OPNsense Forum
International Forums => German - Deutsch => Topic started by: stefan21 on February 06, 2017, 01:19:02 am
-
Hallo,
zwischenzeitlich habe ich mich etwas in OPNsense eingearbeitet. Ich habe einen Web Proxy eingerichtet, diesen mit einer Blacklist versehen, und alle Nat- und Firewallregeln funktionieren. Alles läuft wie gewollt, Server holt emails, Clients können surfen, alle Anwendungen im LAN laufen soweit störungsfrei.
Allerdings stosse ich in den LOGS der Server die hinter der OPNsense im LAN laufen, jetzt auf ein Problem mit ClamAV. Hier die Fehlermeldung auf den Servern:
Current working dir is /var/clamav
Max retries == 6
ClamAV update process started at Mon Feb 6 00:56:44 2017
Using IPv6 aware code
Querying current.cvd.clamav.net
TTL: 1054
Software version from DNS: 0.99.2
Connecting via 192.168.42.1
Retrieving http://db.local.clamav.net/main.cvd
Trying to download http://db.local.clamav.net/main.cvd
WARNING: getfile: Unknown response from db.local.clamav.net
WARNING: Can't download main.cvd from db.local.clamav.net
Querying main.0.82.0.0.C0A82A01.ping.clamav.net
Trying again in 5 secs...
Wenn ich den Proxy ausschalte, und die NAT- und Firewallregeln, die auf den Proxy zeigen deaktiviere und im LAN-Interface den Port 80 für die Server freigebe, dann läuft das Update ohne Probleme.
Kann mir damit bitte jemand helfen? Vielen Dank im voraus,
stefan
-
Ist hier Policy Routing im Einsatz (Firewall-Regeln mit Gateway)? Wenn ja, bitte PM für Testkernel oder hier gucken für einen Kernel ohne das Problem:
https://forum.opnsense.org/index.php?topic=4385.msg16722#msg16722
Grüsse
Franco
-
Hallo Franco,
vielen Dank für Deine Rückmeldung. Da ich Anfänger bin, brauche ich etwas Unterstützung. Was genau ist Policy Routing, bzw. Firewall-Regeln mit Gateway?
Soll ich die Konfiguration der NAT Forward Regeln und der Firewall Regeln posten?
Im ClamAV Forum wurde das Problem clamav hinter einem Proxy zu betreiben früher schon beschrieben. Der Hinweis dort war, die freshclam.conf für den HTTPProxyServer und den HTTPProxyPort anzupassen. Das habe ich bereits versucht, ohne Erfolg. Wenn ich diese Anpassungen am Server vornehme, dann findet der Server (also ClamAV) nicht einemal mehr ins Internet.
Tatsächlich gibt es ja einen Connect, allerdings findet kein Update/Download statt. Der Proxy zeigt folgende Meldungen:
TCP_MEM_HIT/200 3932 GET http://db.local.clamav.net/daily-23012.cdiff - HIER_NONE/- application/octet-stream
TCP_MISS_ABORTED/000 0 GET http://db.local.clamav.net/daily-23012.cdiff - HIER_DIRECT/84.39.110.99 -
TCP_MISS/200 3925 GET http://db.local.clamav.net/daily-23012.cdiff - HIER_DIRECT/130.133.110.67 application/octet-stream
TCP_MISS_ABORTED/000 0 GET http://db.local.clamav.net/daily-23012.cdiff - HIER_DIRECT/84.39.110.99 -
Das wiederholt sich dann bis zum Abbruch.
In der Whitelist des Proxys habe ich soweit ich sehen kann, alle clamav Server/Quellen gelistet.
-
Ich denke mal, das hier könnte der Grund für das Fehlverhalten sein:
ClamAV update process started at Mon Feb 6 11:19:38 2017
Using IPv6 aware code
Querying current.cvd.clamav.net
TTL: 1008
Software version from DNS: 0.99.2
Retrieving http://db.local.clamav.net/main.cvd
Trying to download http://db.local.clamav.net/main.cvd (IP: 144.76.28.11)
WARNING: getfile: Unknown response from db.local.clamav.net (IP: 144.76.28.11)
WARNING: Can't download main.cvd from db.local.clamav.net
Querying main.0.82.0.0.904C1C0B.ping.clamav.net
Trying again in 5 secs...
Unknown response - blockt der Proxy den User-agent von clamav? Oder bin ich in der falschen Richtung unterwegs?
-
vielen Dank für Deine Rückmeldung. Da ich Anfänger bin, brauche ich etwas Unterstützung. Was genau ist Policy Routing, bzw. Firewall-Regeln mit Gateway?
Im Anhang sind ein paar Block Regeln von mir angehangen.
Diese könnte ich jetzt weiter einschränken auf bestimme Gateways.
Im meinem Fall ist das nicht der Fall.
Die Theorie dazu aus der pfSense Doku: https://doc.pfsense.org/index.php/What_is_policy_routing
Die Praxis bei Multi-WAN dazu aus der OPNsense Doku: https://docs.opnsense.org/manual/how-tos/multiwan.html
Hoffe das bringt dich und Franco weiter :)
-
Hallo Oxygen,
danke für die Aufklärung - ich lerne dazu.
@Franco: Nein, ich habe im LAN-Reiter keine Regel definiert, die ein Gateway beinhaltet.
IMVHO denke ich, dass es an dem Web-Proxy liegt. Ich kann die ClamAV-Server von meinem Server aus pingen. Aber für den Download wird da irgendwas weggefiltert. Wie bereits erwähnt, wenn ich den Web-Proxy und die dazugehörigen Regeln deaktiviere, eine http-Regel für die Server erstelle, dann funktioniert das.
Interessanterweise finde ich in LOG's keine IP der ClamAV-Server? Lediglich im Proxy-Protokoll unter Access, sind Einträge der clamav-server ersichtlich.
-
Es funktioniert.
Ich habe in der Unrestricted IP adress die beiden Server mit ihrer IP eingetragen, und in der Whitelist current.cvd.clamav.net, db.local.clamav.net und database.clamav.net.
Danach auf dem Server in der freshclam.conf den HTTPProxyPort=3128, und HTTPProxyServer=192.168.XX.1 eingetragen. Das Ganze gespeichert und die email-Dienste neu gestartet. Vermutlich habe ich den letzten Schritt, nämlich die email-Dienste nach den Änderungen auf dem Server neu zu starten, gestern Nacht nicht mehr ausgeführt. Das könnte der Fehler gewesen sein.
Vielen Dank an Oxygen61 und monstermania für die Mithilfe!
stefan
-
Vielen Dank an Oxygen61 und monstermania für die Mithilfe!
Kein Problem. Hauptsache es funzt! ;) 8)
Das Problem das Neustarten vergessen zu haben, hatte ich letztens auch.
Reboot tut gut. :P
Schöne Grüße
Oxy
-
@Stefan21
Neustart des squid-Dienstes per GUI hätte wohl auch gereicht! ;)
Ist mir auch schon ein mal negativ aufgefallen, dass nach einem Update der OPNsense der squid scheinbar nicht aktualisiert wurde.
Nach einem Neustart des Dienstes war dann auch der squid aktualisiert.