Messages

Hallo Patrick,

d.h. wenn ich in DNSMASQ unter "Allgemein" "DHCP default Domain" den Eintrag "internal" erstelle, dann heißen meine Geräte z.B. HPXXXX.internal, oder (wobei HPXXXX der Name ist, den ich im Drucker direkt als Namen unter Netzwerkidentifikation eingebe, wenn ich dort eine statische Adresse als IP angebe. Ansonsten wäre es der Name, den ich unter Host bei der Namensreservierung für eine MAC-Adresse angebe.)? Korrekt?
Und was ist mit dem Eintrag "localdomain" unter /var/etc/dhcpd.con. Der wäre nur relevant, wenn ich einen anderen DHCP-Server benutze?
Noch eine blöde Nachfrage. Muss der FQDN immer die Struktur *.* haben, also z.B. internal.lan oder funktioniert auch nur internal?

Nochmal eine ergänzende Frage.
Ich benötige ja den Domainnamen für den DHCP-Server.
Ich habe aber mehrere Namen und es ist mir nicht klar welchen ich nehmen muss.
Ich habe in der OPnsense meine öffenliche Domain angegeben, die ich per Dyndns aktualisiere, also so etwas wie subdomain.ipv64.de
Dann habe ich in DNSMasq eingetragen unter Domain internal. Das ist jetzt auch die Domain die für das obige Vorgehen vorgesehen habe.
Und dann steht zu meiner Verwirrung unter /var/etc/dhcpd.conf noch option domain-name "localdomain". Ich dachte hier würde DNSMASQ "internal" eintragen.
Wird diese Datei benutzt, müsste ich das ändern oder kann ich die ignorieren?

Wie gesagt, diese Lösungen habe ich alle schon versucht mit mDNS. Aber das funktioniert bei mir einfach nicht zuverlässig. HP ist da vielleicht etwas zickig?
Bei der angegebenen Lösung benötigt man das ja scheinbar gar nicht.

Wie gesagt, ich habe die Probleme mit meinem HP Drucker.
Und wenn ich das als Laie richtig verstehe, dann kann man Airprintfähige Drucker auch anstatt per Mulicast über Unicast DNS ansprechen.
Damit entfielen dann die mDNS-Repeater oder Avahi-Lösungen und ich sollte meine Sorgen los sein.
Vielleicht verstehe ich das auch falsch, aber wer nichts versucht, der weiß auch nicht, ob es geht.
Das Ganze ist hier beschrieben:
https://www.reddit.com/r/PFSENSE/comments/gdi6h1/dnssd_with_pfsense_dns_resolver_unbound/?tl=de&rdt=60251
http://www.dns-sd.org/ServerStaticSetup.html
https://www.synology-forum.de/threads/dns-sd-oder-wie-zeigt-dns-den-ios-geraeten-den-drucker-aus-anderem-subnetz.102150/
Ich habe mittlerweile mit dem Vorgehen im letzten Post mittels Apple-Bonjour-SDK die entsprechenden Einträge gefunden und versuche diese nun wie im ersten Post beschrieben in unbound einzubinden. Das gelingt mir aber nicht.
Ich glaube ich muss es in die Datei zones.conf schreiben und nicht in unbound.conf oder host_entries.conf.
Aber es funktioniert dennoch nicht.
Wahrscheinlich muss man auch noch etwas im DHCP-Server eintragen DNSMASQ.
Ist für jemanden der nur wenig Ahnung hat schon recht schwer zu verstehen, obwohl die Posts eigentlich sehr verständlich sind.
Aber ich versuch es weiter. Vielleicht findet sich noch jemand, der mir helfen kann.

Hallo,

ich benötige mal wieder Eure Hilfe. Es funktioniert immer noch nicht optimal mit meinem HP-Drucker im Heimnetz mit mehreren VLANs.
Ich möchte den Drucker in Iphones und IPads, in Android-Handys und in PCs nutzen aber es funktioniert nicht richtig. Habe schon alles versucht mit mDNS und Avahi etc. Aber alles geht nicht so wie ich es gerne möchte.
Ich hatte ja schon einmal einen anderen Thread aufgemacht, weil ich diese Lösung mit DNSSD gefunden hatte, konnte es aber nicht umsetzen.

Jetzt wäre ich da wohl weiter, müsste aber Einträge bei unbound machen.
Das Beispiel aus dem Netz sieht so aus:

# /etc/unbound/unbound.conf
# Unbound DNS-SD Network Printer Configuration Example.
 
local-zone: "_tcp.home.macdougal.com." static
local-zone: "_udp.home.macdougal.com." static
 
# Some of the lines in this block may be unnecessary.
local-data: "b._dns-sd._udp.home.macdougal.com. 60   IN PTR home.macdougal.com."
local-data: "lb._dns-sd._udp.home.macdougal.com. 60   IN PTR home.macdougal.com."
local-data: "_services._dns-sd._udp.home.macdougal.com. 60 IN PTR _ipp._tcp.home.macdougal.com."
local-data: "_universal._sub._ipp._tcp.home.macdougal.com.   60   IN   PTR   HP\032Tango\032X._ipp._tcp.home.macdougal.com"
local-data: "_ipp._tcp.home.macdougal.com. 60 IN PTR HP\032Tango\032X._ipp._tcp.home.macdougal.com"
 
local-data: "HP\032Tango\032X._ipp._tcp.home.macdougal.com. 60 IN SRV 0 0 631 HP\032Tango\032X._ipp._tcp.home.macdougal.com"
local-data: "HP\032Tango\032X._ipp._tcp.home.macdougal.com. 60 IN A 172.16.50.50"
local-data: 'HP\032Tango\032X._ipp._tcp.home.macdougal.com. 60 IN TXT "txtvers=1" "adminurl=https://printer.home.macdougal.com./#hId-pgAirPrint" "note=201 Macdougal St Apt 3W New York, NY 10011" "priority=30" "qtotal=1" "TLS=1.2" "rp=ipp/print" "UUID=70aa8120-f2f7-4766-9527-69eb36c3d062" "product=(HP Tango)" "ty=HP Tango" "Color=T" "Duplex=F" "pdl=application/vnd.hp-PCL,image/jpeg,image/urf,image/pwg-raster,application/PCLm" "PaperMax=legal-A4" "URF=CP1,MT1-2-8-9-10-11,PQ3-4-5,RS300-600,SRGB24,OB9,OFU0,W8-16,DEVW8-16,DEVRGB24-48,ADOBERGB24-48,IS1,V1.4,FN3" "kind=document,envelope,photo,postcard" "Scan=F" "mopria-certified=1.3" "Fax=F"'

So einen Eintrag habe ich jetzt für meinen Drucker angepasst aber wie funktioniert das jetzt mit unbound.
Ich wüsste nicht wie ich das in der GUI zu unbound eintragen könnte.
Ich habe das Ganze jetzt einfach in die host_entries.conf im unbound-Verzeichnis kopiert. Aber immer wenn ich unbound neu starte, löscht er meine Einträge und stellt die alte Datei mit meinen restlichen Host-Einträgen wieder her, wobei die neuen Einträge verloren gehen. Ich habe unbound auch schon gestoppt und dann die Datei ersetzt. Aber auch das bringt nichts. Er stellt immer die alte Datei wieder her.

Ich würde sehr gerne austesten ob das mit den DNSSD-Einträgen funktioniert.
Hat jemand eine Idee?

Haha,

sehr gut, dass wir drüber gesprochen haben. Genau das hatte ich genommen, einfallslos wie ich bin, OPNSense.subdomain.name.
War halt so schön plausibel.
Wie schön, dass man hier immer etwas lernen kann. Das passiert mir nicht mehr. 😁

Das hört sich sehr gut an. Befürchte aber,dass das mein Dienst nicht unterstützt. 😥

Also so habe ich es doch gemacht, denke ich.
Name also z.B: subdomain.ipv64.net und Alternativname *Subdomainname Name.ipv64.net.
Ich habe sonst definitiv nichts was ein Zertifikat anfordert.
Die angezeigten Zertifikate sind jetzt auch immer auf *subdomain.ipv64.net und Subdomain.ipv64.net. Sonst sehe ich keine Zertifikate, das stimmt.
Aber wieso sind die Zertifikate mit dem kompletten Namen des Servers so ein Problem aber wenn man nur den Namen des "Stammzertifikats" dann nicht?
Wählt man dann so einen komplizierten Namen für den Server, dass man nicht darauf kommen kann, oder wie ist die Idee?
Sorry für die dumme Frage, habe leider nicht das entsprechende Wissen, aber ich würde das trotzdem sehr gerne verstehen.🤔☺️

Hallo,

jetzt habe ich auch einmal kurz eine Frage zu den Wildcardzertfikaten.
Ich hatte mir ein Wildcard-Zertifikat erstellt für eine Sub-Domäne bei IPV64.net.
Das hat auch alles sehr gut funktioniert. Nun habe ich Deinen Tipp befolgt und bei CRT.sh nachgeschaut und siehe da, dort waren jede Menge Zertifikatseinträge vorhanden. Das hatte ich darauf zurückgeführt, dass ich ganz zu beginn mittels http-01 Challenge ein Zertifikat erstellt hatte und das deshalb die Einträge zu sehen waren.
Nun habe ich vorsichtshalber eine neue SUB-Domain mit anderem Namen erstellt und nur ein Widcard-Zertifikat mittels DNS-Challenge erstellt. Das Ganze sorgte nun dafür, dass ich wirklich 3 Tage lang nichts bei crt.sh gefunden habe. Heute sind jedoch wieder 7 Einträge für die neue Subdomain vorhanden.
Es war eine Menge Arbeit alles auf die neue SUb-Domain umzustellen (Caddy und DynDNS etc.)
Bevor ich mir nochmals die Arbeit mache. Geht das nicht mit Sub-Domains oder mache ich etwas falsch?
Bei einem Zertifikat habe ich einmal die Sub-Domäne als Namen angegeben und als Alternativnamen dann *Name. Ist das okay? Ich hatte das irgendwo gelesen. Oder muss ich als Namen nur *Name eingeben ohne Alternativname?

Okay,
wie gesagt ich bin ja nur Laie und da sucht man sich für solche doch schon etwas komplizierten Themen halt Hilfe im Forum in den Amleitungen und nauch sonst was man noch finden kann.
Ich hatte als erstes den Handler für die OPNsense selbst erstellt und ich glaube irgendwo gelesen zu haben, dass dort die Konfiguration mit dem Zertifikat angegeben war. Aber Du hast Recht, wenn ich den E6-Client bei TLS Trust Pool rausnimmt, dann geht es genauso ohne Probleme.
Ist ja gut zu wissen und ich habe wieder etwas gelernt.
Aber eine Möglichkeit die IP-Nummern über https ohne Warnmeldung im Browser zu erreichen gibt es wohl nicht, oder?

Frage: warum ist das CA-Zertifikat in Caddy überhaupt konfiguriert? Wenn der Handler ein Backend-System kontaktiert, das man selbst kontrolliert, dann ist doch schnurz, von welcher CA das Zertifikat ist.

Ich kenne mich leider zu wenig aus. Verstehe ich Deine Frage richtig, dass ich meine ganzen Geräte/Server auch ohne das ACME-Zertifikat über https und ohne Fehlermeldung mittels Caddy ansprechen kann. Wie müsste ich das konfigurieren?
Und wenn hier schon die Profis unterwegs sind, dann gleich noch ne Frage. Let's encrypt unterstützt ja jetzt auch ip-zertifikate. Könnte man damit auch endlich alle seine server direkt über die ip-Adresse mittels https aufrufen (also zB https://192.168.1.1) oder funktioniert das nur für die öffentliche Adresse und wie funktioniert das.

Also,

so steht das Zertifikat im Caddyfile:
{
   tls /var/db/caddy/data/caddy/certificates/temp/677413917419a.pem /var/db/caddy/data/caddy/certificates/temp/677413917419a.key {
   }
Und diese Dateien stehen nun auch im entsprechenden Ordner.
Vorher hat das wie gesagt nicht gepasst.
Auf dem Bild ist angehangen wie es in der GUI aussieht.

Hallo,

ich habe das Problem gelöst. Es war natürlich sicher meine Dummheit.
Ich habe so ziemlich alle Zugänge zu den Switches zum Ubi-Netzwerkcontroller zu Proxmox etc. mit Caddy als Reverse-Proxy so eingerichtet, dass ich dieses nervige "Nicht sicher" mit durchgestrichenem https im Browser loswerde indem ich den Namen plus Domain aufrufe.
Das ganze habe ich auch für die Admin-Weboberfläche des CUPS-Servers versucht. Und das funktioniert nicht und bringt die Fehlermeldung, dass Caddy nicht startet. Ich war eigentlich der festen Überzeugung, dass das früher einmal so ging, aber vielleicht täusche ich mich auch. Ich habe jedenfalls den entsprechenden Eintrag gelöscht und alles funktioniert wieder.
Sorry für die Arbeit, die ich gemacht habe und vielen Dank für Eure Hilfe.

Also ich habe anstatt des E6 clients im Handler den E5 client ausgewählt. Das brachte keine Änderung. Ich hoffe Du meinst das.
Und jetzt nur für mich zum Verständnis. Ich soll dieses Feld leeren nach dem Export und neu importieren oder das Zertifikat im Feld certificate von der Domain löschen und dann neu importieren?

Also,
Ich habe das jetzt einmal überprüft. Bei den Handler-Einträgen  TLS Trust Pool hatte ich nur für die OPNsense den E6 Client ausgewählt. Für alle anderen war das Feld auf None.
Wenn ich das für die OPNsense selbst auf None setze und apply drücke kommt umgehend eine rote Dialogbox mit folgender Fehlermeldung:
Error: loading http app module: provision http: server srv0: setting up route handlers: route 11: loading handler modules: position 0: loading module 'subroute': provision http.handlers.subroute: setting up subroutes: route 1: loading handler modules: position 0: loading module 'subroute': provision http.handlers.subroute: setting up subroutes: route 1: loading handler modules: position 0: loading module 'reverse_proxy': provision http.handlers.reverse_proxy: loading transport: loading module 'http': provision http.reverse_proxy.transport.http: making TLS client config: failed to load ca module: loading module 'file': provision tls.ca_pool.source.file: reading /var/db/caddy/data/caddy/certificates/temp/67855b8373165.pem: open /var/db/caddy/data/caddy/certificates/temp/67855b8373165.pem: no such file or directory