurzer Zeit ein.
Ein "Systemtest" von 180 Sekunden läuft erfolgreich durch, meldet aber, das die Umschaltzeiten langsam sind.

Mir scheint, ich übersehe hier etwas, bzw. irgend eine Einstellung ist noch nicht so wie sie sein sollte..

Ich habe den Media Receiver ebenfalls auf einen eigenen Port gelegt.
Erstellung eines extra VLAN hat keine Änderung gebracht.

Kannst Du mal die Konfiguration der IPTV Schnittstelle posten?

Hallo!

Das ist eine Gute Frage und da ich heute auch schon mehrere Stunden mich damit beschäftigt habe und eine saftige Bruchlandung gemacht habe, was darin mündete OPNsense wieder zurückzubauen, interessiert mich dies ebenso. :(

Angeblich hat Skywalker007 es in diesen Thread https://forum.opnsense.org/index.php?topic=12346.15 hinbekommen.

Ein Einsatz von OPNsense ohne funktionierendes MagentaTV macht für mich derzeit leider keinen Sinn, sodass ich jetzt OPNsense erstmal wieder aus meinem Netzwerk verbannt habe. :-\

VieleGrüße,
Marcus