Messages

Ja, du hast recht.
Allerdings hat sich mein Problem gelöst.

https://forum.opnsense.org/index.php?topic=22831.0

Es lag an meinem Windows Client.

Hallo zusammen,

mein Setup sieht folgendermassen aus, dass ich mehrere Interface mit verschiedenen IPv4 und IPv6 Netzen konfigiuriert habe. Internet Access ist via IPv4 und IPv6 möglich.

Ich kann auch vom Interface LAN aus, das Interface OPT2 via IPv4 erreichen.
Ich kann das Interface LAN vom Interface OPT2 via IPv4 und IPv6 erreichen.

Allerdings funktioniert der Access vom LAN zum OPT2 via IPv6 nicht.
Ich habe bisher keine Erklärung dafür.

Hat jemand von euch eine Idee?

VIele Grüsse

Hallo,

ich hatte ein ähnliches Problem.

Ich habe dann unter:
System > Settings > General > DNS Server
oben in der ersten Zeile 8.8.8.8
als Server eingetragen.

Danach konnte ich den ersten hotfix updaten, darauf konnte ich den oben gemachten Eintrag löschen.

Bei mir kam noch hinzu, dass ich unter:
Services > Unbound > DNS over TLS
einige Adressen eingetragen habe, die habe ich vorher "disabled".
Nach einspielen des ersten hotfixes, konnte ich diese wieder "enablen" – also die ursprüngliche Konfiguration wieder herstellen.

Hallo,

danke für deine Antwort.
Ich hatte das System bereits auf den letzten Stand gebracht, aber die Probleme waren die gleichen.
Ich habe dann einfach auf Forward Modus auch mit DoT umgeschaltet (Server von Quad9).
So ging es sofort. Ich habe die Probleme also nur, wenn unbound selbst als rekursiver DNS eingesetzt wird.

Ich lasse es jetzt erst mal so, bin noch am Anfang von meinem Setup.
Wollte später noch Adguard Home installieren.

Viele Grüsse

Hallo zusammen,

ich bin langsam am verzweifeln, ich habe mir die opnsense neu aufgesetzt. Standard Konfiguration.
Verbindung via pppoe. DNS Resolver ist unbound.
unbound sollte ja in der Standardkonfiguration ohe Forwarder als rekursiver DNS laufen.
Leider bekomme ich aber keine DNS Auflösung.

Hat jemand eine Idee, wo es bei mir hakt?

Edit: Ok, changed the Override IP to my LAN IP (10.10.10.1). Now it works.
But to be honest, i do not understand why.

You error explains why!

Code Select Expand

Informational haproxy 10.10.10.206:63264 [19/Apr/2022:17:26:27.483] 1_HTTPS_frontend/10.12.0.1:443: Received something which does not look like a PROXY protocol header

The HTTPS_frontend expects that all data sent to it has the "proxy protocol header".
Since you pointed your internal requests directly to your HTTPS_frontend (HAProxy_VIP) instead of your SNI_frontend (any of the real local IPs of your OPNsense) the data didn't get the PROXY protocol header attached by the SSL_backend.

Ah ok, i get the point.
Thank you very much for the explanation.

Well, there you got the point of error.
You probably configured the wrong IP in your DNS overwrites.

What is your OPNsense LAN IP, what is the DNS Overwrite IP and what is the virtual IP of the "HAProxy SSL Server"?

My LAN IP is 10.10.10.1/24
My DNS Override points to    10.12.0.1
Which is also my Virtual IP (Loopback).

I do not get the point.

Edit: Ok, changed the Override IP to my LAN IP (10.10.10.1). Now it works.
But to be honest, i do not understand why.

Hello and thank you for this tutorial.
It helped me alot.

My services are available from the outside.
But from inside they are not accessible.

In the logs i see:

Code Select Expand

Informational haproxy 10.10.10.206:63264 [19/Apr/2022:17:26:27.483] 1_HTTPS_frontend/10.12.0.1:443: Received something which does not look like a PROXY protocol header

I already checked the ciphers. They seem to be ok.
Does anybody know where i can search for the problem?

My config:

Code Select Expand

global
    uid                         80
    gid                         80
    chroot                      /var/haproxy
    daemon
    stats                       socket /var/run/haproxy.socket group proxy mode 775 level admin
    nbproc                      1
    nbthread                    4
    hard-stop-after             60s
    no strict-limits
    maxconn                     10000
    tune.ssl.default-dh-param   4096
    spread-checks               2
    tune.bufsize                16384
    tune.lua.maxmem             0
    log                         /var/run/log local0 info
    lua-prepend-path            /tmp/haproxy/lua/?.lua

defaults
    log     global
    option redispatch -1
    maxconn 5000
    timeout client 30s
    timeout connect 30s
    timeout server 30s
    retries 3
    default-server init-addr last,libc

# autogenerated entries for ACLs


# autogenerated entries for config in backends/frontends

# autogenerated entries for stats




# Frontend: 0_SNI_frontend ()
frontend 0_SNI_frontend
    bind 0.0.0.0:443 name 0.0.0.0:443
    bind 0.0.0.0:80 name 0.0.0.0:80
    mode tcp
    default_backend SSL_backend
    # tuning options
    timeout client 30s

    # logging options

# Frontend: 1_HTTP_frontend ()
frontend 1_HTTP_frontend
    bind 10.12.0.1:80 name 10.12.0.1:80 accept-proxy
    mode http
    option http-keep-alive
    option forwardfor
    # tuning options
    timeout client 30s

    # logging options
    # ACL: NoSSL_condition
    acl acl_60d1a0c1b278f7.63252237 ssl_fc

    # ACTION: HTTPtoHTTPS_rule
    http-request redirect scheme https code 301 if !acl_60d1a0c1b278f7.63252237

# Frontend: 1_HTTPS_frontend ()
frontend 1_HTTPS_frontend
    http-response set-header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
    bind 10.12.0.1:443 name 10.12.0.1:443 accept-proxy ssl curves secp384r1  no-sslv3 no-tlsv10 no-tlsv11 no-tls-tickets ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES256-GCM-SHA384 ciphersuites TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256 alpn h2,http/1.1 crt-list /tmp/haproxy/ssl/6256591773a972.14047672.certlist
    mode http
    option http-keep-alive
    option forwardfor
    # tuning options
    timeout client 15m

    # logging options

    # ACTION: PUBLIC_SUBDOMAINS_map-rule
    # NOTE: actions with no ACLs/conditions will always match
    use_backend %[req.hdr(host),lower,map_dom(/tmp/haproxy/mapfiles/625655d89e4274.43878203.txt)]

# Backend: bitwarden_backend ()
backend bitwarden_backend
    # health checking is DISABLED
    mode http
    balance source
    # stickiness
    stick-table type ip size 50k expire 30m 
    stick on src
    # tuning options
    timeout connect 30s
    timeout server 30s
    http-reuse safe
    server bitwarden_host 10.10.10.11:8080

# Backend: acme_challenge_backend (Added by Let's Encrypt plugin)
backend acme_challenge_backend
    # health checking is DISABLED
    mode http
    balance source
    # stickiness
    stick-table type ip size 50k expire 30m 
    stick on src
    # tuning options
    timeout connect 30s
    timeout server 30s
    http-reuse safe
    server acme_challenge_host 127.0.0.1:43580

# Backend: SSL_backend ()
backend SSL_backend
    # health checking is DISABLED
    mode tcp
    balance source
    # stickiness
    stick-table type ip size 50k expire 30m 
    stick on src
    # tuning options
    timeout connect 30s
    timeout server 30s
    server SSL_server 10.12.0.1 send-proxy-v2 check-send-proxy

Best
Mathias