Startschwierigkeiten mit OPNsense - web gui nicht mehr aufrufbar

[Sylvan86]

Ich betreibe seit vielen Jahren als Router einen Raspberry Pi mit OpenWRT und bin eigentlich ziemlich zufrieden.
Nun wollte ich dennoch mal einen Blick auf opnsense wagen und nutze dafür einen kleinen Mini-PC mit 2 Netzwerkinterfaces.

Mein Einstieg gestaltete sich jedoch - nun ja - eher frustrierend.
Installiert und wollte nun frisch ans Werk das System zu konfigurieren aber habe das Phänomen, dass ich permanent den Zugriff auf das Web-GUI verliere.

Beispiel: IP-Adresse der os vorher: 192.168.0.149
Einzige Änderung die ich durchführe: ändere IP-Adresse auf 192.168.0.2
Ergebnis: Ich komme per ssh auf 192.168.0.2 drauf, ifconfig sagt auch das alles super ist aber die WebGUI ist nicht mehr auf 192.168.0.2 erreichbar (sowohl 443 als auch 80).
Reload der webgui von der Konsole, durchstarten aller services, reboot - alles erfolglos.
Ich muss tatsächlich das backup von vorher einspielen damit wieder Zugang möglich ist.

Dachte ich mir: ok schauste halt mal in die Logs ob da was zu sehen ist. Aber ich finde bisher lediglich Aussagen dazu wie man die Logs per WebGUI ansehen kann - ja danke.

Jetzt bin ich kurz davor einfach genervt aufzugeben aber wollte vorher einfach nochmal bei den Eingefleischten fragen ob das Teil des "Konzepts" ist oder ich irgendetwas grundsätzliches falsch mache.
Aufgefallen ist mir, dass OPNsense sehr GUI-lastig ist - daher ist es hier (im Gegensatz zu OpenWRT) besonders fatal wenn man darauf keinen Zugriff mehr hat.

[chemlud]

Hmm, out-of-the-box hat das LAN aber eher die IP 192.168.0.1 von Seiten der sense, also hast du doch sicher schon vorher was geschraubt.

Einfach mal mit den Standardeinstellungen nach der Installation vorsichtig (!) loslegen. Nichts einstellen/verändern, wo du dir nicht sicher bist, dass du es brauchst und dass du 100% verstanden hast, welche Konsequenzen es hat.

:-)

[Sylvan86]

Tatsächlich hat es die 192.168.1.1 im Standard.

Schritt 1 von mir: Wechsel ins 192.168.0.0/24-Netz und eine IP .149 da der bisherige Router noch auf der .2 aktiv ist.
Schritt 2 nachdem ich den anderen Router entfernt habe: Wechsel der IP auf .2
Ergebnis: Kein WebGUI mehr aufrufbar.

Ich bin quasi auf Werkseinstellungen unterwegs bis auf die IPs.
Und ja - ich stelle nichts ein was ich nicht verstanden habe. Einen Wechsel der LAN-IP dachte ich bislang zu verstehen. Offensichtlich jedoch nicht.

Und logs kann ich bislang nicht prüfen da diese wie gesagt primär per GUI aufzurufen sind. Außer es weiß hier jemand wie ich die von der Kommandozeile aus auslesen kann.

[Patrick M. Hausen]

Welche Netzmaske hast du gemeinsam mit der LAN IP vergeben?

Wenn du nicht im gleichen Aufwasch den DHCP-Server umkonfiguriert hast - wahrscheinlich nicht, denn dazu muss man erst die IP ändern  ;) - dann bekommt dein PC erst mal keine Adresse. Du musst dem PC also statisch eine geben, damit du das UI aufrufen und dann den DHCP-Server flicken kannst.

[Sylvan86]

Netzmaske ist weiterhin 255.255.255.0 (/24)
Der Rechner von dem ich aus zugreife hat eine feste IP aus dem Bereich 192.168.0.0/24
Ich komme ja wie gesagt per ssh auf die opnsense

[meyergru]

Die Netzwerkeinstellungen scheinen ja zu passen, wenn Du per SSH draufkommst. Es gibt aber keine Besonderheiten bei diesen IPs, ich habe es zur Sicherheit eben mal genau so ausprobiert - das geht einwandfrei.

Also liegt da irgendwas anderes im Argen. Du musst irgendwelche Einstellungen gemacht haben, die entweder den Webserver am Start hindern oder es gibt Firewall-Regeln, die den Zugriff auf den Port 443 verhindern.

In Frage kommen also beispielsweise:

• Firewall-Regeln (oder Aliases)
  
• Inbound NAT
  
• Geänderter Port für OpnSense
  
• Nicht "Alle Interfaces" für OpnSense ausgewählt
  

Zum Anschauen der relevanten Logs von der Kommandozeile:

Code Select Expand

tail /var/log/lighthttpd/latest.log
tail /var/log/configd/latest.log


Und dann könntest Du noch schauen, ob der Port 443 lokal geöffnet ist (falls ja, wäre nur der Zugriff von außen betroffen, was für Firewall-Regeln spräche):

Code Select Expand

pkg install -y nmap
nmap 192.168.0.2


D.h. falls diese Installation überhaupt geht, weil Du dazu eine Internet-Verbindung brauchst - ich bin auch nicht sicher, ob nmap im OpnSense- oder nur im Mimugmail-Repo liegt.

Dabei gehe ich jetzt erstmal davon aus, Du hast nichts Exotisches, also VLANs, LAGGs oder so.

[Sylvan86]

Ich habe nun zum 3. mal opnsense komplett neuinstalliert.
Habe nur absolut grundlegendes eingestellt wie z.B. die PPPoE-Parameter für den WAN-Port und das VLAN-Tagging für diesen.
Dann habe ich neu gestartet und komme problemlos auf die Config-Seite.
Nun ist die einzige Änderung die IP-Adresse zu ändern und zack: kein Zugriff mehr auf die WebGUI auf der neuen Adresse.
SSH geht wie gesagt und ein diff zwischen den Configs sagt mir, dass dies tatsächlich alles war was sich an der Config geändert hat:

Code Select Expand

root@firewall:/conf/backup # diff ../config.xml config-1725623835.583.xml
288c288
<       <ipaddr>192.168.0.2</ipaddr>
---
>       <ipaddr>192.168.0.149</ipaddr>
471,472c471,472
<     <time>1725623993.9309</time>
<     <description>/interfaces.php made changes</description>
---
>     <time>1725623835.583</time>
>     <description>Changed backup revision count</description>



Ich habe jetzt noch nicht alles gecheckt was du geschrieben hast aber danke schonmal für die Hinweise.
Mal schauen ob ich nochmal Lust entwickeln kann das weiter einzugrenzen.

Nicht "Alle Interfaces" für OpnSense ausgewählt

Das WebGUI soll auch von WAN aus aufrufbar sein?
Wäre es nicht sinnvoller/sicherer das auf LAN zu begrenzen?

[lewald]

Das sagt meine OPNsense dazu.

Um die LAN-IP-Adresse in OPNsense zu ändern, kannst du die folgenden Schritte ausführen:

1. **Zugriff auf das Web-GUI**:
   - Melde dich bei der OPNsense-Weboberfläche an.

2. **Navigiere zu den Interfaces-Einstellungen**:
   - Gehe zu `{menuselection}`Interfaces --> [LAN]`.

3. **Ändere die IPv4-Konfiguration**:
   - Stelle sicher, dass "IPv4 Configuration Type" auf "Static" gesetzt ist.
   - Unter "Static IPv4 configuration", ändere die "IPv4 address" auf die gewünschte neue IP-Adresse (z.B. `192.168.0.2`).
   - Stelle sicher, dass das Subnetz korrekt eingestellt ist (z.B., wenn du ein /24-Netzwerk verwendest, wähle ,,24" im Subnet Dropdown).

4. **Speichern und Anwenden**:
   - Klicke auf **Save**, um die Änderungen zu speichern.
   - Danach klicke auf **Apply Changes**, um die neuen Einstellungen anzuwenden.

5. **Überprüfe deine Verbindung**:
   - Nachdem du die IP-Adresse geändert hast, musst du möglicherweise deinen Computer neu verbinden oder seine Netzwerkeinstellungen aktualisieren, um wieder Zugriff auf das Web-GUI unter der neuen IP-Adresse zu erhalten.

6. **Firewall-Regeln überprüfen**:
   - Es könnte notwendig sein, deine Firewall-Regeln zu überprüfen und gegebenenfalls anzupassen, damit der Zugriff auf das Web-GUI weiterhin funktioniert.

Falls du keinen Zugriff mehr über das Web-GUI hast oder etwas schiefgeht, kannst du auch über SSH oder direkt an der Konsole des Geräts arbeiten:

1. Melde dich per SSH an oder gehe zur lokalen Konsole.
2. Wähle im Menü `Option 2` (Set interface IP address) aus.
3. Wähle das Interface (`LAN`) aus und gib dann die neue IP-Adresse ein.

Nachdem du diese Schritte ausgeführt hast, sollte dein OPNsense-Gerät unter der neuen LAN-IP erreichbar sein!

[meyergru]

Ich habe noch eine Idee, weil Du früher alles auf einem Raspi hast laufen lassen: Du hast doch nicht etwa ein AdGuardHome oder einen Zwangs-Proxy dort betrieben, der nicht mehr da ist, sowie Du:

Schritt 2 nachdem ich den anderen Router entfernt habe: Wechsel der IP auf .2

???

Alternativ: Dein DNS lief auf dem Raspi und Du versuchst die OpnSense jetzt nicht per IP, sondern per Namen aufzurufen.

[Sylvan86]

@lewald
Danke dir auch für deinen Input.
Ich habe es natürlich so wie beschrieben gemacht.
Eine LAN-IP zu ändern ist im Grunde ja auch kein Hexenwerk.
Der Adresswechsel ist ja auch nicht mein Problem - das macht er ja brav.
Die Firewall hat ja dann brav seine neue IP. Ich komme halt ab da dann nicht mehr auf die WebGUI.

@meyergru
Ja ich hatte tatsächlich Adguard Home als DNS-Server auf dem Pi.
Aber keinen Proxy.
Der Adguard Home lief auch brav auf Port 53. (der interne DNS-Server für die lokalen Adressen lief auf einem anderen und der Adguard hat bei den lokalen Domains diesen abgefragt)
Für den Client hat sich also nichts geändert.
Sein Gateway ist wie vorher die 192.168.0.2 und auch der DNS Server läuft weiterhin dort auf Port 53.
DNS ist ja auch nicht mein Problem, da ich ja vom Client aus nicht auf den Webserver auf Port 80 komme. Eine Namensauflösung mache ich in dem Moment ja nicht.

Ansonsten scheint ihr eine hilfsbereite umtriebige Community zu sein.
Das motiviert schonmal sich weiter damit zu beschäftigen auch wenn ich das Phänomen gerade äußerst skurril finde.
Ich verspreche daher mal weiter damit rumzuspielen und zu schauen ob ich das Problem eindämmen kann.
Heute aber sicherlich nicht mehr von daher nicht böse sein wenn ich nicht schnell auf Input reagiere.
Ansonsten danke erstmal an alle hier!

[lewald]

Machst du den ip Wechsel auf der GUI oder im ssh ?

[Sylvan86]

Beides (mehrmals) gemacht - Ergebnis ist gleich.

[meyergru]

Moment: Port 80 wird normalerweise sofort auf 443 umgeleitet - kann aber je nach Einstellung anders sein.

Hast Du mal https://192.168.0.2 probiert?

Und wie gesagt, es wäre interessant, von innen und außen mal netto zu schauen, ob Port 80/443 jeweils geöffnet erscheinen.

[Sylvan86]

Ok jetzt wirds wild.
Mein Problem konnte ich anscheinend lösen.
netstat brachte mir dass Port 80 offen ist,
nmap vom Server brachte mir, dass Port 80 offen ist
nmap vom Client brachte mir, dass Port 80 offen ist
Logs vom lighthttpd sagten, dass Server ordentlich gestartet wurde.

Dennoch: Nichts passierte wenn ich im Browser http://192.168.0.2:80/ öffnete.

Tja und dann kam ich auf die glorreiche Idee: Was sagt denn der Firefox anstatt Chrome?
Und tatsächlich: im Firefox öffnete sich das WebGUI unverzüglich.
Ich habe nicht den blassesten Schimmer was das Problem ist.
Die Developer-Tools vom Chrome schweigen sich dazu komplett aus - nichts ist zu erkennen was das Problem ist.
Einfach nur "status: cancelled"
Kein Response - nichts.

Moment: Port 80 wird normalerweise sofort auf 443 umgeleitet - kann aber je nach Einstellung anders sein.

Doch doch Port 80 ist schon richtig so.
Während des Installprozesses fragt er explizit ab ob das Interface auf HTTP oder HTTPS laufen soll.
Ich habe da HTTP gewählt, da ich eh lokal kein anerkanntes Zertifikat habe und daher nur Fehlermeldungen bekomme.
Will ich das Interface von außen aufrufen, schleife ich es eh über meinen Reverse-Proxy und der kümmert sich ja um HTTPS.

Tja vielen Dank erstmal an alle Helfenden hier.
Nun hab ich erst einmal eine Grundlage und kann mich schrittweise in OPNsense einarbeiten.
Vielleicht nerve ich mal wieder, wenn auf dem Weg Fragen auftauchen.