Messages

1

German - Deutsch / Re: LAN kein Internet

« on: February 15, 2024, 06:07:18 pm »

Hi zusammen, habe am We den Aufbau etwas mehr produktiv versucht, leider bekomme ich am LAN keine Verbindung ins Routing Netz

Hier nochmal die Physischen Verbindungen:

FritzBox (Internet) 192.168.0.1 ->
opnsense WAN: 192.168.0.2
opnsense LAN: 192.168.1.1 ->
DDWRT Router 1 ( 192.168.1.10) ->
DDWRT Router 2 (192.168.1.20)

Die DDWRT machen VLAN und die dazugehörigen DHCP

Router 1 hat 3 VLAN
Router 2 hat 1 VLAN

Alle Clients sitzen in den VLAN (managed by DDWRT)

Jetzt das Problem/Aufgabe

Die Clients kommen auf die Router und in alle Client Netze (ping funktioniert prächtig) - auch Router übergreifend.
Die DDWRT können sich auch in den Client Netzen bewegen.
Auch das Pingen von Internet (per DDWRT Diagnose) funktioniert

Problem: die Clients kommen nicht auf den Gateway (192.168.1.1) dieser ist in Router 1 als Gateway eingestellt.
Router 2 hat als Gateway den Router 1 hinterlegt.

Meine Theorie: wenn der Router 1 die opnsense als Gateway nutz brauche ich KEINE Routing Regel ins 192.168.1.0 Netz.
Ist das richtig?

Die Router können ja auch ins 0.1 Netz und Internet pingen, nur die Clients bleiben bei 1.10 / 1.20 stecken.
Komisch ist auch, im 192.168.1.0 Netz sitzen noch 3 Managed Switches. Diese kann ich alle 3 nicht direkt ansprechen (auch nicht von den Routern aus) - also vielleicht doch eine Routing Regel, aber welche, wo?

Habe mal eine Regel im Router 1 versucht - 192.168.0.0 / Gateway 192.168.1.10 Das hat aber nicht funktioniert.

Habe den gesamten Samstag mit dem Problem gekämpft, bis meine Familie den Internet ausfall nicht mehr Lustig fand

Hoffe ihr könnt mir den richtigen anstoß bringen

2

German - Deutsch / Re: LAN kein Internet

« on: February 10, 2024, 04:46:36 pm »

After reset opnsense to factory defaults, now all work with the same settings

3

German - Deutsch / Re: LAN kein Internet

« on: February 10, 2024, 02:18:59 pm »

ICMP ist aktiviert.

Der Router macht auch ein Wifi mit eigenem DHCP auf 192.168.20.1
Wenn ich mit Handy dran bin kann ich den router auf 1.20 pingen.

Habe auch eine Regel in der Fritte von 192.168.1.0 auf 192.168.0.2

Somit kann ich von WAN Seite die 192.168.1.1 pingen, aber nicht weiter. 1.20 funktioniert schon nicht mehr, ...

NACHTRAG: Wenn der DDWRT die 192.168.0.20 hat, funktioniert alles, wie es soll

NACHTRAG2: Habe gerade mal versucht mit einer einer VM direkt am LAN Port. Hier auch selbes Problem, ... Damit kann ich eine fehlerhafte Einstellung des DDWRT ausschießen, ...

4

German - Deutsch / LAN kein Internet

« on: February 10, 2024, 01:56:28 pm »

Hi all

habe sein 3 Tagen eine UTM110/120 hier mit opnsense neu geflashed.

Aufbau aktuell zum testen:

FritzBox (192.168.0.1) ->
opnsense (WAN 192.168.0.2 - LAN 192.168.1.1) ->
DDWRT Router (192.168.1.20 / Gateway 192.168.1.1)

Rule IPv4 all allow ist an

Der DDWRT wird in der Übersicht bei opnsense aufgelistet.

In der Diagnose im DDWRT kann ich weder 1.1 noch 0.1 pingen.
Auch in der Diagnose in opnsense kann ich 1.20 nicht pingen.

Wo ist mein denkfehler?

5

24.1 Legacy Series / ACME - can't get certificates - new install

« on: February 03, 2024, 07:46:33 pm »

Hi @ll,

I'm new in opnsense, but I want to use a good firewall with proxy support included.

For this I create an opnsense VM into my Proxmox Cluster Setup.

Port 80 and 443 are redirected to Wan Interface in Internet Router.
Port80 and 443 are open in firewall.
subdomain is created on Strato and redirected to home IP

For now I try with the "eseast" way of use: replace the opnsense self signed certificate with Lets encrypt.

error:
[Sat Feb 3 19:11:01 CET 2024] Invalid status, opnsense.foobar.de:Verify error detail:xx.x.xx.xx: Invalid response from https://opnsense.foobar.de/?url=/.well-known/acme-challenge/neEJ8dxRnEJR0n9754foobarRqjAWjY7blTDjnEjlO0:

No error code for now, ...

How could I fix it?

6

German - Deutsch / opnsense mit ACME Client auf Proxmox VM / SSL Zertifikat Problem

« on: February 02, 2024, 06:47:37 pm »

Hi @ll

ich habe auf meinem Proxmox eine opnsense mit ACME Client und HAProxy installiert.
HAProxy ist vorübergehend deaktiviert.
Angeschlossen an einem Trunk Port.

WAN -> 192.168.0.x
LAN -> 192.168.3.x
OPT1 -> 192.168.5.x
 
Firewall:
Regeln:
Port 80/443 komplett offen
NAT:
Port 443 an LXC (Nextcloud) durchgereicht

Nextcloud hat Port 80 Weiterleitung auf https in apache2

Erreichbar ist die Nextcloud via URL, aber mit SSL Fehler. (Weil altes abgelaufenes Zertifikat)
Bisher habe ich die Weiterleitung und Zertifikat mit nginx Proxy Manager gemacht (auch SSL Zert). Das funktioniert auch soweit.

Ports sind in der Fritzbox aktuell geändert, von nginx(alt) auf opnsense (neu)

Jetzt möchte ich aber die Firewall zusammen mit HAProxy, alles zentral an einem "Ort" absichern.
Nextcloud ist nicht der einzige online Dienst, weitere werden auch noch umziehen "dürfen".

Jetzt zum Problem:
Ich bekomme kein SSL Zertifikat.
Fehlermeldung:

[Fri Feb 2 16:10:17 CET 2024] Invalid status, cloud.foobar.de:Verify error detail:XX.XX.XX.XX: Fetching http://cloud.foobar.de/.well-known/acme-challenge/-zTHYZPggWICWnvdIInCv9lp3r8DrJD-1mggc8ocJ4Q: Timeout during connect (likely firewall problem)


/usr/local/opnsense/scripts/OPNsense/AcmeClient/lecert.php: AcmeClient: The shell command returned exit code '1': '/usr/local/sbin/acme.sh --issue --syslog 6 --log-level 1 --server 'letsencrypt' --webroot /var/etc/acme-client/challenges --home '/var/etc/acme-client/home' --cert-home '/var/etc/acme-client/cert-home/65bc05d9b529e5.48171601' --certpath '/var/etc/acme-client/certs/65bc05d9b529e5.48171601/cert.pem' --keypath '/var/etc/acme-client/keys/65bc05d9b529e5.48171601/private.key' --capath '/var/etc/acme-client/certs/65bc05d9b529e5.48171601/chain.pem' --fullchainpath '/var/etc/acme-client/certs/65bc05d9b529e5.48171601/fullchain.pem' --domain 'cloud.foobar.de' --days '1' --force --keylength 'ec-384' --accountconf '/var/etc/acme-client/accounts/65bc04db36f048.46625748_prod/account.conf''
 
- Konto ist auf OK(registriert)
- Challenge ist HTTP-01 / HTTP-Dienst ist OPNsense Webdienst / Schnittstelle WAN

Seit 3 Tagen bin ich am rumprobieren und komme jetzt nicht mehr weiter.
Bitte um input