Topics

1

German - Deutsch / VM vs Appliance - Geschmacksfrage?

« on: August 16, 2024, 12:55:38 pm »

Wahrscheinlich mache ich jetzt "ein Fass auf", aber ich frage trotzdem mal - und zwar im vollen Bewusstein, dass es "die" Lösung vermutlich nicht gibt:

Betreibe ich meine OPNsense lieber als (VirtualBox-)VM, oder kaufe ich besser eine Appliance?

Wenn mein Host ein problem hat, startet auch die OPNsense nicht mehr, das ist mir klar, und deshalb schiele ich auf eine Appliance. Aber wenn ich mich "verkonfiguriere" oder (gibt es das überhaupt?) eine "kaputte Version" installiere, wie kann ich die OPNsense dann wiederbeleben? Bei der VM-Lsöung gehe ich einfach einen Snapshot zurück. geht das auf der Appliance auch? Gibt es dort so etwas wie "Timeshift"?

... und dann zur Praxis: Wenn ich umsteige, kann ich dann "einfach" meine bisherige VM-Konfiguration auf die Appliance bügeln, und es wird laufen? Oder ist die Portierung tückisch?

Vielen Dank für Eure Meinungen! 

2

German - Deutsch / [SOLVED] OpenVPN: Surfen durch den Tunnel verhindern

« on: August 16, 2024, 12:08:18 pm »

Ich habe einen Tunnel "nach Hause" aufgebaut, und nun stelle ich gerade fest, dass ich auch durch den Tunnel "surfe", d.h. wieistmeineip.de zeigt mir die Heim-IP an. Ich nutze Linux-Mint als Client. Kann ich dort nicht einstellen, dass nur "lokale Adressen" über den Tunnel gesucht werden? Oder ist das eine Einstellung des Tunnels selbst?

3

German - Deutsch / OpenVPN - Zertifikat "verlängern"?

« on: August 05, 2024, 06:50:19 pm »

Hallo.

Ich habe vor reichlich einem Jahr mit Eurer Hilfe und dem Thomas-Krenn-Wiki den VPN-Zugang zu meinem Netz eingerichtet, und das hat ganz prima funktioniert. Jetzt jedoch ist das Server-Zertifikat abgelaufen. Was muss ich tun, um den Zugang wieder nutzbar zu machen?

Ich habe ein neues Zertifikat mit den selben Einstellungen (sogar mit identischem Namen) erstellt, im Server eingetragen und diesen neu gestartet. Ich kann jedoch weiterhin keine Verbindung herstellen.

Irgendwo hatte ich gelesen, dass auf dem Client keine Änderungen nötig seien, aber jetzt sehe ich, dass auch das Client-Zertifikat abgelaufen ist. Muss ich das also auch neu erstellen und verteilen - und dann sollte es wieder klappen? Oder muss ich sonst noch etwas tun?

4

German - Deutsch / [GELÖST] DHCP & DNS: auf OPNsense oder lieber separat?

« on: April 12, 2024, 11:28:42 am »

Ich habe mal eine ganz grundlegende Frage und hoffe, dass Ihr mir dabei weiterhelfen könnt.

Ich setze meine OPNsense als VM auf Virtualbox ein und nutze sie natürlich als Router/Firewall und baue damit einen Tunnel zwischen zwei Standorten auf. Aktuell setze ich keinen Verzeichnisdienst ein (hatte früher MS-AD, brauche das aber zur Zeit nicht, und wenn doch würde ich etwas anders MS-freies nutzen, z.B. LDAP).

Für meine internen Zwecke habe ich ein dezidiertes Ubuntu mit dnsmasq laufen, das reicht mir für DHCP und DNS. Für die Redundanz habe ich in jedem der beiden Standorte zwei solcher Server.

Nun denke ich darüber nach, ob ich diese beiden vielleicht wieder abschaffen sollte und DHCP und DNS direkt auf der OPNsense nutzen sollte. Macht das aus Eurer Sicht Sinn? Wenn die OPNsense nicht läuft, dann kann ich sowieso nicht arbeiten, allein die Ausfallsicherheit ist also für mich kein hinreichendes Argument, die separaten DHCP/DNS-Server zu haben.

Ich bin echt unschlüssig, denn einerseits sind die Ubuntus eingerichtet und laufen, aber andererseits sind sie natürlich eine weitere VM, die auch einmal sterben könnte. Wie wäre Eure "Best Practice"?

5

German - Deutsch / [ERLEDIGT] Fehler beim Start - Startabbruch

« on: March 28, 2024, 04:53:03 pm »

Hallo.

Ich wollte gerade meine entfernte OPNsense auf 24.1 updaten und habe sie vorher heruntergefahren (ist eine VirtualBox-VM), um einen VB-Snapshot zu erstellen. Aber nun bootet sie nicht mehr. Glücklicherweise komme ich remote auf den Host und kann mir per xfreerdp den Boot-Vorgang ansehen.

Es treten Fehler auf, die mir "irgendwie nach Hardwareproblemen aussehen", konkret erhalte ich

Code: [Select]

CAM status: ATA Status Error
ATA status: 41 (DRDY ERR), error: 10 (IDNF )
RES: 41 [...]

Wenn ich im Single-User-Modus starte und

Code: [Select]

fsck -ylaufen lasse, ist danach das

Code: [Select]

***** FILE SYSTEM STILL DIRTY *****
Ich verstehe es nur nicht ganz, weil die "Festplatte" ja eine VDI-Datei ist. Wie kann es da "Hardware-Fehler" geben? Oder lässt das auf Probleme auf dem Host-Laufwerk schließen? Dessen SMART-Status sieht jedoch gut aus, zumindest nach "Short Self Test", und ich lasse jetzt mal den "Extended Self Test" laufen.

Wenn es ein Problem auf dem Host-Laufwerk ist, wie gehe ich dann am besten vor? Die VM entregistrieren, auf ein anders Laufwerk verschieben, neuregistrieren und dann erneut zu starten versuchen?

6

German - Deutsch / os-ddclient - DynDNS

« on: August 17, 2023, 08:45:14 am »

Nee, jetzt krieg ich's doch nicht hin mit dem ddclient. 

Meine Konfiguration sieht so aus:

Code: [Select]

# cat /usr/local/etc/ddclient.conf
syslog=yes                  # log update msgs to syslog
pid=/var/run/ddclient.pid   # record PID in file.


use=cmd, cmd="/usr/local/opnsense/scripts/ddclient/checkip -i em1 -t 0 -s dyndns --timeout 10",
protocol=dyndns2, \
login=<myUser>, \
password=<myPwd> \
<myDomain>

Aber auch ein Aufruf aus der Shell funktioniert nicht:

Code: [Select]

# ddclient
WARNING:  skipping update of <myDomain> from <nothing> to <myIP>.
WARNING:  last updated Thu Aug 17 08:38:17 2023 but last attempt on Thu Aug 17 08:38:17 2023 failed.
WARNING:  Wait at least 5 minutes between update attempts.
Dabei ist mir die zweite Zeile schleierhaft: "updated" aber "failed"?
Auf jeden Fall ist im Webinterface von DynDNS keine Aktualisierung vermerkt.

Habt Ihr eine Idee, woran das liegen könnte?

7

German - Deutsch / [GELÖST] Dienste "misconfigured"

« on: August 16, 2023, 11:30:46 am »

Im Rahmen meiner Tests fällt mir auf, dass in der Liste der Erweiterungen ein paar Dienste als "misconfigured" stehen:

• os-acme-client
• os-clamav
• os-dyndns (ok, der kommt ja weg)
• os-haproxy

NB: Auf der hiesigen (ebenfalls auf 23.7.1. aktualisierten) OPNsene sind das sogar noch ein paar mehr:

• os-postfix
• os-redis
• os-rspamd

Allerdings nutze ich die OPNsense gar nicht als Mailserver (ich habe iRedMail auf einer separaten Maschine). Kann ich diese Dienste dann einfach deaktivieren?

Den ACME-Client und den HAProxy brauche ich jedoch. (HAProxy läuft korrekt, ACME hat immer mal wieder Probleme.)
Wie gehe ich da wohl am besten vor?

8

German - Deutsch / [GELÖST] Restart bei Aufruf Webinterface?

« on: August 14, 2023, 02:32:51 pm »

Ich habe gerade remote die opnSense von 23.1 auf 23.7 aktualisiert, sie startet dort einwandfrei, und ich kann den IPSEC-Tunnel aufbauen. Sobald ich jedoch versuche, das Webinterface aufzurufen, startet die opnSense neu! (Ich kann das sehen, weil ich parallel per xfreerdp /v:meinHost /port:meinPort auf die entfernte Konsole komme.)
Ist dieses Verhalten bekannt? Oder mache ich etwas falsch? Hat jemand vielleicht eine Idee?

9

German - Deutsch / [GELÖST] Tunnel: IPsec vs. OpenVPN

« on: May 19, 2023, 01:06:22 pm »

Hallo.
Ich hatte (aus eigener Blödheit, aber dennoch) zweieinhalb Monate lang keinen Kontakt zur Filiale, und nachdem ich nun vor Ort die OPNsense wieder gestartet und aktualisiert habe (Version 23.1.7, zu Hause 23.1.2), kann ich den IPsec-Tunnel nicht mehr aufbauen.

In der Shell bekomme ich für ipsec up con1 einen Strauß von Fehlermeldungen, die ich nicht so recht verstehe. Vor allem stehen dort Dinge über Zertifikate, obwohl in den Tunneleinstellungen nur "Mutual PSK" steht.

Oder geht es um die Verschlüsselung des Tunnels? Kann da etwas abgelaufen sein? (Die OPNsense in der Filiale ist seit Anfang März nicht gelaufen.)
Kann oder soll ich die Ausgabe von ipsec up con1 hier posten? Wenn ja, was muss ich anonymisieren? Nur meine IPs?

Oder... ich erinnere mich an Eure früheren Ratschläge: Soll ich lieber gleich die Chance nutzen und den Tunnel auf OpenVPN umstellen? Wenn ja, dann würde ich mich über einen Link zu einerm How-To freuen, denn ich kenne nur das Thomas-Krenn-Wiki für den "Road Warrior". Aber wie richte ich einen OpenVPN-Standort-zu-Standort-Tunnel ein?

10

German - Deutsch / [GELÖST] OpenVPN / Zugriff auf die OPNsense per Web-Interface

« on: May 15, 2023, 05:16:15 pm »

Nachdem ich das Benutzerzertifikat korrekt exportieren kann, kann ich auch "von außen" per VPN in mein internes Netz.
Allerdings ist die GUI der OPNsense nicht erreichbar (Timeout), während ich per ssh prima draufkomme.
Kann es sein, dass eine geeignete Firewall-Regel fehlt? Muss ich die Durchleitung vom VPN-Subnetz auf mein nornales Subnetz explizit erlauben? Auf mein internes DokuWiki und auf mein NAS kann ich aber sehr wohl zugreifen. Und per ping erreiche ich die OPNsense auch...

Blockt eventuell die OPNsense selbst den (Web-)Zugriff aus einem anderen Subnetz? Könnte sein, denn aus meiner DMZ komme ich auch nicht "drauf" (was ja auch gut so ist). Aus dem VPN-Subnetz würde ich das jedoch schon gern tun.

Aber wie mache ich das? Eine Regel "mit lauter Sternen" gibt es sowieso ... aber das scheint noch nicht auszureichen.
Muss der VPN-User Mitglied der Gruppe "admins" sein? Nö, oder? Ich muss mich dann doch sowieso auch im Web-Interface erst als "root" anmelden... ich bin etwas ratlos... was ich wo suchen könnte. Ich rufe um... Hilfe!

"Zur Not" würde mir für meine aktuelle spezielle Anwendung auch "reichen", wenn ich die GUI der OPNsense im Web zugreifbar machen könnte... aber aus dem VPN heraus wär's mir schon lieber...

11

German - Deutsch / [GELÖST] OpenVPN: User-Zertifikat exportieren

« on: May 15, 2023, 02:36:49 pm »

... funktioniert bei mir nicht. (Dabei hatte ich das vor längerer Zeit schon mal am Laufen...)
Ich hatte damals alles nach der Thomas-Krenn-Anleitung eingerichtet, und das lief auch. Jetzt aber sind die entsprechenden Zertifikate lange abgelaufen, und ich wollte sie erneuern. Aus Verzweifelung, weil es nicht funzen wollte, habe ich nun sogar meinen User gelöscht und neu erstellt (mit Zertifikat).

Mein Problem ist nun jedoch, dass auf der Seite VPN - OpenVPN - Clientexport im unteren Bereich kein "Verknüpfte(r) Benutzer" steht, und ich finde auch nicht, wo ich einen Benutzer (was eigentlich?) "diesem VPN-Server zuordnen" (?) kann...

• Weder beim Benutzer (ich habe dort keine Gruppe eingestellt, weil nur admins geboten wird)
• noch bei VPN - OpenVPN - Server
• und auch nicht auf der Seite VPN - OpenVPN - Clientexport

Der Fehler liegt natürlich bei mir... aber ich finde ihn nicht... :-(

12

German - Deutsch / [GELÖST] HAProxy: URL umschreiben, weiterleiten...

« on: March 01, 2022, 06:26:52 pm »

... oder wie es sonst heißen mag... 

Ich komme von außen mit der Adresse https://mysub.mydom.de/mypage.aspx auf die OPNsense bzw. den HAProxy. Diesen Aufruf kann ich aktuell auch nur sehr schwer ändern. Ich will jedoch gar kein ASP mehr nutzen.

Wie kann ich nun auf dem HAProxy diesen Aufruf an eine andere URL weiterleiten oder die URL umschreiben (kenne die Begriffe nicht so richtig)? Ob ich intern die URL des "virtual host" ändere oder gleich eine andere externe Adresse eintrage, ist für mich egal. Schön - aber nicht Bedingung - wäre es außerdem, wenn die Aktion für den Client "transparent" wäre.

13

German - Deutsch / [SOLVED] Update von 21.7.4 auf 21.7.8 schlägt fehl

« on: February 20, 2022, 02:57:22 pm »

Jetzt wollte ich meine andere OPNsense ebenfalls aktualisieren, doch da habe ich ein (anderes) Problem:

Zuerst erhielt ich mehrfach den Fehler "Segmentation fault", und das Update brach ab. Da dachte ich "ganz pfiffig" (ich dachte zumindest, dass das pfiffig wäre...), ich aktualisiere aus der Shell heraus, und habe dort eingegeben

Code: [Select]

# opnsense-update -pA 21.7.8
Updating OPNsense repository catalogue...
pkg-static: https://pkg.opnsense.org/FreeBSD:12:amd64/21.7.8/latest/meta.txz: Not Found
repository OPNsense has no meta file, using default settings
pkg-static: https://pkg.opnsense.org/FreeBSD:12:amd64/21.7.8/latest/packagesite.txz: Not Found
Unable to update repository OPNsense
Error updating repositories!
Das ging also auch schief.

Wenn ich nun in der GUI das Update versuche, bekomme ich eine andere Fehlermeldung:

Code: [Select]

***GOT REQUEST TO CHECK FOR UPDATES***
Currently running OPNsense 21.7.4 (amd64/OpenSSL) at Sun Feb 20 14:54:57 CET 2022
Fetching changelog information, please wait... done
Updating OPNsense repository catalogue...
pkg: https://pkg.opnsense.org/FreeBSD:12:amd64/21.7.8/latest/meta.txz: Not Found
repository OPNsense has no meta file, using default settings
pkg: https://pkg.opnsense.org/FreeBSD:12:amd64/21.7.8/latest/packagesite.txz: Not Found
Unable to update repository OPNsense
Error updating repositories!
pkg: Repository OPNsense cannot be opened. 'pkg update' required
Checking integrity... done (0 conflicting)
Your packages are up to date.
***DONE***

Das wiederum auf der Shell probiert:

Code: [Select]

# pkg update
Updating OPNsense repository catalogue...
pkg: https://pkg.opnsense.org/FreeBSD:12:amd64/21.7.8/latest/meta.txz: Not Found
repository OPNsense has no meta file, using default settings
pkg: https://pkg.opnsense.org/FreeBSD:12:amd64/21.7.8/latest/packagesite.txz: Not Found
Unable to update repository OPNsense
Error updating repositories!
bringt nur eine weitere Fehlermeldung.

Habe ich mich jetzt völlig verrannt? Oder wie repariere ich das?

14

German - Deutsch / [SOLVED] HAProxy - macht nicht, wie ich will

« on: February 18, 2022, 11:57:22 am »

Hallo. Vermutlich mache ja nur ich etwas falsch, aber ich finde es gerade nicht... 
Ich will eine Website intern auf einem anderen Server hosten, doch der HAProxy leitet mich immer noch auf den alten Server weiter.

Wie sieht meine Konfiguration aus?

• Ich habe eine Bedingung Bed "Host enthält - www.mysite.de"
• Ich habe eine Regel Reg "IF Bed verwende den angegebenen Backend-Pool Poo"
• Ich habe einen Backend-Pool Poo "Server Ser"
• Ich habe einen Realen Server Ser "IP 192.168.0.1"
• Auf 192.168.0.1 liegt ein Apache, der www.mysite.de als Virtual Host kennt
• Das funktioniert ganz prima.
• Die neue Site liegt nun auf 192.168.0.2
• Da sollte es doch ausreichen, wenn ich die IP des "Realen Server" ändere, oder nicht?

In der Tat passiert trotz geänderter IP des Realen Servers dieses:

• Wenn ich die Website von außen aufrufe, komme ich weiterhin auf den alten Server.
• Wenn ich den HAProxy oder den alten Webserver anhalte, klappt es nicht (kann also kein Problem mit Browsercache sein).
• Neustart des HAProxy ändert nichts.
• Neustart der OPNsense habe ich noch nicht gemacht (weil produktiv im Einsatz).
• Wo ist mein Fehler?

15

German - Deutsch / Zwei Mailserver auf einer öffentlichen IP?

« on: January 04, 2022, 11:47:38 am »

Irgendwo habe ich eine Wissens- oder Verständnis-Lücke und weiß sie gerade nicht zu füllen...

Ich habe zwei Standorte DE und SE, jeweils mit einer opnSense und einem iRedmail auf Ubuntu dahinter. Das funktioniert(e) so weit ganz gut, aber da der Standort SE nur eine dynamische IP hat, gab es mit dem Senden von dort öfters mal Probleme (z.B. akzeptiert GMX Mails von dort gar nicht). Ich habe deshalb den kompletten zweiten Server von SE nach DE portiert und die DNS-Einträge entsprechend geändert. Nun aber kann ich vom portierten Server zwar noch Senden, empfange dort aber keine Mails mehr.

Wenn ich vom funktionierenden Server sende, erhält der Absender die Nachricht "loops back to myself". wenn ich von GMX aus sende, erhalte ich ein "SMTP error from remote server for RCPT TO command, host: MYURL (MYIP reason: 554 5.7.1 <MYADDRESS>: Relay access denied"

Die Roundcube-URL dieses Servers ist erreichbar, und ich weiß nicht so richtig, was ich noch einstellen muss. Kann oder muss ich im HAProxy eine Regel für den MX-Eintrag machen? Das habe ich aber für den bisherigen Server auch nicht gemacht. Mein Problem ist wohl, dass ich nicht weiß, wie eine Mail/SMTP an der opnSense "ankommt". Andererseits funktioniert es mit dem bisherigen Server ja weiterhin.

Ich hoffe, die Frage ist hier nicht völlig falsch, aber da ich am Server nichts geändert habe (außer seiner internen IP natürlich), vermute ich den Fehler in meiner opnSense/HAProxy-Konfiguration und freue mich über jeden Tipp.