Messages

Dear Fright, Franco and AdSchellevis,

You made my day. I just tested

Code Select Expand

opnsense-patch 5cd36a1 and it WORKS AGAIN!!!

THANK YOU,
Radek

Hi Fright,

This could easily be - thank you so so much for looking into it!!! Let me know, if you want me to test on 22.7.5 which does not contain https://github.com/opnsense/core/commit/c3040290ecdff9d4faa92bd3af933427cdd3f756 which is adding the line you mentioned.

Thanks,
Radek

Hi Franco,

I am trying to edit imported CRL, but could it be that due to some bug which was introduced in version 22.7 the GUI think that this is internal CRL?

What I am trying to say, same steps works perfectly in 21.7 but do not work in 22.7.

Thanks,
Radek

Dear Franco,

Thank you for follow up and sorry for taking a while to respond. I needed to setup old version of OPNSense (21.7.1) to be able to tell you, how exactly the missing field was called in the older version.

It was called "CRL Data" and you get to it by simply clicking edit on imported CRL certificate. Please see attached screenshot. It is the field which content was erased using red brush.

I hope it is clear what we are missing now. Please let me know, if we can help in any way to clarify our issue. It would be really great, to have this functionality back.

Thanks,
Radek

Der OPNSense community,

We use dedicated machine without network connectivity to create and revoke OpenVPN certificates. Up to version 22.1 our workflow was always to generate crl.pem on the off-line mahine and manually upload it to the OPNSense gateway.

With 22.7 when going to System => Trust => Revocation and clicking on edit of existing CRL, there is no option to update its content. See attached picture. The workaround seems to be to import new CRL, and than modify the OpenVPN to use that new CRL and than delete the old one.

It was much easier, when we could just edit the existing one. Any hints?

Thanks,
Radek

[pmhausen]

Alles klar. Ich danke auch führ konstruktiv und zivilizierte Diskussion und besonders zum pmhausen. Wir haben vor eine Woche Seiner vorschlag implementiert und wir sind wirklich zufrieden damit. Vielen Dank!

Also die Corona Karte zu ziehen, zieht hier für mich gar nicht ;) Ich kann den Schmerz verstehen, wenn man das einrichten soll/muss. Aber mal ehrlich: es gibt keinen Grund, warum volldynamische Clients (!) - lese das Wort! - einen DHCP Namen im DNS haben müssen. Wenn die plötzlich aber halbe Terminalserver sind, weil eure Leute nicht von daheim arbeiten, sondern via RDP o.ä. auf den Desktops rumschrubben müssen, dann sind das "mini Terminalserver". Und dann muss ich sie auch so behandeln und ihnen fixe IPs geben. Warum? Weil sonst Mitarbeiter XY auf die glorreiche Idee kommt "ey Windows Update juhu, YOLO!" und die Kiste bootet durch. Und dann? Upsi, bekommt ne neue IP. DNS braucht ne Weile bis es  sich wieder überall gerade gezogen und aktualisiert hat, der Client daheim hat auch nen Cache etc. etc. und plop kommen die Leute nimmer auf ihren Desktop.

Glücklicheweise unsere mitarbeiter benutzen am meinsten Ubuntu (wir sind ein Embedded Linux Firma) - und bei Ubuntu Update hat diese Problem in letztem zehn Jahren nie passiert. Aber gut zu wissen, dass man es bei Windows machen muss.

> Was ich damit sagen will: alle Clients haben korrespondierende DNS Einträge (=Hostname.domäne).

Glückwunsch du hast eine MICROSOFT DOMAIN.

Nein, wir haben keine MICROSOFT DOMAIN, aber ich verstehe, dass wir nicht ein typisches Beispiel sind und viele Firmen haben eine :)

The best sollution/work-around from the German discussion seems to be to create two separate sub domains and in DHCP configure the services domain to higher priority.

employees:
my-cool-mac.lan.firma.com

services
jenkinsserver.services.firma.com

Details in German here: https://forum.opnsense.org/index.php?topic=21757.msg107715#msg107715

Dann mach ein dynamisches Mapping für die ganzen Mitarbeiter und ein statisches Override in zwei getrennten Subdomains.

Die Mitarbeiter mussen dann die neu Namen lernen was lange dauert :( Aber ja ich denke auch diese ist die beste Lösung. DANKE!

Einfach so wie hier beschrieben

Naja - eine statische mapping für jeder Mitarbeiter wollte ich nicht wirklich machen :(

Aber auch für dich würde es mehr Sinn machen

Alles andere bringt nur Probleme

Verstehe ich richtig, das du meint, dass ich solte "DHCP Domain Override" benutzen und eine alternative Domain dort geben? Zum Beispiel: dhcp.xyz.

Dann jenkinsserver.xyz bleibt von static mappings und die Mitarbeiter mussen von radek-desktop.xyz nach radek-desktop.dhcp.xyz wechseln?

Für Detaile sehe bitte meine Englische thread: https://forum.opnsense.org/index.php?topic=22617.0

Okay
Dennoch wäre da, wie oben vom Kollegen geschrieben  ein zweiter DNS Name für die HAProxy Dienste sinnvollere unabhängig von Corona und Home-Office

Irgendwie sehe ich da nicht den Sinn in dem was ihr da macht

FYI: Kosta und ich können nicht ein ander. Wir haben nur ähnliche Problem, aber jeder in eine unterchidliche Netzwerk :)

Register DHCP Leases würde ich eh nie machen. Es gibt IMHO keinen sinnvollen Grund, warum ich irgendwelchen volldynamischen Clients mit Namen ansprechen müsste

Unsere Grund dafür ist das normaleweise Mitarbeiter arbeiten in Büro, wo sie ein gute Desktop haben und viele Embedded Systems (die wir entwickeln) sind verbindet dazu. Jetz in Koronazeit die Mitarbeiter sind zu hause und benutzen SSH und VPN zum zu diesem desktop zu verbinden. Und es ist viel viel einfacher ssh radek-desktop machen als die IP address zu erinnern. Und ein statisch mapping für jeder Mitarbeiter zu haben ist auch keine gute Alternative.

[DHCP configuration]

sure - let's give it a try

DHCP configuration
opnsense IP address 10.0.0.1
jenkinserver - static mapping based on MAC - IP address 10.0.0.20
DHCP pool 10.0.0.100 - 10.0.0.200

Unbound server configuration:
Register DHCP leases = yes
Register DHCP static mappings = yes

Environment out of control
Good employee install his computer and name it radek-desktop and it get's IP address 10.0.0.100
Evil employee install his computer and name it jenkinsserver and it get's IP address 10.0.0.101

Actual behavior
1) nslookup radek-desktop returns 10.0.0.100 as expected - correct

2) nslookup jenkinsserver returns following - wrong

Code Select Expand


$ nslookup jenkinsserver 10.0.0.1
Server: 10.0.0.1
Address: 10.0.0.1#53

Name: jenkinsserver.xyz
Address: 10.0.0.101
Name: jenkinsserver.xyz
Address: 10.0.0.20


Expected behavior
1) nslookup radek-desktop returns 10.0.0.100 as expected

2) nslookup jenkinsserver returns following

Code Select Expand


$ nslookup jenkinsserver 10.0.0.1
Server: 10.0.0.1
Address: 10.0.0.1#53

Name: jenkinsserver.xyz
Address: 10.0.0.20


ok - habe ich gemacht: https://forum.opnsense.org/index.php?topic=22617.0