OPNsense Forum
International Forums => German - Deutsch => Topic started by: bjflame on September 10, 2020, 02:38:59 pm
-
Hallo,
ich habe folgende Situation:
Auf einer APU läuft Opnsense in der aktuellsten Version.
Habe div. Netzwerke am laufen und über einen separaten Netzwerkport an der APU eine DMZ wo nur ein MS Exchange 2016 Server dran hängt. Dieser Server kann auf kein anderes Netzwerk zugreifen.
Auf dem Exchange gibt es eine Hand voll Email Adressen, daher ist das Mailaufkommen überschaubar.
Da der Exchange von außen erreichbar sein soll, habe ich unter "Firewall->NAT->Portweiterleitung" die entsprechenden Ports von der WAN Adresse auf den ExchangeServer gelenkt.
Jetzt ist leider der Spamfilter beim Exchange 2016 sowas von schlecht, dass ich mal die Lösung eines Mail Gateways über Opnsense einrichten wollte um Spam abzuhalten.
Hier bin ich folgene Anleitung durchgegangen:
https://docs.opnsense.org/manual/how-tos/mailgateway.html
Ist ja schnell zusammengeklickt und ich wollte mal schauen, ob das soweit passt und hab bei der Portweiterleitung den Port 25 raus genommen, da dies ja dann das Mailgateway nutzt.
Hierfür habe ich unter "Firewall->Regeln->WAN" auch die Einstellung von der NAT mit Port 25 entfernt und eine neue Regel mit Ziel "Diese Firewall" und Port 25 angelegt.
Emails gehen noch, aber ich glaube ehrlich gesagt nicht, dass hier irgendwas greift, da absolut der gleiche Spam durch kommt wie zuvor auch.
Ich vermute, dass ich etwas vergessen habe oder ich einfach nur auf der Leitung stehe.
Kann mir vll. jemand einen schupps geben? :)
danke!
gruß
bj
-
Was sagen denn die Postfix Logs?
Aktiviere doch mal die Rspam WebUI, da siehst du genau welche Mail wie bewertet wurde.
Dazu eigentlich auf der LAN Seite eine Portweiterleitung von 11334 auf 127.0.0.1:11334
Außerdem würde ich die Regel von
WAN Port 25 an DIESE FIREWALL
auf
WAN Port 25 an WAN ADRESSE
anpassen
-
Danke für die Antwort.
Hab kurz gebraucht um die Rspamd WebUI zu aktivieren und ein Passwort zu setzen.
Wie vermutet taucht hier garnichts auf. Somit greift der Filter überhaupt nicht.
Den Port habe ich auch mal umgestellt auf WAN Port25 an WAN ADRESSE.
Postfix logs steht nichts drinnen.
-
Rspamd sollte ein log mit allen Nachrichten haben, in dem die Entscheidungen und die Begründung drinn stehen und wenn das leer ist, hat es nie eine Mail gesehen und du musst die Einstellungen im Postfix prüfen. Wenn der auch nichts hat, kommen die Mails am Postfix vorbei.
-
Hi,
danke für die Antwort!
Da auch der Postfix keine Logs hat, hab ich mir das bereits gedacht.
Ich weiss bloss nicht woran das liegen könnte.
Gibt es Configs, wo alles drinnen steht, was man für eine Fehlersuche in diesem Fall brauchen kann?
-
Hier vll. mal Einstellungen. Irgendwo scheine ich etwas falsch eingestellt zu haben.
-
Werden deine Mails direkt an deine öffentliche IP Zugestellt?
Falls ja: Aktiviere mal die protokollierung für die ganzen Exchange Regeln, und schaue was passiert wenn du von extern eine Mail an deine Domain verschickst, dort müsste dann ja was mit Port 25 auftauchen und anzeigen wo die Mail hingeht...
Was steht im Postfix unter dem Reiter "Anti Spam"?
-
Mal ne Frage. Wieso so viele Dinge auf deiner WAN Schnitstelle erlaubt (eingehendes DNS an deinen Mailserver, .....)?
AUßerdem würde ich das Rspam WebUI nicht vom Internet aus erreichbar machen.
-
Ja, werden direkt an die öffentliche IP zugestellt.
Sorry, aber wie aktiviere ich die Protokollierung für die Exchange Regeln?
-
Ja, werden direkt an die öffentliche IP zugestellt.
Sorry, aber wie aktiviere ich die Protokollierung für die Exchange Regeln?
Auf das "i" in der Regelübersicht klicken und danach unter Protokollierung -> live View
-
Ich habe jetzt alles aktiviert von den Regeln.
Leider taucht davon aber nichts in den Protokollen auf.
vll. ist hier was größeres im Argen.
Kann es an den NAT Einstellungen liegen?
-
hi, musste alle logs deaktivieren und aktivieren, dann hat er wieder was protokolliert.
hab mir von extern mal eine Email geschickt.
__timestamp__ Sep 14 18:08:12
ack
action [pass]
anchorname
datalen 0
dir [in]
dst xxx.xxx.xxx.xxx [opnsense.localdomain]
dstport 25
ecn
id 3702
interface igb0
interface_name WAN
ipflags DF
label Firewall
length 60
offset 0
proto 6
protoname tcp
reason match
rid 43b7f2a4b7bcbfe00ca19901716ff851
ridentifier 0
rulenr 81
seq 1886920838
src 81.169.146.216 [mo4-p00-ob.smtp.rzone.de]
srcport 25305
subrulenr
tcpflags S
tcpopts
tos 0x0
ttl 54
urp 65535
version 4
-
Sieht ja eigentlich passend aus.
Was sagt ein auf
OffentlicheIP:25
?
-
Über welchen Weg?
-
einfach
telnet ÖFFENTLICHEIP 25
so das du von außen auf Port 25 kommst. Die ausgabe einmal hier Posten. Oder schauen ob dort dann "Postfix MailGateway" o.ä. steht
-
telnet xxx.xxx.xxx.xxx:25
Connection to xxx.xxx.xxx.xxx:25: - ok
220 OPNSENSENAME ESMTP Postfix
-
Das komische ist, dass ich gerade mal Postfix usw. als Erweiterung deinstalliert habe, dann ist keine Email mehr durchgekommen.
Wieder installiert, jetzt kommen die Emails auch wieder durch.
In den Logs steht aber trotzdem nichts und jede Spam Email kommt ganz normal durch.
-
Okay also arbeitet Postfix
Was steht unter Postfix->Allgemein->AntiSpam ?
-
Haken bei Aktiviere Rspamd-Integration gesetzt.
Milter IP Version IPVv4
-
Aktiviere doch mal die Rspam WebUI und schaue was dort mit den Mails so passiert.
-
Hi,
ist aktiviert, aber da läuft nichts drüber.
Ich habe folgende Vermutung (allerdings mit gefährlichem Halbwissen):
Emails kommen bei meinem Exchange an, aber laufen nicht über den aktivierten Postfix/Rspamd.
Ich vermute, dass es an meinen NAT Einstellungen liegt. Hier kenn ich mich aber viel zu wenig aus.
Ich benötige im Prinzip, dass ich per Port 4444 auf Opnsense komme und dann benötige ich noch den 443 (HTTPS) für den Exchange wo ich von draußen drauf kommen muss.
Firewall->Einstellungen->Erweitert
Reflektion für Portweiterleitungen: aktiv
Reflektion für 1:1: deaktiviert
Automatisches ausgehendes NAT für Reflektion: aktiv
Firewall->NAT->Portweiterleitung
Schnittstelle: LAN
Protokoll: TCP
jegliche Adresse und Port
Ziel: LAN Adresse
Ports: 22,4444
IP: jegliche
Port: jegliche
Anti-Ausperrregel
Schnittstelle: WAN
Protokoll: TCP
jegliche Adresse und Port
Ziel: Diese Firewall
Ports: 11334
IP: 127.0.0.1
Port: 11334
Rspamd WebUI
Schnittstelle: WAN
Protokoll: TCP
jegliche Adresse und Port
Ziel: WAN Adresse
Ports: 443 (HTTPS)
IP: ExchangeServer
Port: 443 (HTTPS)
WebExchange
Firewall->Regeln->WAN
zusätzlich zu den unter NAT angelegten Regeln hab ich noch diese hier
Protokoll: IPv4 TCP
Quelle: jegliche
Port: jegliche
Ziel: Diese Firewall
Port: 25 (SMTP)
Gateway: jegliche
Zeitplan: jegliche
Spamfilter
-
Hi,
kann es vll. damit zu tun haben, dass es nicht über Postfix läuft, wegen der DMZ wo der Exchange ist?
Normales Netz ist die 192.168.10.1
DMZ vom Exchange ist die 192.168.30.1
und Exchange hat die 192.168.30.100
Anbei mal von der Firewall der Auszug. Das sieht doch eigentlich ganz gut aus.
Läuft halt nicht über den Postfix, aber rein vom Port her würde ich sagen, dass alles gut ist.
Kommt auf WAN Port 25 rein, FW mit Port 25 greift, dann gehts jedoch über DMZ IP an den Exchange in der DMZ. Weiß nicht ob das so passt... Oder muss ich bei Allgemein von Postfix vll. bei den System Namen oder Domains, hörende IP oder Port usw. was anpassen?
Anbei mal der Auszug aus der FW Protokoll.
Gruß
-
Mach mal ein Screenshot von deiner NAT Regel und WAN Regel Übersicht
-
anbei die beiden Übersichten.
-
anbei die beiden Übersichten.
Passt alles.
Steht genau so wie bei meinen Firewalls
-
Deswegen versteh ich nicht, wieso es nicht geht und auch bei Postfix nichts in den Logs steht.
Ich hab tatsächlich Opnsense zum größten Teil genau deswegen. Bin langsam kurz davor wieder auf eine Unifi Dream Machine Pro umzusteigen.
Versteh einfach nicht wo das Problem ist. Der Postfix kann doch kaum am Port 25 dann lauschen wenn nichts in den Logs steht und somit davon nichts greift oder?
"hörender Port" ist 25 bei Postfix
vll. ist bei den System Daten (System Hostname, System Domain, System Origin) was falsch oder muss ich bei den Vertrauenswürdigen Netzwerken (127.0.0.0/8, [::ffff:127.0.0.0/104, [::1]/128) was anpassen? hab ich standard gelassen.
-
Bei Vertrauenswürdigen Netzen habe ich nur die das Subnetz des Exchanges hinterlegt.
Wenn Postfix garnicht laufen würde, dürften die Mails deinen Server nicht erreichen, da kein Portforwarding o.ä. drin
-
Wie schaut der Eintrag da genau bei dir aus?
Hast du den Exchange auch in einer DMZ?
-
Wie schaut der Eintrag da genau bei dir aus?
Hast du den Exchange auch in einer DMZ?
Jap auch in einer DMZ
Dort einfach das Netz eingetragen
192.168.200.0/24
WAN Regel:
Erlaubt von Überall an Port 25 WAND-ADRESSE
-
geh mal per ssh auf die Konsole und gib ein
netstat -an | grep LISTEN
und schau ob dort was mit Port 25 steht (wie auf dem Bild)
-
genau das gleiche wie bei dir.
-
Nächster Schritt wäre für mich Plugin neu installieren.
Oder Config sichern und es bei einer frischen Installation nochmal testen :)
-
Plugin hab ich mal neu installiert, aber leider speichert er halt auch alle configs usw.
gibts ne Möglichkeit so ein Plugin komplett zu löschen über WebUI?