OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • Profile of Emma2 »
  • Show Posts »
  • Messages
  • Profile Info
    • Summary
    • Show Stats
    • Show Posts...
      • Messages
      • Topics
      • Attachments

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

  • Messages
  • Topics
  • Attachments

Messages - Emma2

Pages: [1] 2 3 ... 8
1
German - Deutsch / Re: Falsches Zertifikat ausgeliefert: by design?
« on: March 03, 2020, 04:49:10 pm »
Danke, superwinni, für die Erläuterung.

Dann ist das ja tatsächlich definiertes Verhalten und war mir bisher nur nicht aufgefallen, weil ich vermutlich die opnSense dann auch mal neu gestartet hatte.

Ich lege also bei "Let's Encrypt" in der "Automation" ein "Restart HAProxy" als "Run Command" an.
Dann trage ich diesen Befehl bei jedem Zertifikat in die "Automations" ein?
Probiere ich aus. Nochmals: Danke!

p.s.: Ist wohl auch schon beschrieben, hatte das nur nicht gefunden... https://forum.opnsense.org/index.php?topic=15263.0

2
German - Deutsch / [Gelöst] Falsches Zertifikat ausgeliefert: by design.
« on: March 03, 2020, 03:46:02 pm »
Hallo.
Ich habe gerade ein - für mein Verständnis - seltsames Verhalten festgestellt:
Wenn ich ein (Web-)Zertifikat erneuere, dann wird dies zunächst nicht automatisch ausgeliefert, sondern ich muss zunächst im HAProxy in den Öffentlichen Diensten beim HTTPS-Dienst dieses Zertifikat entfernen und dann neu einfügen.
Ist das "by design"? Oder ist das einstellbar? Ich dachte, dass immer das aktuelle Zertifikat dieses Namens verwendet würde. Aber irgendwie scheint der HAProxy (oder wer sonst?) das Zertifikat zu "cachen". Kann das sein?

3
German - Deutsch / Re: [HAProxy] Umleitung auf internen Host per Name
« on: January 23, 2020, 10:47:14 am »
Quote from: fabian on January 23, 2020, 10:37:44 am
Warum lässt du den Webserver nicht mit dem externen FQDN laufen?
Intern haben alle meine Server eben interne Namen.
Quote from: fabian on January 23, 2020, 10:37:44 am
Httpd hab ich schon länger nicht mehr verwendet aber im nginx kannst du unter der Direktive server_name auch mehrere angeben.
Müsste ich mal prüfen, ob der Apache auch mehrere Namen für einen virtuellen Host haben kann.

Aber dennoch - ich weiß, ich bin störrisch ;-) - kann denn niemand hier etwas zur Syntax der rewrite-Regel sagen? Für die Cracks hier kann das doch kein Hexenwerk sein, oder? Persönlich fände ich das den saubersten Weg: Die Anfrage kommt rein und wird vom HAProxy "transparent" auf einen internen Server umgeleitet.

4
German - Deutsch / Re: [HAProxy] Umleitung auf internen Host per Name
« on: January 23, 2020, 10:24:10 am »
Danke Euch beiden für den Vorschlag, aber ich befürchte, das wird mir nicht helfen:
Obwohl nun die opnSense meinen internen DNS nutzt, um interne Adressen aufzulösen, lande ich damit noch nicht auf dem richtigen virtuellen Host des Apache.

Ich kann zwar jetzt den realen Server per internem Namen finden, danke dafür, aber dieser wird HTML-weise natürlich nach wie vor mit dem externen Namen angesprochen, also mit extern-01.mydomain.de, nicht etwa mit dem internen Namen server-a. Also erhalte ich immer noch nur die Default-Site des Apache und nicht den gewünschten virtuellen Host.

Ich nehme also nach wie vor an, dass der Request "umgeschrieben" werden muss. Ich suche also nach wie vor nach Hilfe für die rewrite-Regel.

5
German - Deutsch / Re: [HAProxy] Umleitung auf internen Host per Name
« on: January 21, 2020, 01:04:13 pm »
Hi, und danke für Deine Antwort.
Ich bin leider nicht so sehr der opnSense-Experte und deshalb auch auf die GUI angewiesen.

Was meinst Du denn mit "override im dns"? In meinem internen DNS habe ich natürlich die beiden server-a und server-b stehen, beide mit der IP 192.168.0.111. Mein Problem scheint, dass (a) die opnSense meine internen Namen nicht auflöst (kann ich sie dazu zwingen?) und (b) dann vermutlich immer noch nicht der interne Name verwendet wird (zumindest dann nicht, wenn ich nur eine "Nutze-Pool"-Regel habe). Oder seht Ihr das anders?

Die Verwendung unterschiedlicher Ports habe ich auch schon in Erwägung gezogen, aber da der Apache ja die komfortabel-einfache Möglichkeit der "virtuellen Hosts" bietet, wäre das meine bevorzugte Lösung. ("Virtuelle Hosts": wenn eine Anfrage auf dem Server landet, guckt dieser in den HTTP-Header und leitet auf die entsprechend benannte Site um.)

Dass ein URL-rewrite das Richtige ist, da bin ich recht zuversichtlich, ich steige eben "nur" nicht durch die entsprechende Syntax durch...  :(

6
German - Deutsch / Re: HAProxy für Weiterleitung auf "Unterverzeichnis"
« on: January 21, 2020, 11:47:59 am »
Hier ist das Thema wohl mittlerweile so "aufgeweicht", dass es keine Antwort mehr gibt.
Ich stelle meine Frage daher "sauber" noch einmal neu: https://forum.opnsense.org/index.php?topic=15581.0

7
German - Deutsch / [HAProxy] Umleitung auf internen Host per Name
« on: January 21, 2020, 10:34:07 am »
Ich stelle mal die Frage neu, weil ich die im ersten Thread angefragte Version (Unterverzeichnis) mittlerweile aufgegeben habe...

Ich habe zwei virtuelle Hosts auf dem selben physischen Server/IP 192.168.0.111:
  - server-a
  - server-b

Von draußen komme ich mit unterschiedlichen URLs
  - extern-01.mydomain.de
  - extern-02.mydomain.de
Ich möchte nun extern-01 auf server-a und extern-02 auf server-b weiterleiten.

Es funktioniert NICHT, dass ich als "reale Server" die internen Namen server-a und server-b eintrage, denn die opnSense kann natürlich nicht auf mein internes DNS zugriefn (oder könnte sie)? Wenn ich diese Namen eintrage, dann erhalte ich einen Timeout. Wenn ich jedoch die IP eintrage, dann lande ich nicht auf einem der beiden virtuellen Hosts, sondern auf dem Default-Host des Servers.

Ich muss also anscheinend keine Regel à la "Nutze Pool" haben, sondern eine "Weiterleitung".
So, wie ich es bisher verstanden habe, ist das aber auch kein redirect (Doku: "which tell the client to send the request to another URL", wäre also extern), sondern ein rewrite (Doku: "change the request as it moves between the client and the backends transparently", also unsichtbar für den Client)

Ein rewrite wird aber wohl nicht durch die GUI unterstützt. Kann das sein?
Wie kriege ich das dann hin? "Custom rule (option pass-through)"? Steht im anderen Thread...

Aber was sind die Parameter? So richtig steige ich da nicht durch...
wäre echt super, wenn jemand, gern am obigen Beispiel, mit der Formulierung hilft.

8
German - Deutsch / Re: HAProxy für Weiterleitung auf "Unterverzeichnis"
« on: January 17, 2020, 12:33:22 pm »
Ok, die Klamotte mit der Unterseite habe ich mir jetzt geklemmt, habe stattdessen einen weiteren virtuellen Host eingerichtet, aber gerade deshalb wäre für mich wichtig zu wissen:

(Lösche mal den ganzen Quatsch, den ich hier geschrieben habe)... und frage stattdessen konkret:

Ich habe zwei virtuelle Hosts auf dem selben physischen Server/IP 192.168.0.111:
  - server-a
  - server-b

Von draußen komme ich mit unterschiedlichen URLs
  - extern-01.mydomain.de
  - extern-02.mydomain.de

Ich möchte nun extern-01 auf server-a und extern-02 auf server-b weiterleiten.
So, wie ich es bisher verstanden habe, ist das kein redirect (Doku: "which tell the client to send the request to another URL"), sondern ein rewrite (Doku: "change the request as it moves between the client and the backends transparently")

Rewrite wird wohl nicht durch die GUI unterstützt. Kann das sein?
Wie kriege ich das dann hin? "Custom rule (option pass-through)"? Steht ja oben...

Aber was sind die Parameter? So richtig steige ich da nicht durch...
wäre echt super, wenn jemand, gern am obigen Beispiel, mit der Formulierung hilft.
Danke!

9
German - Deutsch / Re: HAProxy für Weiterleitung auf "Unterverzeichnis"
« on: January 08, 2020, 09:27:27 am »
Quote from: lewald on January 07, 2020, 08:08:53 pm
Der haproxy kann url Rewrite.
  :)

Quote from: lewald on January 07, 2020, 08:08:53 pm
Allerdings nach dem Schema
https://demo1.server.com geht auf auf intern http://x.x.x.x/
httsp://demo2.server.com geht auf intern http://x.x.x.x/

Ich brauche ja eher das Schema
  • http://unter.mydomain.de geht auf intern http://unterserver/untersite
Da auf dem Apache mehrere virtuelle Hosts laufen, kann ich (a) nicht die IP angeben und muss (b) ein Verzeichnis angeben können.

Quote from: lewald on January 07, 2020, 08:08:53 pm
Sie ist als Regel zu erstellen.
Ich bin nicht der Superexperte für die opnSense und mache bisher alles über das Web-Frontend.
Hättest Du da für mich einen Tip, wie ich das einstelle?
Einen Backend-Pool habe ich wohl angelegt, aber da muss ich einen Server auswählen und kann nichts umleiten.
Umleitung scheint mir eher mit einer Regel möglich... ist das dann "http-request-redirect"? Aber wie erreiche ich, dass die Weiterleitung INTERN geschieht? Wie kann die opnSense meine internen IPs auflösen?

10
German - Deutsch / Re: HAProxy für Weiterleitung auf "Unterverzeichnis"
« on: January 07, 2020, 11:26:02 am »
Oh...  :(... ich befürchte, das wird nix:
Es scheint mir so, als könne ich nicht einmal auf eine bestimmte Site zugreifen, denn der HAProxy nutzt wohl nicht meinen internen DNS-Server, sondern ich muss unter "reale Server" feste IPs eintragen. Kann das sein?

11
German - Deutsch / [HAProxy] Weiterleitung auf "Unterverzeichnis"
« on: January 07, 2020, 11:21:16 am »
Ich habe auf einem intern laufenden Apache eine "Untersite" eingerichtet, die nun auf der Adresse
Code: [Select]
http://derServer/dasVerzeichniserreichbar ist. Diese möchte ich nun von außen zugänglich machen.
Ist das mit HAProxy möglich? Ich kenne bisher nur die Möglichkeit, auf einen "Server" weiterzuleiten, nicht aber auf eine bestimmte URL.

Natürlich könnte ich auf dem Apache eine weitere Site einrichten, wüsste aber, ob es auch "ohne" geht?

12
German - Deutsch / Re: OPNsense Usertreffen 2020
« on: December 17, 2019, 09:15:37 am »
Auf alle Fälle eine interessante Idee.
Ich selbst habe meine zwei Standorte mit opnSense/IPSec vernetzt, ganz frisch externe OpenVPN-Zugänge eingerichtet, an beiden Standorten laufen iRedMail, Webserver sowie RDP-Server in DMZ. Ich setze die opnSense seit eineinhalb Jahren ein - bin aber immer noch Newbie...

13
German - Deutsch / Re: OpenVPN: tun vs tap, wie klappt es?
« on: December 16, 2019, 11:56:45 am »
Edit: Mein Problem hat sich nun "mehr oder weniger erledigt".

Hauptproblem war - wieder mal - das Verhalten von Windows: die WAN-Karte hatte "automatisch" die niedrigere Metrik, so dass immer der WAN-DNS verwendet wurde und nicht der im LAN. Nach Änderung der Adaptermetrik (OpenVPN < WAN) klappt es auch mit dem DNS und den Netzwerkfreigaben.

Ich war außerdem sehr verwirrt darüber, dass ich als Tunnelnetzwerk zwar die 192.168.5.0/24 eingetragen habe, jeder Client aber eine (die einzig "freie") Adresse aus einem Netz mit 30er-Maske erhält (vier Adressen: Netz=0, opnSense/OpenVPN=1, <Client>=2, Broadcast=3). Das scheint aber die "Philosophie" des Systems zu sein.

Jetzt muss ich "nur" noch herausfinden, die ein OpenVPN-Client durch meinen IPSec-Tunnel auf meinen zweiten Standort zugreifen kann... aber das soll wohl klappen.

Danke für Eure Hilfe und Eure Tipps bis hier!

14
German - Deutsch / Re: OpenVPN: tun vs tap, wie klappt es?
« on: December 13, 2019, 11:40:45 am »
Edit: Ja, danke, aber den Link habe ich oben auch zitiert... funktioniert "ein bisschen", aber eben nicht so, wie ich das gern möchte.

15
German - Deutsch / Re: OpenVPN: tun vs tap, wie klappt es?
« on: December 12, 2019, 10:09:41 pm »
Probiere ich morgen früh gern mal aus...
... aber der Link zum Thomas-Krenn-Wiki funzt bei Dir nicht? Seltsam.

Pages: [1] 2 3 ... 8
OPNsense is an OSS project © Deciso B.V. 2015 - 2020 All rights reserved
  • SMF 2.0.17 | SMF © 2019, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2