Messages

121

German - Deutsch / Zugriff auf OPNSense-Weboberfläche verbieten?

« on: July 31, 2021, 07:24:25 pm »

Hallo.
Kann man den Zugriff auf die OPNSense im gleichen Netz mit Bordmitteln verhindern/verbieten?
Bsp: DMZ soll zwar ins Internet gelangen können doch der Zugriff auf die OPNSense-Oberfläche soll unmöglich sein
Geht das?
Danke

122

German - Deutsch / Re: Umzug einer Nextcloud hinter eine OPNSense mit HAProxy - Login nicht möglich

« on: July 27, 2021, 10:37:52 am »

OK, wenn ich wieder vor Ort bin, werde ich versuchen die alte LDAP Verbindung über die neue Leitung zu reaktivieren. Wenn das klappt und ich mich hoffentlich endlich wieder als Admin einloggen kann, stelle ich es auf die neue LDAP-Verbindung um...

123

German - Deutsch / Re: Weiterleitung von unterschiedlichen Subdomains auf gleichen Server

« on: July 27, 2021, 05:13:16 am »

Genau, das Problem dabei ist, dass unsere (Haupt) Domain ein ganz normaler Webserver ist, der mit plesk gehostet wird. Der hält auch das (Haupt) Zertifikat für die Domain. Daher kann ich vermutlich der OPNSense auch nicht beibringen, dass sie ebenfalls ein Wildcard Zertifikat für diese komplette Domain ausstellt. Deshalb habe ich mir bisher mit Einzel-Zertifikaten für die weiter geleiteten Subdomains geholfen. Lief bisher problemlos,  doch nun muss ich mir die Sache mit den Multi-SANs offenbar mal näher ansehen.... Wieder was dazu gelernt. Danke!

124

German - Deutsch / Re: Weiterleitung von unterschiedlichen Subdomains auf gleichen Server

« on: July 26, 2021, 07:35:49 pm »

Hi, ja, du hast natürlich Recht: die OPNSense soll jetzt auch die Zertifikate ausliefern. Ich habe das für dienst1 auch bereits umgesetzt. Das klappt und die Seite wird per HTTPS:// mit gültigem Zertifikat ausgeliefert. Wenn ich nun aber mit dem anderen Namen komme (Weiterleitung auf die gleiche IP ist ja noch eingestellt), wird aber gemeckert, dass das Zertifikat nicht passt, da es nicht für dienst2 ausgestellt wurde....

125

German - Deutsch / Weiterleitung von unterschiedlichen Subdomains auf gleichen Server

« on: July 26, 2021, 03:39:18 pm »

Hallo.
Bisher haben wir uns mit Portweiterleitungen geholfen doch nun soll der reverse HAProxy zusammen mit der OPNSense diese Aufgabe übernehmen, um diverse Dienste im internen Netzwerk erreichen zu können.

Dazu habe ich eine Frage:
Wir hatten bisher dienst1.domain.de und dienst2.domain.de mit unterschiedlichen Namen auf unserem Webserver für unsere Domain eingetragen,  die dann ganz einfach über einen cname Eintrag auf die gleiche IP-Adresse verwiesen haben. So war es möglich, dass sich hinter dienst1.domain.de/dienst1 ein ganz anders klingender Dienst verbarg als unter dienst2.domain.de/dienst2, obwohl ja beides auf dem gleichen Server statt fand.

Wenn ich das gleiche nun mit dem HAProxy erreichen will, muss ich eine Weiterleitung für unterschiedliche Domainnamen an immer den gleichen Server erreichen -- wie aber geht das, wenn pro Server immer ein passendes LE Zertifikat ausgestellt wurde, so dass der Name nicht passt, wenn ich dienst2 aufrufen will, das Zertifikat aber für dienst1 ausgestellt wurde? Oder anders gefragt: Wie kann man eine Regel erzeugen, die passend umleitet oder aber beide Zertifikate zulässt?
Ich hoffe, das das Problem halbwegs klar geworden ist ...
Danke für einen guten Denkanstoß
 

126

German - Deutsch / Re: Umzug einer Nextcloud hinter eine OPNSense mit HAProxy - Login nicht möglich

« on: July 25, 2021, 12:55:20 am »

ok, ich kümmere mich später um diese Sache ... danke für die Tipps. Ich melde mich nochmal

127

German - Deutsch / Re: Umzug einer Nextcloud hinter eine OPNSense mit HAProxy - Login nicht möglich

« on: July 24, 2021, 06:01:34 pm »

Hallo.
Es ist so:
Die VM ist ein ganz normales Ubuntu 18.04, auf dem neben Nextcloud auch ein paar andere Verzeichnisse freigegeben sind. Die funktionieren alle -- ich komme also problemlos via
https://<interne IP>/service oder auch via https://unser-domainname.de/service auf diese Seiten. Daher denke ich eigentlich, dass der HAProxy richtig konfiguriert sein muss??

Einzig https://<interne IP>/nextcloud bzw  https://unser-domainname.de/nextcloud macht im Moment Ärger.
Diese VM wurde aus einer alten Infrastruktur mit alter OpenLDAP-Anbindung rüber geholt. Dabei habe ich aber die neue LDAP/AD-Anbindung noch nicht konfiguriert, da ich eigentlich sicher war, dass ich mich als lokaler Admin anmelden kann und die neue LDAP/AD-Konfiguration eintragen kann. Und genau das klappt nicht ... dabei läuft sich der Prozess tot, bis es irgendwann entweder zu o.g. Meldung der OPNSense/HAProxy kommt oder aber ein Fehler auf dem Nextcloud-Anmeldebildschirm erscheint.

Da sich die IP-Adresse der VM geändert hat, hatte ich den Verdacht, dass irgendwo in der NC-Konfiguration noch der alte Eintrag steht ... aber ich finde nichts?! Wenn ich die NC in den Wartungsmodus versetze mit

Code: [Select]

sudo -u www-data php occ maintenance:mode --onerscheint die Seite, die den Wartungsmodus anzeigt, ebenfalls sofort. Auch das spricht doch dafür, dass mit dem HAProxy alles richtig ist, oder?

Reicht das an weiteren Infos oder brauchst du noch mehr?
Danke jedenfalls für's Mitdenken ... es ist gerade extrem frustrierend, da ich nicht gedacht hatte, dass der Umzug der VM so eine Riesen-Sache wird?!?

128

German - Deutsch / Umzug einer Nextcloud hinter eine OPNSense mit HAProxy - Login nicht möglich

« on: July 24, 2021, 11:19:44 am »

Hallo.
Ja, dieses Problem ist wieder nur relativ vage zu beschreiben und es erfodert vielleicht einer Glaskugel ... aber ich versuche es trotzdem:
Ich bin gestern mit einer VM von einem Proxmox-Server auf einen anderen umgezogen. Nun befindet sich eine OPNSense mit HAProxy als reverse Proxy vor dem Zugang zur DMZ. Der leitet die Anfragen an Port 443 entsprechend an die richtige IP weiter. Das funktioniert auch, denn ich kann https://nextcloud.meine-domain.de auflösen und der Anmeldebildschirm erscheint. Wenn ich dann aber die Zugangsdaten des Admins eingebe, erhalte ich immer einen Timeout (bzw nach längerer Wartezeit ein "504 Gateway Time-out -- The server didn't respond in time.")
Nun weiß ich nicht, ob das ein Problem der Firewall oder ein Problem der Nexcloud ist. Da wir die User-Anmeldung an die Nextcloud über LDAP/AD realsiert haben, kann sich im Moment natürlich kein User anmelden -- aber der Login als Admin ist davon doch völlig unabhängig und sollte in jedem Fall funktionieren?
Wer hat einen guten Tipp, wonach man da schauen kann bzw wer kann überblicken, ob das eher auf OPNSense/HAProxy- oder auf Nexcloud-Seite zu suchen ist?
Danke!

129

German - Deutsch / Re: Sende-Empfangsfehler auf LAGG -- wie weiter einkreisen?

« on: April 14, 2021, 09:46:19 am »

net.inet.carp.senderr_demotion_factor: 0

Danke!

130

German - Deutsch / Re: Sende-Empfangsfehler auf LAGG -- wie weiter einkreisen?

« on: April 14, 2021, 09:13:04 am »

Fals du die Infos vom OPNsense Interface noch suchst Schnitstellen->Überrblick Dort das jeweilige Interface aufklappen, unten stehen dann die Infos

Ja, die Infos des Interfaces stehen da, dennoch ist mir nicht klar, wie der Eintrag auszusehen hat.
Ich sehe aber beispielsweise, dass es da wirklich wieder Sendefehler gegeben hat -- warum auch immer!??

Code: [Select]

(opt5, lagg0)
Media Ethernet autoselect
LAGG Protokoll lacp lagghash l2,l3,l4
LAGG Ports ix0 ix1
Eingehende/Ausgehende Pakete 4215592 / 5493023 (1.05 GB / 5.35 GB)
Eingehende/Ausgehende Pakete (erlaubt) 4047071 / 5493023 (1.03 GB / 5.35 GB)
Eingehende/Ausgehende Pakete (blockiert) 15952788 / 0 (165 KB / 0 bytes)
Eingehende/ausgehende Fehler 0 / 96
Kollisionen 0


131

German - Deutsch / Re: Sende-Empfangsfehler auf LAGG -- wie weiter einkreisen?

« on: April 14, 2021, 08:31:19 am »

Haben dann send error demote auf 0 gesetzt

Hallo.
Ich hole den Thread nochmal nach oben, weil es jetzt wieder verstärkt aufgetreten ist. Ich habe auf dem Unifi-Switch auf mehreren Ports Lese-/Empfangsfehler und habe mir bisher immer damit geholfen, dass ich den Unifi-Swtich einfach neu gestartet habe. Leider kann ich kein Muster erkennen -- mal ist es am nächsten Tag wieder da und mal liefen zig hundert GB über den Switch bevor es wieder auftritt ... jedenfalls weiß ich nicht, ob das LAGG dann trotz der Fehlermeldung normal weiterläuft. Dann könnte man das ja ignorieren. Seltsam finde ich aber, dass immer die gleichen Ports betroffen sind, obwohl überall anders auch 10G Leitungen gesteckt sind.

Kannst du die Stelle nochmal ganz genau nennen, wie/wo man das eintragen muss? Ich habe mit

Code: [Select]

sysctl -a | grep send
gesucht und nichts gefunden ...

132

German - Deutsch / Re: WAN: neue dyn. IP erzwingen nach Wechsel von CG-NAT auf dyn IPv4?

« on: March 15, 2021, 03:52:17 pm »

Ok danke, das kann ich leider alles nicht remote erledigen ... dann muss ich einen Moment wählen, wenn noch nicht zig Leute von der Leitung abhängig sind...

Was mich wundert: Es gibt im OPNSense-WebUI ja den Punkt "Freigeben -> Erneuern"  und "Neu laden" ... das hat aber alles überhaupt keinen Effekt. Technisch dürfte das doch nicht großartig anders laufen als bei DSL, oder?

133

German - Deutsch / Re: WAN: neue dyn. IP erzwingen nach Wechsel von CG-NAT auf dyn IPv4?

« on: March 13, 2021, 08:45:06 pm »

- was ist der OTP?

Was meinst du damit?

134

German - Deutsch / Re: WAN: neue dyn. IP erzwingen nach Wechsel von CG-NAT auf dyn IPv4?

« on: March 13, 2021, 09:21:10 am »

Hi. Nein, "die IP liegt direkt auf der Leitung" ... Zugangsdaten werden da nirgendwo eingetragen; das läuft meines Wissens über die Seriennummer des ONT.
Der Support meinte aber, dass evtl ein Reboot nicht ausreicht und man stattdessen die OPNSense einmal kurz richtig runterfahren muss (stromlos machen). Könnte was dran sein -- kann ich aber aus der Ferne nicht ausprobieren.

135

German - Deutsch / WAN: neue dyn. IP erzwingen nach Wechsel von CG-NAT auf dyn IPv4?

« on: March 12, 2021, 06:27:37 pm »

Hallo.
Wir haben hier ein Problem mit unserer WAN-IP-Adresse. Bisher hat uns unser Provider einer Carrier-Grade-NAT-Adresse verpasst, die natürlich kein Mensch haben will. Daher haben wir eine "richtige" IPv4-Adresse dazu gebucht, die laut Support auch bereits verfügbar sein soll. Ich habe schon die OPNSense (die die IP auf dem WAN-Interface direkt auf einem VLAN empfängt) neu gestartet und auch bereits das ONT neu gestartet. Leider erhalte ich weiterhin immer wieder die alte Carrier-Grade-Adresse, so dass ich jetzt nicht weiß, ob das Problem bei mir oder beim Provider liegt.
Kann man das Update der IP-Adresse irgendwie erzwingen?
Danke für einen guten Tipp.