Topics

1

German - Deutsch / Port 80 nicht von extern erreichbar bei Multi-WAN

« on: May 22, 2022, 06:48:47 pm »

Liebe Firewaller,

seit Kurzem bin ich ja auch ein OPNsense-Freund, aber ich habe immer noch ein paar Schwierigkeiten.

Ich habe zwei WAN-Interfaces in Failover-Konstellation, sagen wir A und B. Gateway A wird mir als "active" angezeigt, denn offensichtlich ist das standardmäßig die ausgehende Verbindung für die OPNsense.

Allerdings sind meine Webdomains per DNS-Eintrag auf die öffentlichen IPs gelegt, die zu Gateway B führen. Das NAT zum Webserver hinter meiner Firewall funktioniert wunderbar.

Jetzt wollte ich Let's Encrypt-Zertifikate auf der OPNsense erstellen. Ziel ist den Webserver auf der OPNsense zu betreiben (ohne NAT).
Leider ist von außen der Port 80 auf der WAN-Gateway-Adresse B nicht erreichbar sondern immer nur auf dem active Gateway.
Let's Encrypt kann also die angefragten Zertifikate nicht erstellen, weil es die Webdomains versucht, gemäß DNS-Eintrag über Gateway B zu verifizieren.

Wie bekomme ich also den Port 80 auf beiden WAN-Schnittstellen gleichzeitig erreichbar?

Danke im Voraus für Eure Unterstützung!

2

German - Deutsch / Aktualisierung Business Edition 21.4 - certificate verification failed

« on: May 11, 2022, 05:09:33 pm »

Mein erster Post in diesem Forum. 
Seit kurzem betreibe ich eine OPNsense auf einer Landitec Appliance, gekauft mit einer vorinstallierten BE-Version 21.4.

Leider wurde mir der Token für die Subsciption nicht mitgeteilt, und ich wusste gar nicht, dass ich den eintragen muss. Deshalb konnte ich auch nicht auf den Mirror von Deciso (commercial) zugreifen.

Ich habe mir also schon ein paar Erweiterungen von einem anderen Mirror installiert, z.B. nginx, postfix, acme-client usw.

Jetzt habe ich den Token, aber wenn ich jetzt auf "Aktualisieren" klicke, bekomme ich folgendes Log:

***GOT REQUEST TO CHECK FOR UPDATES***
Fetching changelog information, please wait... Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
3675274227712:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
fetch: https://opnsense-update.deciso.com/77b0df81-48bd-4abd-8918-f443aba794e0/FreeBSD:12:amd64/21.1/sets/changelog.txz.sig: Authentication error
Updating OPNsense repository catalogue...
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
966911889408:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
966911889408:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
966911889408:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
966911889408:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
966911889408:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
966911889408:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
pkg: https://opnsense-update.deciso.com/77b0df81-48bd-4abd-8918-f443aba794e0/FreeBSD:12:amd64/21.1/latest/meta.txz: Authentication error
repository OPNsense has no meta file, using default settings
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
966911889408:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
966911889408:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
966911889408:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
pkg: https://opnsense-update.deciso.com/77b0df81-48bd-4abd-8918-f443aba794e0/FreeBSD:12:amd64/21.1/latest/packagesite.txz: Authentication error
Unable to update repository OPNsense
Error updating repositories!
pkg: Repository OPNsense cannot be opened. 'pkg update' required
Checking integrity... done (0 conflicting)
Your packages are up to date.
***DONE***

Die Mirror-Adresse, die ich gar nicht ändern kann, lautet seltsamerweise: https://opnsense-update.deciso.com/subscription-key/FreeBSD:12:amd64/21.1

Was Zertifikate angeht: Bei der vorinstallierten OPNsense war das Zertifikat "Web GUI TLS certificate" doppelt vorhanden. Eins davon habe ich gelöscht, nachdem ich selbst eine CA und ein neues eigenes Zertifikat für die Web GUI erstellt habe. Das verbliebene Web GUI TLS certificate ist m.E. unbenutzt.
Ansonsten habe ich noch eine separate eigene CA für meinen Proxy, und der ACME-Client hat mir noch die R3 CA von Let's encrypt dazugelegt.

Wo liegt nun das Problem mit den Aktualisierungen und dem Abruf der verfügbaren Erweiterungen auf dem Deciso-Mirror? Wäre nett, wenn mir da jemand helfen kann.