Messages

Kann mir niemand sagen, wieso ich zwar den Port 80 zu meinem Webserver hinter OPNsense NATen kann, aber wenn ich das NAT deaktiviere, ist der Port 80 auf meinem WAN2-Interface "closed"?

Wie bekomme ich den Let's Encrypt-Dienst dazu, auch auf WAN 2 zu hören anstatt nur auf WAN 1?

Liebe Firewaller,

seit Kurzem bin ich ja auch ein OPNsense-Freund, aber ich habe immer noch ein paar Schwierigkeiten.

Ich habe zwei WAN-Interfaces in Failover-Konstellation, sagen wir A und B. Gateway A wird mir als "active" angezeigt, denn offensichtlich ist das standardmäßig die ausgehende Verbindung für die OPNsense.

Allerdings sind meine Webdomains per DNS-Eintrag auf die öffentlichen IPs gelegt, die zu Gateway B führen. Das NAT zum Webserver hinter meiner Firewall funktioniert wunderbar.

Jetzt wollte ich Let's Encrypt-Zertifikate auf der OPNsense erstellen. Ziel ist den Webserver auf der OPNsense zu betreiben (ohne NAT).
Leider ist von außen der Port 80 auf der WAN-Gateway-Adresse B nicht erreichbar sondern immer nur auf dem active Gateway.
Let's Encrypt kann also die angefragten Zertifikate nicht erstellen, weil es die Webdomains versucht, gemäß DNS-Eintrag über Gateway B zu verifizieren.

Wie bekomme ich also den Port 80 auf beiden WAN-Schnittstellen gleichzeitig erreichbar?

Danke im Voraus für Eure Unterstützung!

Danke für den Hinweis, aber ich habe mich doch für das sofortige Upgrade auf 22.4 entschieden, so lange ich noch nicht so viel eingerichtet habe, was dann migriert werden müsste.
Ich bin ja noch OPNsense-Einsteiger und will alles neu aufsetzen, was ich bisher auf meiner Sophos hatte.

Next Steps: Let's Encrypt, Nginx, HAProxy, WebProxy, PostFix
Mit diesen Plugins bin ich bisher noch nicht so richtig zurecht gekommen bzw. muss mich noch etwas damit beschäftigen. Irgendwo hängt es halt immer. Wenn ich da nicht weiterkomme und nichts hilfreiches im Forum finde, mache ich aber mal ein neues Topic auf. ;-)

LG

Hi Franco!

Danke für den Hinweis! Habe nur die CA von Let's Encrypt rausgenommen, und schon ging's mit den Aktualisierungen.

Nächste Challange: Das Upgrade auf 22.4. Da werde ich mich aber erstmal etwas einlesen.

Gruß
Arti

Mein erster Post in diesem Forum.  ;D
Seit kurzem betreibe ich eine OPNsense auf einer Landitec Appliance, gekauft mit einer vorinstallierten BE-Version 21.4.

Leider wurde mir der Token für die Subsciption nicht mitgeteilt, und ich wusste gar nicht, dass ich den eintragen muss. Deshalb konnte ich auch nicht auf den Mirror von Deciso (commercial) zugreifen.

Ich habe mir also schon ein paar Erweiterungen von einem anderen Mirror installiert, z.B. nginx, postfix, acme-client usw.

Jetzt habe ich den Token, aber wenn ich jetzt auf "Aktualisieren" klicke, bekomme ich folgendes Log:

***GOT REQUEST TO CHECK FOR UPDATES***
Fetching changelog information, please wait... Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
3675274227712:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
fetch: https://opnsense-update.deciso.com/77b0df81-48bd-4abd-8918-f443aba794e0/FreeBSD:12:amd64/21.1/sets/changelog.txz.sig: Authentication error
Updating OPNsense repository catalogue...
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
966911889408:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
966911889408:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
966911889408:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
966911889408:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
966911889408:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
966911889408:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
pkg: https://opnsense-update.deciso.com/77b0df81-48bd-4abd-8918-f443aba794e0/FreeBSD:12:amd64/21.1/latest/meta.txz: Authentication error
repository OPNsense has no meta file, using default settings
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
966911889408:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
966911889408:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
966911889408:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
pkg: https://opnsense-update.deciso.com/77b0df81-48bd-4abd-8918-f443aba794e0/FreeBSD:12:amd64/21.1/latest/packagesite.txz: Authentication error
Unable to update repository OPNsense
Error updating repositories!
pkg: Repository OPNsense cannot be opened. 'pkg update' required
Checking integrity... done (0 conflicting)
Your packages are up to date.
***DONE***

Die Mirror-Adresse, die ich gar nicht ändern kann, lautet seltsamerweise: https://opnsense-update.deciso.com/subscription-key/FreeBSD:12:amd64/21.1

Was Zertifikate angeht: Bei der vorinstallierten OPNsense war das Zertifikat "Web GUI TLS certificate" doppelt vorhanden. Eins davon habe ich gelöscht, nachdem ich selbst eine CA und ein neues eigenes Zertifikat für die Web GUI erstellt habe. Das verbliebene Web GUI TLS certificate ist m.E. unbenutzt.
Ansonsten habe ich noch eine separate eigene CA für meinen Proxy, und der ACME-Client hat mir noch die R3 CA von Let's encrypt dazugelegt.

Wo liegt nun das Problem mit den Aktualisierungen und dem Abruf der verfügbaren Erweiterungen auf dem Deciso-Mirror? Wäre nett, wenn mir da jemand helfen kann.

Hi,

I got an OPNsense appliance with 8 NIC (Landitec Scope7 4220-xl). How do I get the four additional VNICs on one of my real NICs to connect to my FRITZ!Box 6591 Cable with a /29 subnet?

I'm new to OPNsense and don't know how to configure my interfaces correctly.

Thanks for your helping!