Messages

106

German - Deutsch / Problem mit Namensauflösung bei aktiver Wireguard-Verbindung

« on: January 14, 2022, 12:22:21 pm »

Hallo.
Wir haben hier folgendes Problem, das immer wieder für Verwirrung sorgt:
Einige Kollegen verfügen über einen Wireguard-Zugang, der über eine OPNSense zu unserem internen Netz führt.

Extern bzw im Internet verwenden wir einen Server "super-laden.de"
Daneben gibt es einen Nextcloud-Server, den wir selbst intern hosten.

Intern wie extern verwenden wir den gleichen FQDN für die Rechner, d.h.
unsere Domain www.super-laden.de ist über einen gemieteten Server (mit Plesk) im Internet erreichbar und
nextcloud.super-laden.de leitet über einen A-Record auf den internen Server bei uns weiter.

Das funktioniert alles solange gut, bis jemand die Wireguard-Verbindung öffnet. In dem Moment kann man sich nicht mehr mit der
Nextcloud verbinden -- es gibt seltsamerweise einen Zertifikatsfehler und der Zugriff auf die Nextcloud scheitert. (Die OPNSense verwaltet auch die LE-Zertifkate für div. Subdomains)

Ich vermute, dass dahinter sowas wie NAT-Reflection stecken müsste -- kann es aber leider nicht genauer eingrenzen. Wenn jemand eine gute Idee hat, wonach ich hier suchen soll, wäre ich jedenfalls dankbar.
Vielen Dank für's Mitdenken!

107

German - Deutsch / Re: Seit Ende September: Problem mit OPNSense --> LE-Zertifikat --> Nextcloud

« on: October 13, 2021, 09:47:52 pm »

Nur um den Thread zu schließen: Mit dem Update auf 21.7.3 lief alles wieder.

108

German - Deutsch / Re: Seit Ende September: Problem mit OPNSense --> LE-Zertifikat --> Nextcloud

« on: October 10, 2021, 03:56:51 pm »

Hallo, ich habe das neue R3 Zertifikat ja bereits dort eingefügt und dann auch alle LE Zertifikate neu erstellen lassen. Das Problem besteht aber blöderweise weiterhin. Bei Zugriffen auf die Nextcloud, die hinter dem HA Proxy liegt, erscheint immernoch die Zertifikatswarnung.

Es wurde oben ja schon gesagt, dass es vermutlich erst mit 21.7 wieder rund läuft. Kann das jemand bestätigen?? Geht es mit 21.1 auf keinen Fall??

109

German - Deutsch / Re: Seit Ende September: Problem mit OPNSense --> LE-Zertifikat --> Nextcloud

« on: October 03, 2021, 01:27:21 pm »

Hm -- leider zu früh gefreut. Ich habe seit der Erneuerung der LE-Zertifikate jetzt zwar gültige R3-Zertifikate (s. Attachment), doch wenn ich es so wie oben prüfe, erhalte ich auch weiterhin das gleiche Ergebnis:

von außen:

Code: [Select]

openssl s_client -connect nextcloud.meine-domain.de:443       
CONNECTED(00000003)
depth=1 C = US, O = Let's Encrypt, CN = R3
verify error:num=20:unable to get local issuer certificate
verify return:1

Aber wenn ich mich auf dem Nexcloud-Host selbst (also von "innen") verbinde, erhalte ich:

Code: [Select]

openssl s_client -connect nextcloud.meine-domain.de:443
CONNECTED(00000003)
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = nextcloud.meine-domain.de
verify return:1

110

German - Deutsch / Fehlermeldung beim Update auf 21.1.9

« on: October 03, 2021, 11:53:46 am »

Hallo.
Ich habe gerade seit längerer Zeit mal wieder ein Update laufen lassen. Es ging zunächst auf Version OPNsense 21.1.9_1. Während des Updates erhielt ich diese Meldung:

Code: [Select]

Fatal error: Uncaught Error: Class 'Phalcon\Validation\Message\Group' not found in /usr/local/opnsense/mvc/app/models/OPNsense/Base/BaseModel.php:442
Stack trace:
#0 /usr/local/opnsense/mvc/app/models/OPNsense/Base/BaseModel.php(564): OPNsense\Base\BaseModel->performValidation(false)
#1 /usr/local/opnsense/mvc/app/models/OPNsense/Base/BaseModel.php(686): OPNsense\Base\BaseModel->serializeToConfig()
#2 /usr/local/opnsense/mvc/script/run_migrations.php(55): OPNsense\Base\BaseModel->runMigrations()
#3 {main}
  thrown in /usr/local/opnsense/mvc/app/models/OPNsense/Base/BaseModel.php on line 442
Es lief zwar danach weiter und die Firewall ist auch wieder erreibar -- trotzdem wüsste ich gerne, ob ich diesbzgl noch etwas unternehmen muss?

111

German - Deutsch / Re: Seit Ende September: Problem mit OPNSense --> LE-Zertifikat --> Nextcloud

« on: October 03, 2021, 11:42:41 am »

Genau deshalb meine Frage ... wenn man das Zertifikat im WebUI direkt editieren kann, dürfte es doch auch reichen, wenn man NUR dort die aktuelle Version per copy & paste einfügt, oder?
Wozu sonst gibt es die Funktion "editieren"?

Ich bin in Sachen Zertifikatsketten allerdings nicht fit genug, um entscheiden zu können, welchen Teil aus
"cat fullchain.pem" man da ggf verwenden müsste...?

Ok, ich bin jetzt dieser Anleitung gefolgt: https://forum.opnsense.org/index.php?topic=24950.msg119873#msg119873  - den alten Eintrag editiert, umbenannt und die beiden neuen Zertifikate eingefügt. Und siehe da: Gültig bis Mon, 15 Sep 2025 18:00 Uhr.
Danach das Nextcloud-LE-Zertifikat nochmal erneuert ...
blöderweise musste ich im Chrome nochmal den lokalen Cache löschen aber danach wurde die Seite wieder mit neuem und gültigem Zertifikat geladen 

112

German - Deutsch / Re: Seit 01. Oktober: Problem mit OPNSense --> LE-Zertifikat --> Nextcloud

« on: October 02, 2021, 06:59:08 pm »

Sorry, wenn ich nochmal doof nachfrage bevor ich mich an die Sache heran machen:
Was meinst du mit "neu zuweisen" genau? Wo ist das überall der Fall?

113

German - Deutsch / Re: Seit 01. Oktober: Problem mit OPNSense --> LE-Zertifikat --> Nextcloud

« on: October 02, 2021, 01:16:09 pm »

Das Thema wird ja hier auch heiß diskutiert ... habe ich erst gerade entdeckt:

https://community.letsencrypt.org/t/help-thread-for-dst-root-ca-x3-expiration-september-2021/149190/261

Gibt es einen Fix via

Code: [Select]

opnsense-patch -c plugins .... ?

114

German - Deutsch / Re: Seit 01. Oktober: Problem mit OPNSense --> LE-Zertifikat --> Nextcloud

« on: October 02, 2021, 12:40:44 pm »

Es sieht alles danach aus, als wäre die Ursache gefunden ... 

Mir ist aber noch nicht klar, warum da Einträge mehrfach auftauchen und unterschiedliche Ablaufdaten haben. Aber entscheidend scheint ja der vorletzte Eintrag unter R3 zu sein. Dort steht ja auch, dass am 29. September Schluss mit lustig war?!

Man kann den Eintrag ja auch editieren und das Zertifikat auf diese Weise ändern -- aber wie findet man heraus, welcher Eintrag da rein muss?

115

German - Deutsch / Re: Seit 01. Oktober: Problem mit OPNSense --> LE-Zertifikat --> Nextcloud

« on: October 02, 2021, 12:29:50 pm »

Bei mir hat geholfen das veraltete X3 CA zu löschen und dann die Zertifikate neu auszustellen

Oh, das klingt gut! Also muss ich das doch auf der Firewall tun? Oder wie bist Du genau vorgegangen?

116

German - Deutsch / [solved] Ende September: Problem mit OPNSense --> LE-Zertifikat --> Nextcloud

« on: October 02, 2021, 12:22:01 pm »

Hallo.
Seit gestern taucht auf unserer Nextcloud 21.x mit dem Chrome-Browser jedoch nicht mit dem Firefox dieses Problem auf:

Code: [Select]

Dies ist keine sichere Verbindung
Hacker könnten versuchen, Ihre Daten von nextcloud.meine-domain.de zu stehlen, zum Beispiel Passwörter, Nachrichten oder Kreditkartendaten. Weitere Informationen
NET::ERR_CERT_DATE_INVALID
Wenn ich im Firefox das gleiche mache, erhalte ich das gültige LE-Zertifikat, das auch noch bis Ende Oktober gültig ist. Wir lassen die Zertifikate von der OPNSense (Version 21.1.x) holen und dann auf den Nextcloud-Server schieben. Daneben dient die OPNSense auch als RevProxy (HAProxy) für alle Zugriffe auf Port 80/443.  Ein Update der Firewall wurde gestern nicht durchgeführt aber die LE-Zertifikate wurden am Monatsende automatisch erneuert.

Hat jemand einen Vorschlag, wo man hier am besten ansetzten soll? Ich habe natürlich schon versucht, die Zertfikate nochmal manuell neu zu erstellen und anschließend die NC neu gestartet -- der Effekt bleibt aber bestehen. Ach ja: Die Systemzeit habe ich sowohl auf der OPNSense als auch auf dem NC-Host verglichen. Die sind identisch und stimmen.

Wenn ich mir die Zertifikate direkt auf der Firewall ansehe, erhalte ich seltsamerweise:

Code: [Select]

/var/etc/acme-client/home/nextcloud.meine-domain.de # openssl verify ./fullchain.cer
O = Digital Signature Trust Co., CN = DST Root CA X3
error 10 at 3 depth lookup: certificate has expired

Ebenso  seltsam ist: Wenn ich das Zertifikat von außen prüfe, erhalte ich:

Code: [Select]

openssl s_client -connect nextcloud.meine-domain.de:443       
CONNECTED(00000003)
depth=1 C = US, O = Let's Encrypt, CN = R3
verify error:num=20:unable to get local issuer certificate
verify return:1
Aber wenn ich mich auf dem Nexcloud-Host selbst (also von "innen") verbinde, erhalte ich:

Code: [Select]

openssl s_client -connect nextcloud.meine-domain.de:443
CONNECTED(00000003)
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = nextcloud.meine-domain.de
verify return:1

... ich bin nicht sicher, wo ich nun weitersuchen soll?!? Ich bin auch nicht sicher, ob das nun mit der Firewall, mit dem Apache2 der Nexcloud oder mit der LE-Zertifikats-Erneuerung zu tun hat!?

Vielleicht hat jemand eine gute Idee?

117

German - Deutsch / OPNSense liefert falsches LE-Cert, wenn Wireguard-Tunnel aktiv ist...

« on: September 03, 2021, 10:12:48 am »

Hallo.
Gestern fiel hier ein seltsames Problem auf: Wir haben eine OPNSense mit Wireguard.
Kollege X rief an seinem Rechner die Adresse https://nextcloud.unsere-domain.de auf und bekam jedes Mal einen Zertifikatsfehlerfehler, der besagte, dass das ausgestellte Zertifikat nicht von nextcloud.unsere-domain.de sondern von firewall.unserer-domain.de (also der OPNSense selbst) stamme. Sobald der Tunnel deaktiviert wurde, lief es.

Das ganze hat vermutlich damit zu tun, dass wir im internen Netz aus div. Gründen ebenfalls unseren FQDN verwenden -- allerdings ist mir trotzdem nicht klar, warum die OPNSense beim Zugriff auf die Adresse nextcloud... (die bei uns im internen Netz liegt!) das falsche Zertifikat verwendet!?

Wenn der VPN-Tunnel deaktiviert ist, funktioniert es ja auch ... wo steckt hier der Fehler?

118

German - Deutsch / Re: WebUI erneuert LE-Zert nicht -- obwohl es gültig ist. Warum?

« on: September 01, 2021, 06:31:22 pm »

Hoppla -- das war's! Ich dachte, dass das automatisch läuft... jetzt ist das Cert aktuell. Danke!

119

German - Deutsch / [Solved] WebUI erneuert LE-Zert nicht -- obwohl es gültig ist. Warum?

« on: September 01, 2021, 04:02:59 pm »

Hallo.
Ich nutze die Bordmittel, um LE-Zertifikate automatisch erstellen und erneuern zu lassen. Bisher lief das immer anstandslos doch nun ist es so, dass z.B. das Zertifikat der WebUI nicht mehr aktualisiert wird, obwohl ich es bereits verlängert habe. Also konkret:

Dienste -> Let's Encrypt -> Zertifikate zeigt beim verwendeten Cert für die Firewall: Gültig bis 21.10.
unter

System -> Einstellungen -> Verwaltung ist auch dieses Cert eingestellt.
Wenn ich aber mit dem Browser die Seite ansteuere, erhalte ich:
Verbindung unsicher und sehe, dass das Cert am 29.7. abgelaufen ist -- es wurde also offenbar nicht automatisch verlängert.

Was kann das sein? Danke für einen guten Tipp!

120

German - Deutsch / Re: qrencode: Wireguard-Zugänge direkt als QR-Code anzeigen lassen?

« on: August 05, 2021, 10:23:19 am »

Ja, vermutlich wird das aus Sicherheitsgründen so gemacht. Aber es wäre ja immerhin denkbar, dass man diese Option wahlweise bzw auf ausdrücklichen Wunsch zulässt? Also sowas wie:
 "Wer es sicher(er) haben will, sollte diese Option nicht wählen"?
VPN- Zugänge "per Klick" (QR-Code) zu erzeugen, wäre weiterhin enorm praktisch, meine ich?!?