Recent posts

#1
German - Deutsch / Re: [Solved]Frage zu LE-Zertif...
Last post by white_rabbit - Today at 01:35:20 PM
Hi.
Quote from: meyergru on Today at 01:19:05 PMWenn Du mit HAproxy als Reverse Proxy arbeitest, macht der doch die TLS-Terminierung inkl. der Beantragung der ACME-Zertifikate?
Ja, das macht der HAProxy auch -- und eigentlich funktioniert das auch. Allerdings haben wir hier zusätzlich auf dem unbound diverse Domain-/IP-Überschreibungen. Wenn ich mich richtig erinnere, hat das immer wieder Ärger gemacht, wenn dann das Zertifiktat nicht direkt auf dem Host war. Für die DMZ bin ich mir da gerade nicht sicher aber bei anderen Servern (einer davon ist nochmal wie weiter oben schon vermutet hinter einem Router), musste ich das Zertifikat dann leider immer lokal übertragen. Wie gesagt: Es ist sehr gut möglich, dass das viel eleganter geht.
In diesem Fall war es auch so, dass sich der Webserver nicht so pingelig angestellt hat wie openssl/curl.


Diese Seite hat mir übrigens weitergeholfen ... vielleicht auch für andere hilfreich:
https://linuxconfig.org/testing-https-client-using-openssl-to-simulate-a-server
#2
German - Deutsch / Re: [Solved]Frage zu LE-Zertif...
Last post by meyergru - Today at 01:19:05 PM
Was ich nicht ganz kapiere: Was musst Du den Containern beibringen?

Wenn Du mit HAproxy als Reverse Proxy arbeitest, macht der doch die TLS-Terminierung inkl. der Beantragung der ACME-Zertifikate?

Wozu dann also Zertifikate auf den Backends? Wenn das wegen TLS-Verschlüsselung benötigt wird, mache ich das genauso wie Viragomann, nämlich mit eigener CA, wodurch das Gezauber mit Übertragung von Zertifikaten vermieden wird. Andererseits ist das oft gar nicht notwendig, z.B. weil die Backends in einer DMZ eingesperrt sind, auf die sonst nichts Zugriff hat. Deswegen arbeite ich auf den Backends meist unverschlüsselt.

Aufgrund der Level 7 Übersetzung im Proxy muss man ja die Client-Infos sowieso per Header übertragen, dann hat man auch die richtigen Infos über eingesetzte Mechanismen usw. für die Backend-Protokollierung.
#3
Glad to hear it helped you:)
#4
German - Deutsch / Re: Frage zu LE-Zertifikaten (...
Last post by white_rabbit - Today at 12:27:18 PM
Hallo.
Danke für die Tipps. Ich wollte eigentlich schon länger auf caddy als reverse Proxy wechseln -- komme aber im Moment nicht dazu. HAProxy finde ich (leider) recht unübersichtlich. Aber das eigentliche Problem steckte hier tatsächlich in dem verwendeten Zertifikat auf dem Server. Da es sich dort um zwei Installationen (LXC- bzw docker) handelte, war die Einstellung ziemlich versteckt. Ich musste den Containern beibrigen, dass sie die fullchain.cer nehmen sollen. Seitdem hat curl funktioniert und die Verbindung kam zustande.
Dennoch danke für's Mitdenken.
#5
German - Deutsch / Re: Frage zu LE-Zertifikaten (...
Last post by viragomann - Today at 12:00:07 PM
Hallo,

Quote from: white_rabbit on Today at 08:00:02 AMEs ist so, dass bei uns die OPNSense zusammen mit HAProxy als reverse Proxy dient. Der ACME-Client erneuert für unterschiedliche Server die LE-Zertifikate regelmäßig direkt auf der OPNSense.

Nun ist es aber so, dass ich diese Zertifikate auch herunterlade (und zwar: firewall:/var/etc/acme-client/cert-home/$id/$hosts/fullchain.cer !!) und lokal direkt auf die Server verteile, damit man auch lokal bzw im Intranet damit arbeiten kann.
Andere Herangehensweise:
Ich verwende ebenfalls HAproxy, tlw. mit LE Zertifikaten vom ACME Client, und ebenfalls TLS Verbindungen zu den Backends. Allerdings habe ich auf diesen Zertifikate von einer internen CA auf OPNsense installiert.

Ich verwende hierfür kein Split-DNS, so dass die Hostnamen auf die auf WAN-IP aufgelöst werden. So laufen interne Verbindungen ebenfalls über HAproxy und die Clients bekommen das passende Zertifikat.

Wenn du allerdings einen Router davor geschaltet hast, müsstest du dennoch DNS Overrides konfigurieren, aber diese eben auf die OPNsense WAN setzen.

Grüße
#6
General Discussion / Re: newbie trying to set up ne...
Last post by Nullman - Today at 10:58:25 AM
Quote from: lumilumi on Today at 06:06:13 AMin all honesty - is there anyone around who has used something like this method before that would be willing to walk me through it?
Not only i use it every day for the last 12 years, i implemented such solutions to a lot of people. And they use it for many years not even thinking about it.
Quote from: lumilumi on Today at 06:06:13 AMis it complicated for a networking newbie?
Its not complicated. Once you figure out how to configure interfaces in opnsense, you are pretty much set. How are you going to configure your access point depends on what that device actually is.
Quote from: lumilumi on Today at 06:06:13 AMI have already set up opensense box on a mini pc (and gone through some of the settings / watched many tutorials / learned a lot about networks)
In this case, the most complicated part for a newbie would be configuring additional port on opnsense to work on a different subnet. Once you do that, you just attach access point to that port, and you are done.
Quote from: lumilumi on Today at 06:06:13 AMI have just never worked through using a wireless access point (I feel so old fashioned, lol)
Its because there are endless ways on how you can do this. Not all of them are correct though. Especially if security and performance are your priority. Just because some solution works doesnt mean its implemented correctly.
Quote from: keeka on Today at 08:00:03 AMMuch of it is new to me also but in my unqualified opinion an opnsense router coupled with openwrt access point(s) is an appealing combo for a home user. You are able to re-purpose your existing gear or buy cost effective secondhand and there is ample documentation on both. I have a couple of meraki units, running openwrt in 'dumb AP mode', connected via a small managed switch.
Repurposing your old gear is nice if your gear comes from reputable manufacturer that does things correctly,. OpenWRT is great. I love it. However, running OpenWRT on TP-Link is not the same as running it on Cisco Meraki. TP-Link has critical flaws in its hardware and how it handles its port during device booting. Cisco Meraki has no such issues. And lets not even go into build quality and internal hardware choices.

Quote from: keeka on Today at 08:00:03 AMYou can in theory connect the APs directly to the opnsense box, but this can lead to interface issues on the router side. Check out the openwrt guides for access point only mode. Then consult the docs here for opnsense vlans.
You just need to make sure that your wireless device is working in AP mode. Avoid running wireless devices in router mode because then you have NAT and additional DHCP server which are not needed in this case.
#7
26.1, 26,4 Series / Re: udpbroadcastrelay do not s...
Last post by meyergru - Today at 10:54:09 AM
It seems that this problem still exists. When I want to start the daemon, I get the same bug when I try to forward WoL packets.

I found that "/usr/local/etc/rc.d/os-udpbroadcastrelay start" starts this internally:

# /usr/local/sbin/udpbroadcastrelay --id 3 --dev ix1_vlan4 --dev ix1_vlan10 --port 9 --multicast 255.255.255.255 -f -d
udpbroadcastrelay v1.3.00 built on Jan 14 2026 03:29:25
Debugging Mode enabled
ID set to 3
Port set to 9
Forking Mode enabled
ID: 3 (DSCP: 3, ToS: 0x0c), Port 9
ix1_vlan4: 26 / 192.168.4.1 / 192.168.4.255
ix1_vlan10: 25 / 192.168.10.2 / 192.168.10.255
found 2 interfaces total
IP_ADD_MEMBERSHIP:              192.168.4.1 255.255.255.255
IP_ADD_MEMBERSHIP on rcv: Invalid argument

For me, this affects the daemon as well.
#8
26.1, 26,4 Series / Re: ISC DHCP static mappings a...
Last post by dieter42 - Today at 10:16:01 AM
I haven't marked the checkbox per interface.
Maybe that's the reason i haven't stumbled across the according note :-(

Instead i marked the checkbox per mapping.
Assume same clue is applicable here ..

Thanks a lot fort your fast feedback!
#9
26.1, 26,4 Series / Re: ISC DHCP static mappings a...
Last post by dseven - Today at 10:00:24 AM
There's a clue in the help text for that option: "Warning: This option persists even if DHCP server is disabled. Only the machines listed below will be able to communicate with the firewall on this NIC."
#10
General Discussion / Re: newbie trying to set up ne...
Last post by keeka - Today at 09:10:18 AM
With hardware/driver support limiting what you can do with wifi on opnsense, and concerns you have about wireless access point security, physically separate devices would seem the best choice for you. That or no wireless network.