"Recent posts
#21
25.7, 25.10 Series / Re: DNS failures unbound 25.7....
Last post by pftoopn - October 21, 2025, 04:27:06 PMI have GEO IP blocking enabled. Could this be the culprit? I've disabled it just now to see what happens.
#22
25.7, 25.10 Series / ldap through openvpn instead o...
Last post by NeoV00 - October 21, 2025, 03:18:52 PMHi everyone,
After having mostly been a silent reader here for the past few months, I've now run into an issue I can't solve on my own and I'm hoping for your help.
Up until now, my firewall was connected to our data center via an IPSec tunnel, where our domain controller is located. To ensure that traffic from the firewall could reach the DC through the IPSec tunnel, I had configured a static route pointing to the local LAN interface. The connection has been working well over the past few months.
Yesterday, I switched the site-to-site connection from IPSec to OpenVPN. Since then, the communication between the firewall and the domain controller has stopped working, with or without the static route.
The only related entry I can find in the logs is:
LDAP bind error [; Can't contact LDAP server]
My goal is to have the firewall connected to the domain controller in the data center again, so it can use it for VPN user authentication. Right now, however, it seems that the firewall can't reach the DC through the new tunnel.
thanks for your support :)
After having mostly been a silent reader here for the past few months, I've now run into an issue I can't solve on my own and I'm hoping for your help.
Up until now, my firewall was connected to our data center via an IPSec tunnel, where our domain controller is located. To ensure that traffic from the firewall could reach the DC through the IPSec tunnel, I had configured a static route pointing to the local LAN interface. The connection has been working well over the past few months.
Yesterday, I switched the site-to-site connection from IPSec to OpenVPN. Since then, the communication between the firewall and the domain controller has stopped working, with or without the static route.
The only related entry I can find in the logs is:
LDAP bind error [; Can't contact LDAP server]
My goal is to have the firewall connected to the domain controller in the data center again, so it can use it for VPN user authentication. Right now, however, it seems that the firewall can't reach the DC through the new tunnel.
thanks for your support :)
#23
German - Deutsch / Re: [SOLVED] DynamicDNS, Hetzn...
Last post by JeGr - October 21, 2025, 03:07:22 PMQuote from: konrad63897 on October 21, 2025, 12:32:16 PMDas "custom" kann man zwar mit den aktuellen Werten füttern wird aber nicht zum Erfolg führen. Bei der Hetzner API läuft es scheinbar etwas anders, soweit ich verstanden habe muss man erst eine ID abfragen die man dann benötigt um den DNS Eintrag updaten zu können, also mindestens eine zweistufige Abfrage, das leistet der "custom" Eintrag nicht. Der custom geht auf <URI>/nic/update?.... Das kann die Hetzner API nicht interpretieren.
Evtl. kann @meyergru da was aus seinem persönlichen Fundus erzählen, er hat ja schon mit dem DNS gekämpft ;) aber soweit ich das im Hinterkopf hatte war das IMHO so, dass die IDs wenn mal angelegt nicht mehr geändert werden. Somit musst du einmal deine ID für den A/AAAA Record rausholen, aber die ändert sich nicht, die kannst du also dann in den "Custom" Eintrag reinpacken und good2go. ACME ist dann ein anderes Beast wenn da DNS-01 mit dran hängt. Autsch. Allerdings ist zumindest acme.sh eigentlich recht fix, mal DNS Provider zu ändern. Kann man aber nur hoffen.
Ich bin da aber auch mit den letzten Sachen in Punkto "Console" Umstellung, DNS, Mail und Support bei Hetzner weiter eher an dem Punkt, für DNS lieber was Anderes zu nutzen. Keine Werbung - weil kostet nichts - an der Stelle, aber wenn man die Domain via NS Einträgen woanders hin delegiert, sollte das bspw. zu deSEC zu schieben kein Thema sein. Ich hab meinen Kram mit dem ich DDNS & ACME spiele dahin gepackt, weil Verein, Fokus auf OSS, DNSSEC und Kompatibilität und ich habe mit dem Team schon ein zwei kleine Verbesserungen speziell für das Zusammenspiel mit den Sensen eingebaut.
Auch sowas wie v6 Prefix Update ist gerade in der Mache, damit man nicht mehrere v6 DNS Einträge einzeln ändern muss, sondern einmal für mehrere ein neues Prefix schicken kann - Adressbereich bleibt. Da wird viel gearbeitet und ausgebaut was Features angeht. Die machen da nicht nur DynDNS, da kannst du auch mal deine normale Domain sehr vernünftig parken.
Cheers!
#24
General Discussion / Re: fresh install (25.7) unabl...
Last post by nikkon - October 21, 2025, 03:04:35 PMreverting to the old dhcp server fixed the issue. I suspect KEA firewall rules option is the issue.
#25
German - Deutsch / Re: Ändern der kompletten IP-N...
Last post by JeGr - October 21, 2025, 02:57:26 PMQuote from: Tuxtom007 on October 21, 2025, 12:29:12 PMZwar sind /24 komplett übertrieben, in einzelnen VLAN sind nur wenige Geräte drin - Büronetz z.b. nur das Firmennotebook, aber ist mir egal.
Das ist auch nicht falsch, das zu tun. Genauso wie bei IPv6, wo du überall /64 anlegst, auch wenns ggf. nur ne Hand voll Geräte sind. Bei v6 hat es zwar tatsächlich Hardware/technische Gründe, aber im privaten Adressbereich macht es Sinn, das genauso zu handhaben. Prinzip der kleinsten Überraschung (POLS), dann hat man es beim Debugging leichter.
Quote from: Tuxtom007 on October 21, 2025, 12:29:12 PMUnd da ich über das Configfiles alle DCHP-Reservations und Aliase mit geändert habe, sind auch direkt alle Firewall-Regeln aktuell, weil auf Aliasen basieren.So soll das auch sein :)
Quote from: Tuxtom007 on October 21, 2025, 12:29:12 PMIch mache weiterhin so, wie mein aktuelle Netz im 10.0.x.y - Bereich, wobei x = die VLAN-ID ist, nur nehme ich eben jetzt den 172.20.x.y Bereich.
Das würde bei mir eben krachen, weil ich bspw. 172.27.0/1 nutze und da kann ich schlecht VLAN ID 0/1 nehmen ;) Zudem geht man bei VLANs gern aus den Einstelligen/kleinen IDs raus, da da gerne andere Geräte mal reingrätschen. Siehe DSL mit seinem VLAN 7 Geraffel.
Darum war sowas wie 270/271 oder 2700, 2701 einfacher und gibt weniger Fläche für Probleme später.
Aber klar, du machst was für dich passt, sind alles nur Vorschläge und eine Art "best practice" was sich eben über die Zeit als sehr gelegen ergeben hat.
Cheers :)
#26
German - Deutsch / Re: RRset Konflikt (CAA + CNAM...
Last post by JeGr - October 21, 2025, 02:53:07 PMQuote from: meyergru on October 21, 2025, 12:20:10 PMHatte Patrick schon gesagt. Ihr habt Recht, allerdings ist das mit DDNS-Domains oft ein Problem, weil man den DNS nicht vollkommen kontrollieren kann (z.B. nur A- und AAAA-Records eintragen).
Stimmt, wenn Peter und sein Team bei deSec/dedyn nicht genau deshalb ihren Dienst dafür getrimmt hätten ;) Darum wollte ich das nochmal kurz anhängen, sollte es jemand via Suche o.ä. finden, dass das durchaus geht und bei dedyn/deSEC auch kein Thema ist. Die legen da sehr viel Wert drauf, einen sauberen und funktionalen DNS zu haben der DNSSEC bis oben spricht. :)
#27
German - Deutsch / [SOLVED] Re: DynamicDNS, Hetzn...
Last post by konrad63897 - October 21, 2025, 02:19:50 PMDanke für Deine wichtigen und zusätzlichen Infos.
Das habe ich mir schon gedacht das das Ganze ein wenig *intensiver* wird und zeitlich gar nicht zu bewerkstelligen ist bis zum genannten Termin.
Na dann schauen wird doch mal was da auf uns zukommt ...
Danke und Gruß,
Stefan
Das habe ich mir schon gedacht das das Ganze ein wenig *intensiver* wird und zeitlich gar nicht zu bewerkstelligen ist bis zum genannten Termin.
Na dann schauen wird doch mal was da auf uns zukommt ...
Danke und Gruß,
Stefan
#28
25.7, 25.10 Series / Re: N100 corruption on updates...
Last post by sarkyscouser - October 21, 2025, 02:17:01 PMSomething funky is still going on, even between updates.
In the past week I've bought a new m.2 ssd and reinstalled opnsense (ZFS) and all plugins incl adguardhome. New ssd is reported as OK by SMART tests.
Now I'm noticing that even between reboots (no updates) that some of the adguard home config changes I've made since the last reboot are lost.
Not sure that can mean a repo issue?
In the past week I've bought a new m.2 ssd and reinstalled opnsense (ZFS) and all plugins incl adguardhome. New ssd is reported as OK by SMART tests.
Now I'm noticing that even between reboots (no updates) that some of the adguard home config changes I've made since the last reboot are lost.
Not sure that can mean a repo issue?
#29
German - Deutsch / Re: DynamicDNS, Hetzner wechse...
Last post by meyergru - October 21, 2025, 01:57:23 PMDas ist leider nur die Spitze des Eisbergs...
1. Es geht eigentlich nicht um os-ddclient, sondern um ddclient selbst. Der muss erstmal angepasst werden und einen neuen Service-Typ bekommen, ehe man es in os-ddclient integrieren kann und es dann - danach - in OpnSense bekommt.
2. Neben os-ddclient/ddclient ist auch os-acme/acme.sh betroffen, wo die Hetzner-API für DNS-01 challenges verwendet wird.
3. Ab voraussichtlich 10.11.2025 werden in der alten DNS-Console keine neuen Domains mehr akzepiert. Das ist viel zu knapp, um die Tools ddclient und acme.sh zu ändern und in OpnSense zu integrieren.
Siehe:
https://forum.hetzner.com/index.php?thread/32203-neue-dns-verwaltung-in-der-hetzner-console-startet-in-die-beta-phase-new-dns-man/&postID=310247#post310247
https://github.com/ddclient/ddclient/issues/855
Für ACME.sh habe ich noch nichts gemacht, mal sehen, was Hetzner dazu sagt...
1. Es geht eigentlich nicht um os-ddclient, sondern um ddclient selbst. Der muss erstmal angepasst werden und einen neuen Service-Typ bekommen, ehe man es in os-ddclient integrieren kann und es dann - danach - in OpnSense bekommt.
2. Neben os-ddclient/ddclient ist auch os-acme/acme.sh betroffen, wo die Hetzner-API für DNS-01 challenges verwendet wird.
3. Ab voraussichtlich 10.11.2025 werden in der alten DNS-Console keine neuen Domains mehr akzepiert. Das ist viel zu knapp, um die Tools ddclient und acme.sh zu ändern und in OpnSense zu integrieren.
Siehe:
https://forum.hetzner.com/index.php?thread/32203-neue-dns-verwaltung-in-der-hetzner-console-startet-in-die-beta-phase-new-dns-man/&postID=310247#post310247
https://github.com/ddclient/ddclient/issues/855
Für ACME.sh habe ich noch nichts gemacht, mal sehen, was Hetzner dazu sagt...
#30
German - Deutsch / Re: DynamicDNS, Hetzner wechse...
Last post by konrad63897 - October 21, 2025, 01:10:23 PMNachtrag, habe noch was gefunden:
https://github.com/ddclient/ddclient/pull/852
(Added support for new Hetzner Cloud Api)
Weiß jemand wie lange es erfahrungsgemäß dauert bis es so ein Pull letzlich ins Opnsense Repo schafft?
Danke und Gruß,
Stefan
https://github.com/ddclient/ddclient/pull/852
(Added support for new Hetzner Cloud Api)
Weiß jemand wie lange es erfahrungsgemäß dauert bis es so ein Pull letzlich ins Opnsense Repo schafft?
Danke und Gruß,
Stefan
