Topics

Ich habe ein Problem mit zwei Let's-Encrypt-Zertifikaten für Websites: Sie werden erneuert, können aber nicht "importiert" werden.
Bei anderen Zertifikitan mit exakt den gleichen Einstellungen (bis auf den Namen natürlich) funktioniert es tadellos.
Im Protokoll steht dann:

Code Select Expand

2025-05-20T00:00:17 opnsense AcmeClient: failed to import certificate: www.my-failing-url.de
2025-05-20T00:00:17 opnsense AcmeClient: unable to import certificate www.my-failing-url.de, file not found: /var/etc/acme-client/certs/5aa7b9d1a23c91.56093114/cert.pem
2025-05-20T00:00:17 opnsense AcmeClient: successfully issued/renewed certificate: www.my-failing-url.de
2025-05-20T00:00:15 opnsense AcmeClient: AcmeClient: The shell command returned exit code '0': '/usr/local/sbin/acme.sh --renew --syslog 6 --log-level 1 --server 'letsencrypt' --webroot /var/etc/acme-client/challenges --home '/var/etc/acme-client/home' --cert-home '/var/etc/acme-client/cert-home/5aa7b9d1a23c91.56093114' --certpath '/var/etc/acme-client/certs/5aa7b9d1a23c91.56093114/cert.pem' --keypath '/var/etc/acme-client/keys/5aa7b9d1a23c91.56093114/private.key' --capath '/var/etc/acme-client/certs/5aa7b9d1a23c91.56093114/chain.pem' --fullchainpath '/var/etc/acme-client/certs/5aa7b9d1a23c91.56093114/fullchain.pem' --domain 'www.my-failing-url.de' --days '1' --keylength '4096' --accountconf '/var/etc/acme-client/accounts/5aa7b7170e8c73.36911464_prod/account.conf''
2025-05-20T00:00:03 opnsense AcmeClient: using challenge type: <my working validation>
2025-05-20T00:00:03 opnsense AcmeClient: using IPv4 address: <my external IP>
2025-05-20T00:00:02 opnsense AcmeClient: account is registered: <my account>
2025-05-20T00:00:02 opnsense AcmeClient: using CA: letsencrypt
2025-05-20T00:00:02 opnsense AcmeClient: renew certificate: www.my-failing-url.de
2025-05-20T00:00:02 opnsense AcmeClient: certificate must be issued/renewed: www.my-failing-url.de

Was geht da schief? Ich finde nicht, wo ich etwas falsch gemacht habe... zumal es ja mit anderen URLs problemlos funktioniert.
In /var/etc/acme-client/cert-home/<subdir> stehen auch die neu erstellten Zertifikate drin, sie werden also "nur" nicht importiert.

Ich habe nun meine DEC697 laufen, habe aber auch noch die VirtualBox-VM.
Kann ich diese als "Fallback" nutzen, indem ich beide OPNsense-Instanzen als Cluster zusammenbaue?

Der Doku nach scheint das ja gar nicht so sehr schwierig zu sein, aber an einer Stelle sehe ich dann doch Schwierigkeiten:
Ich gehe per Zyxel-DSL-Modem ins Netz der Telekom (PPPoe), und natürlich kann nur eine der beiden OPNsense diese Verbindung nutzen.
Hardwaremäßig wäre es kein Problem, beide per Switch ans Zyxel zu klemmen, aber:

Kann ich erreichen, dass nur der MASTER die Verbindung aufzubauen versucht und das BACKUP dies erst tut, sobald der MASTER nicht mehr läuft?

Kann ich das umgekehrt auch mit zwei Netz-Zugängen machen, dass also die aktive (MASTER) OPNsense sich über ein LTE-Modem einwählt, falls das Zyxel mal nicht verfügbar ist. (Die Telekom bietet hierfür eigens eine Fallback-SIM an. Kann ich die also nutzen?)

Ich habe nun endlich meine Virtualbox-VM gegen eine DEC697-Appliance getauscht und konnte die auch "überschaubar schwierig" einrichten.

Jetzt scheine ich aber das Problem zu haben, dass meine Website nur noch sehr langsam ausgeliefert wird. Kann ich irgendwo die "Durchflussgeschwindigkeit" nachsehen?

Meine Konfiguration bisher: OPNsense als VM mit drei NICs (WAN, LAN und DMZ), Webserver auf dem selben VB-Host
Meine Konfiguration jetzt: OPNsense als Appliance, Host-NIC der DMZ steckt direkt in der Appliance

Hallo.

Ich will es jetzt endlich einmal angehen und meine beiden OPNsense-VMs (die ganz prima laufen, aber dennoch...) gegen Appliances ersetzen, habe aber zwei Fragen dazu:

• Welche kaufe ich am besten? Die "Originale", also DECxxx? Ich frage, weil der Gockel auf die Frage nach OPNsense-Appliances auch ganz viele andere Anbieter, teilweise deutlich günstiger, auswirft.
• Wenn ich eine DECxxx nehme, wo kaufe ich die am besten? Auf Anhieb sehe ich shop.opnsense.com und landitec.de. Helfe ich den Entwicklern, wenn ich bei opnsense direkt kaufe? Oder ist das egal?
• Was brauche ich überhaupt? Ich habe aktuell eine VM mit 4 GB, laut Dahsboard zu 20% genutzt, und eine 128 GB-VDI, laut Dashboard zu 8% genutzt. Mir reichen wohl drei Netzwerkkarten (WAN, LAN und DMZ). Ich habe nur den "Standard" laufen, möchte allerdings DNS und DHCP noch aktivieren. Soll ich dann die DEC677 nehmen? Oder spricht trotzdem etwas für die DEC697?
• Wie richte ich das Ding dann ein? Könnte oder wird es ausreichen, die Konfiguration der VM zu exportieren, auf die Appliance zu importieren und die Namen der Netzwerkkarten anzupassen? Oder muss ich mit Problemen rechnen? Na gut, rechnen muss man immer damit... aber sind welche zu erwarten?

... funktioniert nicht mehr - hat es aber vorher.

"Plötzlich" funktioniert sowohl auf meiner OPNsense (VBox-VM) als auch auf dem darunterliegenden Host der "ddclient" nicht mehr. Bei beiden erhalte ich nacheinander die beiden Meldungen "WARNING: found neither IPv4 nor IPv6 address" und "WARNING: Could not determine an IP for <myDomain>". Die hinterlegten Credentials sind sehr sicher richtig, und der Client HAT ja auch funktioniert. (Allerdings gebe ich zu, dass ich nicht weiß, wie lange er schon nicht mehr korrekt arbeitet - vielleicht seit einem der letzten OPNsense-Updates?)

Hallo.
Ich habe aktuell ein separates Ubuntu mit DNSMASQ laufen, aber wenn ich es richtig verstehe, kann ich mir das ja "schenken" und die beiden Dienste stattdessen auf meiner OPNsense nutzen?

Da ich die OPNsense nur über die Web-GUI konfigurieren kann, habe ich dazu aber ein paar Fragen:

1. DHCP-Adressreservierungen nehme ich im unteren Teil unter "Statische DHCP-Zuweisung für diese Schnittstelle" vor?
Mich verwirrt das "diese Schnittstelle" ein bisschen, das kann an der GUI liegen oder an mir.

2. Wo trage ich für den DNS-Server die fest vergebenen IPs ein? Irgendwo in der GUI? Oder mit einer hosts-Datei (die dann wo liegen muss)? Oder ganz anders?

3. Ich habe zwei Standorte (mit Tunnel dazwischen), und hatte zuerst die beiden DNSMASQs auf meinen Ubuntus so eingerichtet, dass sie jeweils auf den anderen weiterleiteten, um auch Namen im anderen Subnetz aufzulösen. Dabei hatte ich dann das Problem, dass die beiden bei externen Adressen "Pingpong spielten" ... bis zu einem lange dauernden Timeout. Kann ich das verhindern? Wenn ja: Explizit irgendwo? Oder indem ich NICHT ankreuze "DNS-Server equentiell abfragen? Oder kann DNSMASQ das einfach niemals?

Wahrscheinlich mache ich jetzt "ein Fass auf", aber ich frage trotzdem mal - und zwar im vollen Bewusstein, dass es "die" Lösung vermutlich nicht gibt:

Betreibe ich meine OPNsense lieber als (VirtualBox-)VM, oder kaufe ich besser eine Appliance?

Wenn mein Host ein problem hat, startet auch die OPNsense nicht mehr, das ist mir klar, und deshalb schiele ich auf eine Appliance. Aber wenn ich mich "verkonfiguriere" oder (gibt es das überhaupt?) eine "kaputte Version" installiere, wie kann ich die OPNsense dann wiederbeleben? Bei der VM-Lsöung gehe ich einfach einen Snapshot zurück. geht das auf der Appliance auch? Gibt es dort so etwas wie "Timeshift"?

... und dann zur Praxis: Wenn ich umsteige, kann ich dann "einfach" meine bisherige VM-Konfiguration auf die Appliance bügeln, und es wird laufen? Oder ist die Portierung tückisch?

Vielen Dank für Eure Meinungen!  :-*

Ich habe einen Tunnel "nach Hause" aufgebaut, und nun stelle ich gerade fest, dass ich auch durch den Tunnel "surfe", d.h. wieistmeineip.de zeigt mir die Heim-IP an. Ich nutze Linux-Mint als Client. Kann ich dort nicht einstellen, dass nur "lokale Adressen" über den Tunnel gesucht werden? Oder ist das eine Einstellung des Tunnels selbst?

[Was muss ich tun, um den Zugang wieder nutzbar zu machen?]

Hallo.

Ich habe vor reichlich einem Jahr mit Eurer Hilfe und dem Thomas-Krenn-Wiki den VPN-Zugang zu meinem Netz eingerichtet, und das hat ganz prima funktioniert. Jetzt jedoch ist das Server-Zertifikat abgelaufen. Was muss ich tun, um den Zugang wieder nutzbar zu machen?

Ich habe ein neues Zertifikat mit den selben Einstellungen (sogar mit identischem Namen) erstellt, im Server eingetragen und diesen neu gestartet. Ich kann jedoch weiterhin keine Verbindung herstellen.

Irgendwo hatte ich gelesen, dass auf dem Client keine Änderungen nötig seien, aber jetzt sehe ich, dass auch das Client-Zertifikat abgelaufen ist. Muss ich das also auch neu erstellen und verteilen - und dann sollte es wieder klappen? Oder muss ich sonst noch etwas tun?

Ich habe mal eine ganz grundlegende Frage und hoffe, dass Ihr mir dabei weiterhelfen könnt.

Ich setze meine OPNsense als VM auf Virtualbox ein und nutze sie natürlich als Router/Firewall und baue damit einen Tunnel zwischen zwei Standorten auf. Aktuell setze ich keinen Verzeichnisdienst ein (hatte früher MS-AD, brauche das aber zur Zeit nicht, und wenn doch würde ich etwas anders MS-freies nutzen, z.B. LDAP).

Für meine internen Zwecke habe ich ein dezidiertes Ubuntu mit dnsmasq laufen, das reicht mir für DHCP und DNS. Für die Redundanz habe ich in jedem der beiden Standorte zwei solcher Server.

Nun denke ich darüber nach, ob ich diese beiden vielleicht wieder abschaffen sollte und DHCP und DNS direkt auf der OPNsense nutzen sollte. Macht das aus Eurer Sicht Sinn? Wenn die OPNsense nicht läuft, dann kann ich sowieso nicht arbeiten, allein die Ausfallsicherheit ist also für mich kein hinreichendes Argument, die separaten DHCP/DNS-Server zu haben.

Ich bin echt unschlüssig, denn einerseits sind die Ubuntus eingerichtet und laufen, aber andererseits sind sie natürlich eine weitere VM, die auch einmal sterben könnte. Wie wäre Eure "Best Practice"?

Hallo.

Ich wollte gerade meine entfernte OPNsense auf 24.1 updaten und habe sie vorher heruntergefahren (ist eine VirtualBox-VM), um einen VB-Snapshot zu erstellen. Aber nun bootet sie nicht mehr. Glücklicherweise komme ich remote auf den Host und kann mir per xfreerdp den Boot-Vorgang ansehen.

Es treten Fehler auf, die mir "irgendwie nach Hardwareproblemen aussehen", konkret erhalte ich

Code Select Expand


CAM status: ATA Status Error
ATA status: 41 (DRDY ERR), error: 10 (IDNF )
RES: 41 [...]


Wenn ich im Single-User-Modus starte und

Code Select Expand

fsck -y
laufen lasse, ist danach das

Code Select Expand

***** FILE SYSTEM STILL DIRTY *****

Ich verstehe es nur nicht ganz, weil die "Festplatte" ja eine VDI-Datei ist. Wie kann es da "Hardware-Fehler" geben? Oder lässt das auf Probleme auf dem Host-Laufwerk schließen? Dessen SMART-Status sieht jedoch gut aus, zumindest nach "Short Self Test", und ich lasse jetzt mal den "Extended Self Test" laufen.

Wenn es ein Problem auf dem Host-Laufwerk ist, wie gehe ich dann am besten vor? Die VM entregistrieren, auf ein anders Laufwerk verschieben, neuregistrieren und dann erneut zu starten versuchen?

Nee, jetzt krieg ich's doch nicht hin mit dem ddclient.  :(

Meine Konfiguration sieht so aus:

Code Select Expand


# cat /usr/local/etc/ddclient.conf
syslog=yes                  # log update msgs to syslog
pid=/var/run/ddclient.pid   # record PID in file.


use=cmd, cmd="/usr/local/opnsense/scripts/ddclient/checkip -i em1 -t 0 -s dyndns --timeout 10",
protocol=dyndns2, \
login=<myUser>, \
password=<myPwd> \
<myDomain>


Aber auch ein Aufruf aus der Shell funktioniert nicht:

Code Select Expand


# ddclient
WARNING:  skipping update of <myDomain> from <nothing> to <myIP>.
WARNING:  last updated Thu Aug 17 08:38:17 2023 but last attempt on Thu Aug 17 08:38:17 2023 failed.
WARNING:  Wait at least 5 minutes between update attempts.

Dabei ist mir die zweite Zeile schleierhaft: "updated" aber "failed"?
Auf jeden Fall ist im Webinterface von DynDNS keine Aktualisierung vermerkt.

Habt Ihr eine Idee, woran das liegen könnte?

Im Rahmen meiner Tests fällt mir auf, dass in der Liste der Erweiterungen ein paar Dienste als "misconfigured" stehen:

• os-acme-client
• os-clamav
• os-dyndns (ok, der kommt ja weg)
• os-haproxy

NB: Auf der hiesigen (ebenfalls auf 23.7.1. aktualisierten) OPNsene sind das sogar noch ein paar mehr:

• os-postfix
• os-redis
• os-rspamd

Allerdings nutze ich die OPNsense gar nicht als Mailserver (ich habe iRedMail auf einer separaten Maschine). Kann ich diese Dienste dann einfach deaktivieren?

Den ACME-Client und den HAProxy brauche ich jedoch. (HAProxy läuft korrekt, ACME hat immer mal wieder Probleme.)
Wie gehe ich da wohl am besten vor?

Ich habe gerade remote die opnSense von 23.1 auf 23.7 aktualisiert, sie startet dort einwandfrei, und ich kann den IPSEC-Tunnel aufbauen. Sobald ich jedoch versuche, das Webinterface aufzurufen, startet die opnSense neu! (Ich kann das sehen, weil ich parallel per xfreerdp /v:meinHost /port:meinPort auf die entfernte Konsole komme.)
Ist dieses Verhalten bekannt? Oder mache ich etwas falsch? Hat jemand vielleicht eine Idee?

Hallo.
Ich hatte (aus eigener Blödheit, aber dennoch) zweieinhalb Monate lang keinen Kontakt zur Filiale, und nachdem ich nun vor Ort die OPNsense wieder gestartet und aktualisiert habe (Version 23.1.7, zu Hause 23.1.2), kann ich den IPsec-Tunnel nicht mehr aufbauen.

In der Shell bekomme ich für ipsec up con1 einen Strauß von Fehlermeldungen, die ich nicht so recht verstehe. Vor allem stehen dort Dinge über Zertifikate, obwohl in den Tunneleinstellungen nur "Mutual PSK" steht.

Oder geht es um die Verschlüsselung des Tunnels? Kann da etwas abgelaufen sein? (Die OPNsense in der Filiale ist seit Anfang März nicht gelaufen.)
Kann oder soll ich die Ausgabe von ipsec up con1 hier posten? Wenn ja, was muss ich anonymisieren? Nur meine IPs?

Oder... ich erinnere mich an Eure früheren Ratschläge: Soll ich lieber gleich die Chance nutzen und den Tunnel auf OpenVPN umstellen? Wenn ja, dann würde ich mich über einen Link zu einerm How-To freuen, denn ich kenne nur das Thomas-Krenn-Wiki für den "Road Warrior". Aber wie richte ich einen OpenVPN-Standort-zu-Standort-Tunnel ein?

Nachdem ich das Benutzerzertifikat korrekt exportieren kann, kann ich auch "von außen" per VPN in mein internes Netz.
Allerdings ist die GUI der OPNsense nicht erreichbar (Timeout), während ich per ssh prima draufkomme.
Kann es sein, dass eine geeignete Firewall-Regel fehlt? Muss ich die Durchleitung vom VPN-Subnetz auf mein nornales Subnetz explizit erlauben? Auf mein internes DokuWiki und auf mein NAS kann ich aber sehr wohl zugreifen. Und per ping erreiche ich die OPNsense auch...

Blockt eventuell die OPNsense selbst den (Web-)Zugriff aus einem anderen Subnetz? Könnte sein, denn aus meiner DMZ komme ich auch nicht "drauf" (was ja auch gut so ist). Aus dem VPN-Subnetz würde ich das jedoch schon gern tun.

Aber wie mache ich das? Eine Regel "mit lauter Sternen" gibt es sowieso ... aber das scheint noch nicht auszureichen.
Muss der VPN-User Mitglied der Gruppe "admins" sein? Nö, oder? Ich muss mich dann doch sowieso auch im Web-Interface erst als "root" anmelden... ich bin etwas ratlos... was ich wo suchen könnte. Ich rufe um... Hilfe!

"Zur Not" würde mir für meine aktuelle spezielle Anwendung auch "reichen", wenn ich die GUI der OPNsense im Web zugreifbar machen könnte... aber aus dem VPN heraus wär's mir schon lieber...

... funktioniert bei mir nicht. (Dabei hatte ich das vor längerer Zeit schon mal am Laufen...)
Ich hatte damals alles nach der Thomas-Krenn-Anleitung eingerichtet, und das lief auch. Jetzt aber sind die entsprechenden Zertifikate lange abgelaufen, und ich wollte sie erneuern. Aus Verzweifelung, weil es nicht funzen wollte, habe ich nun sogar meinen User gelöscht und neu erstellt (mit Zertifikat).

Mein Problem ist nun jedoch, dass auf der Seite VPN - OpenVPN - Clientexport im unteren Bereich kein "Verknüpfte(r) Benutzer" steht, und ich finde auch nicht, wo ich einen Benutzer (was eigentlich?) "diesem VPN-Server zuordnen" (?) kann...

• Weder beim Benutzer (ich habe dort keine Gruppe eingestellt, weil nur admins geboten wird)
• noch bei VPN - OpenVPN - Server
• und auch nicht auf der Seite VPN - OpenVPN - Clientexport

Der Fehler liegt natürlich bei mir... aber ich finde ihn nicht... :-(

... oder wie es sonst heißen mag...  8)

Ich komme von außen mit der Adresse https://mysub.mydom.de/mypage.aspx auf die OPNsense bzw. den HAProxy. Diesen Aufruf kann ich aktuell auch nur sehr schwer ändern. Ich will jedoch gar kein ASP mehr nutzen.

Wie kann ich nun auf dem HAProxy diesen Aufruf an eine andere URL weiterleiten oder die URL umschreiben (kenne die Begriffe nicht so richtig)? Ob ich intern die URL des "virtual host" ändere oder gleich eine andere externe Adresse eintrage, ist für mich egal. Schön - aber nicht Bedingung - wäre es außerdem, wenn die Aktion für den Client "transparent" wäre.

Jetzt wollte ich meine andere OPNsense ebenfalls aktualisieren, doch da habe ich ein (anderes) Problem:

Zuerst erhielt ich mehrfach den Fehler "Segmentation fault", und das Update brach ab. Da dachte ich "ganz pfiffig" (ich dachte zumindest, dass das pfiffig wäre...), ich aktualisiere aus der Shell heraus, und habe dort eingegeben

Code Select Expand


# opnsense-update -pA 21.7.8
Updating OPNsense repository catalogue...
pkg-static: https://pkg.opnsense.org/FreeBSD:12:amd64/21.7.8/latest/meta.txz: Not Found
repository OPNsense has no meta file, using default settings
pkg-static: https://pkg.opnsense.org/FreeBSD:12:amd64/21.7.8/latest/packagesite.txz: Not Found
Unable to update repository OPNsense
Error updating repositories!

Das ging also auch schief.

Wenn ich nun in der GUI das Update versuche, bekomme ich eine andere Fehlermeldung:

Code Select Expand


***GOT REQUEST TO CHECK FOR UPDATES***
Currently running OPNsense 21.7.4 (amd64/OpenSSL) at Sun Feb 20 14:54:57 CET 2022
Fetching changelog information, please wait... done
Updating OPNsense repository catalogue...
pkg: https://pkg.opnsense.org/FreeBSD:12:amd64/21.7.8/latest/meta.txz: Not Found
repository OPNsense has no meta file, using default settings
pkg: https://pkg.opnsense.org/FreeBSD:12:amd64/21.7.8/latest/packagesite.txz: Not Found
Unable to update repository OPNsense
Error updating repositories!
pkg: Repository OPNsense cannot be opened. 'pkg update' required
Checking integrity... done (0 conflicting)
Your packages are up to date.
***DONE***


Das wiederum auf der Shell probiert:

Code Select Expand


# pkg update
Updating OPNsense repository catalogue...
pkg: https://pkg.opnsense.org/FreeBSD:12:amd64/21.7.8/latest/meta.txz: Not Found
repository OPNsense has no meta file, using default settings
pkg: https://pkg.opnsense.org/FreeBSD:12:amd64/21.7.8/latest/packagesite.txz: Not Found
Unable to update repository OPNsense
Error updating repositories!

bringt nur eine weitere Fehlermeldung.

Habe ich mich jetzt völlig verrannt? Oder wie repariere ich das?

[Bed]

Hallo. Vermutlich mache ja nur ich etwas falsch, aber ich finde es gerade nicht...  :(
Ich will eine Website intern auf einem anderen Server hosten, doch der HAProxy leitet mich immer noch auf den alten Server weiter.

Wie sieht meine Konfiguration aus?

• Ich habe eine Bedingung Bed "Host enthält - www.mysite.de"
• Ich habe eine Regel Reg "IF Bed verwende den angegebenen Backend-Pool Poo"
• Ich habe einen Backend-Pool Poo "Server Ser"
• Ich habe einen Realen Server Ser "IP 192.168.0.1"
• Auf 192.168.0.1 liegt ein Apache, der www.mysite.de als Virtual Host kennt
• Das funktioniert ganz prima.
• Die neue Site liegt nun auf 192.168.0.2
• Da sollte es doch ausreichen, wenn ich die IP des "Realen Server" ändere, oder nicht?

In der Tat passiert trotz geänderter IP des Realen Servers dieses:

• Wenn ich die Website von außen aufrufe, komme ich weiterhin auf den alten Server.
• Wenn ich den HAProxy oder den alten Webserver anhalte, klappt es nicht (kann also kein Problem mit Browsercache sein).
• Neustart des HAProxy ändert nichts.
• Neustart der OPNsense habe ich noch nicht gemacht (weil produktiv im Einsatz).
• Wo ist mein Fehler?