Messages

1

German - Deutsch / Interface (aus Home Assistant heraus) per API ein- und ausschalten

« on: October 27, 2024, 06:17:23 pm »

Hallo zusammen.

ich würde sehr gerne ein bestimmtes Interface meiner OPNsense Firewall aus dem Home Assistant Dashboard heraus an- bzw. ausschalten.
Ich habe sowohl ChatGPT als auch Gemini gefragt, und beide verklickern mir auch, dass das gehen sollte. Einzig, ich bekomme es nicht hin.

Nun bin ich aber nicht mal 100% sicher, ob der Fehler auf Seite der Firewall zu suchen ist, oder ob meine Home Assistant Konfiguration fehlerhaft ist.  Ich vermute aber ersteres, da ich auch mit Hilfe von Postman das Interface nicht geschaltet bekomme.

Was ich getan habe:

• neuen User angelegt
• API Key für den User angelegt

In Postman habe ich versucht:

• https://192.168.1.1:8080/api/interface/vlan?enabled=false
• https://192.168.1.1:8080/api/interface/opt7?enabled=false

Ich habe aber auch mal das v1 weg gelassen oder v2 probiert. Ich bekomme jedes Mal "endpoint not found".
Und in der Doku finde ich das auch nicht so richtig.

Gibt es überhaupt einen Endpoint für die von mir gewünschte Funktion?
- Wo finde ich die Doku zu den vorhandenen Endpunkten?
Diese Doku habe ich gefunden:   https://docs.opnsense.org/development/api/core/interfaces.html#
Wenn diese Liste komplett ist, dann gibt es anscheinend gar keinen API Endpoint für das schalten von Interfaces.

Welche alternativen hätte ich noch?

Danke & viele Grüße,
   Marcus


Edit:   das "v1" hatte ChatGPT in die URL rein gedichtet. Grrr.   Habe es entfernt.

2

German - Deutsch / HAProxy läuft plötzlich nicht mehr. Wie debuggen?

« on: January 07, 2024, 05:26:37 pm »

Hallo zusammen.

Mein HAProxy zickt anscheinend neuerdings rum, aber ich weiß nicht ganz exakt seit wie viel Tagen.
Gestern hatte ich (nach einem Neustart) nochmal zwischendurch Zugriff auf meine Services hinter der Firewall, aber heute ist wieder Essig.

Die Konfiguration ist bereits > 1 Jahr alt und lief die ganze Zeit reibungslos. Nun bin ich unsicher, was die Ursache sein könnte, und ich stochere (mal wieder) unwissend in den Einstellungen rum.  Wo genau bekomme ich vernüftige Log-Infos, um die Ursache zu finden?

Ich würde gerne die komplette Kette einmal nachvollziehen:

• Es beginnt im Prinzip bereits damit, dass meine Firewall mir keine Zugriff auf die Ports 80/443 loggt, obwohl sie das laut Regel tun sollte.
  
• Das Logfile des HAProxy ist ebenfalls nichtssagend. Ich mache z.B. Einstellungen, dass exzessiver protokoliert werden sollte, aber ich sehe keine Änderung in dem Log.

Wie würde ich am besten vorgehen?

Danke und viele Grüße,
   Marcus

3

General Discussion / Re: Move OPNsense to different hardware?

« on: March 25, 2023, 09:16:22 am »

I gues, this is what I meant, Bart.
Thanks for confirmation.

I would have a lot of work to set things up again on HW when the interface had different names.
Just keeping things as they are seems to make more sense, plus I do have the extra benefit of the test environment etc.

4

General Discussion / Move OPNsense to different hardware?

« on: March 25, 2023, 08:12:54 am »

Hi.

Currently, I am running OPNsense in a virtual machine on top of Proxmox.  The NIC for the WAN interface is used exclusively and I configured PCI-passthrough.  The NIC for the inward facing interfaces (multiple vLANs) are attached to a Proxmox Bridge device.

This setup worked well for the past 8 months, but the HW is not capable to handle further VMs/Containers. I have now purchase new hardware for Proxmox, and I will start moving all the services, except OPNsense, out.

At the end, I will only have OPNsense running in its VM, and nothing else.
Now, I am at this point to make a decision whether this will stay as is or Proxmox would be wiped and OPNsense run exclusively on the bare-metal HW.

I am wondering:

• Will the virtualization cause extra trouble that I can avoid with OPNsense directly running on the hardware?
• OTOH, it might be nice to for testing as is:  spin up a cloned OPNsense, test the upgrade procedure etc, with a fallback only one reboot away?

Which further arguments should be considered?

Thanks and kind regards,
  Marcus

5

German - Deutsch / Re: DSL Zwangstrennung verschieben

« on: March 19, 2023, 07:56:45 pm »

Lieber micneu,

vielen Dank für deine Hilfe. Anbei die gewünschten Sachen.

Dieses Setup funktionierte bis vor dem Upgrade auf die neue OPNsense Version seit dem letzten Sommer reibungslos, ich war da nie wieder dran. Nur die letzte Zeit hakt es eben auch tagsüber nach der Mittagspause.

Was mir auch auffällt:  ich habe nicht JEDEN MORGEN eine neue IP Adresse. Diese ändert sich manchmal tagelang nicht, und dann bekomme ich irgendwann doch mal wieder eine neue IP zugewiesen von 1&1.
(das war aber auch früher schon so...)

In welchen Logs sollte denn dieser Cron-Job seine Meldungen hinterlassen? - Ich würde gerne mit den Log Files anfangen.

Vielen Dank.

Grüße,
  Marcus

6

German - Deutsch / DSL Zwangstrennung verschieben

« on: March 19, 2023, 10:46:38 am »

Hallo zusammen.

Irgend etwas stimmt mit meiner OPNsense nicht so richtig im Moment.
Ich habe seit letzten Sommer einen Cron-Job, welcher mein WAN-Interface um 4:00 Uhr morgens trennt  (periodic interface reset).


Dennoch beobachte ich seit zwei Wochen etwa, dass ich mittags um 13 Uhr etwa kurzzeitig mein Netzwerk verliere, während ich im Teams-Meeting drin bin.  Das ist maximal ungünstig.

Wo genau kann ich in den Logfiles sehen:

• klappt die Trennung um 4 Uhr?
• was triggert die Trennung um 13 Uhr?

Danke und viele Grüße,
  Marcus

7

German - Deutsch / HA PRoxxy Dienst startet nach Reboot nicht

« on: February 27, 2023, 07:31:54 am »

Hallo zusammen.

Mir fällt auf, dass mein HA Proxy Dienst nicht startet nach einem Reboot. Das tritt erst seit dem Upgrade auf 2023.01 auf, vorher gab es das nicht.

Wenn ich nun aber zur "Lobby" gehe, dann kann ich den Dienst ohne jeden Fehler starten. Daher gehe ich davon aus, dass meine Konfiguration ja nicht grundsätzlich das Problem sein kann.

Hat jemand eine Idee, wie ich das debuggen könnte? - Im HA Proxy Log steht genau gar nichts drin, die letzten Einträge sind deutlich vor dem Reboot.

Danke und viele Grüße,
  Marcus

8

German - Deutsch / Re: WebUI nach Upgrade nicht mehr erreichbar

« on: February 07, 2023, 12:56:18 am »

Hier noch das General Log.

9

German - Deutsch / Re: WebUI nach Upgrade nicht mehr erreichbar

« on: February 07, 2023, 12:34:14 am »

So, ich bin einen kleinen Schritt weiter gekommen.
Und zwar habe ich von der Konsole aus ein Backup eingespielt.  Danach war das Web-Interface wieder erreichbar.

ABER:  Ich habe nun heute schon wieder plötzlich den Fehler 503 bekommen. Mitten am Abend, ohne dass ich etwas geändert hätte.  (gesehen auf meinem Kuma Monitoring Dashboard)

Dieses Mal konnte ich mich auf der Konsole anmelden und habe über den Neustart der Dienste das Web-Interface wieder lauffähig bekommen. Im Logfile ist nach wie vor nichts dolles erkennbar.

10

German - Deutsch / Re: WebUI nach Upgrade nicht mehr erreichbar

« on: February 05, 2023, 09:22:30 am »

Es spricht leider nicht so arg dolle zu mir.
Ich habe alle 3s alternierende Nachrichten drin:

• socket:  unix:/tmp/php-fastcgi.socket-0: Connection refused
• (gw_backend.c 360) gw-server re-enabled: unix:/tmp/php-fastcgi.socket-0 0 /tmp/php-fastcgi.socket
  

Das Log ist voll davon.

11

German - Deutsch / WebUI nach Upgrade nicht mehr erreichbar

« on: February 04, 2023, 09:26:35 pm »

Hallo zusammen.

Mein WebUI ist anscheinend nach dem Upgrade nicht mehr erreichbar, und ich bin ziemlich überfordert gerade, ob und wie sich das wieder hinbiegen lässt.  Ich habe im englischsprachigen Forum auch schon etwas gefunden dazu, nur scheint es dort nicht gelöst:  https://forum.opnsense.org/index.php?topic=32162.0

Bei mir läuft die OPNsense in einer Proxmox VM.
Darüber habe ich Zugriff auf die Konsole. Allerdings ist das etwas unübersichtlich, weil da ständig auch Logmeldungen der Firewall rein geschrieben werden.

Wähle ich Punkt 11  (Reload all Services), dann sehe ich, dass das Starten des WebUI fehlschlägt.
Bei mir läuft das WebUI auf Port 8080, weil die Ports 80 und 443 von HAProxy verwendet werden.

Die Firewall selbst funktioniert übrigens, und auch HAProxy funktioniert. Ich komme auf die konfigurierten Services im Intranet drauf ohne Einschränkungen.

Wie genau könnte ich mir das WebUI nun zunutze machen, um das wieder hin zu biegen?


Danke sehr & viele Grüße,
  Marcus

12

German - Deutsch / Re: Fragen zu Letsencrypt, FQDNs, HA Proxy

« on: January 02, 2023, 04:06:38 pm »

Ein frohes neues Jahr wünsche ich euch!

Ich kann es kaum glauben, aber ich hab den HAProxy mit Letsencrypt endlich eingerichtet bekommen. 
Der Durchbruch kam im Endeffekt daher, dass ich für die Letsencrypt-Zertifikate die Challenge auf HTTP-01 geändert habe.  Damit klappen nun Wildcard-Zertifikate nicht mehr, aber das ist verschmerzbar.

Gelöst habe ich es nun so:

• Netcup: für meine Domain einen CNAME-Eintrag  *.baerl auf DeSec.io
• So werden alle "Sub-Sub-Domains" auf die OPNsense geleitet
• der ACME Client erzeugt nun für jeden Dienst ein separates Zertifikat  (z.B.  weewx.baerl.die-zurhorsts.de
• HAProxy hat nun jeweils Regeln, um den Host zu erkennen und an die entsprechende VM weiterzuleiten

Home Assistant war als einziges nun noch etwas zickig, da musste ich im Frontend das HTTP/2 raus nehmen, damit ich einen "Error 400: bad request" ausgemerzt bekomme.   



Viele Grüße,
  Marcus

13

German - Deutsch / Eure Erfahrungen mit verschiedenen Kindersicherungen

« on: December 28, 2022, 02:51:07 pm »

Hallo in die Runde!

Unser Sohn schnappt sich immer häufiger ungefragt die diversen Geräte und surft stundenlang im Internet. Wir haben es nun eine Weile mit Zureden, Sanktionen etc versucht, aber er ist quasi süchtig und hält sich an keinerlei Abmachungen.

Nun möchte ich gerne einen Schritt weiter gehen und ihm nur noch gewisse Zeitscheiben freischalten.
Welche Möglichkeiten habe ich dazu?

1)  Seine Geräte sind in einem separaten VLAN drin.
2)  Er nutzt Nintendo Switch, PS4 und demnächst auch noch ein altes Handy, welches er für seine Drohne benötigt.
3)  Internet ganz abklemmen scheitert leider daran, dass er sich immer mal wieder neue Spiele ausleiht, welche dann Online-Funktionen benötigen.  Gleichzeitig haben die Geräte aber auch Browser, die wir nicht deaktiviert bekommen (zumindest auf der Switch)


Ich überlege nun, ob ein Captive Portal das Richtige wäre.
Bekommt er denn dann einen Netzwerkzugang mit Switch, PS4 etc, oder gibt es dann Probleme beim Einlösen eines Vouchers?

Oder klappt das auch ohne Voucher, dass er täglich 2h online gehen darf zu bestimmten Zeiten? -
Wie habt ihr so etwas gelöst?

Danke und viele Grüße,
  Marcus

14

German - Deutsch / Re: Fragen zu Letsencrypt, FQDNs, HA Proxy

« on: December 22, 2022, 07:30:08 pm »

Hallo zusammen.

Lange ist das Ganze her, und ich bin natürlich immer noch nicht weiter gekommen.
Es nervt mich unglaublich, dass ich das nicht hin bekomme.  Ich möchte gerne das endlich abschließen und buddele es daher nochmal aus.

Hier nochmal einige Screenshots im Anhang, nützt ja nichts:

• Netcup. Ich habe mehrere Einträge für Subdomains  (weewx, vpn, ...). -->  Diese zeigen alle auf die-zurhorsts.dedyn.io
• deSEC.io.  Hier funktioniert die automatische Aktualisierung der IP-Adresse.  Der Wildcard-CNAME klappt auch.
• OPNsense.   Sowohl das Zertifikat für "die-zurhorsts.dedyn.io" als auch die Zertifikate für eine "Sub-Subdomain" werden erzeugt.   Aber wenn ich meine die-zurhorsts.de Domain nutze, dann klappt es partout nicht, und ich finde den Fehler nicht.  Missverstehe ich hier denn etwas, und das kann gar nicht klappen?
• Zertifikat-Einstellungen.   Hier habe ich unten alle vier Optionen ausprobiert. Alle scheitern leider.
• DNS.   Wenn ich mit "dig weewx.die-zurhorsts.de" den DNS-Eintrag prüfe, dann wird der mir korrekt auf meine dynamische IP aufgelöst.

Ich habe nun so viele Tutorials durch, und im Grunde sieht das alles straight-forward aus.
Wo liegt mein Fehler?

Danke sehr und viele Grüße,
  Marcus

15

German - Deutsch / Re: Fragen zu Letsencrypt, FQDNs, HA Proxy

« on: September 11, 2022, 12:07:04 pm »

@mzruhorst

Ich denke daran scheitert es bei dir nämlich. Setze doch mal bitte folgendes:

* Subdomain bei Netcup: _acme-challenge.weewx.die-zurhorsts.de  -->  CNAME:  _acme-challenge.weewx-die-zurhorsts.duckdns.org
* "DNS Alias Mode" ganz unten dann konfigurieren auf weewx-die-zurhorsts.duckdns.org
* mit Staging von Letsencrypt testen, damit man nicht aus Versehen gesperrt wird

Damit sollte das eigentlich klappen

So ganz 100% verstehe ich es noch immer nicht.  Aber ich habe nun ein Zertifikat.
Meine Änderungen:

• Bei Netcup ein zweiter CNAME:    _acme-challenge.weewex  -->  _acme-challenge.die-zurhorsts.desec.io*  (ohne .weewx!)
• Bei desc.io eine neue Domain angelegt:   _acme-challenge.die-zurhorsts.desec.io
• Zertifikat:  DNS Alias Mode steht nun auf "Automatic  (use DNS lookups)"

So hat es geklappt.  Was ich aber nicht verstehe:
Ich habe nun unter der ursprünglichen DynDNS Domain  "die-zurhorsts.desec.io" unten drunter einen TXT Record mit dem Namen _acme-challenge.  Wie unterscheidet sich der nun wieder von der "Subdomain "_acme-challenge.die-zurhorsts.desec.io"?

Aus der Sicht von Netcup heißen die beiden ja anscheinend gleich.  Da die "Subdomain" nicht benutzt ist, habe ich diese erst mal wieder entfernt.


Tausend Dank für den Tipp. Das hat mich auf die richtige Fährte gebracht.
(nur leider nie in Tutorials gesehen, dass man bei (z.B.) Netcup dann *.weewx  weiterleiten müsste auf den DynDNS-Provider).


*:   Ich bin zu desec.io gewechselt, weil ich befürchtete, es würde an DuckDNS liegen.