Messages

If you want to use caddy for hosting your websites you will also probably need php and databases most likely, better to run that on a dedicated machine.

Other than that, running caddy as the intended reverse proxy and layer 4 proxy on the firewall is safe. If you want the highest security run it as www user (supported from the GUI).

Thanks for the answer. I took it to read more about it and actually I'm thinking to use caddy as a reverse proxy in an DMZ. Actually I don't have a dmz and my services like homeassitant, MariaDB, Wordpress, nextcloud, etc. runs in an SERVICE-Interface. I have stativ IPv4 and IPv6 and actually only the LAN-Interface hast IPv6 but I want to go IPv6 First. Therefore I think it is better make a DMZ and host caddy in it and move my wordpress and nextcloud into the DMZ. It is not as simple like the plugin but with stativ IPv6 the better choise, or what do you think?

Thanks for the clear answer. This is also my understanding and therefor I do not use Plugins/Addons to host other services. Caddy will be the first exception and it is written, that you can also host a simply website. But not on the firewall.

Is it recommend to use this Plugin, or is it better to deploy caddy as a seperate lxc/vm?

Hey, I want to use Caddy as a revers proxy and as I read, there is also a webserver integrated. Is it possible or recommended to use the caddy plugin to host a simple website or is it better to host the website somewhere else?

I read in the FAQ "There is no WAF (Web Application Firewall) support in this plugin. For a business grade Reverse Proxy with WAF functionality, use os-OPNWAF.". My setup is a HomeLab but when I expose services to the internet, I want a business grade secured setting.

So...
1. Can I host a website with the caddy plugin? If yes...
2. Should I host the website with the caddy plugin? If yes...
3. Do I have to do additional steps harden the system?

Danke euch beiden für die zwei Beiträge. Das hilft es besser einordnen zu können. Viele Wege führen nach Rom und so kann man besser einschätzen, welchen Weg man gehen möchte. Aktuell läuft mein System wie im HowTo von @meyergru beschrieben. IPv6 First klingt interessant, weil ich in vielen Fällen gerne ein e
Early Adopter bin, aber ich muss schauen, ob mir der Mehraufwand es wert ist.

Schlimm wenn es nicht die eine Lösung gibt ;-) Verstehe ich es grob richtig, dass aktuelle zwei Ansätze diskutiert werden. Der eine zielt möglichst auf IPv6 only ab und bindet IPv4 dort ein, wo nötig. Führt aber zu einer komplexeren Konfiguration.
Der andere Ansatz ist Dual-Stack, was vielleicht nicht optimal ist, jedoch einfacher zu konfigurieren/betreiben.

Welche Vorteile hat Ansatz 1 und welche Nachteile Ansatz 2?

Gibt es einen Favoriten für mein Szenario (der initiale Aufwand mal außen vor gelassen):
- HomeLab
- Feste/Dynamisch IP Adresse möglich
- Mehrere Interfaces (Consumer-Clients, Server, Kameras, Außennetzwerk)
- proxmox mit opnsense, homeassistant, nextcloud, AdGuard, etc.
- Consumer-Clients sollten von am besten nahtlos von Außen auf homeassistant, nextcloud zugreifen können
- nextcloud sollte aber auch für Dritte verfügbar sein
- Prio 1 Sicherheit, Prio 2 Stabilität und Prio 3 Maintenance

P.S. Hab mich geirrt. Die feste IP kostet 10€  und ab dem 7. Monat dann 23€/mtl.

Für mich zumindest eine spannende Diskussion. Meine Idee mit en ULA war, dass ich kein IPv4 mehr habe. Vielleicht ist das untergegangen. Hier mal eine Visualisierung:

You cannot view this attachment.

Die ULA nutze ich für interne Kommunikation zwischen Reverse Proxy und Services, sodass diese Dienste nicht über ihre globale Adresse angesprochen werden müssen.
Dadurch sind interne Abhängigkeiten unabhängig vom ISP-Prefix.
Zusätzlich reduziert ULA das Risiko, dass Services durch Fehlkonfigurationen versehentlich öffentlich erreichbar werden, da sie intern nur auf ULA lauschen.
Die GUA dient ausschließlich für kontrollierten ausgehenden Traffic, während eingehender Zugriff zentral über den Reverse Proxy erfolgt.

Das war die Überlegung hinter den ULAs. Macht das Sinn? Ich befürchte nur, dass ich einige Geräte habe, die nur IPv4 können und dann ist das hinfällig, oder?

Bzgl. der festen IP. Diese würde mich 5€ mtl. mehr kosten. Aber es scheint egal welche Lösung man fährt, wäre eine feste IP besser.

Aber Aufgrung des tieferens einsteigens in die thematik IP6 würde ich NIEMALS GUA Lokal verwenden und trotz der Privacy extensions nach Draussen Strippen.

Wieso?

Ich habe mal etwas weitere recherchiert und bin u.a. auf diesen Artikel gestoßen: https://www.howfunky.com/2013/09/ipv6-unique-local-address-or-ula-what.html

Dort wird ja auch mehr oder weniger von NAT abgeraten. Ich tendiere nun doch zu einem festen IPv6-Anschluss, da ich in meinem Homelab mehrere Netze segmentiere und Services wie Nextcloud oder HomeAssistant kontrolliert von außen erreichbar machen kann. Eine feste IPv6 gibt mir stabile Prefixe und vereinfacht Firewall-Regeln, Routing und Betrieb, was für meinen privaten Einsatz von Vorteil ist. Will wenig Maintenance.
Intern würde ich Services und Außengeräte ausschließlich über ULA adressieren und sie nicht direkt global erreichbar machen. Nur ein Reverse Proxy hätte eine globale IPv6 und terminiert TLS für alle öffentlichen Dienste. Somit kann ich die Services nicht zufällig exposen.
DAs Client-Netzwerk nutzen IPv6 für ausgehende Verbindungen. Da Android keine IPv6 Privacy Extensions unterstützt, würde ich für mobile Clients bei Bedarf VPN einsetzen, um Tracking und direkten Internetzugriff zu vermeiden.

Klingt doch sinnvoll, oder?

Welchen Vorteil siehst du bei einer festen IP?

Falls Du die Möglichkeit hast ein statisches IPv6-Präfix zu bekommen, dann solltest Du das auf jeden Fall tun. Das erspart auch an vielen anderen Stellen Kopfschmerzen.

Im betrieblichen Kontext verstehe ich das, aber im privaten Kontext verlieren ich dann viel an Privatsphäre.

@meyergru
Ich habe dein HowTo damals verwendet und eben die Option im RA aktiviert. Der DNSv6 wird nicht mehr ausgeliefert und es scheint alles über den ADG zu gehen.

Somit sollte es jetzt passen.

Aber damit ich es richtig verstehe... Ich rufe z.B. eine Webseite auf und die Kommunikation läuft eigentlich über IPv6. Dennoch geht mein Client über IPv4 an den ADG da dieser als DNSv4 konfiguriert und bekannt ist und löst auch entsprechend auf. Ich dachte, dass wenn die Kommunikation über IPv6 läuft, der DNS auch über v6 bekannt sein muss.

Ja, so ist es. Du zeigst in Deinen Screendumps ja gar nicht, welchen DNS-Server Du verwendest. Ruf mal "ipconfig /all" auf, dann sieht Du es.
Dort sollte, wenn es nur einen per DHCPv4 verteilten Server gibt, auch nur eine IPv4 dafür geben.

OK, habs eben geprüft und als DNS ist einmal die IPv4 vom ADG und einmal die IPv6 vom LAN-Interface (also die IPv6 die ich im Dashboard der opnsense auch unter dem LAN-Interface sehe)

Wenn dein Client nur genau einen IPv4-DNS-Server kennt, benutzt er auch nur den. Dann sorg dafür, dass das dein AGH ist und das Problem ist gelöst. Habe ich hier überall genau so am laufen.

Ja mit IPv4 war das auch so und lief ohne Problem. Da meine Clients nun IPv6 haben, habe ich eben gesehen, dass das LAN Interface als DNS eingetragen ist und somit geht es am ADG vorbei.

Bei Anschlüssen mit dynamischem Präfix hat es sich bewährt, auf den LAN-Interfaces zusätzlich Virtual IPs (IP Alias) mit ULAs zu konfigurieren. So bekommt jedes Gerät automatisch auch eine ULA (über SLAAC). Die ULA des DNS-Servers kann man dann über RAs und DHCPv6 verteilen.

Ja ich glaube das geht in die Richtung, wie ich es dachte. Nur wollte ich die IPv6 am Server vergeben. Mit ULAs klingt es sauberer. Verstehe ich das Richtig, dass meine Clients im LAN eine temporäre IPv6 über das WAN bekommen. Diese Adresse ist eher für das Internet gedacht. Lokal nutze ich aktuell IPv4, aber mit ULAs gebe ich den Clients im LAN und im ADMIN Netz lokal IPv6 Adressen zu lokalen Kommunikation. Die ULA vom ADG konfiguriere ich dann als DNS über RAs im Modus Stateless.
Richtig?

Ich versuche eurer Diskussion zu folgen, aber es ist schwer, wenn man das Thema nur privat verfolgt. Ich könnte bei mir auch komplett auf IPv6 sogar mit einer festen IPv6 gehen, aber dann ist das Thema mit Datenschutz im privaten Umfeld so eine Sache.

Wenn deine Clients dual stack sind, können sie AdGuard über IPv4 nutzen. Sind sie IPv6 only, dann brauchen sie natürlich einen IPv6-DNS-Server.

Vielleicht liege ich ja falsch. Ich gehe davon aus, dass meine Clients im Dual-Stack, denn im LAN-Netz wo sich die Clients befinden läuft ein IPv4 DHCP und sie kriegen auch eine IPv6. Auf meinem Rechner hier zeigt ipconfig folgendes

You cannot view this attachment.

Der der Client eine IPv6 hat, nutzt er diese und geht damit direkt ins Netz am AdGuard vorbei. Erst wenn IPv6 nicht geht, springt er auf IPv4 und nutzt dann den DNS. Das Problem ist also, dass immer wenn IPv6 geht, der AdGuard nicht genutzt wird. Also fast immer.

Oder verstehe ich etwas falsch?

Hängt davon ab wie die IPv6 Adresse des Admin Netz Interfaces der Opnsense vergeben wurde... Manuell oder per Track Interface... eine feste IP kannst Du bei adguard aber nur über das darunter liegende System vergeben

Das ADMIN Netz hat nur IPv4. Sprich mein gesamtes Netzwerk ist eigentlich IPv4 via DHCP und die Clients aus dem LAN-Netz habe ich auf IPv6 umgestellt. Ich würde entsprechend dem AdGuard Server manuell eine IPv6 Adresse vergeben. Diese könnte ich dann im RA als DNS Server angeben und das ganze als "Assisted", richtig?

1. Nicht alle Geräte akzeptieren die Angabe des DNS-Servers per SLAAC, manche brauchen DHCPv6 dazu. Das ist der Grund, weshalb der RA-Mode "Assisted" existiert - dabei wird die IPv6 per SLAAC und nur der DNS-Server per DHCPv6 übergeben.

Danke für den Hinweis. Was spricht gegen dieses Vorgehen?

2. Eigentlich braucht es bei Dual-Stack den IPv6-DNS-Server nicht - es ist sogar eher schädlich, denn jeder DNS-Server kann auch IPv6 auflösen (also reicht der IPv4-Server) und welcher priorisiert wird, falls beide angegeben wurden, ist nicht definiert.

Ergo: In meinem Guide empfehle ich deshalb, gar keinen DNS-Server per IPv6 zu verteilen, also RA-Mode "Unmanaged" (oder wie auch immer das beim verwendeten RA-Daemon heißt) siehe: https://forum.opnsense.org/index.php?topic=45822.0, Note 6.

Gilt das auch für AdGuard? Ich möchte das meine Clients alle über AdGuard laufen und aktuell verteile ich keinen DNS-Server über IPv6 und daher greift mein AdGuard nicht.

Danke für den Hinweis. Habe die Einstellung gefunden. Der DNS Server ist in einem anderen Netz/Interface, wo auch meine anderen Server über IPv4 zu erreichen sind. Beim RA muss ich natürlich eine IPv6 Adresse angeben. Jetzt muss ich schauen, was die beste Lösung ist. Aktuell fallen mir drei Optionen ein:

1. AdGuard im ADMIN Netzwerk zur IPv4 auch eine IPv6 vergeben
2. AdGuard ins LAN Netzwerk verschieben
3. ADMIN Netzwerk auf IPv6 umstellen

Die Liste ist priorisiert und ich muss mal schauen, wie ich AdGuard im IPv4 ADMIN Netz eine zusätzliche IPv6 Adresse geben, damit ich diese dann im RA eintragen kann. Meine Annahme ist, dass ich dem Server manuell eine IPv6 konfiguriere, entsprechende Regeln in der FW konfigurieren muss und dann sollte es gehen. Werde mich dem mal morgen annehmen.

Hey Zusammen,

ich habe einen Glasfaseranschluss bei der Telekom und nutze IPv6. Bei den WAN Einstellungen habe ich folgendes: You cannot view this attachment.

Ich habe noch die MTU angepasst etc. und bisher läuft alles. Ich habe noch als Fallback einen IPv4 DHCP und dort ist auch mein AdGuard als DNS Server eingetragen. Leider kriege ich es nicht hin, diesen auch bei den IPv6 zu konfigurieren, sodass meine Clients diese nicht nutzen.

Wie kriege ich das hin?

Danke für die Hilfe :-)