"Recent posts
#1
German - Deutsch / Re: Caddy + ACME Client mit HT...
Last post by viragomann - Today at 10:51:57 PMQuote from: Monviech (Cedrik) on Today at 09:33:49 PMCaddy braucht kein Acme Client Plugin, es macht Acme selber mit einem eingebauten client (certmagic).Gelesen hatte ich den Absatz, so verstanden aber nicht. :-/
Quote from: Monviech (Cedrik) on Today at 09:33:49 PM/well-known wird reserviert, aber wenn du z.B. http domains reverse proxiest, werden alle Pfade durchgereicht. Hier ein beispiel:Eben genau dieses hätte ich gedacht, müsste konfiguriert werden, damit Caddy die HTTP-01 Challenge durchreicht. Und daher hatte ich angenommen, dass er es sonst nicht tut.
https://docs.opnsense.org/manual/how-tos/caddy.html#redirect-acme-http-01-challenge
Quote from: Monviech (Cedrik) on Today at 09:33:49 PMIm Grunde benötigt man eigendlich /nie/ das http frontendIch nutze jedoch HTTP, bspw. für Audio-Streams. Muss ich dann nur diese Domains für HTTP konfigurieren und http-Anfragen auf andere Domains werden automatisch auf https umgeleitet?
Quote from: Monviech (Cedrik) on Today at 09:33:49 PMDas Acme sh script plugin (Also os-acme-client) benutzt PF Anchors um einen upper port in der firewall zu öffnen und darüber die challenge zu machen. Das ist ein anderer mechanismus. Die HTTP01 challenge kann auch über einen anderen port als 80 erfolgen.Ja, so etwas hatte ich schon vermutet. Jedoch zeigte pcap Port 80 Zugriffe von LE, weswegen ich angenommen hatte, dass Caddy diese handeln müsste.
Quote from: Monviech (Cedrik) on Today at 09:33:49 PMIch denke hier werden ein paar Konzepte miteinander vermischt und das ergibt Verwunderung.Und die hält immer noch an...
Ich muss also ins kalte Wasser springen, auch sämtliche https Domains auf Coddy einrichten und dann schauen, was passiert.
Werden die Zertifikate von Coddy eigentlich auch im Trust Store von OPNsense abgelegt, so dass man dies auch verifizieren kann?
#2
German - Deutsch / Re: Caddy + ACME Client mit HT...
Last post by Monviech (Cedrik) - Today at 09:33:49 PMCaddy braucht kein Acme Client Plugin, es macht Acme selber mit einem eingebauten client (certmagic). Das benötigt port 80 und 443 offen auf WAN mit target This Firewall. Caddy kann mit mehreren challenge typen Zertifikate erlangen (je nach Konfiguration 3 verschiedene Challenges zu 2 default ACME Providern).
/well-known wird reserviert, aber wenn du z.B. http domains reverse proxiest, werden alle Pfade durchgereicht. Hier ein beispiel:
https://docs.opnsense.org/manual/how-tos/caddy.html#redirect-acme-http-01-challenge
https://github.com/opnsense/plugins/blob/d3cbedaa8e405a72fc8317d0b4d4aed9c96a63c3/www/caddy/src/opnsense/service/templates/OPNsense/Caddy/Caddyfile#L268
Das oben zeigt ganz klar was passieren würde wenn man einen handle / auf eine http domain setzt, auch der http01 pfad wird nach hinten durchgereicht. Da wird für die selbe Domain nichts reserviert.
Im Grunde benötigt man eigendlich /nie/ das http frontend, mit dem https frontend pro domain macht Caddy schon eine automatische weiterleitung und reserviert sich /well-known/.... für sich selbst.
-------
Das Acme sh script plugin (Also os-acme-client) benutzt PF Anchors um einen upper port in der firewall zu öffnen und darüber die challenge zu machen. Das ist ein anderer mechanismus. Die HTTP01 challenge kann auch über einen anderen port als 80 erfolgen.
Ich denke hier werden ein paar Konzepte miteinander vermischt und das ergibt Verwunderung.
/well-known wird reserviert, aber wenn du z.B. http domains reverse proxiest, werden alle Pfade durchgereicht. Hier ein beispiel:
https://docs.opnsense.org/manual/how-tos/caddy.html#redirect-acme-http-01-challenge
https://github.com/opnsense/plugins/blob/d3cbedaa8e405a72fc8317d0b4d4aed9c96a63c3/www/caddy/src/opnsense/service/templates/OPNsense/Caddy/Caddyfile#L268
Das oben zeigt ganz klar was passieren würde wenn man einen handle / auf eine http domain setzt, auch der http01 pfad wird nach hinten durchgereicht. Da wird für die selbe Domain nichts reserviert.
Im Grunde benötigt man eigendlich /nie/ das http frontend, mit dem https frontend pro domain macht Caddy schon eine automatische weiterleitung und reserviert sich /well-known/.... für sich selbst.
-------
Das Acme sh script plugin (Also os-acme-client) benutzt PF Anchors um einen upper port in der firewall zu öffnen und darüber die challenge zu machen. Das ist ein anderer mechanismus. Die HTTP01 challenge kann auch über einen anderen port als 80 erfolgen.
Ich denke hier werden ein paar Konzepte miteinander vermischt und das ergibt Verwunderung.
#3
German - Deutsch / Re: Caddy + ACME Client mit HT...
Last post by viragomann - Today at 08:53:16 PMEs gab nun einen Erfolg.
Ich hatte das ACME Client Plugin nicht aktiviert gehabt. Ich hatte gedacht, dass dies für den Testmodus nicht nötig wäre. Ich hatte ACME schon auf zwei anderen OPNsense Instanzen eingerichtet, doch hier wohl erstmalig die Test CA verwendet, was auch gut war. :-/
Muss sagen, das Fehlerbild dieser Misskonfiguration ist aber ziemlich seltsam. Warum da Let's Encrypt keine Antwort bekommt, eine andere Quelle aber schon...?
Und warum der ACME-Client dennoch Let's Encrypt kontaktiert hatte?
Dann hatte ich in meiner Verzweiflung noch für den letzten Test einen Reverse-Proxy Handler mit meinem Backend-Webserver hinzugefügt. Damit hatte ACME auch nicht funktioniert. Ich musste ihn wieder entfernen.
Warum eigentlich? Sollte Caddy nicht den "/.well-known/acme-challenge/" Pfad automatisch umleiten?
Ich hatte das ACME Client Plugin nicht aktiviert gehabt. Ich hatte gedacht, dass dies für den Testmodus nicht nötig wäre. Ich hatte ACME schon auf zwei anderen OPNsense Instanzen eingerichtet, doch hier wohl erstmalig die Test CA verwendet, was auch gut war. :-/
Muss sagen, das Fehlerbild dieser Misskonfiguration ist aber ziemlich seltsam. Warum da Let's Encrypt keine Antwort bekommt, eine andere Quelle aber schon...?
Und warum der ACME-Client dennoch Let's Encrypt kontaktiert hatte?
Dann hatte ich in meiner Verzweiflung noch für den letzten Test einen Reverse-Proxy Handler mit meinem Backend-Webserver hinzugefügt. Damit hatte ACME auch nicht funktioniert. Ich musste ihn wieder entfernen.
Warum eigentlich? Sollte Caddy nicht den "/.well-known/acme-challenge/" Pfad automatisch umleiten?
#4
25.7, 25.10 Series / Re: Unbound DNS Questions
Last post by spetrillo - Today at 08:22:01 PMOne thing I did see between two servers on the same subnet.
If you run resolvectl status on one server it returns the following:
Global
Protocols: -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub
Link 2 (ens160)
Current Scopes: DNS
Protocols: +DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
Current DNS Server: 10.0.3.1
DNS Servers: 10.0.3.1
DNS Domain: regulatoryintelligence.com rics.prod
If you run it on the second server it returns the following:
Global
Protocols: -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub
Link 2 (ens33)
Current Scopes: DNS
Protocols: +DefaultRoute -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
Current DNS Server: 10.0.2.1
DNS Servers: 10.0.2.1
DNS Domain: rics.prod regulatoryintelligence.com
As an additional question why is the domain order different between these servers?
If you run resolvectl status on one server it returns the following:
Global
Protocols: -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub
Link 2 (ens160)
Current Scopes: DNS
Protocols: +DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
Current DNS Server: 10.0.3.1
DNS Servers: 10.0.3.1
DNS Domain: regulatoryintelligence.com rics.prod
If you run it on the second server it returns the following:
Global
Protocols: -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub
Link 2 (ens33)
Current Scopes: DNS
Protocols: +DefaultRoute -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
Current DNS Server: 10.0.2.1
DNS Servers: 10.0.2.1
DNS Domain: rics.prod regulatoryintelligence.com
As an additional question why is the domain order different between these servers?
#5
25.7, 25.10 Series / Unbound DNS Questions
Last post by spetrillo - Today at 08:16:59 PMHello all,
I am running Unbound as my DNS server. I have a server who's resolv.conf is setup as:
nameserver 127.0.0.53
options edns0 trust-ad
search rics.prod regulatoryintelligence.com
The hosts file is setup as:
10.0.2.21 app1.rics.prod app1
When I run nslookup app1 it responds as:
Server: 127.0.0.53
Address: 127.0.0.53#53
Name: app1.rics.prod
Address: 10.0.2.21
Why am I not seeing my Unbound server in the server or address section? Should I not see this, since Unbound is the only DNS server? Am I misconfigured?
Thanks,
Steve
I am running Unbound as my DNS server. I have a server who's resolv.conf is setup as:
nameserver 127.0.0.53
options edns0 trust-ad
search rics.prod regulatoryintelligence.com
The hosts file is setup as:
10.0.2.21 app1.rics.prod app1
When I run nslookup app1 it responds as:
Server: 127.0.0.53
Address: 127.0.0.53#53
Name: app1.rics.prod
Address: 10.0.2.21
Why am I not seeing my Unbound server in the server or address section? Should I not see this, since Unbound is the only DNS server? Am I misconfigured?
Thanks,
Steve
#6
German - Deutsch / Re: Caddy + ACME Client mit HT...
Last post by Monviech (Cedrik) - Today at 06:35:12 PMDa ist irgendwas falsch konfiguriert. Mache alles so wie in der Anleitung:
https://docs.opnsense.org/manual/how-tos/caddy.html#prepare-opnsense-for-caddy-after-installation
Ich vermute es fehlte eine Firewallregel die Port 80 erlaubt.
Aber Caddy ist sehr Fehlertolerant und würde auch port 443 nehmen für TLS-ALPN
https://caddyserver.com/docs/automatic-https#errors
Wenn beides nicht geht gehe ich stark von einer policy based routing oder geoblocking Regel aus, oder einer Port Forward Regel (auf dem WAN zb) die Anfragen umleitet.
https://docs.opnsense.org/manual/how-tos/caddy.html#prepare-opnsense-for-caddy-after-installation
Ich vermute es fehlte eine Firewallregel die Port 80 erlaubt.
Aber Caddy ist sehr Fehlertolerant und würde auch port 443 nehmen für TLS-ALPN
https://caddyserver.com/docs/automatic-https#errors
Wenn beides nicht geht gehe ich stark von einer policy based routing oder geoblocking Regel aus, oder einer Port Forward Regel (auf dem WAN zb) die Anfragen umleitet.
#7
25.7, 25.10 Series / OPENVPN Export Archive 0 bytes
Last post by myksto - Today at 05:03:28 PMI posted this thread in another section but maybe I should have posted it here.
Well, OPNsense 25.7.10-amd64
Today I tried to export OpenVPN in archive mode in: VPN -> OpenVPN -> Client Export but every user I try to export is a 0 byte zip file.
How can I solve this?
If I export using other options (File Only, Viscosity, ecc.) everything is ok.
Thanks,
Michele.
Well, OPNsense 25.7.10-amd64
Today I tried to export OpenVPN in archive mode in: VPN -> OpenVPN -> Client Export but every user I try to export is a 0 byte zip file.
How can I solve this?
If I export using other options (File Only, Viscosity, ecc.) everything is ok.
Thanks,
Michele.
#8
25.7, 25.10 Series / Re: Interface IGC2 always down...
Last post by myksto - Today at 04:59:00 PMQuote from: patient0 on August 25, 2025, 05:19:33 PMI would switch to another port if you have any unused ones. Or if none unused are available, switch two ports. If the issue moves to the new port, then it would indicate an issue with the cable or the switch port. Changing the switch port could help, too. Or set the speed from automatic to a fixed speed. If the issue stays with the physical port then it the port may have an issue.Sorry for this answer posted so late.
I changed the switch and now everything is ok.
Thanks a lot,
Michele.
#9
Virtual private networks / Tailscale direct connection
Last post by viktri - Today at 03:58:06 PMI'm trying to migrate over from pfsense to opnsense and I am trying to get the VPNs to work. Basically what I do is at every router that has a pfsense box, I'll add a parallel opnsense router. Once I am able to connect my opnsense routers together successfully, I can just plug the switches into the opnsense routers.
So I followed a combination of reddit + Tailscale's opnsense guide to get Tailscale working on Site A. I am able to get a direct connection.
NAT
Rules
tailscale: pass everything
However, on site B, I was not able to get a direct connection. I did the same as above and I was able to get Tailscale to work but no direct connection. I tried the NAT-PMP and Universal Plug and Play and that did not work. On Site B, pfsense has Tailscale working. I asked the LLMs why Tailscale might work on pfsense but not opnsense and it explained something about opnsense having hard NAT while pfsense has easy NAT. Can anyone explain what I might be doing wrong or if there really is a different in the way that pfsense/opnsense do NAT so that it might be impossible for me to get a direct Tailscale connection?
So I followed a combination of reddit + Tailscale's opnsense guide to get Tailscale working on Site A. I am able to get a direct connection.
NAT
- from reddit: interface: tailscale, source: LAN net, NAT address: tailscale address, static port: no
- from Tailscale docs: interface: WAN, source: LAN net, NAT address: interface address, static port: Yes (do this for ipv4 and ipv6)
Rules
tailscale: pass everything
However, on site B, I was not able to get a direct connection. I did the same as above and I was able to get Tailscale to work but no direct connection. I tried the NAT-PMP and Universal Plug and Play and that did not work. On Site B, pfsense has Tailscale working. I asked the LLMs why Tailscale might work on pfsense but not opnsense and it explained something about opnsense having hard NAT while pfsense has easy NAT. Can anyone explain what I might be doing wrong or if there really is a different in the way that pfsense/opnsense do NAT so that it might be impossible for me to get a direct Tailscale connection?
#10
General Discussion / Re: Console Access/Protectli V...
Last post by OPNenthu - Today at 03:09:45 PMI have the V1410 (same family) but no current issues with serial console. In earlier releases (24.7 or early 25.1) there was an issue with a FreeBSD update that broke serial on these devices and a tunable was needed, but that was reverted I think. I'm not using any tunable work-around currently. Protectli also recently released a coreboot v0.9.4 update that addresses it.
For me, enabling the VGA Console caused failure to boot. Maybe I would need to reinstall OPNsense from the VGA image for that, but in any case I have it off. The other relevant settings look the same.
FWIW, I use PuTTY but screen also works.
EDIT: the tunable that needed to be set then was hint.uart.0.at="isa"
For me, enabling the VGA Console caused failure to boot. Maybe I would need to reinstall OPNsense from the VGA image for that, but in any case I have it off. The other relevant settings look the same.
FWIW, I use PuTTY but screen also works.
EDIT: the tunable that needed to be set then was hint.uart.0.at="isa"
