"
Yes, you need a "Reverse FTP Proxy" to do that.
What exactly is the problem?
What exactly is the problem?
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
#77
German - Deutsch / Re: Frage bzgl. FTP Proxy - OPNsense 17.1.2
February 28, 2017, 06:01:37 PM
Und wenn Du die "Block alles" Regel am Ende weg lässt?
Die ist nämlich nutzlos, da OPNsense sowieso alles blockt was nicht explizit erlaubt ist.
Vermutlich blockt die sogar den passiven FTP Verbindungsaufbau.
Du kannst das prüfen indem Du in der Regel "Log" aktivierst.
Dann kannst Du unter Firewall->Log Files->Normal View sehen ob diese Regel blockt.
Die ist nämlich nutzlos, da OPNsense sowieso alles blockt was nicht explizit erlaubt ist.
Vermutlich blockt die sogar den passiven FTP Verbindungsaufbau.
Du kannst das prüfen indem Du in der Regel "Log" aktivierst.
Dann kannst Du unter Firewall->Log Files->Normal View sehen ob diese Regel blockt.
#78
German - Deutsch / Re: Frage bzgl. FTP Proxy - OPNsense 17.1.2
February 28, 2017, 05:32:03 PM
Hi ramige,
Gibt es evtl. andere (NAT)Regeln, die einen Verbindungsaufbau verhindern?
Und mit offenen Ports funktioniert es?
Hab mir grade den anderen Beitrag angesehen.
Was bedeutet "per se alles per Rule geblockt"?
Ist das eine extra Regel?
Viele Grüße
Frank
Quote from: ramige on February 28, 2017, 05:12:43 PMich nehme an, dass das keine Weiterleitungen waren sondern nur offene Ports.
Nachdem ich die Portweiterleitung 1024 - 65635 aus den Firewall LAN Rules deaktiviert habe, da ich ja dachte diese nun nicht mehr zu benötigen bzgl. FTP Porxy, geht es nicht mehr.
Quote from: ramige on February 28, 2017, 05:12:43 PMYepp, das wäre dumm, weil der Proxy extra dafür da ist so etwas nicht machen zu müssen ;-)
Muss ich die Ports 1024 - 65535 also wieder aktivieren?? Das wäre dumm. Dann bräuchte ich keinen FTP Proxy, sondern könnte dann jeweils eine Regel (wie bisher) für eine Destinantion erstellen.
Gibt es evtl. andere (NAT)Regeln, die einen Verbindungsaufbau verhindern?
Und mit offenen Ports funktioniert es?
Hab mir grade den anderen Beitrag angesehen.
Was bedeutet "per se alles per Rule geblockt"?
Ist das eine extra Regel?
Viele Grüße
Frank
#79
17.1 Legacy Series / [SOLVED] Port Forwarding/Rewriting
February 10, 2017, 11:45:13 AM
Hi,
is it possible to have a kind of dynamic port forwarding or port rewriting?
Clients in network A should access servers in network B which are listening on port 1 via port 2.
Accessing the servers port 1 directly should be prohibited.
A simple port forwarding doesn't work because I need the destination IP and a list for every server would exceed the administrative effort.
Any ideas?
Thanks,
Frank
is it possible to have a kind of dynamic port forwarding or port rewriting?
Clients in network A should access servers in network B which are listening on port 1 via port 2.
Accessing the servers port 1 directly should be prohibited.
A simple port forwarding doesn't work because I need the destination IP and a list for every server would exceed the administrative effort.
Any ideas?
Thanks,
Frank
#80
Development and Code Review / Re: MultiOptionField
November 25, 2016, 11:14:38 AM
Hi Franco,
yupp.
How can I mark a topic as solved?
Regards,
Frank
yupp.
How can I mark a topic as solved?
Regards,
Frank
#81
Development and Code Review / Re: MultiOptionField
November 25, 2016, 08:51:11 AM
The CSVListField is exactly what I was looking for.
Code Select
<MyItem type="CSVListField">
<Required>Y</Required>
<default>value1,value2</default>
<SelectOptions>
<value1>Value one</value1>
<value2>Value two</value2>
<value3>Value three</value3>
<value4>Value four</value4>
</SelectOptions>
</MyItem>
#82
General Discussion / Re: How to Set a Proxy Server automatic on all Clients
November 22, 2016, 08:52:19 AM #84
16.7 Legacy Series / Re: FTP Proxy
November 16, 2016, 03:57:57 PM
The server output looks ok.
Fritz is at 91.96.35.57 and the server at 85.214.41.254.
Ok, we need some more diagnostic here.
Please add a proxy listening on port 8022 (we need it to keep the anchors in the ruleset).
Then stop the proxy on 8021.
Connect the OPNsense Box via ssh and open a shell.
Test the existence of the anchors
# grep ftp-proxy /tmp/rules.debug
The output should look like this
nat-anchor "ftp-proxy/*"
rdr-anchor "ftp-proxy/*"
anchor "ftp-proxy/*"
Then start the 8021 proxy in debug mode
# /usr/sbin/ftp-proxy -b 127.0.0.1 -p 8021 -D 7 -d
Now start a FTP session and post the output of the proxy together with the server log.
Take care of your passwords in the output.
Fritz is at 91.96.35.57 and the server at 85.214.41.254.
Ok, we need some more diagnostic here.
Please add a proxy listening on port 8022 (we need it to keep the anchors in the ruleset).
Then stop the proxy on 8021.
Connect the OPNsense Box via ssh and open a shell.
Test the existence of the anchors
# grep ftp-proxy /tmp/rules.debug
The output should look like this
nat-anchor "ftp-proxy/*"
rdr-anchor "ftp-proxy/*"
anchor "ftp-proxy/*"
Then start the 8021 proxy in debug mode
# /usr/sbin/ftp-proxy -b 127.0.0.1 -p 8021 -D 7 -d
Now start a FTP session and post the output of the proxy together with the server log.
Take care of your passwords in the output.
#86
German - Deutsch / Re: Umzug pfSense zu OPNsense / Tipps zum Netzwerkaufbau
November 08, 2016, 01:47:05 PM
Hi Joe,
zum Verständnis.
Der 1GB Stack hat genau eine LACP Aggregation mit 4 Ports zu den 10GB Switchen?
Je OPNsense gibt es ebenfalls nur eine Aggregation diesmal mit nur 2 Ports zu den 10GB Switchen?
So auch bei den Virtualisierungshosts?
CARP auf der OPNsense ist auf das lagg Interface konfiguriert?
Sind die vhids von pfSense und OPNsense unterschiedlich?
Gibt es auf der Juniper Seite auch CARP?
Besteht das Problem eigentlich noch? ;)
Viele Grüße
Frank
zum Verständnis.
Der 1GB Stack hat genau eine LACP Aggregation mit 4 Ports zu den 10GB Switchen?
Je OPNsense gibt es ebenfalls nur eine Aggregation diesmal mit nur 2 Ports zu den 10GB Switchen?
So auch bei den Virtualisierungshosts?
CARP auf der OPNsense ist auf das lagg Interface konfiguriert?
Sind die vhids von pfSense und OPNsense unterschiedlich?
Gibt es auf der Juniper Seite auch CARP?
Besteht das Problem eigentlich noch? ;)
Viele Grüße
Frank
#87
Development and Code Review / [SOLVED] MultiOptionField
November 07, 2016, 05:27:17 PM
Hi,
for a new plugin I need the OptionField but with multiple selection.
The InterfaceField type for example has such a multiple selection.
Is it possible to do the same with a simple list?
Or is there a way to define an ArrayField that occurs as a multiple_select in the UI?
Kind regards
Frank
for a new plugin I need the OptionField but with multiple selection.
The InterfaceField type for example has such a multiple selection.
Is it possible to do the same with a simple list?
Or is there a way to define an ArrayField that occurs as a multiple_select in the UI?
Kind regards
Frank
#88
German - Deutsch / Re: Umzug pfSense zu OPNsense / Tipps zum Netzwerkaufbau
November 07, 2016, 02:21:16 PMQuote from: BOSSJoe on November 07, 2016, 02:16:49 PMWie zum Geier hast du die rafik hier rein bekommen ohne das sich alles verschiebt???MIt der Funktion "Teletype (Tt)" wird der Text als Monospace dargestellt.
#89
German - Deutsch / Re: Umzug pfSense zu OPNsense / Tipps zum Netzwerkaufbau
November 07, 2016, 09:41:38 AM
So, so. Sich vor VLANs fürchten aber MLAG einrichten.
Wie habt Ihr das gemacht, so ohne VLAN? ;)
Damit ich das richtig verstehe: die Juniper routet nur vom "Hauptnetz" in die Produktion und die OPNsense soll zwischen den anderen 172.16.er Netzen routen?
Und Ihr habt 10GB mit 1GB gemischt?
Klingt für mich alles sehr kompliziert.
Aus meiner Erfahrung kann ich nur raten macht es so einfach wie möglich.
In Eurem Fall würde ich die 10GB Switche als privates SAN Netzwerk im Active/Passive Mode konfigurieren.
Kein MLAG. Wenn der Trunk vom ISC nicht funktioniert war's das mit dem kompletten Netz.
Und in 99% der Fälle sterben die Switch Ports nicht so einfach von einer Sekunde auf die andere sondern siechen noch so vor sich hin und lassen das eine oder andere Paket doch noch durch. Viel Spaß bei der Diagnose.
Active/Passive hätte auch den Vorteil, dass keine besondere Switchkonfiguration benötigt wird.
Zwar wird Euch vermutlich das Herz bluten wenn ein 10GB Switch zum nichts tun verdammt ist aber es gibt nichts stabileres.
Und ob Ihr mit 7 Virtualisierungshosts 20GB auslasten könnt wage ich zu bezweifeln.
Die Latenzen könnt Ihr jedenfalls so nicht halbieren.
Den 1GB Stack würde ich dann für die Kommunikation der VM's verwenden.
Dort könnten dann auch die VLANS konfiguriert werden. Das Routing zwischen den Netzen würde ich komplett der Juniper überlassen, die OPNsense also weglassen.
Das schaut dann so aus:
+---------+
+--| 10GB S1 |--+
| | active | | +------+ Demolab
+-------------+ | +---------+ +------| | +-----------+ +---------+ Production
| SAN Storage |--+ | NIC Team | ESX |--| 1GB Stack |--| Juniper |---
+-------------+ | | +------| | +-----------+ +---------+
| +---------+ | +------+
+--| 10GB S2 |--+
| passive |
+---------+
Beim Einsatz von CARP gilt zu beachten, dass VRRP die selben MAC Adressen verwendet wie CARP.
VRRP kommt beispielsweise bei CISCO Geräten zum Einsatz. D.h. jede CARP/VRRP Adresse benötigt ihre eigene ID und davon gibt es nur 255.
In einer VLAN Konfiguration könntet Ihr die ID's freilich vergeben wie Ihr wollt 8)
Bei der Juniper mit NSRP muss ich leider passen.
Was sagen denn die Consultants zu dem Thema?
Viele Grüße
Frank
Wie habt Ihr das gemacht, so ohne VLAN? ;)
Damit ich das richtig verstehe: die Juniper routet nur vom "Hauptnetz" in die Produktion und die OPNsense soll zwischen den anderen 172.16.er Netzen routen?
Und Ihr habt 10GB mit 1GB gemischt?
Klingt für mich alles sehr kompliziert.
Aus meiner Erfahrung kann ich nur raten macht es so einfach wie möglich.
In Eurem Fall würde ich die 10GB Switche als privates SAN Netzwerk im Active/Passive Mode konfigurieren.
Kein MLAG. Wenn der Trunk vom ISC nicht funktioniert war's das mit dem kompletten Netz.
Und in 99% der Fälle sterben die Switch Ports nicht so einfach von einer Sekunde auf die andere sondern siechen noch so vor sich hin und lassen das eine oder andere Paket doch noch durch. Viel Spaß bei der Diagnose.
Active/Passive hätte auch den Vorteil, dass keine besondere Switchkonfiguration benötigt wird.
Zwar wird Euch vermutlich das Herz bluten wenn ein 10GB Switch zum nichts tun verdammt ist aber es gibt nichts stabileres.
Und ob Ihr mit 7 Virtualisierungshosts 20GB auslasten könnt wage ich zu bezweifeln.
Die Latenzen könnt Ihr jedenfalls so nicht halbieren.
Den 1GB Stack würde ich dann für die Kommunikation der VM's verwenden.
Dort könnten dann auch die VLANS konfiguriert werden. Das Routing zwischen den Netzen würde ich komplett der Juniper überlassen, die OPNsense also weglassen.
Das schaut dann so aus:
+---------+
+--| 10GB S1 |--+
| | active | | +------+ Demolab
+-------------+ | +---------+ +------| | +-----------+ +---------+ Production
| SAN Storage |--+ | NIC Team | ESX |--| 1GB Stack |--| Juniper |---
+-------------+ | | +------| | +-----------+ +---------+
| +---------+ | +------+
+--| 10GB S2 |--+
| passive |
+---------+
Beim Einsatz von CARP gilt zu beachten, dass VRRP die selben MAC Adressen verwendet wie CARP.
VRRP kommt beispielsweise bei CISCO Geräten zum Einsatz. D.h. jede CARP/VRRP Adresse benötigt ihre eigene ID und davon gibt es nur 255.
In einer VLAN Konfiguration könntet Ihr die ID's freilich vergeben wie Ihr wollt 8)
Bei der Juniper mit NSRP muss ich leider passen.
Was sagen denn die Consultants zu dem Thema?
Viele Grüße
Frank
#90
German - Deutsch / Re: Umzug pfSense zu OPNsense / Tipps zum Netzwerkaufbau
November 04, 2016, 03:28:43 PM
Hi Joe,
es tut mir leid aber Du musst schon konkreter werden.
Was meinst Du mit "erhebliches Fehlerpotential"?
Wenn Du kein "Spezialist" bist welche Kenntnisse hast Du dann von Netzwerktopologien?
Das frage ich nur weil gerade die Netzwerkinfrastruktur das Herzstück Deines Setups ist.
Wenn Du nicht weißt was Du tust wird die nicht stabil laufen und Du wirst nicht glücklich damit.
Und weiter gehts:
Wieso hast Du ein Problem wenn "alles zu funktionieren scheint"?
Was heißt "weil angeblich ein Problem besteht"? Wie macht sich das bemerkbar? Was hast Du bisher mit welchem Ergebnis unternommen?
Auch wenn ich mich wiederhole, ich sitze hier ganz weit weg von Deinem Problem und um Dir dabei helfen zu können muss ich es von hier aus irgendwie analysieren können. Ohne genaue Informationen geht das nicht.
Es gibt zig verschiedene Setups: ein einzelner Switch, mehrere Switche mit oder ohne Interlink, gestackte Switche, mit Trunks (oder Etherchannel in der CISCO Terminologie) oder LACP. Dann die Interface Konfigurationen, Deine LACP Konfiguration (statisch/dynamisch) sowohl auf dem Switch(-stack) als auch auf der OPNsense. Wie ist das ganze verkabelt. Wie sind die Virtualisierungshosts angeschlossen, welche Typen sind das (ESX, KVM, Xen...)?
usw. usw.
Ach ja, und ein Bild sagt mehr als tausend Worte ;)
Viele Grüße
Frank
es tut mir leid aber Du musst schon konkreter werden.
Was meinst Du mit "erhebliches Fehlerpotential"?
Wenn Du kein "Spezialist" bist welche Kenntnisse hast Du dann von Netzwerktopologien?
Das frage ich nur weil gerade die Netzwerkinfrastruktur das Herzstück Deines Setups ist.
Wenn Du nicht weißt was Du tust wird die nicht stabil laufen und Du wirst nicht glücklich damit.
Und weiter gehts:
Wieso hast Du ein Problem wenn "alles zu funktionieren scheint"?
Was heißt "weil angeblich ein Problem besteht"? Wie macht sich das bemerkbar? Was hast Du bisher mit welchem Ergebnis unternommen?
Auch wenn ich mich wiederhole, ich sitze hier ganz weit weg von Deinem Problem und um Dir dabei helfen zu können muss ich es von hier aus irgendwie analysieren können. Ohne genaue Informationen geht das nicht.
Es gibt zig verschiedene Setups: ein einzelner Switch, mehrere Switche mit oder ohne Interlink, gestackte Switche, mit Trunks (oder Etherchannel in der CISCO Terminologie) oder LACP. Dann die Interface Konfigurationen, Deine LACP Konfiguration (statisch/dynamisch) sowohl auf dem Switch(-stack) als auch auf der OPNsense. Wie ist das ganze verkabelt. Wie sind die Virtualisierungshosts angeschlossen, welche Typen sind das (ESX, KVM, Xen...)?
usw. usw.
Ach ja, und ein Bild sagt mehr als tausend Worte ;)
Quote from: BOSSJoe on November 04, 2016, 12:40:28 PMJa, indem Du CARP auf dem derzeitigen Master unter Firewall->Virtual IPs->Status deaktivierst. Dann müsste der Backup wieder zum Master werden. Normalerweise...
Gibt es eventuell eine Möglichkeit einen manuellen Schwenk zurück auf den Master auszuführen?
Viele Grüße
Frank
