Messages

Hat hier vlt. jemand noch einen Tipp für mich?

Ich kann dir nicht ganz folgen, ich bin kein Profi bei den ganzen Netzwerk-Themen.

Mein Server, auf dem traefik läuft und letsencrypt durchgeführt wird, erhält seine komplette Netzwerkconfig per DHCP. ICh habe dort keinen DNS konfiguriert.

Auf der OPNsense habe ich für die MAC-Adresse m eines Servers einen Alias hinterlegt.

Unbound läuft auf der 53 und ist für alle interefaces konfiguriert.

Außerdem habe ich in Nat und in Floating regeln angelegt, die andere DNS-Server unterbinden. Siehe Bilder.

Für my-domain.tld habe ich in unbound ein forwarding auf dnsmasq angelegt, wekcher auf einem anderen Port hört, damit server.my-domain.tld lokal und dynamisch aufgelöst wird.

Müsste ich jetzt in der OPNsense einen externen DNS-Server hinterlegen, unbound auf einen anderen Port ziehen und dann die Umleitungsregeln so anpassen, dass 53 auf diesen neuen Port an die OPNsense weiter geleitet wird?

Da weiß ich ad hoc nicht, wie das geht. Ich muss da für heute auch eine Pause einlegen.

Die Regeln zum DNS umleiten sind so aufgesetzt, dass source alles ist, bis auf die mac adresse des Servers.

Ich habe jetzt diese Regeln von any auf not server mac address gesetzt. Es funktioniert dennoch nicht. Ich vermute, ich muss den server noch so konfigurieren, dass er nicht die opnsense als dns nutzt.

Und mit  HOST-IP meinst du dann in meinem Fall die IP meines Servers?

Verstehe nicht, was du mit !HOST-IP meinst.

Ich habe ein Netwerk private. Da ist der Server und auch clients drin.

Meine DNS Regel redirected einfach alles auf die opnsense um.

Ich müsste vermutlich einen alias für den server nehmen und den von der Regel ausnehmen. Vermutlich müsste ich dann auch konfigurieren, dass dieser gerade nicht die opnsense als DNS nimmt.

Du meinst ich soll in der opnsense konfigurieren, dass der server einen externen dns server statt der opnsense nutzt?
Wie kann ich das erreichen?

Momentan habe ich floating rules, die dns traffic blockieren und auf opnsense umrouten.

Ja, aber wenn ich den wegnehme, dann kriege ich ja nur noch eine Auflösung auf meine externe IP Adresse, aber nicht mehr auf die lokale IP.

Dann hab ich für die Dienste gültige Zertifikate, aber kann sie nicht mehr im internen Netz erreichen, sondern müsste, von außen rein und entsprechend den Port frei geben.

Oder übersehe ich da etwas?

Ja, ich wollte die DNS-Challenge machen, weil meine Heimdienste nicht aus dem Web erreichbar sind.

Ich meine, ich hätte auf einer etwas veralteten opnsense installation im Sommer das zum laufen bekommen. Da war aber noch nicht dnsmasq der standard, sondern ein einfacherer dienst, der nur DHCP gemacht hat. Dort wurden die Leases automatisch an unbound weiter geleitet. Damit hat sowohl die Erstellung der txt. entries in cloudflare funktioniert, als auch das routing zum server und Auflösung von traefik.

Jetzt geht es nicht mehr. Oder halt nur, wenn ich das Forwarding für meine domain an dnsmasq deaktiviere, die Dienste starte, wodurch die zertifikate erstellt werden und dann das Forwarding wieder anstelle. Aber das ist natürlich keine tragbare Lösung.

Vlt. muss ich eine ganz andere Lösung finden.

Ich will nur lokal auf die Dienste zugreifen, aber mit wenig aufwand tls ohne nervige Warnungen erreichen.

Wenn ich den Forward für meine domain auf dnsmasq deactiviere, dann kann letsencrypt die challenges einrichten. Wenn ich es dann wieder aktiviere und zusätzlich in dnsmasqs die adressen als hosts konfiguriere, dann werden die gerouted und die zertifikate sind dann da.

Aber das ist natürlich nicht so wie gedacht.
Ich will ja nicht permenanent dort etwas umkonfigurieren und aktivierung togglen.

Hallo, ich habe heute eine Baustelle abschließen wollen und bin über ein unerwartetes Problem gestolpert.

Ich möchte gerne auf meinem Server traefik laufen lassen mit letsencrypt.
Ich hatte das auf meinem alten opnsense router auch schon mal funktionierend hin bekommen. Aber wegen anderer Baustellen liegen lassen müssen.

Ich wollte heute die traefik Konfiguration finalisieren und stellte fest, dass das letsencrypt nicht mehr ging.
Erstes Problem war, dass ich dyndns auf meinem neuen opnsense router noch nicht eingerichtet hatte. Das habe ich gerade hin bekommen.
Aber letsencrypt geht noch immer nicht.

Eine Recherche sagt mir, dass es wohl an meinem DNS Setup liegt, was sich bei dem neuen router geändert hatte. Früher hatte der DHCP-Server einfach die leases zum DNS hinzu gefügt. Daher musste ich im DNS nicht viel anpassen und letsencrypt hat bei cloudflare einen dns record angelegt. Im aktuellen Setup mit dnsmasq musste ich aber in unbound ein query forwarding anlegen, weswegen letsencrypt die IP nicht richtig auflöst und die dns challenge nicht machen kann.

Hat irgendjemand das hinbekommen?

Ich bin einfach etwas mit der extrem gestiegenen Vielzahl der Default regeln überfordert und muss erst mal in ner ruhigen Gelegenheit versuchen rauszubekommen, wie ich die Regeln dazwischen kriege, dass es dem entspricht, was ich mal ursprünglich hatte.

Ich habe mal angefangen den neuen router zu konfigurieren, aber bin ehrlicherweise mit den Änderungen des aktuellen OPNsense etwas überfordert.
Ich habe vor einigen Jahren mit 4 automatisch erstellten Regeln gestartet. Jetzt sind es um die 25 und ich verstehe die nicht alle. Daher weiß ich auch nicht recht, wo ich meine einklinken soll. Löschen kann ich die auf den ersten Blick auch nicht.

Das mit dem dnsmask + unbound und der Registrierung der eigenen leases ist mir aus der Anleitung auch nicht ganz klar geworden. Gibt es da irgendeinen migration guide?

Ich hab mich vlt. unverständlich ausgedrückt. Ich habe zur Zeit zwei wireguard interfaces. Eins um den Laptop ins LAN zu bringen, eins um das Handy ins Android VLAN zu bringen.

Letzteres habe ich nur,um in Hotspots, Hotels etc. meinen Traffic zu tunneln. Dafür kann ich aber auch das NordVPN nutzen, was ich seit ein paar Monaten habe.

DMZ hab ich nicht. Hab mich entschieden von unterwegs nur per VPN auf Sachen zu Hause zuzugreifen.

Vlt. kann ich mir Wireguard auch auf Android sparen, weil ich für fremde Netzwerke auch nen NordVPN habe. Und auf Server etc. kann ich mit dem Handy eh nicht.