OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • Profile of pleibling »
  • Show Posts »
  • Messages
  • Profile Info
    • Summary
    • Show Stats
    • Show Posts...
      • Messages
      • Topics
      • Attachments

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

  • Messages
  • Topics
  • Attachments

Messages - pleibling

Pages: 1 [2] 3 4 ... 8
16
German - Deutsch / Solved: Caddy und ACME OPNsense WebUI
« on: May 13, 2024, 09:38:12 pm »
Hallo,

ich habe Caddy am laufen mit einigen Domains, was auch wunderbar funktioniert. Zuvor hatte ich all-inkl als DNS anbieter und konnte da den ACME Client für das OPNsense WebUI über DNS Challenge aktualisieren, was ebenfalls prima funktionierte.

Nun musste ich jedoch von All Inkl zu Netcup wechseln - die unterstützen leider keinen DNS Challenge, nun muss ich wieder zum HTTP Challenge zurück und habe da meine Probleme.

Ich hatte gehört, das Caddy nun auch ACME Clientd "durchlassen" kann und nicht selber behandelt.

Das wollte ich gerade mal testen - habe laut der Doku (https://docs.opnsense.org/manual/how-tos/caddy.html#redirect-acme-http-01-challenge) konfiguriert.

Hintergrund ist, das ich gerne von meiner OPNsene ein HTTPS Zertifkat nutzen kann. Dazu dachte ich mir, das ich dann gemäß der Anleitung oben einrichte, habe wie in der Anleitung verstanden und den Bildern angegeben eingerichtet - als IP verwende ich 192.168.177.62 (das ist das WAN Interface zu der Fritzbox mit einem Transitnetzwerk - da ich nicht direkt einwähle sondern ein Netz hinter der Fritzbox nutze). Vor Caddy hatte alles mit dem ACME Client geklappt, habe aber gerade erst gesehen, das die Zertifikate kurz vor dem ablaufen sind.

Könnt ihr einen Fehler sehen, oder stelle ich es mir zu schwer vor und es geht viel einfacher?

Wäre Klasse, wenn ihr mir weiterhelfen könntest.

Ich habe mal die Screenshots der Konfiguration von Caddy angehangen.

Danke für eure Unterstützung :).

17
German - Deutsch / Re: IPv6 - komplexeres Setup (zumindest für mich)
« on: April 27, 2024, 04:34:56 pm »
Logs aus der Fritzbox:

18
German - Deutsch / Re: IPv6 - komplexeres Setup (zumindest für mich)
« on: April 27, 2024, 04:31:55 pm »
Mittlerweile habe ich gesehen, das die Pakete sowohl über die OPNsense WAN Interface geht (tcpdump -i igb9 -vv ip6) und auch auf dem DTrace der Fritzbox, das diese Pakete ankommen. Somit liegt der Fehler vermutlich in der Fritzbox (besser gesagt in der Konfiguration die ich vorgenommen habe).

Sehe ich das richtig? Habt ihr noch ideen?

19
German - Deutsch / Re: IPv6 - komplexeres Setup (zumindest für mich)
« on: April 26, 2024, 03:37:53 pm »
Ich komme irgendwie nicht weiter. Es scheint alles richtig zu sein, auf der OPNsense werde ich auch ins Internet gelassen - aber anscheinend kommen die Pakete nicht über die Fritzbox.

Die Einstellungen sind laut AVM Anleitungen jedoch richtig - ich habe mal für mich eine Doku erstellt, dort habe ich ALLE Einstellungen dokumentiert (OPNsense und Fritzbox). Könnt ihr mal schauen, ob ich was falsch gemacht habe? Ggf. mit eurer funktionierenden Konfiguration vergleichen?

Danke für eure Unterstützung.

P.s.: Ich werde diese Anleitung noch anpassen und danach veröffentlichen, vielleicht kann diese ja dem einen oder anderen weiterhelfen und als guter Leitfaden dienen.

20
German - Deutsch / Re: IPv6 - Netze aktualisieren nach Zwangstrennung
« on: April 26, 2024, 03:12:29 pm »
Danke für deine Unterstützung.

Fehler Nummer eins war, das irgendwelche Einstellungen immer erst DHCPv6 hinderten am Start.

Habe dann alles mit IPv6 raus gemacht.

In der Fritzbox wurde mir dann folgendes angezeigt:

Verwendete IPv6 Präfixe:
Heimnetz-/-
Gastnetz-/-
WAN2002:d454:fb61:8000::/64
Delegiert2002:d454:fb61:f0::/60
Delegiert2002:d454:fb61:ef::/64

Habe dann in den WAN Einstellungen auf der Sense bei  Prefix delegation size ebenfalls 60 eingestellt und dann die LAN Interface nach und nach aktiviert und eingerichtet (mit fortlaufender Präfix ID) und siehe da - jedes Interface bekommt nun ein eigenes /64 Netzwerk zugeordnet.

Sieht also alles gut aus.

Danke für deine Hilfe.

21
German - Deutsch / Re: IPv6 - Netze aktualisieren nach Zwangstrennung
« on: April 24, 2024, 11:04:57 am »
Danke für deine Unterstützung.

Die anderen Interfaces sind die "internen" LAN Interface der OPNsense (IOT, Server, Default, Work, Security usw.).

Die Adresse ändert sich schon - zumindest der Netzwerkanteil - nicht der Hostanteil (habe eine dynamische Adresse). Gleich bleiben würde die gesamte Adresse nur bei einer Local, das nutze ich aber laut Empfehlung hier aus dem Forum nicht (was mir auch lieber ist, da weniger Administration).

Der aktuelle Präfix wird mir auf der DHCPv6 Seite angezeigt und einmal die komplette Adresse in der Overwiew bei den Interfaces, vielleicht hilft dir das ja weiter.

Das Problem warum die Adresse nun nicht mehr funktionieren, könnte mit dem DHCPv6 zusammenhängen - der startet auf einmal nicht mehr, womöglich blockiert das die Adressen auf den anderen Interfaces. Ich suche jetzt erst mal in den logs. was nun nicht mehr funktioniert und versuche das zu beheben - hoffentlich funktioniert dann wieder alles wie vorher.

Danke für eure Unterstützung - ich halte euch auf dem laufenden :).

22
German - Deutsch / Re: IPv6 - Netze aktualisieren nach Zwangstrennung
« on: April 23, 2024, 01:09:41 pm »
Hallo, sorry - hatte vergessen das zu schreiben, diese sind auf Track Interface und WAN gestellt. Zuvor hatte auch alles funktioniert (habe aber auch erst gestern mit dem IPv6 testen angefangen) - ich musste nur heute Morgen die Fritzbox neu starten, seit dem an nicht mehr. Auch nicht nach erneutem Neustart Fritzbox / Neustart OPNsense / Fritzbox + OPNsense.

Danke auch für deine / eure Unterstützung.

23
German - Deutsch / IPv6 - Netze aktualisieren nach Zwangstrennung
« on: April 23, 2024, 08:30:24 am »
Hallo,

ich befasse mich erst seit kurzem mit dem Thema IPv6 und mein Wissen dazu steckt noch in den "Kinderschuhen". Nachdem ich endlich das "meiste" mit IPv6 ans laufen bekommen habe, habe ich jetzt das Problem, das nach der Zwangstrennung zwar mein WAN Interface die "neue" v6 Adresse bekommt, aber nicht die anderen Interfaces - die  "Clients" in den netzen scheinen ihre Adressen zu behalten und können dann zwar noch intern in ihrem Subnetz kommunizieren, aber nicht mehr über die Schnittstellen hinaus, in der Overview bei den Interfaces sehe ich dann, das nur WAN die fe80 UND die "neue" Adresse hat, alle anderen Interfaces haben nur noch ihre fe80 Adressen.

Auch testweise deaktvieren und erneutem aktivieren von IPv6 eines internen Netzes hat nicht geholfen.

24
German - Deutsch / Re: IPv6 - komplexeres Setup (zumindest für mich)
« on: April 23, 2024, 06:47:44 am »
Und wieder einen Schritt weiter, ich vermute mal zumindest das das Problem an der Fritzbox liegt - denn ich habe mal versucht auf einem Webserver in einem anderen Netzsegment bei mir zuhause (beide Subnetze sind auf der OPNsense angelegt) zu erreichen und siehe das - es geht.

Somit funktioniert schon mal IPv6 Netzintern und auch meine Regeln passen (vorerst - müssen natürlich aber noch angepasst und spezifiziert werden) - aber Firewallhygiene steht sowieso noch auf der Agenda, da sich einiges im Netz und auch im RZ geändert hat.

Bisher hatte ich nur gelesen, das dafür die Einstellungen (wie ich so schon oben in dem Screenshot habe) erforderlich wären - nicht mehr benötigt würde. Schade das die Fritzbox nicht so ein komfortabeles Logging hat wie die OPNsense.

Könntet ihr, die ihr eine ähnliche Konstellation mit IPv6 schauen, ob ihr noch was an Einstellungen findet?

Vielleicht hat auch noch jemand anderes eine Idee, ich bin für jede Hilfe dankbar :).

25
German - Deutsch / Re: IPv6 - komplexeres Setup (zumindest für mich)
« on: April 22, 2024, 01:47:19 pm »
Danke auch dir @trixter für deine Hilfe.

In der Tat war vorher die OPNsense "nur" auf IPv4 und v6 war deaktiviert.

Habe mal alle Regeln nachgeschaut, sowohl FLoating, WAN als auch LAN hat keine V6 Deny Regeln - nur in dem Interface LAN habe ich eine wie folgt:

Pass, IPv4+6, Direction IN, Source LAN, Port *, Destination *, Gateway *, Schedule *

Die selbe habe ich auch auf WAN (Source dann natürlich WAN) für IN und OUT

Für ICMP konnte ich nichts finden, beim Ping erhalte ich antwort - aber sehe nichts in den LOGS.

Die HTTPS anfragen scheinen jedoch durch zu gehen (zumindest auf dem LAN Interface) - ich bekomme aber nach einer Zeit den Fehler das die Seite nicht angezeigt werden kann.

Fritzbox Einstellungen habe ich auch noch mal gerade angepasst (Firewall outbound) - brachte aber auch nichts.

P.s.: DEMODATA ist mein "LAN" für Testzwecke.

26
German - Deutsch / Re: IPv6 - komplexeres Setup (zumindest für mich)
« on: April 22, 2024, 10:03:36 am »
Danke für deine Antwort, auf einem Windows Client im LAN segment, wie beschrieben der Ping zu heise funktioniert (siehe Screenshot im anderen Post).

27
German - Deutsch / Re: IPv6 - komplexeres Setup (zumindest für mich)
« on: April 22, 2024, 08:07:06 am »
Ich versuche mal noch ein wenig weiter zu machen.

Derzeit habe ich folgende Ausgangslage:

  • IPv6 wird von Fritzbox bereitgestellt
  • IPv6 kommt auf WAN an
  • IPv6 wird auf das entsprechende interne Interface mit eigenem Präfix aus dem Bereich weitergegeben.
  • IPv6 DHCPv6 ist aktiviert und DNS (IPv6 Adresse des entsprechenden interface, DNS aktiviert auf dem Interface)
  • Es wird kein Gateway angegeben
  • Firewallregel für das interne Interface erlaubt alles outbound IPv4+IPv6
  • Testweise Firewallregel für WAN Interface erlaubt alles (In+Out) outbound IPv4+IPv6
  • Namensauflösung funktioniert (z.B. ping -6 heise.de)
  • Jedoch kann keine Webseite angezeigt werden (z.B. heise.de)

IP Konfiguration auf einem Client (Win 10, nur IPv6 aktiviert) sieht z.B. so aus, wie auf dem Bild.

Während ich bei den Ping in den Logs die Zugriffe sehe (erlaubt), sehe ich bei den Webanfragen nichts - jedoch sehe ich keine besonderen ICMP Regeln (nur eine im Floating, diese jedoch nur für ICMP V4).

Habt ihr eine Idee?

28
German - Deutsch / Re: IPv6 - komplexeres Setup (zumindest für mich)
« on: April 21, 2024, 10:00:49 pm »
Bin scheinbar einen großen Schritt weiter, das Problem war in den Fritzbox Einstellungen zu finden - in der Anleitung der Link funktionierte nicht, aber ich habe den in einem anderen Beitrag gefunden: https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/1239_IPv6-Subnetz-in-FRITZ-Box-einrichten/

Mit den beschriebenen Einstellungen hat es dann geklappt - nun bekomme ich Adressen angezeigt, denn Rest mache ich dann die Tage - für heute ist Schluss.

Danke an euch für eure Unterstützung.

29
German - Deutsch / Re: IPv6 - komplexeres Setup (zumindest für mich)
« on: April 21, 2024, 08:19:26 pm »
Danke für die Tipps. Ich habe mal laut https://docs.opnsense.org/manual/how-tos/ipv6_fb.html auf dem WAN Interface DHCPv6 aktiviert und die Option "Request only an IPv6 Präfix" sowie "Send IPv6 Präfix" aktiviert.

Ich bekomme auf dem WAN dann eine /64 Adresse aus dem zugewiesenem /56 Netz.

Im LAN habe ich dann beim IPv6 configuration Type "Track Interface" mit dem Interface WAN aktiviert mit IPv6 Präfix ID auf 0x0. Aber ich bekomme keine passende IPv6 Adresse aus einem der Bereiche, es ist lediglich die Local Link Adresse vorhanden.

Im LAN Interface habe ich dann Router Advertisement aktiviert und die Punkte wie in dem Beitrag aktiviert:
Assited, Normal, Automatic - Routes Leer.

Jedoch konnte ich nicht DHCP v6 aktivieren für das Interface - wenn ich es aktiviere und bei Range ::1: bis ::1:ffff eingebe (Rest Standard), dann kann ich nicht speichern, es folgt dann die Meldung:

The following input errors were detected:
The specified range lies outside of the current subnet.
The range is unavailable (single host network mask /128 used).

Konfiguration:

Fritzbox:
2002:5cc7:e9e7:8000:3ea6:2fff:fe3d:705f/64
2002:5cc7:e9e7::/56

OPNsense WAN:
2002:5cc7:e9e7:0:20c:29ff:fec1:effd/64
fe80::20c:29ff:fec1:effd/64

OPNsense LAN:
fe80::21a:8cff:fe58:259e/64

Was mache ich falsch?
Danke.

30
German - Deutsch / Re: IPv6 - komplexeres Setup (zumindest für mich)
« on: April 21, 2024, 07:16:01 pm »
@Monviech: Danke für deine Tipps - wenn dem so ist, dann gefällt mir das natürlich besser.

Ist dem auch so, wenn ich vom Provider nur dynamische Adressen bekomme?

Z.b. würde ich com Provider 2a00:1234:dead::/56 bekommen, könnte ich daraus die folgenden subnetze/Server machen:
2a00:1234:dead:50::10/64 (in VLAN 50) sowie
2a00:1234:dead:33::3/64 (VLAN33)

Und später bei einer erneuten Einwahl 2a00:1234:beaf::/56 zugewiesen bekommen und daraus die folgenden subnetze/Adressen machen:
2a00:1234:beaf:50::10/64 (in VLAN 50) sowie
2a00:1234:beaf:33::3/64 (VLAN33)

Und wenn ja, wie mache ich das? Wie bekomme ich auf die einzelnen Netze/Interfaces die Netze passend zum zugewiesenen Netz hin?

Baue ich dann auch die Regeln dazu auf 50::10/64 und 33::3/64?

In der Fritzbox ist das viel einfacher - da einfach SLAAC mit Präfix delegation einstellen, aber bei der OPNsense habe ich mehrere Netze und mehrere Server die "feste Adressen" benötigen.

Mit aktivierten WAN Tracking würde dann die OPNsense ja das gesamte /56 Netz zuweisen, oder? Auch mit der Doku komme ich nicht weiter - nach 5 Stunden IPv6 Videos habe ich zwar einiges an Basics erhalten, aber nicht die Details. Mit der Doku und auf Youtube und mit den Videos komme ich auch nicht weiter.

Danke für eure Unterstützung.

Pages: 1 [2] 3 4 ... 8
OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2