Messages

Hallo liebe Community,

ich bin gerade etwas am Verzweifeln mit VXLAN und hoffe, dass ihr mir weiterhelfen könnt.

Ich habe auf Proxmox SDN ein VXLAN erstellt. Als Peer-Adresse habe ich die externe IP der Firewall angegeben, die MTU auf 1450 gesetzt und ein vnet1 erstellt. Dieses wurde einer VM zugewiesen, die eine statische IP (10.26.0.36) und das Gateway 10.26.0.90 nutzt.

Auf der OPNsense-Seite habe ich ebenfalls ein VXLAN erstellt.

Quell-IP = externe IP der Firewall
Remote-IP = externe IP des Proxmox
VNI = 100 (entspricht dem Tag aus der Proxmox SDN-Konfiguration)
Die Firewall-Logs zeigen keine Blockierungen und es gibt eine Any-Regel auf dem VXLAN-Interface.

Problem:
Ich kann die Firewall nicht pingen.
Ein tcpdump zeigt, dass die VM Pakete sendet, die bei der Firewall ankommen, aber nicht weitergeleitet oder beantwortet werden.
Ping vom Client zu Proxmox funktioniert, Proxmox verarbeitet das Paket laut Logs, und es kommt bei OPNsense an (Siehe Screen Putty) – aber es gibt keine Antwort oder Weiterleitung.
Hat jemand eine Idee, woran das liegen könnte? Ich bin mit meinem Latein am Ende. 😅

Danke euch!

PS erste mald as ich VXLAN verwende

Es wird nur ein Backup erzeugt, wenn Änderungen an der Konfiguration vom System erkannt wurden. Früher wurde meiner Erinnerung nach jede Nacht ein Backup gemacht, egal ob Änderungen vorgenommen wurden oder nicht.

Yes, genau so ist es - habe das verhalten auch gerade wahr genommen - also mir genügt das, wenn er nur bei Änderungen ein Backup macht - restliche wäre ja überflüssig.

Yes, mit Caddy funktioniert das wirklich gut (Handy etc.) - Caddy macht da eine gute Arbeit - auch verschiedene Tests durchgeführt, aktuelle TLS Version sind vorhanden.

Kurze Info, ich habe heute nochmals die Backups kontrolliert, gestern wurde wieder ein Backup auf die Drive geladen, ich halte das mal weiter im auge :-)

Ich kann Tuxtom007 nur recht geben: Ab dem Zeitpunkt, an dem du den Geräten das richtige DNS mitgibst, gehen sie natürlich über AdGuard (Port 53).

Wenn du jedoch eine !RFC1918-Regel hast, musst du explizit erlauben, dass die Clients Port 53 zur OPNsense nutzen dürfen – sonst kommen sie nicht ins Internet und können keinen DNS-Server erreichen.

Soweit ich weiß, sind keine separaten Cron-Jobs erforderlich – bei mir läuft das Backup auch ohne Cron-Job. Ich habe jedoch gerade festgestellt, dass das Backup seit dem 15. Februar nicht mehr gemacht wird, seitdem ich auf Unicorne upgedatet habe. Ich vermute, dass hier noch ein Bug vorliegt.

Das hat nix mit dem Dashboard zu tun, der Crowdsec-Dienst "hängt" beim Runterfahren. Das kann nur Crowdsec beheben. Franco und Kolleg*innen könnten da natürlich drum herum basteln (kill -9), aber das ist ja eigentlich nicht der Job von Deciso.

Ich werde mich mal bei den Kollegen melden :-) ich halte dich auf den laufenden, ob da was herauskommt

Das ist ein third party Plugin, da wendest du dich am besten an Crowdsec. Wüsste nicht, was das OPNsense Team hier tun könnte. Crowdsec hat einen Discord-Server statt eines Forums ...

Auch wenn ich das Plugin (Dashboard CrowdSec) nicht verwende, habe ich das gleiche Problem. Aber ich kann mich gerne auch an CrowdSec wenden.
Interessanterweise kann er den ersten Dienst beenden, aber beim zweiten Dienst schafft er es nicht.

Ich müsste mal probieren, ob es bei einem normalen Neustart funktioniert - mir wärs nur aufgefallen bei einem Update

Ich möchte das Thema noch einmal ansprechen: Beim letzten Update mit Reboot hatte ich erneut das Problem, dass ich in die Konsole musste, um den Prozess von CrowdSec manuell mit kill -9 (PID) zu beenden.

In CrowdSec sind keine besonderen Einstellungen vorgenommen worden – lediglich das Add-on wurde hinzugefügt, damit es im Dashboard sichtbar ist. Ich habe jedoch auch Clients, bei denen dieses Add-on nicht hinterlegt ist, und dort tritt das Problem nicht auf.

os-crowdsec (installiert)   1.0.8_1
OPNsense 24.7.12_4-amd64

Das plugin konfiguriert Caddy so, dass es keine statischen Dateien serviert, also auch keine eigenen Error HTML Seiten. Das dient zur sicherheit für die Firewall, es gibt kein Web Root Verzeichnis. Es ist nur proxy.

Wenn Access Lists benutzt werden kann man dort in den Advanced Optionen einen eigenen HTTP Status Code mit eigener Message definieren, die dann im Browser angezeigt wird.

Super, vielen Dank für die Info!

Ist Caddy in puncto Sicherheit auf dem gleichen Niveau wie Nginx, oder hinkt es hier noch etwas hinterher?
Das Einrichten eines neuen Servers ist ja deutlich einfacher als bei Nginx. :-)

Gibt es sonst noch etwas, das ich beachten sollte?

Kurze Frage zu Caddy: Bei Nginx gibt's ja die Möglichkeit, eine eigene 'Gebannt'-Seite einzurichten. Wie sieht das bei Caddy aus? Gibt es da sowas auch, oder ist das noch nicht so weit entwickelt?

Für Guacamole hab ich extra das Feature "Upstream Path" in das Caddy-Plugin  eingebaut, kein Problem :-)

Oke, bei mir ging es jetzt auch ohne den Upstream Path.
Ich hatte immer das Problem, als Caddy auf OPNsense zum Einsatz kam, aber jetzt scheint alles soweit zu funktionieren. Vielen Dank, jetzt kann ich den Nginx wohl endlich einstampfen! 😊

Das schrieb @Monviech doch, dass es nur mit NginX Plus geht. Der ist in OPNsense naturgemäß nicht drin, ist ja kein Open Source sondern ein Lizenzprodukt. --> auf Caddy oder HAproxy wechseln.

Alles klar mit Caddy funktioniert es - da habe ich aber das Problem das mein Guacamole (RDP) nur eine weiße Seite angezeigt wird ... deswegen bin ich von Nginx noch nicht geswitch .. muss ich mich mal mit beschäftigen - vielleicht weiß da jemand von euch Bescheid

Das funktioniert entweder mit Caddy in OPNsense Community oder der OPNWAF (basierend auf Apache) in OPNsense Business.

In Caddy wäre es der Haken "NTLM" im Handler, welcher Outlook von extern ermöglicht. Das Modul ist im os-caddy plugin kompiliert. https://github.com/caddyserver/ntlm-transport

In Apache (OPNWAF) ist es ein eigenes Modul was kompiliert ist, nennt sich "mod_proxy_msrpc". Dieses ist in der OPNsense Business Version dabei.
https://docs.opnsense.org/vendor/deciso/opnwaf.html#exchange-server

Bei NGINX gibt es das Modul nur in nginx plus https://nginx.org/en/docs/http/ngx_http_upstream_module.html#ntlm

Das bedeutet, um Exchange mit Outlook zum laufen zu bekommen, verwende entweder Caddy oder OPNWAF, oder benutze keinen TLS Termination Proxy, sondern einen Layer 4 Proxy (HAproxy, nginx und Caddy können Layer 4 Proxy)

Oke, mit dem normalen Nginx, der bei der OPNsense dabei ist, kann ich kein Autodiscover über Exchange fahren.
Die Seite ist zwar über das Internet erreichbar, aber es gibt immer wieder Schwierigkeiten beim Abrufen von Benutzerdaten. Das Profil wird zwar geladen, aber es erscheint sofort eine erneute Passwortabfrage.

Ich bin mir unsicher, ob das Problem an der Nginx-Konfiguration liegt oder ob auf meinem Test-Exchange-Server noch etwas angepasst werden muss.

Hallo,

möchtest Du den Exchange hinter einem ReverseProxy konfigurieren? Wenn ja, wäre NGINX eine Möglichkeit - alternativ Caddy oder HAProxy...

Port 80 und 443 werden dann vom Reverseproxy belegt und je nach Aufruf an den internen Abnehmer weitergereicht.

ich habe meinen Exchange Server so konfiguriert, dass er über die URL erreichbar ist. Das funktioniert auch problemlos. Allerdings habe ich ein Problem:

Wenn ich versuche, von extern Outlook einzurichten, schlägt das fehl. Es scheint, als ob die Verbindung nicht korrekt hergestellt werden kann – Outlook fragt ständig nach einem Passwort. Das deutet für mich darauf hin, dass es ein Kommunikationsproblem gibt.

Gibt es etwas Spezielles, das ich bei der Konfiguration von Autodiscover oder anderen Diensten beachten muss, damit das funktioniert mit Nginx ?

Vielen Dank im Voraus für eure Hilfe!