Hallo Zusammen,
ich hatte bis jetzt immer den HAProxy auf der OpnSense im Einsatz, aber habe mich doch von den Vorzügen von Caddy überzeugen lassen. Caddy gibt es ja auch auf der OpnSense als Plugin. Ich habe folgende Konstellation:
- OpnSense (mit Crowdsec, HAProxy, ACME) -> Wildcardzertifikat über die NetCup API und dem ACME Plugin auf der OpnSense -> VLAN 10/20 usw.
- hinter der OpnSense ist meine Synology DS918+, welche beim Admin Account (ja, brauche ich hier und da mal) mittels 2FA (1x OTP auf dem Yubikey und 1x dem Yubikey als Hardware Token selbst) abgesichert ist (hinterlegt sind 2 Yubikey und 1 Token2)
- DNS macht Adguard in einem LXC auf Proxmox und Unbound als Upstream auf der OpnSense
- Umschreibungen in Unbound auf die IP der OpnSense habe ich gemacht, damit alles, auch intern, zum Reverse Proxy geht
- DSM 7.2.2 U8 / OpnSense 26.1.5 / Caddy Plugin 2.1.0
Nun zu meinem Problem: Ich wollte mich heute von unterwegs einloggen, also User/Passwort und dann der Sicherheitstoken und dann > Fehlgeschlagen. Also hatte ich mir noch nichts dabei gedacht und noch 2x probiert, dann war der Zugang gesperrt. Also per VPN mit der internen IP drauf und wieder entsperrt. Die Anmeldung mit OTP auf dem Yubikey geht. Also den ersten Yubikey gelöscht und dann versucht den noch einmal einzulernen. Beim Hinzufügen kommt sofort
Fehler: "Registrierung wurde nicht abgeschlossen".
Ein neuer Yubikey bzw. Hardwaretoken lässt sich nicht mehr anlernen und der 2. geht auch nicht. Also habe ich dann mittels Gemini versucht das Problem bei Caddy zu finden. Die Vermutung ist irgendwas mit den Header( n ). Nun bin ich leider noch nicht so fit mit Caddy. Vielleicht hat ja von euch einer eine ähnliche Konstellation wie ich und kennt den "Trick" der Tricks. Google Suche brachte mich nach 1h Stunde nicht wirklich weiter. Also habe ich vorerst auf den OpnSense erstmal Caddy wieder aus- und den HAProxy wieder eingeschalten. Wieder rein zum DSM und.... Yubikey lies sich sofort wieder anlernen und auch beim Login nutzen. Was habe ich noch probiert:
- EDGE Browser genommen
- CHROME Browser mit Inkognito genommen
- Cache am Browser gelöscht
Irgendwas macht Caddy noch anders wie der HAProxy. Für eure Hilfe sage ich schon einmal vielen Dank im Voraus.
Ronny
ich hatte bis jetzt immer den HAProxy auf der OpnSense im Einsatz, aber habe mich doch von den Vorzügen von Caddy überzeugen lassen. Caddy gibt es ja auch auf der OpnSense als Plugin. Ich habe folgende Konstellation:
- OpnSense (mit Crowdsec, HAProxy, ACME) -> Wildcardzertifikat über die NetCup API und dem ACME Plugin auf der OpnSense -> VLAN 10/20 usw.
- hinter der OpnSense ist meine Synology DS918+, welche beim Admin Account (ja, brauche ich hier und da mal) mittels 2FA (1x OTP auf dem Yubikey und 1x dem Yubikey als Hardware Token selbst) abgesichert ist (hinterlegt sind 2 Yubikey und 1 Token2)
- DNS macht Adguard in einem LXC auf Proxmox und Unbound als Upstream auf der OpnSense
- Umschreibungen in Unbound auf die IP der OpnSense habe ich gemacht, damit alles, auch intern, zum Reverse Proxy geht
- DSM 7.2.2 U8 / OpnSense 26.1.5 / Caddy Plugin 2.1.0
Nun zu meinem Problem: Ich wollte mich heute von unterwegs einloggen, also User/Passwort und dann der Sicherheitstoken und dann > Fehlgeschlagen. Also hatte ich mir noch nichts dabei gedacht und noch 2x probiert, dann war der Zugang gesperrt. Also per VPN mit der internen IP drauf und wieder entsperrt. Die Anmeldung mit OTP auf dem Yubikey geht. Also den ersten Yubikey gelöscht und dann versucht den noch einmal einzulernen. Beim Hinzufügen kommt sofort
Fehler: "Registrierung wurde nicht abgeschlossen".
Ein neuer Yubikey bzw. Hardwaretoken lässt sich nicht mehr anlernen und der 2. geht auch nicht. Also habe ich dann mittels Gemini versucht das Problem bei Caddy zu finden. Die Vermutung ist irgendwas mit den Header( n ). Nun bin ich leider noch nicht so fit mit Caddy. Vielleicht hat ja von euch einer eine ähnliche Konstellation wie ich und kennt den "Trick" der Tricks. Google Suche brachte mich nach 1h Stunde nicht wirklich weiter. Also habe ich vorerst auf den OpnSense erstmal Caddy wieder aus- und den HAProxy wieder eingeschalten. Wieder rein zum DSM und.... Yubikey lies sich sofort wieder anlernen und auch beim Login nutzen. Was habe ich noch probiert:
- EDGE Browser genommen
- CHROME Browser mit Inkognito genommen
- Cache am Browser gelöscht
Irgendwas macht Caddy noch anders wie der HAProxy. Für eure Hilfe sage ich schon einmal vielen Dank im Voraus.
Ronny
