Messages

Hi und vielen Dank für die Beteiligung zu meiner Frage. So wie Patrick es darstellt war auch mein Gedanke, welcher jetzt nochmal bestätigt wurde.
@viragomann - ich hatte auch zuerst meine Zweifel ob da nicht doch as vorbeigeht und deswegen nochmal auf ip basis auf der opnsense hinterlegt. Aber die logik ist wie patrick sie beschrieben hat auch wenns erstmal nicht logisch klingt, dass doh sich selber ersteinmal auflösen muss... aber pihole blockt es schön weg und das wollte ich erreichen: alle anfragen an pihole und wenn du dich absolut weigerst meinen pihole dns zu nutzen, dann block ich dich. klar, mit blocklisten hängst immer ein wenig hinterher, aber alles besser wie ohne :-)

Für den Fall, dass ips von doh servern hart-codiert sind, darf die opnsene eben auch noch blocken. hagezi hat dafür extra ein liste mit ip adressen, die nicht vorher aufgelöst werden müssen und direkt verwendet werden kann.

Besten Dank euch nochmal. @meyergru -> dot ist mit port 853 einfach geblockt und somit erledigt.

Ich würde nun gerne wissen, ob das so sinnig ist (ja, es funktioniert)

Ja, alle Settings sind nötig, damit es funktioniert.

oder ob man es schöner lösen kann

Ja, man könnte den PiHole in ein eigenes Netzwerksegment legen.
Dann wäre die Outbound NAT Regel überflüssig. Damit würde der Pi DNS die tatsächlichen Client IPs sehen anstatt jener der OPNsense.

und ob ich für Wireguard Road Warriors (iPhone, Notebook), die sich zu Hause einwhählen auch die Outbound und NAT Port Forward Rule entsprechend analog hinterlegen muss?

Die Road Warriors kannst du erstmal nicht zwingen, DNS Anfragen zum VPN Server zu senden. Sie können das nur freiwillig tun.
Die Outbound NAT Regel ist nicht nötig. Die wird nur benötigt, wenn DNS Clients und Server im selben Netzwerksegment liegen.
Die Port Forwarding Regel macht Sinn für den Fall, dass die DNS Anfrage an der OPNsense ankommt, aber zum Internet raus will. D.h., wenn der gesamte Upstream Traffic der Clients über die VPN geroutet wird.

Edit:
Möchte noch hinzufügen, die Block-Regel ist in meinen Augen überflüssig. Denn alle DNS Anfragen, die von anderen Geräten als dem PiHole kommen und ein anderes Ziel als diesen haben, werden ohnehin umgeleitet und erlaubt.
Was da übrig bleibt, ist gleich null.
Aber ich weiß, manche Leute schlafen dennoch besser, wenn sie das zusätzlich noch blockieren.

Du könntest aber erwägen, DNS ober HTTPS zu blockieren, um hier den Clients keine Alternative zu ermöglichen. Dafür gibt es IP-Listen im Internet.

Hi viragomann,
vielen Dank für deinen Input :-). Hilft mir sehr.... DoT hab ich generell geblock und DoH über Blocklisten. Die Blocklisten hab ich auch auf dem PiHole hinterlegt, der da schon einiges wegblockt. Trotzdem hab ich sie auch auf der OPNSense hinterlegt. Da die OPNsense auch den PiHole für DNS nutzt hab ich auf dem PiHole eine neue Group hinterlegt in der nur die OPNsense ist und die DoH Blocklisten nicht angewendet werden, damit OPNsense wiederum die Alias abfrage machen kann und die entsprechenden IPs bekommt.

Hallo,
es gibt dafür bereits einige Threads etc. Allerdings hatte ich immer wieder die Schwierigkeit, dass einzeln genommen keine wirklcih funktioniert hat bei mir. Aktuell klappt es mit einem Mix aus mehreren Posts ich würde aber gerne wissen, ob die Einstellungen so korrekt sind.

 
Es geht darum Clients zu zwingen PiHole zu verwenden und ggf. die Anfragen dahin umzuleiten. Es wurden dazu der Post auf labzilla DNS SmartTV und Threads im hier im Forum verwendet.

Setup: OPNSense ist Gateway, PiHole DHCP und DNS Server

Interface LAN:

1. Regel -> Erlaube DNS Anfragen von PiHole
2. Regel -> Blocke alle DNS anfragen LAN NET

NAT Port forward:

1. Regel: Alle DNS Anfragen  die nicht von PiHole kommen und nicht zu PiHole wollen redirecten zu PiHole DNS Port

Allerdings hatte ich damit nicht den gewünschten Erfolg. Wenn ich auf nem Windows Client nen public DNS Server hinterlegt hatte aber einen nur intern verfügbaren Namen auflösen wollte klappte das nicht.

Also noch eine Outbound Rule hinzugefügt

1. Anfragen mit Source LAN Net mit dem Ziel PiHole und Port DNS erfolgt Translation / Target Interface Adress

Und so funktioniert es dann. Interner Windows Client mit fest eingetragenem externen DNS 8.8.8.8 kann nur intern verfügbare Domains auflösen

Ich würde nun gerne wissen, ob das so sinnig ist (ja, es funktioniert) oder ob man es schöner lösen kann und ob ich für Wireguard Road Warriors (iPhone, Notebook), die sich zu Hause einwhählen auch die Outbound und NAT Port Forward Rule entsprechend analog hinterlegen muss?

Ich hab auf dem Mailserver mehrere Seiten laufen, jeweils aufrufbar
IP/roundcube
IP/maia

Ich hab jetzt einiges durchprobiert, momentan bekomme ich immer ein 404 url was not found on this server
meinen roundcube.conf unter apache24/Includes
<VirtualHost *:80>
ServerName webmail.meinedomain.de
   Alias / "/usr/local/www/roundcube/"   
   <Directory "/usr/local/www/roundcube">
        Options Indexes FollowSymLinks
        AllowOverride All
        Require all granted
   </Directory>
RewriteEngine on
RewriteCond %{HTTP_HOST} ^webmail\.meinedomain\.de$/roundcube/
RewriteRule ^/(.*) https://webmail.meinedomain.de/$1 [R]
</VirtualHost>

oder aber RewriteEngine onmit:
"RedirectMatch ^/$  http://webmail.meinedomain.de/roundcube"

oder:
RewriteRule ^/$ http://subdomain.domain.com/folder/ [R,L]


oder ohne alias:
<VirtualHost *:80>
ServerName mail.meinedomain.de
ServerAlias webmail.meinedomain.de
   <Directory "/usr/local/www/roundcube">
        Options Indexes FollowSymLinks
        AllowOverride All
        Require all granted
   </Directory>
RewriteEngine on
RewriteCond %{HTTP_HOST} ^webmail\.meinedomain\.de$
RewriteRule ^/(.*) https://webmail.meinedomain.de/$1 [R]/roundcube/
</VirtualHost>/roundcube/

Es will partout nicht klappen.

Ok, vielen Dank an Alle, manchmal hat man Tomaten auf den Augen. ich hab die Rewrite Regeln in meiner roundcube.conf hinterlegt. Die habe ich jetzt erstaml auf Anfang zurückgestellt und die Rewrite Rules in die .htaccess Datei geschrieben - jetzt klappt es wunderbar.

@JeGr
Ist das "sinnvoll" gelöst oder hast du dazu noch ein paar Gedanken? Warum man wie es anders machen sollte?

Nochmal vielen Dank

Ich hab auf dem Mailserver mehrere Seiten laufen, jeweils aufrufbar
IP/roundcube
IP/maia

Ich hab jetzt einiges durchprobiert, momentan bekomme ich immer ein 404 url was not found on this server
meinen roundcube.conf unter apache24/Includes
<VirtualHost *:80>
ServerName webmail.meinedomain.de
   Alias / "/usr/local/www/roundcube/"   
   <Directory "/usr/local/www/roundcube">
        Options Indexes FollowSymLinks
        AllowOverride All
        Require all granted
   </Directory>
RewriteEngine on
RewriteCond %{HTTP_HOST} ^webmail\.meinedomain\.de$
RewriteRule ^/(.*) https://webmail.meinedomain.de/$1 [R]
</VirtualHost>

oder aber RewriteEngine onmit:
"RedirectMatch ^/$  http://webmail.meinedomain.de/roundcube"

oder:
RewriteRule ^/$ http://subdomain.domain.com/folder/ [R,L]


oder ohne alias:
<VirtualHost *:80>
ServerName mail.meinedomain.de
ServerAlias webmail.meinedomain.de
   <Directory "/usr/local/www/roundcube">
        Options Indexes FollowSymLinks
        AllowOverride All
        Require all granted
   </Directory>
RewriteEngine on
RewriteCond %{HTTP_HOST} ^webmail\.meinedomain\.de$
RewriteRule ^/(.*) https://webmail.meinedomain.de/$1 [R]
</VirtualHost>

Es will partout nicht klappen.

Hallo nochmal,
also ich muss mich doch nochmal an euch wenden. Ich habe nun versucht das ganze über den Apache zu regeln und das setup sieht wie folgt aus
HAProxy:
Server: InterneIP / Port
Backend: Server
Condition: HostMatches webmail.meinedomain.de
Rule: Execute Backend - Server
Frontend: Rule added

Ich habe mir die Roundcube conf des Apache angesehen und original sah sie so aus:
   Alias /roundcube "/usr/local/www/roundcube/"   
   <Directory "/usr/local/www/roundcube">
        Options Indexes FollowSymLinks
        AllowOverride All
        Require all granted
   </Directory>

Die habe ich geändert in:
<VirtualHost *:80>
ServerName www.webmail.meinedomain.de
   Alias /roundcube "/usr/local/www/roundcube/"   
   <Directory "/usr/local/www/roundcube">
        Options Indexes FollowSymLinks
        AllowOverride All
        Require all granted
   </Directory>
Redirect "webmail.meinedomain.de" "webmail.meinedomain.de/roundcube"
</VirtualHost>

Leider bekomme ich die Meldung: 503 Service Unavailable
No server is available to handle this request.

Irgendwie steh ich total auf dem Schlauch. Vielen Dank wieder mal an Alle....

Hallo nochmal, dass werde ich mir auf jeden Fall nochmal anschauen.
Vielen, vielen Dank an euch beide! Auch mit den Erklärungen. Vorbildlich und sehr hilfreich.


Gesendet von iPhone mit Tapatalk

Ich habe es bereits versucht, ich kenne mich allerdings in apache nicht so gut aus und bin gescheitert. geht das über die httpd.conf und virtual hosts?
Vielleicht kannst du nohc ein wenig erklären, warum das besser ist? Bin bisher so vorgegangen, weil ich auf der opnsense die ganzen zertifikate für die dahinterliegenden webserver verwalte und dachte, dies wäre der richtige weg

Hallo Lewald,
vielen Dank, dass hilft auf jeden Fall. Laut OPNsense / HAProxy Meldung ist reqrep bald deprecated, wie gehst du damit zukünftig um?
Vielen dank schon einmal an der Stelle, das hilft mir sehr.

Interessant. Wen ich wie folg vorgehe
MeinServer: 192..X.X.X.
backend: MeinServer + reqrep rule reqrep ^([^\ :]*)\ /(.*)     \1\ /maia/\2
condition: host matches spam.meinedomain.de
rule: condition + execute use specific backendpool
frontend: add rule


Das klappt für maia mailguard super. für den webmailer roundcube der auf demselben server läuft, allerdings nicht.
MeinServer: Gleicher Server wie oben
backen: neuer pool mit gleichem server + reqrep rule reqrep ^([^\ :]*)\ /(.*)     \1\ /roundcube/\2
condition: host matches webmail.meindomain.de
rule: condition + execute specific backend pool (hier wähle ich den neuen pool mit der reqrep roundcube option.
frontend: add rule

Hier bekomme ich immer die Meldung, dass ich nciht berechtig wäre, auf den Server zuzugreifen.
Interessant ist, wenn ich für diesen Zweck, eine redirect rule erstelle, die matcht, wenn webmail.meinedomain.de eingegeben wird, die url dann dahingehend ändert, webmail.meinedomain,.de/roundcube und ich dann mit einer zweiten regel ein host match auf diese url abfange und dann denn specific backendpool ausführe geht das. Ist allerdings aufwändiger als die von dir genannte lösung und auch nciht so schön.

daher die frage, hat jemend eine idee, warum das vorgehen für maia mailguard funktioniert, aber nicht für roundcube?

Hallo an alle,
ich hoffe ihr könnt mir helfen. Auch nach stöbern im forum und googlen find ich trotzdem nicht die richtige Lösung.
Es sollte eigentlich ganz einfach sein...
Folgendes will ich erreichen
Aufruf der url webmail.example.de
soll intern durchgereicht werden bzw. geändert werden in
webmail.example.de/roundcube
ich habe es mittels hhtp-redirect und set-path probiert. Im Ergebnis bekomme ich einmal die Mledung im Browser too many redirects, oder aber er versucht die Seite zu laden, präsenitert aber keinen Inhalt - der server nimmt die Anfrage nicht entgegen (No server is available to handle this request.).
Im Hintergrund läuft ein Apache Webserver. Hat jemand eine Idee woran es liegen kann?

Im Voraus vielen Dank!

Edit: gelöscht

also, ich habe suricata jetzt zum laufen bekommen auf der wan schnittstelle. allerdings bricht die verbindung von 50Mbit auf 10 ein. Jemand eine Idee? Warum hab ich denn solche probleme. Hatte eine ähnlich config auch als ich noch pfsense benutzt habe, allerdings mit snort.

Hallo an alle,

ich hab mal wieder ein kleines problem.
wenn ich die "default allow to any rule" deaktiviere und meine eigene regel für das internet aktiviere (alias mit folgenden porst: 80, 443, 53", sehe ich in den fw logs, dass packages auf port 53 geblockt werde. klicke ich auf das kreuz, bekomme ich die info, dass die oben genannte regel dies verhindert. Wer, was und wo und wieso ist / macht diese regel?

vielen dank an alle

ist überhaupt kein problem, hab leider noch kein vpn am laufen. remote session via teamviewer oder so? wann würde es denn passen? Vielleicht kurz in meiner mittagspause gegen 13:45? evt. heute abend, da erst aber gegen später. Morgen siehts ähnlich aus.

Hi Franco,

danke für deine Rückmeldung. Läuft als IPS. Wenn cih behilflich sein kann, bitte melden. Ich würde euch gern beim debugging helfen. Die suricata logs habe ich mir angeschaut und auch dmesg. Aus meiner sicht nichts relevantes dabei. Welche Informationen braucht Ihr und von wo ziehe ich die?
Weis nicht ob es ein normales Verhalten ist, aber:
Ich habe auf dem Dashboard folgende Widget: Gateways, Interfaces
Gateways zeigt mir die per pppoe zugewiesene Adresse an
Interfaces WAN: zeigt auch ein IP an, die eine komplett andere ist wie die von pppoe

Ein Update auf 16.7.11 mit suricata 3.2 hat leider nicht geholfen.

Viele Grüße und ich hoffe, wir können dem probelm ein wenig auf die spur kommen.

Oder weist du wie ich mit suricata auf dem wlan interface eine performante verbindung hinbekomme? wenn suricata auf lan und wlan zur überwachung geschalten ist, funktioniert lan einwandfrei und performant, wlan leider nicht.


Micha