*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)
Weltherrscher
Enthusiast
- Mitglied seit
- 28.04.2008
- Beiträge
- 1.036
Ok, dann gehts nicht mit Wildcard-Zertifikaten, du"darfst" aber *jede* deiner Subdomänen einzeln in den Request eintragen.
So sollte es gehen, nur "*" geht ohne eingetragene Domäne halt nicht.
toscdesign
Enthusiast
@Weltherrscher
Und das geht mit LetsEncrypt? Wie verifiziert der dann die Domain?
Und das geht mit LetsEncrypt? Wie verifiziert der dann die Domain?
Weltherrscher
Enthusiast
- Mitglied seit
- 28.04.2008
- Beiträge
- 1.036
Du kannst doch mehrere "-d subdomain_x.domain.tld" Parameter an den Request anhängen und mittels TLS-ALPN- oder HTTP-Challenge das Zertifikat ziehen?
Musst dann halt das Token an jedem Server verfügbar haben.
Es reicht aber eigentlich eine und dann über URL zu reversen (domain.tld/service).
Wobei genau das bei mir so blöd stressig war, weil mache Services einfach so nicht gehen.
Musst dann halt das Token an jedem Server verfügbar haben.
Es reicht aber eigentlich eine und dann über URL zu reversen (domain.tld/service).
Wobei genau das bei mir so blöd stressig war, weil mache Services einfach so nicht gehen.
toscdesign
Enthusiast
Er hat ja keine richtige Domain soweit ich das verstanden habe hat er nur interne gemacht sowas wie "wurst.wasser" und nicht "wurst.wasser.de"
Weltherrscher
Enthusiast
- Mitglied seit
- 28.04.2008
- Beiträge
- 1.036
Genau das geht doch mit den HTTP-Challenges?
Solange unter wurst.wasser der Pfad dahinter mit dem Token passt, stellt LE dir dafür ein Zertifikat aus.
Solange unter wurst.wasser der Pfad dahinter mit dem Token passt, stellt LE dir dafür ein Zertifikat aus.
toscdesign
Enthusiast
@Weltherrscher
Ok, das es mit HTTP Challange geht, wusste ich nicht.
Bringt aber wenig, wenn man keine Ports öffnen möchte und daher DNS Challange nutzt.
Ok, das es mit HTTP Challange geht, wusste ich nicht.
Bringt aber wenig, wenn man keine Ports öffnen möchte und daher DNS Challange nutzt.
toscdesign
Enthusiast
Hä?
Also nicht updaten und warten bis das gefixed ist?
Also nicht updaten und warten bis das gefixed ist?
Ne. Nur nicht wundern, wenn es ein, zwei Fehlermeldungen gibt, bis das Update installiert ist. Das Problemchen ist schon im System und wird mit diesem Update erst behoben.
Hatte (mutmaßlich) Probleme mit der pfSense und musste daher mal testweise neu installieren. Hab dann in dem Zuge jetzt gleich mal OPNSense installiert zum testen und wow ist das Interface topmodern im Vergleich zu pfSense 
Einrichtung ging sehr zügig, scheint jetzt alles wieder so zu laufen wie es soll, bis auf ein paar Details.
Einrichtung ging sehr zügig, scheint jetzt alles wieder so zu laufen wie es soll, bis auf ein paar Details.Leider hat sich mein Problem nicht gelöst, vlt. hat hier ja jemand eine Idee wie ich am besten weiter vorgehe.
Erstmal zum Problem: Ich hab immer wieder über den Tag verteilt Internetaussetzer. D.h. Webseiten öffnen sich für ein paar Sekunden nicht mehr, wenn ich z.B. im Home Office arbeite hab ich häufig komplette Aussetzer bei Video Calls für mehrere Sekunden (teilweise Minuten) alle paar Sekunden. Ich dachte zuerst, dass mein Provider Probleme macht, aber das ganze geht jetzt schon länger so und nach Rückfrage in meinem Haus bei den Nachbarn, bei denen scheinbar alles bestens läuft, hab ich jetzt mein Setup im Verdacht und entsprechend bin ich jetzt auf Fehlersuche. Testweise habe ich am Freitag das WiFi der FB angemacht und bin ohne Umwege mit meinem Arbeitsmacbook direkt darüber Verbunden gewesen. Tatsächlich hatte ich den ganzen Tag keine Aussetzer. Kann jetzt Zufall gewesen sein, werde das die nächsten Tage weiter testen aber ist für mich schonmal ein erster Indikator weiterhin das lokale Setup zu verdächtigen.
Mein grober Verdacht ist, dass es mit der Namensauflösung sporadisch Probleme gibt, denn meistens bekomme ich nen DNS Probe Fehler im Browser wenn die Seiten sich nicht öffnen. Auch NSLookup schmeißt dann gerne nen Fehler und gibt mir nichts zurück, während direkt Pings auf ne externe IP (z.B. 1.1.1.1 etc.) funktionieren, auch mit einer niedrigen Latenz.
Meine Setup ist eigentlich nichts besonderes, hab ne FB6990 am Kabelanschluss, die opnsense ist als exposed Host eingetragen, WAN Interface wird via DHCP von der FB zugewiesen.
Ich hab 2 Managed Switches (XMG1915-10E) und 2 WiFi APs im Netz (Zyxel BE11000). Die opnSense läuft auf ner Aliexpress N100 Kiste.
Auf der opnSense läuft Unbound DNS
Ich hab Query Forwarding auf meinen pihole drin welcher auf nem Docker Container auf meiner Truenas läuft. Das Setup ist relativ neu, hatte vorher immer NextDNS direkt eingetragen (mit dem gleichen Problem). Im Pihole hab ich Quad 9 und Cloudfare als Upstream aktiviert.
Beim pihole scheinen die ganzen DNS requests auch anzukommen denn immer wenn mal wieder ein Ausfall ist, sehe ich im Log, dass die DNS Requests sich bei ihm stapeln, der scheint dann auch nicht mehr rauszukommen.
Merkwürdig ist halt, z.B. dass ich ein ähnliches Problem auf der pFSense auch schon hatte, deswegen hab ich jetzt opnSense installiert. Entweder ich hab jetzt wieder den gleichen Murks konfiguriert, oder das Problem liegt evtl. an ner anderen falschen Konfiguration oder ggf. sogar an einer anderen Hardware (unter der Annahme, dass es wirklich kein Problem vom Provider ist, werde das wie gesagt die kommende Woche weiterhin testen). Das Kabel zwischen Fritzbox und pfSense hatte ich auch im Verdacht (ist ein selbst gecrimptes) das hab ich jetzt testweise ausgetauscht und das Problem ist immer noch da. An der Fritzbox selber gibt es ja quasi nichts zum einstellen, denke dass dort der Fehler liegt, kann man ausschließen, oder gibt es hier was das ich noch checken sollte? Gibt es typische Einstellungen im Managed switch die ich checken sollte?
Bin für jeden Hinweis dankbar, falls Infos fehlen liefere ich sie gerne nach, wollte den Post jetzt auch nicht überstrapazieren.
Erstmal zum Problem: Ich hab immer wieder über den Tag verteilt Internetaussetzer. D.h. Webseiten öffnen sich für ein paar Sekunden nicht mehr, wenn ich z.B. im Home Office arbeite hab ich häufig komplette Aussetzer bei Video Calls für mehrere Sekunden (teilweise Minuten) alle paar Sekunden. Ich dachte zuerst, dass mein Provider Probleme macht, aber das ganze geht jetzt schon länger so und nach Rückfrage in meinem Haus bei den Nachbarn, bei denen scheinbar alles bestens läuft, hab ich jetzt mein Setup im Verdacht und entsprechend bin ich jetzt auf Fehlersuche. Testweise habe ich am Freitag das WiFi der FB angemacht und bin ohne Umwege mit meinem Arbeitsmacbook direkt darüber Verbunden gewesen. Tatsächlich hatte ich den ganzen Tag keine Aussetzer. Kann jetzt Zufall gewesen sein, werde das die nächsten Tage weiter testen aber ist für mich schonmal ein erster Indikator weiterhin das lokale Setup zu verdächtigen.
Mein grober Verdacht ist, dass es mit der Namensauflösung sporadisch Probleme gibt, denn meistens bekomme ich nen DNS Probe Fehler im Browser wenn die Seiten sich nicht öffnen. Auch NSLookup schmeißt dann gerne nen Fehler und gibt mir nichts zurück, während direkt Pings auf ne externe IP (z.B. 1.1.1.1 etc.) funktionieren, auch mit einer niedrigen Latenz.
Meine Setup ist eigentlich nichts besonderes, hab ne FB6990 am Kabelanschluss, die opnsense ist als exposed Host eingetragen, WAN Interface wird via DHCP von der FB zugewiesen.
Ich hab 2 Managed Switches (XMG1915-10E) und 2 WiFi APs im Netz (Zyxel BE11000). Die opnSense läuft auf ner Aliexpress N100 Kiste.
Auf der opnSense läuft Unbound DNS
Ich hab Query Forwarding auf meinen pihole drin welcher auf nem Docker Container auf meiner Truenas läuft. Das Setup ist relativ neu, hatte vorher immer NextDNS direkt eingetragen (mit dem gleichen Problem). Im Pihole hab ich Quad 9 und Cloudfare als Upstream aktiviert.
Beim pihole scheinen die ganzen DNS requests auch anzukommen denn immer wenn mal wieder ein Ausfall ist, sehe ich im Log, dass die DNS Requests sich bei ihm stapeln, der scheint dann auch nicht mehr rauszukommen.
Merkwürdig ist halt, z.B. dass ich ein ähnliches Problem auf der pFSense auch schon hatte, deswegen hab ich jetzt opnSense installiert. Entweder ich hab jetzt wieder den gleichen Murks konfiguriert, oder das Problem liegt evtl. an ner anderen falschen Konfiguration oder ggf. sogar an einer anderen Hardware (unter der Annahme, dass es wirklich kein Problem vom Provider ist, werde das wie gesagt die kommende Woche weiterhin testen). Das Kabel zwischen Fritzbox und pfSense hatte ich auch im Verdacht (ist ein selbst gecrimptes) das hab ich jetzt testweise ausgetauscht und das Problem ist immer noch da. An der Fritzbox selber gibt es ja quasi nichts zum einstellen, denke dass dort der Fehler liegt, kann man ausschließen, oder gibt es hier was das ich noch checken sollte? Gibt es typische Einstellungen im Managed switch die ich checken sollte?
Bin für jeden Hinweis dankbar, falls Infos fehlen liefere ich sie gerne nach, wollte den Post jetzt auch nicht überstrapazieren.
Zuletzt bearbeitet:
AliManali
cpt sunday flyer
Wenn Du keine Verbindung mehr hast, mal ein Tracert absetzen. Kannst die CMD mit dem Befehl
ja gleich offen lassen.
ja gleich offen lassen.
Könnte ein Problem mit dynamischem-IPv6 sein, damit haben Sensen ja so ihre Probleme. Zum Testen IPv6 komplett deaktivieren. Wenn es dann verschwindet, kann man noch was fein-tunen um IPv6 wieder zu aktivieren.
Andererseits könnte es auch alles mögliche sein.
Zuletzt bearbeitet:
Its always DNS... 
trage doch mal auf deinen Systemen einen anderen DNS als deinen Unbound Resolver ein, z.B. Quad9 oä.
Wenn es dann immer läuft, hast deinen Schuldigen. Würde viel drauf wetten, das DNS bei dir der Verursacher ist.
trage doch mal auf deinen Systemen einen anderen DNS als deinen Unbound Resolver ein, z.B. Quad9 oä.Wenn es dann immer läuft, hast deinen Schuldigen. Würde viel drauf wetten, das DNS bei dir der Verursacher ist.
Ja leider 😭 Aber auf jeden Fall ist das mal ein Test wert, danke. Hab es mal umgestellt, bei allen Interfaces (IPV6 war vorher auf Track Interface gestellt) ist es jetzt so:Andererseits könnte es auch alles mögliche sein.
Und bei WAN hatte ich vorher DHCPV6 drin (jetzt auf none).
Bei der FritzBox hab ich die Einstellungen drin, kann das bleiben? Dürfte ja mit der Sense nichts mehr zu tun haben wenn ich dort im Interface IPv6 deaktiviert habe?
Dass ich weiterhin unter Windows ne IPV6 Adresse am Adapter habe ist vermutlich normal, weißt das OS die zu?
Ich hatte vorher nen externen DNS eingetragen und das Verhalten war leider das gleiche. Das PiHole Setup ist wie gesagt ganz neu (und hat die Situation offensichtlich weder verschlimmert noch verbessert
)Ich auch
*edit*
So sehen die Einstellungen in unbound aus, Prefer IPv4 ist gesetzt, aber keine Ahnung ob das überhaupt ne Auswirkung hat wenn ich bei Query Forwarding was eingetragen haben?
Zuletzt bearbeitet:
Ist zumindest unschön, wenn das öffentliche sind. Mal den Adapter deaktivieren oder ähnliches machen (im Gerätemanager die NICs löschen, aber nicht die Treiber), bis die verschwinden.
Zuletzt bearbeitet:
Als Host + Domain habe ich bei opnsense opnsense.internal eingetragen. Zusätzlich, hab ich ne dyndns domain von ipv64.net als override in unbound auf die IP von opnsense hinterlegt (um darauf die acme challenge mit zertifikat zu machen, damit ich mich darüber sauber einloggen kann). Kann das irgendwelche negativen auswirkungen haben? Wenn ich nen nslookup mache, wird mir diese domain immer als server angezeigt, ich nehme an, weil er das so aus dem unbound override zieht? Ich hab den override jetzt auch mal entfernt, nur um sicher zu gehen. Aber das scheint ja häufig so genutzt zu werden, vermute also, dass das keine Auswirkung haben sollte? Jetzt steht als Server halt unknown drin
Achso, vorher als ich mal wieder nen timeout hatte kam das zurück. Also es scheint dann wohl mutmaßlich nichtmal bis zur opnsense durchzukommen bzw. dort keine Antwort zu kommen? Das war bevor ich den override entfernt hatte, d.h. wenn der request hier beantwortet wurde, stand bei Server eigentlich die domain drin, in dem Fall hier hat er wohl wirklich gar nichts zurück bekommen.
Achso, vorher als ich mal wieder nen timeout hatte kam das zurück. Also es scheint dann wohl mutmaßlich nichtmal bis zur opnsense durchzukommen bzw. dort keine Antwort zu kommen? Das war bevor ich den override entfernt hatte, d.h. wenn der request hier beantwortet wurde, stand bei Server eigentlich die domain drin, in dem Fall hier hat er wohl wirklich gar nichts zurück bekommen.
AliManali
cpt sunday flyer
Dann mach das nächste mal
Code:
tracert 8.8.8.8
Ähnliche Themen
- Artikel
[User-Review]
Synology ActiveProtect Appliance DP320 im Lesertest
- Frage / Lösungssuche
