Topics

1

Web Proxy Filtering and Caching / How to use ssl_stapling_file in nginx?

« on: December 14, 2023, 10:58:13 am »

Hello,

I encountered this problem with my setup (OPNsense 23.7.10).

here it is described that for troubleshooting ssl_stapling_file can be used.

How can I use ssl_stapling_file?

2

Web Proxy Filtering and Caching / Optimal nginx configuration for Nextcloud

« on: December 14, 2023, 10:55:12 am »

Hello,

the official Nextcloud documentation provides extensive recommendations for the correct configuration of the upstream nginx.

Unfortunately, I find it difficult to transfer the configuration from the example to the nginx configuration of the OPNsense, as the configuration there has a completely different structure.

Can someone here help me to create the optimal configuration under OPNsense according to the Nextcloud documentation?

3

23.7 Legacy Series / How to use ssl_stapling_file in nginx?

« on: August 30, 2023, 09:37:43 am »

Hello,


I encountered this problem with my setup (OPNsense 23.7.2-amd64).


here it is described that for troubleshooting ssl_stapling_file can be used.


How can I use ssl_stapling_file?

4

Zenarmor (Sensei) / Massive problems since upgrade to version 22.10

« on: November 08, 2022, 08:08:54 am »

Hello,

Since the upgrade to version 22.10, we have unfortunately been struggling with several problems.

The update itself was still error-free.
Since then, however, there have been repeated problems:

• When restarting, OPNsense hangs forever (several hours) with the message "stopping eastpect. Waiting for PIDS: 5911". OPNsense could then finally be restarted with "shutdown -r now".
• Some VLANs could no longer be reached from other networks. Only after I had replaced all VLAN interfaces with new interfaces with the designation according to the scheme vlan0.xx were most of the networks accessible again.
• OPNsense permanently had massive latencies and even packet losses. The error only disappeared after I removed the tick from "Allow changing the default gateway".
• The OPNsense webgui gives the error message 503 Service Unavailable every day. Only a restart via the console makes the webgui accessible again.

I urgently ask for help. At the moment, one network is still not accessible.

5

Tutorials and FAQs / How to access an APIPA address from another network?

« on: October 21, 2022, 11:09:01 am »

Hello,

I have a modem from my provider that has an administration interface with a web interface with which the DSL status and some line values can be viewed.

However, the device can only be accessed via the fixed address https://169.254.2.1.

The modem is connected to the OPNsense in an own subnet.

Now I would like to be able to access the modem's web interface from other networks.
How can I achieve this?

6

Web Proxy Filtering and Caching / [SOLVED] NGinx tries to load individual certificate despite wildcard certificate

« on: October 13, 2022, 01:31:58 pm »

Hello,

I have created a new HTTP server via the Nginx plugin. In the same way as many others before.
However, now I get the following error message for the newly created server after restarting the nginx service:

Code: [Select]

cannot load certificate "/usr/local/etc/nginx/key/subdomain.mydomain.tld.pem": BIO_new_file() failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/usr/local/etc/nginx/key/subdomain.mydomain.tld.pem','r') error:2006D080:BIO routines:BIO_new_file:no such file)
The wildcard certificate (*.mydomain.tld) created via the ACME client was selected as the TLS certificate (as with the other HTTP servers).
The check mark for "Enable Let's Encrypt Plugin Support" is not set.

Where is the error and how can I force the use of the wildcard certificate?

7

German - Deutsch / APIPA-Adresse routen

« on: April 28, 2022, 06:24:47 pm »

Hallo,

aus Kompatibilitätsgründen mit dem örtlichen DSLAM musste ich meinen Draytek Vigor 165, der als Modem für meinen VDSL-Anschluss diente, durch einen Speedport Smart 3 der Telekom ersetzen.

Dieser läuft, wie der Vigor zuvor auch schon, im reinen Modem-Betrieb.
Nun möchte ich gerne auf die Info-Seite des Speedports zugreifen können, um die Werte einsehen zu können mit denen der Anschluss synchron wird.
Dazu habe ich wie in der Anleitung auf den Seiten 293/294 beschrieben die OPNsense mit Port LAN1 verbunden.

Unglücklicherweise lässt sich die Statusseite des Speedports aber nur über die fest vorgegebene APIPA-Adresse 169.254.2.1 aufrufen.
Gemäß RFC-Spezifikation darf eine solche Adresse ja nicht geroutet werden.

Welche Möglichkeiten habe ich nun, um aus einem anderen Subnetz auf das Gerät zugreifen zu können?

8

German - Deutsch / ACME Client - Zertifikat kann nicht für NGINX verwendet werden

« on: March 03, 2022, 12:59:24 pm »

Hallo,

habe hier ein seltsames Problem.

Über das ACME-Client-Plugin lasse ich ein Wildcard-Zertifikat über eine DNS-01-Challange bei Letsencrypt erstellen.
Bisher war es so, dass ich dieses Zertifikat dann in den Einstellungen für die HTTP-Server in NGinx als TLS-Zertifikat auswählen konnte.

Jetzt steht das Zertifikat hier aber nicht mehr zur Auswahl.
Bei den bisher erstellten HTTP-Server ist in der Übersicht die Spalte "Zertifikat" jetzt leer.
Bei neu erstellten HTTP-Servern steht in der Übersicht in der Spalte "Zertifikat" "keiner".

Die bisher erstelleten HTTP-Server funktionieren weiterhin mit den Wildcard-Zertifikat.
Die neu erstellten HTTP-Server funktionieren hingegen nicht.


Daraufhin habe ich ein Renew für das Zertifikat über die GUI erzwungen. Laut Log ist das auch durchgelaufen.
Anschließend wurde NGinx auch neu gestartet.
Die bisher erstellten HTTP-Server nutzen jedoch weiterhin das alte Zertifikat.
Und weiterhin steht das Zertifikat nicht für die TLS-Verschlüsselung zur Auswahl.

Merkwürdig auch, dass in der Gui das Ausstellungs-/Erneuerungsdatum weiterhin auf dem Daten der letzten Erneuerung steht.
Auch unter "System" -> "Sicherheit" -> "Zertifikate" taucht das Zertifikat nicht auf.


Was ist hier die Fehlerursache?


OPNsense 22.1.2-amd64
FreeBSD 13.0-STABLE
OpenSSL 1.1.1m 14 Dec 2021

9

German - Deutsch / Unbound - error: SSL_handshake syscall: Connection reset by peer

« on: March 01, 2022, 06:06:27 pm »

Mein Unbound-Log wird seit einiger Zeit von diesen Meldungen gefüllt:

Code: [Select]

error: SSL_handshake syscall: Connection reset by peer
Die DNS-Abfragen dauern auch außergewöhnlich lange.
Über nslookup werden bei Abfragen häufig erst zwei Timeouts ausgegeben, bevor die IP abgerufen werden kann.

Als DNS over TLS sind die 4 Adressen der Digitalen-Gesellchaft.ch eingetragen.
Andere DNS-Server sind nirgends hinterlegt.

OPNsense läuft in der aktuellsten Version 22.1.2.

Weiß jemand wie diese Fehler behoben werden können?

10

German - Deutsch / Einstellungen für schreibgeschützten Zugriff auf Weboberfläche

« on: February 17, 2022, 10:57:44 am »

Hallo,

Gibt es eine Empfehlung, welche Einstellungen für einen "Nur-Lesen"-Zugang zur Web-GUI notwendig sind?

11

Web Proxy Filtering and Caching / Various suggestions for improvement of Nginx

« on: February 14, 2022, 08:01:15 pm »

Hello,

after setting up my web services via the nginx plugin as a reverse proxy, I examined them with various test tools.

Hardenzie.com states:
"Policy set on plaintext port: HSTS policies must not be transmitted over insecure channels."

I am aware that this does not cause any harm.
But restructuring nginx.conf could eliminate that:
https://codefaq.org/server/how-to-fix-warning-unnecessary-hsts-header-over-http-in-htstpreload-org/

Securityheaders.com states:
"server: This server header seems to advertise the software being run on the server but you can remove or change this value."

This could be changed via the add-on module "nginx-headers-more".
But this module would have to be compiled in:
https://serverfault.com/questions/214242/can-i-hide-all-server-os-info


Would it also be possible to implement HTTP/3, QUIC and CORS header support?

12

22.1 Legacy Series / Settings for view-only access

« on: January 28, 2022, 11:18:34 am »

Is there a recommendation as to which settings are necessary for "view-only" access to the webgui?

13

German - Deutsch / Unterstützung für korrekte DNS-Konfiguration

« on: October 13, 2021, 10:21:03 am »

Hallo,

aktuell sieht meine DNS-Konfiguration so aus:





Das funktioniert soweit auch wunderbar.

Für die VoIP-Telefonie möchte ich nun aber die vom Provider über PPPoE zugewiesenen DNS-Server nutzen.
Die TK-Anlage hängt in einem eigenen VLAN/Subnetz.

Was müsste ich einrichten, damit die DNS-Server des Providers ausschließlich für das VoIP-Netz genutzt werden, alle anderen Schnittstellen aber meine bisherige Konfiguration nutzen?

14

German - Deutsch / Unerwünschte Portscans durch OPNsense ins Internet

« on: October 05, 2021, 08:25:51 am »

Hallo,

mein Provider (Telekom Deutschland) hat mich informiert, dass von meinem Internetanschluss aus unerwünschte Zugriffe auf fremde Computer stattfinden würden.
Dem bin ich natürlich nachgegangen und habe mir auch ein Logfile vom Abuse-Team der Telekom geben lassen.

Offenbar werden öffentliche IP-Adressen nach offenen SMB-Ports abgescannt.

Über das Firewall-Protokoll der OPNsense wollte ich nun den Verdächtigen in meinem Netzwerk ausfindig machen.
So wie es scheint ist aber die OPNsense selbst der Verursacher.


Woher stammen diese Anfragen??

15

German - Deutsch / DHCP-Server und DHCP-Relay parallel nutzen

« on: August 11, 2021, 09:11:35 am »

Hi,

ich habe eine Reihe von VLANs eingerichtet.
Für einen Teil der VLANs soll der DHCP-Server der OPNsense genutzt werden.
Für bestimmte VLANs sollen DHCP-Anfragen aber an jeweils verschiedene andere DHCP-Server weitergeleitet werden.

Leider scheint es in der Default-Konfiguration nicht möglich zu sein den internen DHCP-Server und die Relay-Funktion simultan zu betreiben.

Gibt es für mein Anliegen hier dennoch einen Weg?