Messages

Hallo Zusammen

Ich habe irgend wie einen Knoten. Hoffe da draussen gibt es jemand der mir hilft den zu lösen.

Ich habe in OPNsense / HAproxy für den port 443 EINEN öffentlichen Dienst eingerichtet. Die Regeln dahinter funktionieren soweit.
es gibt
- meinedomain.tld/irgendwas welche ich mit regeln entsprechend weiterleite.
- xx.meinedomain.tld geht zu meinem HomeServer (geht nur mit subdomain, da mein HS Software mit der Variante /irgendwas nicht klar kommt.

Ich wollte nun xx.meinedomain.tld mit mTLS zusätzlich sichern, da ich dies nur für wenige gleichbleibende Clients benötige.
Ist dies in den öffentlichen Dienst Einstellungen nicht der Bereich Authentifizierung des Clientzertifikates? Ich habe es mit Optional versucht und eine Bedingung bei der Regel von xx.meinedomain.tld hinzugefügt.

bei der Regel von meinedomain.tld/irgendwas habe ich nichts hinterlegt. Trotzdem kommt hier nun die Meldung mit der Webseite stimmt etwas nicht.

Beim Eintrag Zertifizierung ist mein selbstsigniertes HAproxy CA hinterlegt mit welchem ich meine Client Certifikate erstellt habe.

Habe ich da was falsch verstanden? Wird nicht erst mit der Bedingung in der Regel abgefragt, ob der Client ein Zertifikat aufweist welches zu meinem HAproxy CA passt?

Danke an den da draussen, der mir diesen Knoten entwirrt.

Hallo Zusammen

etwas ist mir noch nicht ganz klar:

Wenn ich 2 OPNsense per Wireguard verbinde (Site by Site) muss ich dann:
Beidseitig den gleichen IP Range im Tunnel bei der Instanz verwenden? oder können das unterschiedliche sein?

Hallo Patrick

nun hat es geklappt.
noch nicht ganz klar ist die IP Geschichte für das Tunneling.

Lan Site A 192.168.10.0/24 und weitere.
Lan Site B 192.168.110.0/24

Nun bekommen ja beide WG Instanzen Tunneladressen.

Habe ich bei Site A Instanz 192.168.30.224/27 definiert.
Instanz B gleichen Range verwenden? 192.168.30.224/27

und sage beim Peer von Seite B Zugelassene IPs 192.168.30.225/32 sowie LAN A (und weitere, sofern darauf zugegriffen werden darf)

und umgekehrt kann ich dann folgendes bei B verwenden:

und bei Peer von Seite a zugelassen 192.168.30.226/32 sowie Lan B

Wenn ich das dann richtig verstehe, sind ja dann auch die Mobile Clients von beiden OpnSense in diesem netz, aber durch Zugelassen IP's kann ich die dann routen. (in dem ich ein Lan zulasse oder nicht)

Moin Patrick

Danke für die rasche Antwort.
Ich glaube mein problem ist, dass ich 2 Instanzen erstellt habe auf gleichem Port.

ich ändere das mal auf eine.

Momentan bekomme ich noch gar keine Verbindung hin. also Tunnel baut sich nicht auf.

Hallo @Patrick Habe mich unterdessen mit Wireguard auseinandergesetzt.
Zugriff auf beide Opnsense ab Mobile funktioniert und habe ich soweit hinbekommen.

Beim Lan to Lan happert es irgend wie noch.

Habe mir zwei Instanzen erstellt, Instanz_Clients und Instanz_Sitebsite

Habe ich schon richtig verstanden (Wiki) für Lan to Lan benötige ich folgende Konfig:

Site A
- Instanz
- Peer (mit Public Key aus Instanz B)

Site B
- Instanz
- Peer (mit Public Key aus Instanz A)

Hallo Patrick

Danke für deine super schnelle Antwort.

Dann werde ich mich mit WireGuard auseinander setzen.
Irgend wo hatte ich gelesen, dass für eine Verbindung zwischen 2 OpnSense diese Policy Based IPsec Verbindung Sinn macht.

Hallo liebe Community

Meine Monit Überwachung der IPsec Peer-to-Peer VPN bekomme ich nicht zum laufen.
Genauer, der Ping auf die OpnSense der Seite B, ab der OpnSense der Seite A scheint nicht zu gehen.
Als würde OpnSense die Seite B nicht kennen.

Aus meinen verschiedenen LAN-Netzen von Seite A komme ich nach B, mit Ping / 443 ect. (also der VPN funktioniert einwandfrei).

Wenn ich auf der OpnSense (Seite A) unter Schnittstellen/Diagnose/Ping einen Ping nach OpenSense B absetze dann folgendes Resultat:

Ping nach 192.168.110.254 (ohne Quellangabe) -> 100% Lost
Ping nach 192.168.110.254 (mit Quellangabe Bsp. 192.168.10.254 IP OpnSense Seite A) -> 0% Lost

Was muss ich auf der OpnSense Seite A noch einstellen, dass diese selbst das Netz auf Seite B kennt?


Aufbau:
Seite A: 192.168.10.0/24 -> OpnSense IP 192.168.10.254
Seite B: 192.168.110.0/24 -> OpnSense IP 192.168.110.254
VPN Tunnel: Typ IPsec, Eingerichtet auf der Seite Verbindung und mit Key Pairs (Nach der Doku, "neue Konfigurationsart")

Danke für eure Hilfe

Hallo Zusammen

Ich habe ein Skript, welches funktioniert wenn ich es in der Konsole direkt aufrufe.

Unter Monit / Einstellungen / Dienstleistungen gibt es ein vorkonfigurierte carp_status_change (Standard Eintrag von OPNsense).

Wenn ich es richtig verstanden habe sendet dieser ein Alarm, sobald ein Dienst den Status ändert.
Als Mail bekomme ich diesen auch.
nun möchte ich, dass jedes mal mein Skript aufgerufen wird.
Leider schaffe ich das nicht.

Wo muss ich im Webgui das Skript eintragen und wie, damit es jedesmal mit aufgerufen wird?

Herzlichen Dank für eure Imputs.