Messages

Hallo,

uns ist aufgefallen, dass sich die Let's Encrypt Zertifkate, die über das OPNWAF Plugin ausgestellt werden, nicht erneuern.

Unter "/usr/local/md/domains/domainxyz/job.json" ist der last-run Eintrag das Erstausstellungsdatum.
Scheint als würde der Cronjob hier nicht laufen? Unter "Einstellungen/Geplante Aufgaben (Cron)" ist Renew ACME certificates jedoch aktiviert.
Zertifikate, die direkt über das ACME Plugin erstellt wurden, werden auch korrekt erneuert.

Durch das Löschen des jeweiligen Ordner unter "/usr/local/md/domains" wird das Zertifkat neu ausgestellt. (https://forum.opnsense.org/index.php?topic=50926.0)

Logs hierzu konnte ich nicht finden, "/var/log/acmeclient" zeigt nur die Logs der Zertifkate, die direkt im ACME Plugin erstellt wurden an.
Hat hier jemand zufällig einen Anhaltspunkt, woran das liegen könnte?

Vielen Dank vorab!
rushstone

Hallo,

in der Webanwendung vermisse ich eine granulare Einstellungen für Sicherheitsregel-Ausnahmen.
Einen Feature-Request würde ich später erstellen und dann auf dieses Topic verweisen.

Habe hierzu einfach mal ein Modal optisch erstellt, wie ich mir das ungefähr vorstelle.
Im Grund geht es darum, dass man für einen Virtuellen Server eine Ausnahme erstellen kann basierend auf:
- bestimmten Client IPs
- und/oder bestimmten URIs
- und/oder bestimmte Formularfelder

Beispielsweise möchte bzw. sollte man z.B. nur bei einem bestimmten Formularfeld eine bestimmte Regel deaktivieren (und nicht direkt für den ganzen V-Server).
Oder generell Admin-Client-PCs whitelisten.

Das Modal soll auch nur grob widerspiegeln, wie ich mir das vorgestellt habe. Vielleicht gibt es da bessere Umsetzungsmöglichkeiten.


Gruß rushstone

Danke für die schnelle Rückmeldung!

Punkt 2) habe ich dann jetzt einfach wie folgt gelöst:

Zertifikat erstellen:

Code Select Expand

openssl req -x509 -nodes -days 365 -newkey rsa:2048 \
    -keyout /usr/local/etc/ssl/catch-all.key \
    -out /usr/local/etc/ssl/catch-all.crt \
    -subj "/CN=catch-all.invalid"

000-default.conf erstellen unter "/usr/local/etc/apache24/Includes":

Code Select Expand

# Default VirtualHost
SSLStrictSNIVHostCheck On

<VirtualHost *:80>
    ServerName catch-all.invalid
    <Location />
        Require all denied
    </Location>
</VirtualHost>

<VirtualHost *:443>
    ServerName catch-all.invalid
    SSLEngine on
    SSLCertificateFile "/usr/local/etc/ssl/catch-all.crt"
    SSLCertificateKeyFile "/usr/local/etc/ssl/catch-all.key"
    <Location />
        Require all denied
    </Location>
</VirtualHost>

[1)]

Hallo zusammen,

bei der Nutzung der OPNWAF Funktion der Business Edition sind mir folgende Sachen aufgefallen, die ich so nicht direkt lösen konnte und auch sonst keine Informationen hierzu finden konnte.
Vielleicht kann mir da ja jemand weiterhelfen oder die Probleme bestätigen. Dann würde ich entsprechende Tickets eröffnen.


1) HTTP/2 Support: Die Webseiten werden nicht über HTTP/2 ausgeliefert. Hierzu konnte ich auch keinen Hinweis finden, ob das gewollt ist.
In der httpd.conf unter /usr/local/etc/apache24 ist folgendes Modul ausgeklammert (Zeile  120):

Code Select Expand

#LoadModule http2_module libexec/apache24/mod_http2.soWenn das Modul hier aktiviert wird, werden die Seiten über HTTP/2 ausgeliefert, Probleme nach der Aktivierung konnte ich hier keine erkennen.
Die Änderung in dieser Datei ist aber nicht persistent.

Weiß jemand weshalb HTTP/2 per default nicht aktiviert ist?


2) Wenn Domains nicht eingerichtet wurden, wird der default virtual host genutzt (der zuerst angelegte virtual host). Mir erschließt sich der Sinn dahinter nicht ganz.

Das hat folgende Auswirkung:
Bei einem Aufruf einer nicht existierenden Domain kommt eine HTTPS Zertifikatswarnung "net::ERR_CERT_COMMON_NAME_INVALID" weil das Zertifikat von der default-Domain genommen wird. Anschließend wird der Request dann so behandelt, als hätte man direkt die default-Domain aufgerufen.
Meiner Meinung nach sollte der Request ins Leere laufen bzw. abgelehnt werden, weil OPNWAF die Domain oder Subdomain nicht kennt.

Beispiel:
Einstellungen: HTTP nach HTTPS umleiten aktiv
Virtueller Server: abc.example.com -> Redirect nach https://main.example.com

Aufruf von z.B. test.example.com -> Zertifkat von abc.example.com wird angezeigt "net::ERR_CERT_COMMON_NAME_INVALID" und nach Bestätigung wird man nach main.example.com weitergeleitet.

Logs:

Code Select Expand

[ssl:debug] ssl_engine_kernel.c(2228): [client x.x.x.x:57373] AH02044: No matching SSL virtual host for servername test.example.com found (using default/first virtual host)

abc.example.com:443 x.x.x.x - - "GET / HTTP/1.1" 301 3879 "-"

3) Custom Error Documents, die per GUI hochgeladen wurden, können nicht angezeigt werden.

Code Select Expand

[core:error] (13)Permission denied: [client x.x.x.x:49609] AH00035: access to /__waf_errors__/403.html denied (filesystem path '/usr/local/opnsense/data/OPNWAF/errors/xxxxxxxxxxxx/403.html') because search permissions are missing on a component of the path

Vielen Dank im Voraus.

(Version 25.10.2)