OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • Profile of Emma2 »
  • Show Posts »
  • Messages
  • Profile Info
    • Summary
    • Show Stats
    • Show Posts...
      • Messages
      • Topics
      • Attachments

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

  • Messages
  • Topics
  • Attachments

Messages - Emma2

Pages: 1 ... 11 12 [13] 14 15 ... 21
181
German - Deutsch / [GELÖST] Re: Komme nicht ins andere Subnetz...
« on: February 12, 2021, 10:18:14 pm »
Quote from: Maurice on February 12, 2021, 10:01:16 pm
Um auch aus anderen Netzen erreichbar zu sein müssen aber Netzmaske und Default Gateway korrekt konfiguriert sein. Ist ein beliebter Standardfehler, daher die Frage.

Erst wenn das geklärt ist lohnt es sich, einen Blick auf die Firewall-Regeln zu werfen.

Hmm, das war es wohl... aber jetzt brauche ich eine Erklärung (ich lerne ja gern dazu).

Hintergrund, was ich bisher verschwiegen hatte: Der "Rechner" (also der auf 192.168.4.94) ist "eigentlich" im LAN, hat deshalb auch eine Netzwerkkarte mit 192.168.0.94 (und dem Standardgateway 192.168.0.15, meiner opnSense). Weil sich Windows bei der Einrichtung der Adresse 192.168.4.94 beschwert hat, dass man pro Rechner nur EIN Standardgateway haben soll, habe ich das leer gelassen.

(Ich habe zwischendurch auch die Karte 182.168.0.94 deaktiviert, aber dann ging es natürlich gar nicht, weil ja nun gar kein Standardgateway mehr eingestellt war.)

Warum hat es denn bisher nicht funktioniert (mit nur einem Standardgateway 192.168.0.15)? Versucht der Rechner dann, obwohl er auf der 192.168.4.94 ange-PING-t wird, über sein Standardgateway 192.168.0.15 zu antworten? Aber das kommt dann trotzdem nicht an der 192.168.0.117 an? Kann ich mir so zusammenreimen, aber ob das stimmt?

Ja, so scheint es wohl zu sein. Egal, was Windows will, wenn ich auf jeder Karte/Adresse das "dazugehörige" Standardgateway eintrage, geht alles: Ich kann "Rechner" dann aus dem 0er-Netz auf beiden Adressen erfolgreich anpingen...

Danke!

(Ich würde es gern genauer verstehen. Hast Du einen Lesetipp für mich?)
((Da ich auch von DMZ ins LAN komme, habe ich da wohl noch nichts getan. Versäumnis! Wo stelle ich das ein? Oder ist das ein neuer Thread? Ich denke, ja...))

Nochmals vielen Dank! Immer wieder toller Support hier!

182
German - Deutsch / Re: Komme nicht ins andere Subnetz...
« on: February 12, 2021, 09:19:35 pm »
Quote from: Maurice on February 12, 2021, 07:34:30 pm
Ich würde den Fehler eher auf dem neuen, nicht erreichbaren Rechner suchen. Sind Netzmaske und Default Gateway dort korrekt konfiguriert? Funktioniert der Internetzugang von diesem Rechner aus?
Er ist nicht "nicht erreichbar", ist von 4.60 sehr wohl erreichbar.

Quote
Doch, durchaus. Die Standard-"allow all"-Regel auf dem LAN-Interface erlaubt Verbindungen in alle anderen Netze.
Interessanter wäre eher, wie Du den Zugriff von der DMZ auf das LAN unterbindest.
Vielleicht 'ne doofe Frage, aber wo habe ich das eingestellt? (Ich bin ja kein Experte, habe die opnSense vor zweieinhalb Jahren eingerichtet und seither kaum angefasst.)
Mir fällt gerade ein: muss für die ping-Antwort die Fw in beiden Richtungen offen sein? Nö, oder? ... und 4.60 KANN ich ja erreichen...

183
German - Deutsch / Re: Komme nicht ins andere Subnetz...
« on: February 12, 2021, 09:09:28 pm »
Quote from: micneu on February 12, 2021, 07:46:05 pm
ist das 192.168.4.94 ein windows rechner?
ist die windows firewall noch an?
4.60 und 4.94 sind Windows-Rechner, die Firewall auf 4.94 ist aus - er ist ja auch von 4.60 aus erreichbar.
0.117 ist Mint und kann 4.60 erreichen, nur eben nicht den 4.94.

184
German - Deutsch / Re: Komme nicht ins andere Subnetz...
« on: February 12, 2021, 07:06:16 pm »
Vor die Netzwerkadressen denke man sich bitte ein 192.168.

Der Rechner 192.168.4.94 ist "neu" im Netz, zwischen .4.60 und .4.94 läuft alles prima (da ist ja auch die opnSense) nicht beteiligt. Aber ich kann eben auch von 192.168.0.117 auf den 192.168.4.60 zugreifen, nur nicht auf den 192.168.4.94. Seltsam? Oder ein Konfigurationsfehler von mir?

(Vielleicht komme ich ja schon weiter, wenn ich wiederfinde, wo ich den Zugriff vom 0er-Netz auf das 4er-Netz zugelassen habe... dachte eigentlich, dass ich dafür "gar nichts" getan hätte... aber das kann wohl nicht sein, oder?)

Nachtrag, weiß nicht, ob das eventuell wichtig ist:
Die mit "vSwitch" bezeichneten Kästen sind die Hardware-Netzwerkkarten, auf denen das Hyper-V-Protokoll für virtuelle Switche läuft, und die "Karten" 0.15, 4.15 und 4.60 sind "virtuelle" Netzwerkadapter à la Hyper-V, die jeweils virtuell am jeweiligen vSwitch hängen.
Letztlich hängt zwischen "Client" und "Host" sowie "Rechner" und "Host" jeweils ein physischer Switch, aber das ist ja wirklich irrelevant.

185
German - Deutsch / Re: Komme nicht ins andere Subnetz...
« on: February 12, 2021, 05:53:18 pm »
Schnelle Skizze. Es sind drei Hardware-Rechner beteiligt.

186
German - Deutsch / [GELÖST] Komme nicht ins andere Subnetz...
« on: February 12, 2021, 05:33:55 pm »
Hallo.
Ich versuche, mein Netz ein bisschen umzuorganisieren (weil ich meine Hyper-V-Hosts gegen Linux/VirtualBox ablösen will). Im Rahmen der notwendigen vorbereitenden Versuche bin ich gerade auf ein Problem gestoßen:

Ich kann aus meinem "LAN" nicht "richtig" in meine "DMZ" zugreifen.
Konkret erreiche ich diejenigen VMs, die auf dem selben Host wie die opnSense laufen, die anderen aber nicht.

Die Situation ist diese:

- Ich habe einen Virtualisierungshost (Hyper-V), auf dem auch meine opnSense läuft.
- Die opnSense hat u.a. Schnittstellen in mein LAN (192.168.0.0) und meine DMZ (192.168.4.0).
- Auf diesem Host laufen weitere VMs im Netz 192.168.4.0.
- Diese VMs kann ich ALLE aus meinem LAN (192.168.0.117) an-PING-en und per RDP erreichen.

- Ich habe testweise einen weiteren (Hardware-)Rechner im Netz 192.168.4.0, der physisch am selben Netzwerk hängt.
- Dieser Rechner ist von der opnSense aus zu erreichen und auch von den 4er-VMs auf dem Host.
- Was NICHT funktioniert, ist der Zugriff aus meinem LAN (192.168.0.117) auf diesen Rechner.

Es SCHEINT so, als könne ich vom 0er-Netz ins 4er-Netz "durch die opnSense" nur diejenigen Rechner erreichen, die auf dem selben Host laufen wie die opnSense, nicht aber einen anderen Rechner dieses Subnetzes.

Wo muss ich das "nachkonfigurieren"? Ich bin erstaunt, dass ich problemlos vom 0er-Netz ins 4er-Netz zugreifen kann - aber eben nur, solange es auf dem selben Host spielt, nicht ins "echte" Subnetz. Da sich die 4er-Rechner aber ALLE gegenseitig sehen (also VM zu Hardware UND umgekehrt) bin ich versucht, eine Fehlkonfiguration meiner "virtuellen Switches" und der Schnittstellen auf der opnSense auszuschließen.

(Im Firewall-Protokoll finde ich nichts, aber das ist ja wohl auch kein Fw-Problem, sondern eher eines des Routings, oder?)

Danke für eine Erläuterung und einen Tipp!

187
German - Deutsch / Re: Falsches Zertifikat ausgeliefert: by design?
« on: March 03, 2020, 04:49:10 pm »
Danke, superwinni, für die Erläuterung.

Dann ist das ja tatsächlich definiertes Verhalten und war mir bisher nur nicht aufgefallen, weil ich vermutlich die opnSense dann auch mal neu gestartet hatte.

Ich lege also bei "Let's Encrypt" in der "Automation" ein "Restart HAProxy" als "Run Command" an.
Dann trage ich diesen Befehl bei jedem Zertifikat in die "Automations" ein?
Probiere ich aus. Nochmals: Danke!

p.s.: Ist wohl auch schon beschrieben, hatte das nur nicht gefunden... https://forum.opnsense.org/index.php?topic=15263.0

188
German - Deutsch / [Gelöst] Falsches Zertifikat ausgeliefert: by design.
« on: March 03, 2020, 03:46:02 pm »
Hallo.
Ich habe gerade ein - für mein Verständnis - seltsames Verhalten festgestellt:
Wenn ich ein (Web-)Zertifikat erneuere, dann wird dies zunächst nicht automatisch ausgeliefert, sondern ich muss zunächst im HAProxy in den Öffentlichen Diensten beim HTTPS-Dienst dieses Zertifikat entfernen und dann neu einfügen.
Ist das "by design"? Oder ist das einstellbar? Ich dachte, dass immer das aktuelle Zertifikat dieses Namens verwendet würde. Aber irgendwie scheint der HAProxy (oder wer sonst?) das Zertifikat zu "cachen". Kann das sein?

189
German - Deutsch / Re: [HAProxy] Umleitung auf internen Host per Name
« on: January 23, 2020, 10:47:14 am »
Quote from: fabian on January 23, 2020, 10:37:44 am
Warum lässt du den Webserver nicht mit dem externen FQDN laufen?
Intern haben alle meine Server eben interne Namen.
Quote from: fabian on January 23, 2020, 10:37:44 am
Httpd hab ich schon länger nicht mehr verwendet aber im nginx kannst du unter der Direktive server_name auch mehrere angeben.
Müsste ich mal prüfen, ob der Apache auch mehrere Namen für einen virtuellen Host haben kann.

Aber dennoch - ich weiß, ich bin störrisch ;-) - kann denn niemand hier etwas zur Syntax der rewrite-Regel sagen? Für die Cracks hier kann das doch kein Hexenwerk sein, oder? Persönlich fände ich das den saubersten Weg: Die Anfrage kommt rein und wird vom HAProxy "transparent" auf einen internen Server umgeleitet.

190
German - Deutsch / Re: [HAProxy] Umleitung auf internen Host per Name
« on: January 23, 2020, 10:24:10 am »
Danke Euch beiden für den Vorschlag, aber ich befürchte, das wird mir nicht helfen:
Obwohl nun die opnSense meinen internen DNS nutzt, um interne Adressen aufzulösen, lande ich damit noch nicht auf dem richtigen virtuellen Host des Apache.

Ich kann zwar jetzt den realen Server per internem Namen finden, danke dafür, aber dieser wird HTML-weise natürlich nach wie vor mit dem externen Namen angesprochen, also mit extern-01.mydomain.de, nicht etwa mit dem internen Namen server-a. Also erhalte ich immer noch nur die Default-Site des Apache und nicht den gewünschten virtuellen Host.

Ich nehme also nach wie vor an, dass der Request "umgeschrieben" werden muss. Ich suche also nach wie vor nach Hilfe für die rewrite-Regel.

191
German - Deutsch / Re: [HAProxy] Umleitung auf internen Host per Name
« on: January 21, 2020, 01:04:13 pm »
Hi, und danke für Deine Antwort.
Ich bin leider nicht so sehr der opnSense-Experte und deshalb auch auf die GUI angewiesen.

Was meinst Du denn mit "override im dns"? In meinem internen DNS habe ich natürlich die beiden server-a und server-b stehen, beide mit der IP 192.168.0.111. Mein Problem scheint, dass (a) die opnSense meine internen Namen nicht auflöst (kann ich sie dazu zwingen?) und (b) dann vermutlich immer noch nicht der interne Name verwendet wird (zumindest dann nicht, wenn ich nur eine "Nutze-Pool"-Regel habe). Oder seht Ihr das anders?

Die Verwendung unterschiedlicher Ports habe ich auch schon in Erwägung gezogen, aber da der Apache ja die komfortabel-einfache Möglichkeit der "virtuellen Hosts" bietet, wäre das meine bevorzugte Lösung. ("Virtuelle Hosts": wenn eine Anfrage auf dem Server landet, guckt dieser in den HTTP-Header und leitet auf die entsprechend benannte Site um.)

Dass ein URL-rewrite das Richtige ist, da bin ich recht zuversichtlich, ich steige eben "nur" nicht durch die entsprechende Syntax durch...  :(

192
German - Deutsch / Re: HAProxy für Weiterleitung auf "Unterverzeichnis"
« on: January 21, 2020, 11:47:59 am »
Hier ist das Thema wohl mittlerweile so "aufgeweicht", dass es keine Antwort mehr gibt.
Ich stelle meine Frage daher "sauber" noch einmal neu: https://forum.opnsense.org/index.php?topic=15581.0

193
German - Deutsch / [HAProxy] Umleitung auf internen Host per Name
« on: January 21, 2020, 10:34:07 am »
Ich stelle mal die Frage neu, weil ich die im ersten Thread angefragte Version (Unterverzeichnis) mittlerweile aufgegeben habe...

Ich habe zwei virtuelle Hosts auf dem selben physischen Server/IP 192.168.0.111:
  - server-a
  - server-b

Von draußen komme ich mit unterschiedlichen URLs
  - extern-01.mydomain.de
  - extern-02.mydomain.de
Ich möchte nun extern-01 auf server-a und extern-02 auf server-b weiterleiten.

Es funktioniert NICHT, dass ich als "reale Server" die internen Namen server-a und server-b eintrage, denn die opnSense kann natürlich nicht auf mein internes DNS zugriefn (oder könnte sie)? Wenn ich diese Namen eintrage, dann erhalte ich einen Timeout. Wenn ich jedoch die IP eintrage, dann lande ich nicht auf einem der beiden virtuellen Hosts, sondern auf dem Default-Host des Servers.

Ich muss also anscheinend keine Regel à la "Nutze Pool" haben, sondern eine "Weiterleitung".
So, wie ich es bisher verstanden habe, ist das aber auch kein redirect (Doku: "which tell the client to send the request to another URL", wäre also extern), sondern ein rewrite (Doku: "change the request as it moves between the client and the backends transparently", also unsichtbar für den Client)

Ein rewrite wird aber wohl nicht durch die GUI unterstützt. Kann das sein?
Wie kriege ich das dann hin? "Custom rule (option pass-through)"? Steht im anderen Thread...

Aber was sind die Parameter? So richtig steige ich da nicht durch...
wäre echt super, wenn jemand, gern am obigen Beispiel, mit der Formulierung hilft.

194
German - Deutsch / Re: HAProxy für Weiterleitung auf "Unterverzeichnis"
« on: January 17, 2020, 12:33:22 pm »
Ok, die Klamotte mit der Unterseite habe ich mir jetzt geklemmt, habe stattdessen einen weiteren virtuellen Host eingerichtet, aber gerade deshalb wäre für mich wichtig zu wissen:

(Lösche mal den ganzen Quatsch, den ich hier geschrieben habe)... und frage stattdessen konkret:

Ich habe zwei virtuelle Hosts auf dem selben physischen Server/IP 192.168.0.111:
  - server-a
  - server-b

Von draußen komme ich mit unterschiedlichen URLs
  - extern-01.mydomain.de
  - extern-02.mydomain.de

Ich möchte nun extern-01 auf server-a und extern-02 auf server-b weiterleiten.
So, wie ich es bisher verstanden habe, ist das kein redirect (Doku: "which tell the client to send the request to another URL"), sondern ein rewrite (Doku: "change the request as it moves between the client and the backends transparently")

Rewrite wird wohl nicht durch die GUI unterstützt. Kann das sein?
Wie kriege ich das dann hin? "Custom rule (option pass-through)"? Steht ja oben...

Aber was sind die Parameter? So richtig steige ich da nicht durch...
wäre echt super, wenn jemand, gern am obigen Beispiel, mit der Formulierung hilft.
Danke!

195
German - Deutsch / Re: HAProxy für Weiterleitung auf "Unterverzeichnis"
« on: January 08, 2020, 09:27:27 am »
Quote from: lewald on January 07, 2020, 08:08:53 pm
Der haproxy kann url Rewrite.
  :)

Quote from: lewald on January 07, 2020, 08:08:53 pm
Allerdings nach dem Schema
https://demo1.server.com geht auf auf intern http://x.x.x.x/
httsp://demo2.server.com geht auf intern http://x.x.x.x/

Ich brauche ja eher das Schema
  • http://unter.mydomain.de geht auf intern http://unterserver/untersite
Da auf dem Apache mehrere virtuelle Hosts laufen, kann ich (a) nicht die IP angeben und muss (b) ein Verzeichnis angeben können.

Quote from: lewald on January 07, 2020, 08:08:53 pm
Sie ist als Regel zu erstellen.
Ich bin nicht der Superexperte für die opnSense und mache bisher alles über das Web-Frontend.
Hättest Du da für mich einen Tip, wie ich das einstelle?
Einen Backend-Pool habe ich wohl angelegt, aber da muss ich einen Server auswählen und kann nichts umleiten.
Umleitung scheint mir eher mit einer Regel möglich... ist das dann "http-request-redirect"? Aber wie erreiche ich, dass die Weiterleitung INTERN geschieht? Wie kann die opnSense meine internen IPs auflösen?

Pages: 1 ... 11 12 [13] 14 15 ... 21
OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2