Post by: danbre on January 05, 2018, 10:24:45 am
zunächst muss ich mich bedanken, ich war schon stiller Mitleser und es haben mir die ein oder anderen Beiträge weitergeholfen, aber mittlerweile habe ich hier ein Problem wo ich nicht weiter komme.
Gegebenheiten:
WAN1 = LTE (Schnell aber mit Kontingent Limit) Default-Gateway
WAN2 = DSL 6MBit (nur für VPN, langweilt sich eigentlich)
HOST = HOST1
Normalerweise läuft alles über die schnelle LTE Leitung.
Ein Host kommt mir jedoch in die Quere und verballert bei Updates das ganze Kontingent auf einmal..
Deswegen würde ich diesen gerne über die DSL 6MBit Leitung raus und reingehen lassen...
Aber wie?
Ich komme von einer anderen Appliance und blicke bei der OPNSense einfach nicht durch.
Wäre super wenn man mir einen Tipp gibt :)
Vielen Dank euch!
Dan
Post by: ChrisH on January 05, 2018, 02:15:59 pm
Also eine Regel anlegen mit Source = HOST und Gateway = DSL
Post by: danbre on January 05, 2018, 02:56:29 pm
Post by: Domi741 on January 07, 2018, 12:51:07 pm
Ich glaube eher dass er da eine NAT Regel einrichten muss.
Also:
Interface: WAN2
Source: HOST
Source Port: Any
Destination: Any
Destination Port: Any
NAT Adress: WAN2 Adress
NAT Port: Any
Static Port: NO
Musst du eventuel auf deine Bezeichnungen anpassen
Ganz vergessen! Das ganze natürlich bei den Outbound NAT Regeln und den Modus auf „Hybrid“ umstellen.
Post by: danbre on January 08, 2018, 09:51:48 am
Mit der Regel geht er immer noch über die LTE raus. Ich teste imme brav mit wieistmeineip.de :-\
Post by: ChrisH on January 08, 2018, 01:08:11 pm
Wenn er eine Firewall Regel einrichtet sagt dass ja nur, dass der Host das Gateway nutzen kann.Äh - nein?
Quote
Leave as 'default' to use the system routing table. Or choose a gateway to utilize policy based routing.Und das ist genau das, was er will.
Post by: JeGr on January 08, 2018, 05:30:26 pm
a) auf den genannten Client passen (Source ClientIP Dest any) UND
b) sie muss VOR einer etwaigen anderen allow any Regel auf dem LAN sein
Wenn vorher eine Regel kommt, die bereits den Allow "wegfrisst" wird die nachfolgende Regel für den einzelnen Client nicht mehr genutzt.
Grüße
Post by: Domi741 on January 08, 2018, 07:34:29 pm
Ich hab es halt bei anderen Herstellern schon über NAT gesehen, und wer rechnet damit, dass ihr das einfacher könnt als andere ;) Aber gut zu wissen :)
Post by: franco on January 08, 2018, 09:51:03 pm
Post by: JeGr on January 09, 2018, 09:54:13 am
Post by: danbre on January 09, 2018, 02:31:13 pm
es läuft. Ich weiß zwar nicht so richtig warum - aber anfangs habe ich auch überwiegend mit dem NAT rumgekaspert.
Allerdings fand ich das NATing bei anderen Firewall Lösungen / UTM deutlich plausibler als das was pfsense opnsense realisiert.
Gut, der Krempel läuft also nun über eine Paketfilterregel - auch ein Weg ::)
Der WSUS zieht sich also nun seine Updates fleißig über die lahme kostengünstige Leitung. Alleine heute 10GB :D
Nächstes Projekt: Mails via SMTP direkt in den Exchange...
Post by: ChrisH on January 09, 2018, 02:45:48 pm
Post by: JeGr on January 09, 2018, 03:03:47 pm
Naja - mag man so sehen, allerdings will sich mir nicht erschließen, was eine Gateway Auswahl mit NAT zu tun haben soll, daher ist das mit Gateway Switching bzw. als policy based rule vom Prinzip her wesentlich logischer.
> Nächstes Projekt: Mails via SMTP direkt in den Exchange...
...
> Warte damit auf die 18.1 Ende des Monats, die hat einen Mailproxy als Plugin.
Warten per se muss er damit nicht, man weiß ja nicht, ob die Mails nicht schon vorgefiltert sind von einem anderen Provider/Cloud Anbieter/Saas Lösung. Dann muss man sie einfach nur reinlassen und entsprechend weitermappen. Stichwort Port Forwarding. Am Besten hat man dann vornedran noch wie gesagt einen anderen Provider und kann damit das Forwarding auf diesen Provider und seine IPs eingrenzen - dann kommt auch kein unnötiger quatsch über die Leitung und frisst Bandbreite.
Gruß
Post by: danbre on January 11, 2018, 07:23:48 pm
Guter Tipp mit dem Warten, danke.
Überhaupt warte ich derzeit in dieser Konstellation.
Es gibt zwei Standorte die ebenfalls ne OPNSense haben und nur via S2S (SSL VPN) angebunden sind.
Das läuft zum Glück. Aber wenn nicht mehr.. ::)
Es gibt keine Doku, es gibt keinen Netzplan, es gibt sozusagen nichts... aber es soll mal kein Meckerthread werden.
Das E-Mail Thema ist jedoch schon in meinem Kopf.
Die Mails werden derzeit via Popcon abgerufen, Externe erhalten sie über Direktabruf.
Hat Vor und Nachteile.
Eine Vorfilterung findet zwar statt, aber hab in den letzten 5 Jahren noch nie so viele Mails vom Onkel aus Afrika erhalten wie in den letzten zwei Wochen :)
Sie werden zudem auch nur als SPAM markiert, durchgelassen und landen dann im Junkmail Ordner...
Heißt kurz: Der Müll kommt eh rein und der Traffic ebenfalls...
Was beherrscht die OPNSense denn dann?
BATV, HELO/RDNS, Greylisting...? Kann sie die Mails auch Scannen?
Die Direktannahme und Versand hat ja den charmanten Vorteil über alles bescheid zu wissen und schneller reagieren zu können.
Die Leitung müsste es passen. Bisschen QoS einrichten bzw. Loadbalancing (auch ne Baustelle..) dann passt das.
Aber ehrlich: danke nochmal mit dem Hinweis auf die PF-Regel! Der WSUS hat sich innerhalb von 5 Tagen 40GB gezogen. Wenn ich den Spaß hoch rechne sind das pro Monat gut 50 Euro die alleine für den WSUS drauf gehen. Und dass der ne Macke hat steht außer Frage... Baustelle eben :)
Post by: JeGr on January 11, 2018, 09:30:54 pm
Machen viele Spamfilter aus Haftungsfragen. Frag mal den Hoster deines Vertrauens... Spoiler: Das ist ein Gräuel. Wehe du verschlampst Kundenmails. Daher - gerade bei Abruf via POP, wo der Kunde potentiell eben KEINE Spambox sehen kann wie bei IMAP oder WebUI: Markieren ist das Einzige was man legal bringen kann ohne im dümmsten Fall in Teufel's Küche zu stehen. Daher machen das andere via MX Filtering bspw. mit Mails à la Urzeiten GMX mit ihren Spam-Reports. Man bekommt eben Post was alles in der Spambox ist und man doch bitte sich einloggen und das aus der Quarantäne rausholen soll. Die scicken das aber meist eben via MX weiter und bieten kein POP an.
Ich habs privat und im Kleinen irgendwann aufgegeben selbst dagegen anzukämpfen und lass mir die Zeit lieber mit der Familie vergolden und lasse es andere Unternehmen filtern als das alles selbst zu machen. Des Wettrennens bin ich einfach müde ;)
Beim WSUS dürfte es demnächst allein durch die ganzen Patchwellen noch einiges mehr geben :D