Messages

1

22.1 Production Series / somehow solved: Upgrade to 22.1.4_1: ACME Client and DDClient do not start

« on: March 28, 2022, 08:11:48 am »

Hi,

i made the Upgrade from 22.1.3. to 22.1.4_1 this morning. After several reboots, the following services do not start:

ACME Client
DDClient (dynamic DNS)

All i find in logs for DDClient is the info, that there is no adress, which in fact is there. Config was working fine until the update.

Where could i find logs to provide more info or is this known?

Regards,
Ruggerio


Edit:

- after entering a interface on ddclient, save and apply, ddclient worked.
- after changing something for and back on acme (e.g. wildcard or so), save and appy, acme worked.

2

Intrusion Detection and Prevention / Question: IDS shows only alled in protocols - no blocking possible?

« on: February 16, 2022, 07:25:27 am »

Hello,

As i have a small APU4, i did not want to enable IPS, as it eats up bandwith. So i tried with IDS and enabled drop in the policy. With IDS i do not loose to much bandwith and it's better to know whats going on instead of getting surprised...

Nevertheless, all traffic is shown as allowed. I am aware of the difference of IDS (for monitoring only) and IPS (acitively acts without human intervention), so i was wondering, to change to drop, even if you choose IDS.

Thx,
Ruggerio

3

21.7 Legacy Series / Re: Multiple Subnets per VLAN?

« on: January 27, 2022, 08:02:26 am »

IMHO, you create your vlan and tag it, as mentionned and then try adding it by virtual ip. i am not experienced in that, but i might give you at least a hint.

4

21.7 Legacy Series / Re: NGINX: not replying on Port 80 [kindof solved]

« on: January 25, 2022, 08:27:57 pm »

hmmm...once again...

tried via Web-GUI, no fun

copied command from webgui into shell: ok

/usr/local/sbin/acme.sh --issue --syslog 7 --debug --server 'letsencrypt' --webroot /var/etc/acme-client/challenges --home '/var/etc/acme-client/home' --certpath '/var/etc/acme-client/certs/.../cert.pem' --keypath '/var/etc/acme-client/keys/.../private.key' --capath '/var/etc/acme-client/certs/.../chain.pem' --fullchainpath '/var/etc/acme-client/certs/.../fullchain.pem' --domain 'mydomain.com' --domain 'subdomain.mydomain.com' --domain 'also_subdomain.mydomain.com' --days '1' --keylength '4096' --accountconf '/var/etc/acme-client/accounts/..._prod/account.conf'

5

21.7 Legacy Series / Re: NGINX: not replying on Port 80 [kindof solved]

« on: January 25, 2022, 08:09:12 pm »

erm, i really am not 100% sure, what i did, but now it works.

I clicked in GUI on issue/renew-Button instead of the renewal-button directly, which is with the certificate.

Thanks!
Roger

6

21.7 Legacy Series / Re: NGINX: not replying on Port 80

« on: January 25, 2022, 06:26:44 pm »

not sure that it possible. "This firewall" as a "Redirect target IP"?

This is done, because my webserver is behind nginx, acting as a reverse proxy.

its possible if "Disable web GUI redirect rule" not set at System: Settings: Administration.

i already did this in my personal desperation 

i see, that opnsense's plugin tries to make a rdr rule from wan to localhost, using Port 80 -> 40583. Port 80 is already used for the https-server from nginx, which acts as reverse proxy. So, i tried also to stop nginx and then run acme-client, still no luck.

7

21.7 Legacy Series / Re: NGINX: not replying on Port 80

« on: January 25, 2022, 04:45:22 pm »

i try to understand what this here is doing:

_CURL='curl --silent --dump-header /var/etc/acme-client/home/http.header -L '

After that, i get the response, that the host is not resolveable. Might it be, that kindof header should be dumped into that file, which is needed for further action for acme?

8

21.7 Legacy Series / NGINX: not replying on Port 80 [kindof solved]

« on: January 25, 2022, 11:20:49 am »

Hello,

Since weeks i have a problem with the letsencrypt plugin on my sense.

I configured 2 http-Servers on it:

1 Webserver, reached via reverse proxy function on nginx
1 local webserver on nginx with a separate hostname, and an webroot containing just a index.html

The local webserver has the cross on enable letsencrypt plugin. Nevertheless, it does not work. I read, that le needs port 80 opened, so i tested this.

Result connecting to local webserver on port 443 gives back my dummy index.html
Result connecting to local webserver on port 80 gives ERR_EMPTY_RESPONSE

both ports (80/443) are enabled - but for both webservers, i just can connect to port 443. Port 80 btw. is opened on WAN-Port and redirected to "this firewall".

Might it be, that port 80 is still in use by lighttpd from the sense? I change it to a higher port und use just https (so configured in Web-GUI)

ACME results in hcocde 6, btw.

Thanks for any idea.
Roger

9

21.1 Legacy Series / need help on nextcloud-fpm

« on: July 07, 2021, 09:23:29 am »

Hi together,

i wanted to have nextcloud-fpm using nginx from nginx. I installed a usual Webserver on opnsense and configured "position"




Everything seems work, except that the webpage is delivered unformatted. What did i miss?

Thx,
Ruggerio

10

21.1 Legacy Series / 21.1.7: Problem with Freeradius

« on: June 17, 2021, 08:00:15 am »

Right after the upgrade, Freeradius does not start anymore:

Error: /usr/local/etc/raddb/mods-enabled/eap[15]: Instantiation failed for module "eap"   
2021-06-17T07:58:25       Error: rlm_eap (EAP): Failed to link rlm_eap_leap: Cannot open "/usr/local/lib/freeradius-3*/rlm_eap_leap.so"   
2021-06-17T07:58:25       Info: Debugger not attached   
2021-06-17T07:44:37       Error: /usr/local/etc/raddb/mods-enabled/eap[15]: Instantiation failed for module "eap"   
2021-06-17T07:44:37       Error: rlm_eap (EAP): Failed to link rlm_eap_leap: Cannot open "/usr/local/lib/freeradius-3*/rlm_eap_leap.so"   
2021-06-17T07:44:37       Info: Debugger not attached

Roger

11

German - Deutsch / Re: VLAN-Einrichtung - "Starthilfe" erbeten

« on: February 18, 2021, 02:24:24 pm »

Und btw. Du kannst jeden Port einzeln als VLAN einrichten auf der Sense. Geh dazu nach "Schnittstellen - Andere Typen - VLAN" - dort kannst du pro Interface eines oder mehrere VLAN einrichten. Einfach Schnittstelle auswählen, Tag einpflegen, Beschreibung dazu, done.

12

German - Deutsch / Re: VLAN-Einrichtung - "Starthilfe" erbeten

« on: February 18, 2021, 02:21:15 pm »

https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen

Gib Dir hier mal den Teil "tagged VLAN".

<Zitat>
Wenn im gezeigten Beispiel beide Switches tagged VLANs beherrschen, kann damit die gegenseitige Verbindung mit einem einzelnen Kabel erfolgen
</Zitat>

Ich nehm an, dass es das ist was Du willst, mehrere separierte Netze über dasselbe Kabel laufen zu lassen.

Würde bedeuten, da Du nicht 2 Switches hast, die VLAN können, sondern das VLAN auf der APU einrichtest, eigentlich Du am Endgerät (im Zitat der Switch, bei dir wohl ein PC) das Tag (kann eine beliebige Nummer sein) auf der Netzwerkschnittstelle einpflegen musst.

Windows Clients und Server: https://www.thomas-krenn.com/de/wiki/Tagged_VLAN_Ethernet_Interfaces_in_Windows_konfigurieren

Ich mach das auch nur bastelmässig zuhause für ein paar Handies, Tablets und PC's. Der Aufwand dazu ist...nicht gerade ohne.

13

German - Deutsch / Re: Erfahrungen mit Intel Celeron CPU's mit IPS/IDP

« on: February 18, 2021, 02:04:06 pm »

Ich hab nicht mal mehr für die Server IDS/IDP aktiv. Mit den ganzen Firehol und ähnlichen Regeln fliegt da genug auf dem WAN bereits weg, was nicht hin soll.

Habe ausserdem mit ein wenig gefrickel meinen Web- und Mailserver hinter NGINX gehängt, der hat auch ne WAF. Auf dem Server läuft Fail2Ban.

Dürfte wohl paranoid genug sein. Mehr Sicherheit geht immer, am einfachsten ist noch immer Stecker ziehen.

14

German - Deutsch / Re: Erfahrungen mit Intel Celeron CPU's mit IPS/IDP

« on: February 17, 2021, 08:34:15 pm »

Spass muss srin 😀

Och hab aktuell ne APU4 im Einsatz, die bringt ca. 700 mbps download hin, ohne dass die CPU echten Load kriegt. Mit Prxy gehts auf rund 200 mbps retour, da kriegt CPU auch load.

Wenn man auf IDP\IPS verzichten will und mit der Bandbreite durchkommt, ne feine Sache. Streame lit 4 Geräten. Für normalen SOHO-Gebrauch wohl genügend. Bastler und andere experimentierfreudige sollten was kräftigeres nehmen. Mein Sohn hat während dem Streamen auch mit Steam gegamed, keine Probleme.

Zur Info für interessierte.

15

German - Deutsch / Re: Erfahrungen mit Intel Celeron CPU's mit IPS/IDP

« on: February 16, 2021, 04:13:01 pm »

Also, mir würds vor allem darum gehen, "ältere" Infrastruktur, die nicht mehr zwingend alle Updates kriegen zu schützen.

Das wird vor allem im Webumfeld sein, nehm ich jetzt mal an, sofern die User nicht noch in irgendwelchen zweifelhaften App-Stores rumstöbern.

Korrekt, IDS greift den TLS-Traffic nicht ab? Da heute noch die meisten Websites sowieso mit HSTS auf TLS umleiten, wäre damit das eigentlich mehrheitlich hinfällig. Da wäre nur noch der Schutz meiner wenigen Web- und Mailserver damit möglich. Und das meiste sortier ich damit aus, dass ich die Firehol (und andere) Rules auf den Interfaces in der Firewall am mitlaufen habe.

Somit wärs eigentlich nahezu sinnfrei, die IPS laufen zu lassen und CPU zu vergeuden (jetzt in meinem Fall). Oder tatsächlich einfach ne spielerei, damit man seine Freizeit in Corona nicht mit Tabak und Alkohol vergeudet

Gruess
Roger