Messages

Hallo,

so ich habe jetzt alle openVPN Server[veraltet] auf die Instanzen migriert. So weit läuft auch jetzt alles bis auf die Funktion gesamter Datenverkehr auch Internet durch den Tunnel.

Es gab bei der Server[veraltet] Version einen Haken(siehe Bild) dann hate der Client auch Internet.
You cannot view this attachment.

Bei der neuen Instanz hab bin ich mir nicht sicher was ich da aktivieren muss das dies funktioniert.
You cannot view this attachment.

Kann mir da jemand infos geben? habe im Forum irgentwie nichts gefunden. Es schreiben alle von einem "def1" befehl mit dem kann ich nichts anfangen.
bzw. kann ich den auf der Web-Oberfläche nicht einstellen.

Eigentlich muss ich auch meine Standortverbindung IPsec auch Migrieren da heist es ja auch das die weg kommt. :(

Hallo Forum Spezialisten,

Ich suche gerade für die Migration von OpenVPN Server auf das neue System.

Leider konnte ich nicht wirklich eine Anleitung finden um meine bestehende Verbindungen zu Migrieren so das ich bei den Clienten keine Änderung machen muss.
Ist das überhaupt möglich? Wenn nicht wird das ein grösseres Problem für mich.

Wenn jemand eine Anleitung hat wäre super da die Doku mir nicht wirklich weiter hilft.

Danke schönen Tag noch!

oder mit den Zertifikatfehlern leben müssen.

Bau dir deine eigene CA und importier die auf allen Desktops mit denen du arbeitest als vertrauenswürdig.
Von einer privaten CA signierte Zertifikate dürfen eine Laufzeit von etwa 2 Jahren plus 3 Monaten haben.

HTH,
Patrick

Hallo Patrick,

Ja werde ich machen nur kurz noch eine Frage
Wo würdest du die machen? Auf der OPNsense oder am Domaincontoller installieren?

Gruss
Christian

Da möchte ich jetzt, wenn ich intern von meinem PC am Browser z.b.:"NAS.meinedomain.tld" eingeben eine Zertifikatfehlerfreie verbindung haben.

Das geht genau dann, wenn

- du eine HAproxy-Konfiguration für NAS.meinedomain.tld hast - den Teil hast du im Griff
- auch intern NAS.meinedomain.tld auf die externe (!) IP-Adresse deiner OPNsense auflöst

Das ist die einzige mir bekannte Methode. Wenn du Split-DNS haben willst, dann geht das halt fundamental nicht. Klar soweit?

Ist dann natürlich die Frage, ob Browser zum Administrieren die einzige Verwendung von NAS.meinedomain.tld ist. Wenn du das auch für die SMB-Verbindungen benutzt anstelle von NAS.local oder \\NAS ... dann wird es schwierig.

Ich hab mich dagegen entschieden und hab auf der Sense eine CA mit 20 Jahren Laufzeit für eine interne Domain - foo.meinedomain.tld - und alle Geräte hier sind in dieser. Dann ein Wildcard-Zertifikat mit 2 Jahren Laufzeit und ich hab nur alle 2 Jahre Aufwand.

Danke für deine Antwort! Die hat es auf den Punkt gebracht das dies nicht so lösbar ist so wie ich das haben möchte daher findet man ja auch nichts im Internet dazu!

Jetzt muss und werde ich entweder deinen Weg einschlagen oder mit den Zertifikatfehlern leben müssen. :)

Also erstens gibt es für den HAproxy Setup mal ein super Tutorial.
HAproxy ist zugegebenermassen schwieriger als Caddy, kann aber ein bisschen mehr. Auch dafür gibt es ein Tutorial.

Am Rande bemerkt würde ich aus gegebenem Anlass keine HTTP-01 Verifikation für von außen sichtbare Dienste mehr nutzen, sondern nur noch DNS-01. Die Gründe dafür sind hier erklärt. Wenn man ACME-Zertifikate für Services nutzen will, die nicht von außen erreichbar sind, führt an DNS-01 ja sowieso nichts vorbei. Es vereinfacht auch vieles, weil man dann nur ein einziges Wildcard-Zertifikat für alle DNS-Namen in der Domain benötigt.

Die kenne ich schon alle und gibt noch viel mehr dazu was mir aber nicht die richtige Antwort/Erklärung bringt.
Ich habe ja OPNsense mit HAproxy + ACME für denn Exchangeserver laufen und der ist von aussen & intern erreichbar weil am externen Domainprovider der A, MX, SPF, DKIM, DMARC, usw. Eintrag gemacht wurde auf "mail.meindomain.tld" und intern habe ich bei meinem internen DNS Server auch die ext. IP für den A eintrag von "mail.meindomain.tld" eingestellt.
Der frontend von HAproxy hört auf die externe IP:443

Das ist für mich total verständlich und funktioniert ja auch super.

Nur habe ich mir Gedanken gemach, um das so lästige Wegklicken von dem Zertifikatfehlern hinzubekommen, müsste das ja auch nur für die Interne Geräte auch funktionieren. Ja da ist aber jetzt der hacken wo ich es nicht mehr verstehe!!

Ich habe ein Netzwerksegment 172.20.20.1/24 wo alle meine Geräte laufen -> Domaincontroller/DNS-Server/Netzwerkspeicher/Mail-Gateway/Audio-Server/Drucker/usw. was alle eine HTTPS Seite zur Bedienung und Konfiguration besitzen. Da möchte ich jetzt, wenn ich intern von meinem PC am Browser z.b.:"NAS.meinedomain.tld" eingeben eine Zertifikatfehlerfreie verbindung haben.

Das ganze ohne das ich bei den Clienten ein Zertifikat hochladen muss da dies ja mein HAproxy übernehmen soll. Dies funktioniert ja auch beim Exchangeserver schon so nur da geht alles über die ext. IP wo der hacken ist! Da ich bei den Activ Directory Domaincontroller alle verbunden Geräte ja die Einträge selbst machen und das ist die interne IP z.b für nas.meinedomain.tld = 172.20.20.23.

Mein problem ist ich verstehe nicht wie ich OPNsense(HAproxy) einstellen muss das dies von intern funktioniert ohne das ich es über die externe IP mache.
Habe unter DHCPv4 keine DNS-Server & Domainname gesetzt
hätte bei Unbound DNS die Host Überschreibeung probiert mit HOST (*) Domain (meindomain.tld) auf die DNS-Server IP leider stürtz da Unbound DNS ab und kann es nicht mehr starten.

Danke schon mal für die schnelle rückmeldung aber wie soll ich das jetzt verstehen?
HAproxy erstellt man zuerst den Tatsächlichen Server -> (Virtuelle) Backend-pool mit Frontend -> mit dem spreche ich eigentlich, wenn ich z.b. mg01.meinedomain.tld aufrufe.
Das geht aber nur weil ich im DNS Server die externe IP angegeben habe. Wie kann ich den Frontend den übergehen so das der haproxy das für die interne Geräte macht. Das ist ja gerade das was ich nicht kapiere.
Wenn du mir das näher erklären könntest bitte oder einen Link hast dazu wäre echt super.

Danke

Hallo Leute,

Ich suche jetzt schon Tage nach einer Lösung und komme einfach nicht dahinter, obwohl ich mir schon einige Videos usw. angesehen habe. Ich weiß auch nicht ob das eigentlich der richtige Weg ist da ich ja nichts darüber finde.
Ich möchte realisieren: Für alle meine internen Geräte ein Zertifikat mit dem ACME Client erstellen und über HAproxy verteilen.
(vorweg macht man das überhaupt so oder gibt's bessere Lösungen?)

Da ich für den Exchange2019 HAproxy + ACME Client eingestellt habe zwecks Zertifikate und das auch schon Jahre Top funktioniert wollte ich das auch für meine anderen WebGui/Geräte machen da dieses weck Klicksen lästig ist im Browser.
Für die OPNsense selbst einfach da braucht man kein HAproxy nur ACME Client und unter System-Einstellungen-Verwaltung das Zertifikat für die OPNsense angegeben und funktioniert auch sofort wenn ich ,,fw01.meineDomain.tld" aufrufe. Egal von welcher Schnittstelle ohne HAproxy -> okay passt denk ich mir.
So jetzt komme ich zum eigentlichen Problem wo ich keine lösung bis jetzt gefunden habe.
Wenn ich jetzt z.b für meine WebGui vom ,,mg01.meinDomain.tld" ein Zertifikat erstellen lasse und ich möchte das dies wie beim Exchange Server verwenden stosse ich auf das Problem das ich beim DC die DNS config so machen muss das ,,mg01" auf die externe IP zeigt wie bei ,,mail.meinedomain.tld" sonst erkennt das HAproxy nicht um das Zertifikat zu verwenden.
Das nächste problem kommt erst wenn ich das ganze für das NAS machen will da kann ich die externe nicht angeben da die ja in der AD hängt und die DNS Einträge selbst aktualisiert.
So jetzt würde ich eure Hilfe benötigen da ich irgendwie keine Ahnung/Idee habe wie ich das lösen könnte.

Hallo,

hat keiner Infos für mich da ich das Problem noch nicht lösen konnte.

Möchte ein Gerät über die OPNSENSE ins Internet stellen und mit der extern erreichbar sein.

leider komme ich nicht auf das gerät mit dieser 1 zu 1 NAT Regel

Bitte um Unterstützung

Guten Tag,

Ich wollte jetzt trotzdem testen wie ich eine ext. IP auf int. IP 1zu1 NAT machen kann.

So das ich von ext. alle Ports freigeschaltet sind zur internen IP und wenn ich raus gehe soll die ext. IP angezeigt werden.

Leider bring ich das nicht hin es wird immer die ext. IP Adresse der WAN schnittstelle angezeigt wenn ich einen IP test mache von dem Rechner der im Internen netz hängt.

Habe konfiguriert als NAT regel

Schnittstelle: WAN
TYP: NAT
External network [Target]: 108.67.106.66  <- Bespiel externe IP
Source / Internal: 172.16.61.2
Ziel: jeglich
NAT reflection: Standard

Der LAN Anschluss ist so eingestellt 172.16.61.1 / 30 [kein DHCP]
Rechner: IP:172.16.61.2/30 Gateway + DNS 172.16.61.1 -> Internet läuft und die Bandbreite Begrenzung funktioniert auch.


Habe jetzt schon einige andere konfig getestet und im Forum gesucht und auch was gefunden aber es will nicht funktionieren. Irgendwas verstehe ich nicht oder mache ich komplett falsch.
Könnt ihr mir nochmal helfen Bitte

Super danke für deine Antwort werde das demnächst gleich mal testen und mich dann mit dem Ergebnis melden.

Wie machen das eigentlich das dann die Internetdienst Anbieter rein mit switch. Ich habe zwar als Neugier im Netz rumgesucht, aber nicht wirklich antworten gefunden wie sowas aufgebaut ist bzw. welche Geräte verwendet werden.

Jetzt hätte ich noch eine frage dadurch.

Wäre es möglich meine 5 Ethernet anschlusse bei der OPNsense so zu nützen das der WAN Anschluss auf drei LAN Ports brückt (Switch)


z.b.:
Standard ist ja [WAN] = Interneteingang [Port 1], [LAN] = Heimnetzwerk [Port 2], usw.

meine Idee wäre:

Port 1-3 wie ein Switch konfigurieren wo
-> Port 1 mein Internetanschluss & zugleich switch eingangs Port für Port 2 & 3 ist
-> Da dann eine Bandbreitenausgleich drüberlegen wäre noch der Hit für Port 2 & 3

Kann man sowas konfigurieren überhaupt?
Anleitung für LAN hab ich gefunden -> https://docs.opnsense.org/manual/how-tos/lan_bridge.html

Aber glaub das besser ist ich nehme einen einfachen Switch kann da jemand einen kleinen empfehlen so das ich auch max. Bandbreite bei den Ports einstellen kann?

Für Infos sehr dankbar

Guten Tag,

bitte nicht gleich schlagen wenn ich jetzt eine blöde frage stelle.

Ich möchte bei meiner OPNsense eine Ext. IP (am WAN Anschluss) generell auf einen anderen Anschluss weiterleiten wie eine Brücke und diesen mit 10Mbits up/down begrenzen.

OPNsense Hardware hat 5 Lan Anschlüsse

LAN 1 = WAN mit IP x.x.x.58/29 (IPx.x.x.57 Gateway) Virtuelle IPs angelegt von IP x.x.x.58-62

LAN 2 = Intern IP x.x.x.58-60 nütze ich schon für Mails/VPN/Fernwartung/ usw.

LAN 3 = Ext 1 - IPx.x.x.61
LAN 4 = Ext 2 - IPx.x.x.62

Hintergrund ist das ich LAN 3 & 4
1. von der Bandbreite beschränken möchte und aber dort noch ein Router steht
2. steht dort auch noch ein Router und dann doppeltes NAT wäre daher die IP direkt weiterleiten auf LAN 3/4

Kann mir jemand sagen, ob man das so überhaupt macht oder mal Erklären, was eigentlich die beste Lösung für sowas wäre?
Meine Idee war auch schon ein Switch auf der Internetseite zu hängen und dort alle Router anschließen aber da habe ich noch ein Gerät was ich eigentlich nicht will.

Würde mich für hilfreiche Infos freuen Danke

Hallo Leute,

das Problem hat sich erledigt man muss nur langegenug warten dann gehts plötzlich. Da hilft kein Neustart usw. kanns mir zwar nicht erklären wenn da einer eine Meinung dazu hat bitte gerne.

Gruss

Hallo,

Ich habe das Problem bei OPNsense das die Seite " https://www.googleadservices.com" nicht erreichbar ist. Habe in Unbound DNS die Sperrliste deaktiviert auf Anwenden gedrückt und Dienst Neugestartet ging trotzdem nicht dann OPNsense neu gestartet geht auch nicht?
Wenn ich aber über andere Firewall/Router ins Internet gehe gehts aber z.b. Handy Mobilnetz.
An was kann das noch liegen?
GEOIP - Sperre und sämtliche Black Listen habe ich auch zum test deaktiviert leider kein Erfolg.

Hat jemand eine idee?