Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - choffmeister

#16
Hallo,
ich habe folgendes Problem :

Ich möchte mehrere Domains über den HA Proxy auf den richtigen Server mit dem richtigen Port weiterleiten.

Als Beispiel habe ich drei Server

Server A ( Exchange Server )     Domain : mail.meinedomain.net
Server B ( Website )                  Domain : cic.meinedomain.net
Firewall Management Interface   Domain : firewall.meinedomain.net

Nun ist es so das ich in der OPNSense ein Condition wie folgt erstellt habe :

^https:\/\/mail\.meinedomain\.net
^https:\/\/cic\.meinedomain\.net
^https:\/\/firewall\.meinedomain\.net

Das Problem ist das wenn ich das so eintrage, z.b. der aufruf von http oder https://cic.meinedomain.net
ich auf die website von mail.meinedomain.net weitergeleitet werde, was natürlich falsch ist.
Zudem scheint auch das unterscheiden von http und https nicht richtig zu funktionieren.
Da auf den Servern teilweise eine eigene Lets Encrypt ACME Client instanz läuft, muss ich dort auch richtig umleiten damit das Zertifikat ausgestellt werden kann.
Also muss der http aufruf auch auf port 80 gehen und https auf 443.

Kann mir da jemand helfen ?
Gruß
Christian

#17
Hallo Fabian, danke für das PDF, es war mir eine große Hilfe.

Die Ursache warum mein HA Proxy die Seiten nicht mehr ausgeliefert hat war in den Outbound Regeln zu finden.

Folgendes :
Nachdem ich von Automatic outbound NAT rule generation auf Hybrid umgestellt habe, sind 3 Rules unter Manual Rules vorhanden gewesen. ( Habe ich ganz sicher nicht manuell angelegt )
Ich vermute einmal das sie bei der Installation der OPNSense automatisch angelegt werden.
Diese habe ich deaktiviert und Schwupps ging der Zugriff auf die URLs per HA Proxy wieder.

Dann habe ich die SNAT einrichten können und es hat alles funktioniert wie gewünscht.

Danke nochmal für deine Hilfe, TOP, war schon echt am verzweifeln.
#18
Hallo Fabian, danke für das PDF, ist für mich verständlich, dennoch laufe ich gegen eine Wand.
Sobald ich Outbound Proxy umstelle geht mein OWA und die andere Website nicht mehr über HAProxy.

Ich weiß es ist ev. etwas viel verlangt, aber hättest Du ev. mal eine wenig zeit für mich um mit mir zusammen auf meine Firewall zu schauen ?
#19
Hallo Fabian, danke für die Rückmeldung,
mein Problem ist das ich nicht wirklich Fit bin in Firewall dingen und mich erst so nach und nach durch die Themen durcharbeite.
Leider ist es so das ich mit dem Begriff Source NAT nicht wirklich viel anfangen kann, ich habe zwar Verstanden worauf du hinaus willst und mir ist auch klar wie das funktionieren soll, jedoch habe ich keine Ahnung wo und wie der Eintrag aussehen muss.
Wärst Du so nett und könntest mir ein Beispiel für einen Mail Server geben ?
Ich habe es zwar selber versucht heraus zu finden wie ich was einstellen muss, aber sobald ich was mache, ist mein Outlook nicht mehr in der Lage den Exchange Server zu finden.
#20
Hallo Fabian, danke für die Rückmeldung.
Könntest du mir bitte ein Beispiel geben wie du oder wie eine ACL in OPNSense auszusehen hat ?

Ich habe folgendes :

Name : Webmail_ACL
Bedingung:
Bedingungstyp : SNI TLS extension matches

Parameter:
SNI Matches : webmail.meinedomain.net

und

Name : Forum_ACL
Bedingung:
Bedingungstyp : SNI TLS extension matches

Parameter:
SNI Matches : forum.meinedomain.net

Stecke fest und bekomme es nicht zum laufen
Gruß
Christian
#21
Hallo nochmal,
ich bin gerade dabei mehrere Server hinter der OPNsense Firewall zu platzieren, welche alle über https angesprochen werden sollen.

Nun ist es so das ich dies nicht mittels SNI TLS zum laufen bekomme.
Egal was ich dort eintrage, es wird nun ein Webserver angesprochen.

Beispiel :
Server 1 : webmail.meinedomain.net
Server 2 : forum.meinedomain.net

Habe alle SNI TLS Einstellungen an der OPNSesne durchprobiert und bekomme wenn ich die URL von Server 2 aufrufe, immer die Website von Server 1 angezeigt.

Habe ich hier einen Denkfehler und bin mit SNI TLS falsch ?

Danke
Christian
#22
Hallo an alle,
ich habe ein Problem und benötige einmal eure Hilfe.

Ich habe folgendes Scenario :

Ich habe einen /28 Adress Pool von meinem Provider, welchen ich der Firewall zugewiesen haben ( Wan und Virtuelle IPs )

Konfiguriert habe ich zudem HA Proxy für das Exchange Backend in Verbindung mittels Lets Encrypt, was auch funktioniert.

Das einzige Problem was ich habe ist das der Exchange über eine dedizierte IP Adresse heraus senden soll was mir aber partout nicht gelingen will, er nimmt immer eine IP welche er nicht nehmen soll und sendet somit über die falsche raus.
Somit stimmt mein SPF Eintrag nicht und die Mails werden abgelehnt.
Kann mir jemand sagen was ich wo konfigurieren muss und ev. ein Beispiel geben ?

Danke schon einmal im Voraus.
Gruß
Christian
#23
Habe den Fehler nun selber gefunden,

1) Zu einem mag es lets encrypt nicht wenn auf der zu hörenden IP eine one-to-one Nat ist
2) IP v6 sollte man abschalten oder konfigurieren mit den Namen die im Zertifikat aufgelöst werden.
( habe es mir einfach gemacht und einfach IPv6 over DHCP auf der WAN abgeschaltet )
3) zum Schluss kam noch der Fehler
Quotenew-authz error: {"type":"urn:acme:error:unauthorized","detail":"No registration exists matching provided key","status": 403}
welchen ich dadurch gelöst habe das ich den Account in der pfsense unter /var/etc/acme-client/accounts gelöscht habe.
#24
HAllo, ich schlage mich schon seit tagen damit rum und versuche Lets Encrypt mit HA Proxy zum laufen zu bekommen, scheitere jedoch ständig an folgendem Fehler :

QuoteDate   Message
[Mon Dec 24 04:50:59 CST 2018]   code='400'
[Mon Dec 24 04:50:59 CST 2018]   response='{"type":"urn:acme:error:malformed","detail":"Unable to update challenge :: authorization must be pending","status": 400}'
Date: Mon, 24 Dec 2018 10:50:59   GMT
Expires: Mon, 24 Dec 2018 10:50:59   GMT
Expires: Mon, 24 Dec 2018 10:50:59   GMT
[Mon Dec 24 04:50:59 CST 2018]   responseHeaders='HTTP/1.1 100 Continue
"detail": "Unable to update challenge   :: authorization must be pending",
[Mon Dec 24 04:50:59 CST 2018]   original='{
[Mon Dec 24 04:50:59 CST 2018]   _ret='0'
[Mon Dec 24 04:50:59 CST 2018]   _CURL='curl -L --silent --dump-header /var/etc/acme-client/home/http.header -g '
[Mon Dec 24 04:50:59 CST 2018]   _postContentType
[Mon Dec 24 04:50:59 CST 2018]   body='{"header": {"alg": "RS256", "jwk": {"e": "AQAB", "kty": "RSA", "n": "tktzZVVlkWQgOBysjviSosxnxCUVEWsqdii-hi-kKDUhfidz0n5F5kqaiu4V47SFlts7gaYbe8GdPJHQGiLUCNSCbBRlZeLInNZPUvgDFLdU-YbyDZhOtev_uuPChg3HK6T2whQpZgUE9asFd-lsgvgljDUjb4jKs6iV9Oe-qKW7W5gmMNTt-XJK6muTMSm-8hK6JA08KGtbiE_nUWxfRgd-MqqRn7NvW1Lt9pTM3E0ejA0vXPUVXMcyeD-Yt8QhT8gaNx5LK-UhEKtn_PJ74kPxntczPfHohf2PGmwz5GHLtjj0f8r9FB05LwLt_JH4aXFx42fgh6WoZ765vpzzRt9gn0HcxYIGY8UwzSdo8j0ebswmBhQFpVK_UTYPMlBXpqhcMfg3ua44q9RknGTZHPj8dlopAc3otdBar4Jt2iMwWC2UvEA1BoyZcummIoMVimqhiuy5RbdjIe8FRI5CSXAuVdW2bZJ-zyDsypJY1BUtFSW69sOGR-uveLTpp4KTrEYPZQBEYJQNkLt_GDllUY-DGpO54Sad4iJIu5AmdC99gjmUA1rsJDR7NIEGF-WQp_e4xTyFxLxuhrzC4yeyfb03QfVTBjlPLX6u0vWvC75YZN-iovk7GBYEETy4DAq9yKo3oYaV7xdv-0mJtw38udNoK5MdPxdtsZeCmDznCPs"}}, "protected": "eyJub25jZSI6ICJGSFpqdnB6UFlFd2pHNmlkc1dwZ3dmSmp0ZlJVeW94VXdIZHBUZWhlR3NZIiwgInVybCI6ICJodHRwczovL2FjbWUtc3RhZ2luZy5hcGkubGV0c2VuY3J5cHQub3JnL2FjbWUvY2hhbGxlbmdlL00tcG5ULUlqRXRCa3IzRU5pS1hBVkkteHZNTDY0VDBXVk1lN2h0QjluRW8vMjEyNzEwNjA3IiwgImFsZyI6ICJSUzI1NiIsICJqd2siOiB7ImUiOiAiQVFBQiIsICJrdHkiOiAiUlNBIiwgIm4iOiAidGt0elpWVmxrV1FnT0J5c2p2aVNvc3hueENVVkVXc3FkaWktaGkta0tEVWhmaWR6MG41RjVrcWFpdTRWNDdTRmx0czdnYVliZThHZFBKSFFHaUxVQ05TQ2JCUmxaZUxJbk5aUFV2Z0RGTGRVLVlieURaaE90ZXZfdXVQQ2hnM0hLNlQyd2hRcFpnVUU5YXNGZC1sc2d2Z2xqRFVqYjRqS3M2aVY5T2UtcUtXN1c1Z21NTlR0LVhKSzZtdVRNU20tOGhLNkpBMDhLR3RiaUVfblVXeGZSZ2QtTXFxUm43TnZXMUx0OXBUTTNFMGVqQTB2WFBVVlhNY3llRC1ZdDhRaFQ4Z2FOeDVMSy1VaEVLdG5fUEo3NGtQeG50Y3pQZkhvaGYyUEdtd3o1R0hMdGpqMGY4cjlGQjA1THdMdF9KSDRhWEZ4NDJmZ2g2V29aNzY1dnB6elJ0OWduMEhjeFlJR1k4VXd6U2RvOGowZWJzd21CaFFGcFZLX1VUWVBNbEJYcHFoY01mZzN1YTQ0cTlSa25HVFpIUGo4ZGxvcEFjM290ZEJhcjRKdDJpTXdXQzJVdkVBMUJveVpjdW1tSW9NVmltcWhpdXk1UmJkakllOEZSSTVDU1hBdVZkVzJiWkotenlEc3lwSlkxQlV0RlNXNjlzT0dSLXV2ZUxUcHA0S1RyRVlQWlFCRVlKUU5rTHRfR0RsbFVZLURHcE81NFNhZDRpSkl1NUFtZEM5OWdqbVVBMXJzSkRSN05JRUdGLVdRcF9lNHhUeUZ4THh1aHJ6QzR5ZXlmYjAzUWZWVEJqbFBMWDZ1MHZXdkM3NVlaTi1pb3ZrN0dCWUVFVHk0REFxOXlLbzNvWWFWN3hkdi0wbUp0dzM4dWROb0s1TWRQeGR0c1plQ21Eem5DUHMifX0", "payload": "eyJyZXNvdXJjZSI6ICJjaGFsbGVuZ2UiLCAia2V5QXV0aG9yaXphdGlvbiI6ICJYbjdyZGZ4UTk5ank3MWxqeU8xRUhCZHFqVEhNMUU0RkY0Q2pzbU1WS29NLjdDXzFMVXc3WExGUFpfekdxVXB6aWNmNEFMbkJ2cTJHc1MzR0pmbnBGUmMifQ", "signature": "H9ySbDDHt1CZ4HLHhlNNbS0ZxdrXxs4mOPBZMyGiTmyEvcyd4mT-6SYczNzF7wgu9HHfkBHaE7Jee3jsqYfUdl3ZN_3JLQ5RvxZRoIyXkJdjlqGenv61vsGoLVQcW-hqS1PYufm-Lf_s7jR53E3TBMVLQx2cSL480gzRG7ojiM-qUoSO6hhaC1ENJ8ztaimRzwm_lBEBJ-8go4pBUtdJ4dC_ksCrzEf2fZZCVXr23p6jvEyAEXQ74dtiPBe4UAaqU96o7wH4J3U8C6qZ1nGceCDfbfwQSDn7zXkENBoUOyW0rQQv5Ibu7lxYcoVzpG51EEPU0rODhBMJrK4TL99jov8eio1e04_BcGXiClM8pWuG6zMntD5WHvW6smsmlQLtUpcw-wB1wKsGB7IZ8fVMcJvWPoCplePNYil6pi9Al_oGj-14N9lwAaRwfhFEUZ1Rbf-jp-GXNSO4w2CepWfK_UCXqRVHeyUaOKeGzpQy8PG3HOG2Tu88H6f42NkrYxQGQLGh_Y_5CK2pr_OHxxzscZi_34Ng_wu0TmFuXUADCt5lC-6zvryA8m4DvB3AjYXfV2woz9m_GIpkGi4NJtkIcScPMI6YjYUsczRQEHyTL9VLdAXhCm9kcEmaIU893MmZyppgbxrGdeGiAkCDhZNS3vVfks-TbKuvu1wmgOl4WRs"}'
[Mon Dec 24 04:50:59 CST 2018]   _post_url='https://acme-staging.api.letsencrypt.org/acme/challenge/M-pnT-IjEtBkr3ENiKXAVI-xvML64T0WVMe7htB9nEo/212710607'
[Mon Dec 24 04:50:59 CST 2018]   POST
[Mon Dec 24 04:50:59 CST 2018]   nonce='FHZjvpzPYEwjG6idsWpgwfJjtfRUyoxUwHdpTeheGsY'
[Mon Dec 24 04:50:59 CST 2018]   Use _CACHED_NONCE='FHZjvpzPYEwjG6idsWpgwfJjtfRUyoxUwHdpTeheGsY'
[Mon Dec 24 04:50:59 CST 2018]   Use cached jwk for file: /var/etc/acme-client/accounts/5c2004eb9eaf27.16007696/account.key
[Mon Dec 24 04:50:59 CST 2018]   payload='{"resource": "challenge", "keyAuthorization": "Xn7rdfxQ99jy71ljyO1EHBdqjTHM1E4FF4CjsmMVKoM.7C_1LUw7XLFPZ_zGqUpzicf4ALnBvq2GsS3GJfnpFRc"}'
[Mon Dec 24 04:50:59 CST 2018]   url='https://acme-staging.api.letsencrypt.org/acme/challenge/M-pnT-IjEtBkr3ENiKXAVI-xvML64T0WVMe7htB9nEo/212710607'
[Mon Dec 24 04:50:59 CST 2018]   _t_key_authz='Xn7rdfxQ99jy71ljyO1EHBdqjTHM1E4FF4CjsmMVKoM.7C_1LUw7XLFPZ_zGqUpzicf4ALnBvq2GsS3GJfnpFRc'
[Mon Dec 24 04:50:59 CST 2018]   _t_url='https://acme-staging.api.letsencrypt.org/acme/challenge/M-pnT-IjEtBkr3ENiKXAVI-xvML64T0WVMe7htB9nEo/212710607'
[Mon Dec 24 04:50:59 CST 2018]   tigger domain validation.
[Mon Dec 24 04:50:59 CST 2018]   code='400'
[Mon Dec 24 04:50:59 CST 2018]   response='{"type":"urn:acme:error:malformed","detail":"Unable to update challenge :: authorization must be pending","status": 400}'
Date: Mon, 24 Dec 2018 10:50:59   GMT
Expires: Mon, 24 Dec 2018 10:50:59   GMT
#25
33 Zugriffe und keiner kann mir helfen ?

Bin schon völlig verzweifelt.
Habe die VM auf der OPNSense läuft nun sicher an die 50 mal auf Werkseinstellungen zurückgesetzt.

Ist jeman in der Lage mit mir per skype das VLAn einmal einzurichten ?

Danke
#26
HAllo Leute,
ich bin gerade dabei mich zum ersten mal mit  vlans zu befassen und habe das problem das ich nun nachdem die vlans eingerichtet sind und ich auch über die vlans internet zugriff habe, nicht mehr auf das Management GUI zugreifen kann.

Ich habe aktuell nur noch zugriff auf die Konsole.
Ist es irgendwie möglich über mein VLAN ( VLAN TAG 3 ) auf die WEB Console zuzugreifen ?
Wenn ja kann ich die warscheinlich fehlende Regel irgendwie über die Konsole anlegen und wenn ja hat jemand den Befehl für mich ?

Danke
#27
Kann mir jemand helfen ?
Ev. auch per remote tool ?
#28
HAllo,
ich brauche mal eure hilfe.

Folgende Situation :
Ich habe eine IP Range vom Provider bekommen.
Die erste IP ist der Firewall als WAN Adresse zugewiesen, z.b. 97.123.456.61/29

Nun ist meine IP Range 97.123.456.57 - 97.123.456.62 ( 29 )

Soweit wie ich es verstanden habe, muss ich nun die anderen IPs als Virtuelle IPs eintragen im Format :

97.123.456.57/29
97.123.456.58/29
97.123.456.59/29
97.123.456.60/29

Ist das soweit richt ? Wenn ja dann stimmt meine Konfig soweit bis dahin.

Wenn ich nicht hinbekomme, ist das natten der IP auf einen internen Server.
Stattdessen ist es mir irgendwann nicht mehr möglich auf das Webinterface zuzugreifen.
Leider vergesse ich immer wieder mir den SSH zugang freizuschalten bevor ich was mache, schande auf mein Haupt.

Kann mir bitte jemand so freundlich sein und schreiben oder screenshots machen wie es zu konfigurieren ist ?
Ich habe inzwischen die firewall zig mal neu aufgesetzt da jedesmal das Webinterface nicht mehr geht.
Zur info ich habe den Port des Webinterface auf 5443 gewechselt.

#29
Hallo liebe Forums Mitglieder,
ich setze nun opnsense seit einer geraumen Zeit ein und beiße mir gerade die Zähne an einer harten Nuss aus und brauche eure Hilfe.

Folgende Situation :

Ich habe eine opnsense Firewall installiert und dieser mehrere Public IPs zugewiesen.
Nun ist es so das 2 Server zwingend eine PUBLIC IP haben müssen sonst funktioniert die Software nicht richtig.

Nehmen wir einmal also folgendes an :

Meine Public IPs sind 62.30.4.224/28
nun muss also ein oder 2 Server welche hinter der Firewall sind genau 2 IPs aus diesem Kreis haben.
also 62.30.4.231 und 62.30.4.241
Wie kann ich das umsetzen ?