Messages

-----------------------------------------------------------
     f) Custom Options:
     server:
        tls-cert-bundle: /etc/ssl/cert.pem
-----------------------------------------------------------

Hi

Bei unbound 1.13.2 ist diese Feld nicht-mehr vorhanden.

Morgen Zusammen

Also Webseite = Captive Portal aka Gäste Login Portel
LAN = 10.11.12.0/*
Gäste = 172.16.15.0/*

Die Webseite wird vom Gateway aus dem LAN angeboten. Wie das funktioniert gibts ganze Artikel zu.
https://help.ui.com/hc/en-us/articles/115000166827-UniFi-Guest-Network-Guest-Portal-and-Hotspot-System

Nach den Angaben des Herstellers MÜSSTE auch die Namensauflösung ohne Amtliche DNS-Zone funktionieren. 1x Durch das Gateway selbst, und 2. weil man für den login mehrere IP's aus dem LAN und anderen Netzwerken bereitstellen kann. Doch das tut sie nicht. Und nicht nur bei mir, ist auch bei anderen so. Sie kann auch nicht mit IPv6 umgehen. Lokal lässt sich zwar ein IPv6 Netzwerk erstellen/delegieren, das Gateway selbst hat dann aber keine. Funktionen wie Honeypot und Co funktionieren nur mit IPv4, obschon dann wieder IPv6 FW Regeln erstellt werden können.  :-\
Ansonsten hätte ich nun gesagt dass ich für die Website IPv6 verwenden, und für NTP IPv4. Doch da mit dem HAProxy und LE einzugreifen wäre wohl nicht ganz so gut. Hauptsächlich weil das ganze Netzwerk Controller gedöns so ein Hersteller ding ist, und dieser Hersteller vieles anders macht wie alle anderen.

Ich mein, find ich jetzt auch nicht unbedingt schlecht. Standards sind schon auch cool, aber eben auch Stand-"Art" und nicht Inovation.

Ein Lösungsansatz den ich hier jetzt "noch" sehe -und auch in entsprechenden Foren diskutiert wird- ist ein DynDNS mit der öffentlichen IPv4 auf die DNS-Zone. Möglicherweise gibts auch was vom Hersteller mit Cloud-Login für Admin, nach Hause Telefonier und dann gibts Gratis Domain wie bei Syn(t)ology oder sowas. Bin ich aber kein Fan von. Da scheint es mir wahrscheinlicher im Gäste-netz einen eigen lokalen DNS zu betreiben.

Die NTP kann ich über die 128er IPv6 in die DNS-Zone einbinden, und um sicher zu gehen auch einen DynDNS dafür ziehen. Damit wäre sich auch öffentlich solange erreichbar wie man IPv6 erhält. Was insbesondere öffentlich, oder über Handynetz eher selten ist. :(
Doch genau da sind wir beim Punkt: Ich kann meine öffentliche IPv4 nicht share'n. Oder ich weis nicht wie. z.B. DNS-Zone mit DNAME. Also wie gehabt Gateway mit öffentlicher ipv4 DynDNS, und NTP mit der 128er IPv6 auf DynDNS zum Hosster, und dann in der DNS-Zone beim Hoster

Code Select Expand

ntp.nisch.online DNAME login.nisch.online
..hab ich versucht. Funktioniert nicht. Das mit DynDNS und A bzw AAAA eingräten, würde aber soweit funktionieren. Ob's auf fürs Portal funktioniert hab ich allerdings noch nicht ausprobiert.

Aus meiner Sicht ist es wohl am einfachsten für das Gästenetz einen eigenen DNS zu stellen, und mit der NTP einfach so raus zu gehen. Über HAProxy kann ich mir dies ebenfalls vorstellen. NTP Port 123 ist TCP wie UDP. Ob jetzt mit dem einen, oder dem anderen ist M.M.n wie bei SIP ein bisschen Glaubensfrage. Das eine ist schneller, das andere kommt sicher an. Aso.. ¯\_(ツ)_/¯
Auch das ich gateway.nisch.online auf port 8880 oder 8834 zeigen lassen, und daraus ein login.nisch.onnline machen kann. Top! So bekommt der Gast nicht-mal den Port mit. Ob's funktionieert? K.A. > Nur zur Erinnerung: Es gab und gibt schon damit Probleme die aufgelösten Domain aus dem LAN in's Gästenetz zu übertragen. Besonders vor bzw während dem Anmelden, wo der Gast noch keinen Internetzugriff hat, und mit seiner IP isoliert ist. So! Wenn es nun für den einen nicht funktioniert (weil meinetwegen der oöse pöse Hersteller schuld ist), weshalb sollte es dann mit dem anderen funktionieren? Dazu noch SSL verschlüsselt.

Das einzige was diesbezüglich zu funktionieren scheint (angeblich), ist die öffentliche Auflösung. Damit wären wir an einem heiklen Punkt. Ich nutze Unbound von der OPNsense derzeit als DNS-Server für den gefilterten Internetzugriff aus dem LAN. Ich könnte Unbound auch dafür nutzen um intern drucker.nisch.local und co zu vergeben. Mache ich aber nicht. Nur mal so wegen meinem ersten Post.
Ich hatte die Idee dass ich mit Unbound (als Resolver) login. und ntp. öffentlich wie lokal auflöse, weil ich da einfacher aliase setzen kann die funktionieren. Das war wohl missverständlich formuliert. Jedenfalls ist darauf niemand eingegangen. Was schade ist. Jedenfalls hoffe ich daß es jetzt etwas verständlicher wurde.  :)

Netzwerkplan bin ich noch dran. Sorry wen's so langen dauert. Hab ein wenig Probleme mit der Übersicht.  ;D

..warum nicht die offiziellen ntp nutzen.

Wie? Versteh ich nicht.

EDIT:// Nachträglich noch mein Netzwerkplan. Ich hoffe er gefällt. ;D

Code Select Expand


      .--Internet--.
      :            :
      :            :
      :            :
.----+----.  .----+----.
|  Modem  |  |  Modem  |
'----+----'  '----+----'
   Dyn|IPv4     Dyn|IPv4/6
      |            |
    WAN2         WAN1
      |            |
   Fallback  .-----:------.
     only    |  OPN:sense |
      |      |  (Br:dge)  +--------. management interface als DHCP Client       
      |      | Spam:Haus  |        | DNS/DNSSEC IPv4/6 für Internet (LAN)
      |      '-----:------'        | Ads Filter
      |            |               |
      |        DMZ |               |
      |            |               |
      |  .---------+---------.     |
      '--+ GW,IPS,NAT,DHCP,..|     |
         |         +---------|-----:-Captive Portal
         +---------|---------'     |
         |   GUEST |           LAN |
         |  ..-----+-----.. ..-----+------..
         |   172.16.15.*/*     10.0.0.*/*
         |                         |
         |                   Clients, NTP
    HW Fallback
  ..-----+-----..
   192.168.0.0/*


Nein doch für extern.

Bringt mir ja sonst nichts wenn ich mein Notebook auf ntp.nisch.online synchronisieren lasse, und dies unterwegs nicht funktioniert.

Hi micneu

Herzlichen dank für den Tipp. Echt spannend, wusste gar-nicht dass es sowas gibt. Bin nach ein paar Youtube Videos erstmal den beiden Anleitungen gefolgt.

https://wiki.opnsense.org/manual/how-tos/haproxy.html
https://www.triumvirat.org/2020/02/17/haproxy-reverse-proxy-mit-lets-encrypt-zertifikaten-unter-opnsense-20-1/

Da ich keinen Webserver betreibe, habe ich versucht die Anleitungen für meinen NTP zu verstehen. Bin aber nach spätestens 2/3 gescheitert, und hab auch keine Ahnung was ich da eingerichtet habe.  :-[

Meinem Verständnis nach sollte der Hoster via DynDNS meinerseits, mit CNAMES auf meine Public IP zeigen, und der HAProxy hinter meiner UDM, verteilt dann nach Ports auf die lokalen IP's?
Und weil ich keine Vhosts angelegt habe, benötige ich Unbound um die Host zu benamseln?

Bin auch nicht sicher ob es Let's Encrypt braucht. Das Gästeportal, ja ok könnte man auf HTTPS setzen, muss aber nicht. Login geht nur über ein frei zugängliches, unverschlüsseltes, WLAN mit aktivierten Guest Policies. Dieses ist A in einem anderen VLAN, B in einem anderen Netz, C in einer anderen Netzklasse (B), und D ist der geloggte Aufenthalt nicht nur Zeitlich limitiert. M.M.n Gewinne ich nicht viel wenn ich das Login Portal auf HTTPS setze.
Viel wichtiger ist mir da eigentlich daß die Namensauflösung funktioniert. Das Login sollte über login.nisch.online erfolgen, und nicht über die IP. Denn auch wenn das Gästenetz abgetrennt ist, der Host mit dem Login-Portal  befindet sich im LAN (Klasse A Netz).
Desweiteren will ich ja mit meiner UHR nach draußen ins pöse pöse Internetz. Ganz einfach deswegen weil ich meine UHR auch in anderen Netzen nutzen möchte.

Also ist vielleicht etwas viel jetzt. Bin aber dennoch froh wenn der Aufwand -auch für die APU- möglichst gering bleibt. Nur so, falls es noch andere Lösungen gibt. ;D

Hallo alle

Ich bin neu hier, und versuche mit OPNsense warm zu werden. Dies ist hin und wieder etwas ungewohnt, klappt aber eigentlich ganz ordentlich. Tolle Sache.
Ich arbeite auf einer APU2 und habe von igb0 zu igb2 eine Bridge gesetzt. Die Bridge ist zwischen Modem (ja wirklich, ein Modem, kein Router) und Gateway platziert. Der ursprüngliche LAN port, igb1 steht auf DHCP und bezieht seinen fixen LAN-IP's vom Gateway (eine UDM-Pro). Seitens OPNsens ist Unbound aktiviert, und stellt den DNS IPv4 + IPv6 für mein LAN Netzwerk. Ich möchte Unbound auch dazu nutzen um mit meiner Stratum 1 public zu gehen. Ich habe dazu eine Domain gekauft. Nennen wir sie "nisch.online"  ;D
Die Zone von "nisch.online" ist bei meinem Hoster, bzw auf seine Servern angelegt. Er bietet mir auch die Möglichkeit IPv6 und DynDNS einzutragen, zu nutzen. Weil ich nur einen Dynamische IP habe kommt mir dies sehr gelegen.

Mein Problem: Ich würde gerne mit mehr als einem Service public gehen. Dies vorerst auf den Ports 123 und 8843.

- ntp.nisch.online, 10.11.12.13:123
- login.nisch.online, 10.11.12.1:8843

M.m.n nutze ich dazu Dienste: Unbound DNS: Überbrückung. ..und verwende waß wie genau??

Host-Überschreibungen mit "nisch.online" und lokalen Adressen, oder ..?
..und bei Domainüberschreibung die Server und IP vom Hoster, oder doch nicht?
Geht daß was ich will überhaupt, oder benötige ich mehr als eine public IP?

Fragen über Fragen, ich hoffe ihr könnte mein wir-war etwas entwirren.  :-[