Messages

Das Problem bei 1und ist, daß man oft nicht genau weiß, was man bekommt. 1und1 verkauft verschiedene Anschlüsse. Ist das ein neues Ausbau Gebiet und wer hat ausgebaut?

Meist Telekom, dann ein einfaches Glasfaser Modem (ONT) und VLAN 7 muß dann per OpnSense gesetzt werden. Kann ja sein, daß das jetzt Dein Vigor macht.

Grüße, chris

Mir ist sowas im Hinterkopf, daß die FRITZ!Box eine extra Option zur Sperrung von Port 25 hat. Ich hab selbst keine, aber vielleicht mal gucken ...

FB frei, Firewall NAT mit Rule erstellt. Mails kommen nicht an.

Was bedeutet hier FB, Fritzbox? Wie ist das Setup am Anschluß?

Die Frage ist: welchen DNS benutzt der Mail Server?. Wenn ich richtig verstehe, gibt es zwei öffentliche IPs. Welcher DNS ist zuständig? Wenn das alles öffentlich ist, sollte es ohne override funktionieren, oder ist hier doch Split Horizon DNS verwendet?

Grüße chris

Received: from mail.meineexterne.domain (host.interne.domain [192.168.100.1])
    by lego.meineexterne.domain (Postfix) with ESMTPS id 2E23A1BD08C0
    for <bexxxxx@meineexterne.domain>; Sat, 22 Feb 2025 12:35:10 +0100 (CET)

Das Setup ist mir immer noch unklar. Ist lego.meineexterne.domain Dein Mailserver (192.168.1.22 ?) und wer ist dann mail.meineexterne.domain? 192.168.100.1 ist der Router?

Was sagt denn das postfix.log beim Empfang?

Grüße

chris

Hallo, wie sehen eigentlich eure Mailserver Header nach NAT aus, da ich hier gerade das Problem habe das der SPF failed mit SPFsoftfail

Sagt wer?

, da die Header trotz NAT noch die interne IP haben.

Das macht nichts.

Bishin zum kompletten Fail, da  eingehende Mails die Interne Domain haben, die der absender Mailserver natürlich nicht gegen SPF prüfen kann.

Äh, was ist die Interne Domain? Geprüft wird beim Empfang, ober der Sender (IP) berechtigt ist, für die Domain zu senden gemäß SPF.

Ich verstehe noch nicht ganz: Geht es jetzt um Senden oder Empfangen bei Dir?

Grundsätzlich ist NAT bei Mail kein Problem, läuft bei mir seit Jahren. (Postfix, Rspamd, Dovecot)

Grüße

chris

Tja, ich weiß auch nichts Gutes. Ich hab sowas in der Art auch schon öfter gesucht. Derzeit benutze ich AldiTalk Prepaid für den Fallback und muß dann im Bedarfsfall Surfticket L buchen.

Bei dem Voadfone Tarif seh ich das Risiko, wenn das online ist, daß da mal ein paar Byte übertragen werden und dann ist der Monatsbetrag schon ausgelöst.

Scheint eine Marktlücke zu sein: Tarife für Fallback Lösungen.

Grüße, chris

Guten Tag,

ich wollte gerade auf 24.7 updaten, da ist mir aufgefallen, daß asterisk18 in den Packages fehlt, das war bisher immer dabei.  In https://github.com/opnsense/tools/blob/master/config/24.7/ports.conf ist das auskommentiert, warum?

Ich hab dann auf einem Test VPS mittels

Code Select Expand

opnsense-code ports
cd /usr/ports/net/asterisk18/
make install
Asterisk installiert. Das scheint zu funktionieren, allerdings hat das 6 Stunden gedauert, weil die ganze Toolchain mit daran hängt, und jede Menge Speicher gebraucht. Ich befürchte das packt der kleine Rooter gar nicht.

Gibt es da irgendwie eine einfachere Möglichkeit?

Grüße, chris

Dann möchte ich mir aber noch einen kleinen Hinweis erlauben:

So ganz umsonst war Deine Arbeit trotzdem nicht. Es lesen ja auch noch andere mit, und das war sehr hilfreich.  :)

Ich hatte nämlich bisher gedacht, das ist schwierig, und ob das Modem die richtige Uhrzeit hat, ist mir eigenlich auch egal, deshalb hab ich mich darum bislang nicht gekümmert.

Grüße, chris

Ich würd erst mal genauer gucken, also per SSH einloggen, Web GUI schließen, Speedtest laufen lassen und mit

Code Select Expand

top -aSH gucken, ob wirklich ein Kern überlastet ist und wie sich das so verteilt.

Bei System / Settings / tunables:

Code Select Expand

net.isr.bindthreads Bind netisr threads to CPUs. boot-time 1
net.isr.dispatch netisr dispatch policy runtime deferred
net.isr.maxthreads Use at most this many CPUs for netisr processing boot-time -1

ausprobieren und gucken, ob Besserung eintritt, ist  meiner Meinung nach immer einen Versuch wert.

Ggf. auch die Meltdown/Spectre Mitigation ausschalten, braucht auf einem Heim-Router kein Mensch.

Grüße, chris

Das könnte an der Firewall Regel liegen, die den Zugang WAN in erlaubt, da gibt es unten bei advanced eine option reply-to oder so ähnlich, da könnte es bei Multi WAN Probleme geben, daß da das richtige Gateway steht, falls nicht default ausgehend verwendet werden soll.

Grüße, chris

Code Select Expand


                WAN                  WAN
                 :                                 :
                 : FTTH                            : vtnet0 (MTU 1500)
                 :                                 :
             .---+---.                        .----------.
        WAN1 | GPON  |                        | OPNsense |
             '---+---'                        |     2    |
                 |                            '----+-----' 
        PPPoE1   | (MTU 1492)                      |
                 |      .----------.        wg1    | (MTU 1412)
                 +------| OPNsense | - - - - - - - +
                        |     1    |
                        '----+-----' 
                             |
                         LAN | (MTU 1500)
                             |
                       .-----+------.
                       | LAN-Switch |
                       '-----+------'
                             |
                     ...-----+-------------+-----...
                     (Clients/Servers)     |
                                     (Freeswitch Server)



Obige Konfigruration mit der OPNsense 2 auf einem VServer, um fixe IPv6 Adressen zu bekommen. Das Problem ist, daß eingehende Telefonate meistens nicht ankommen, sondern auf der OPNsense 2 hängenbleiben. Alles per IPv6, SIP über UDP.

Packet capture auf OPNsense 2 zeigt, daß der INVITE vom SIP Provider ankommt und zwar in der Regel als fragmentiertes UPD Paket z.B. mit 1500 + 100 Bytes Länge. Dann schickt OPNsense 2 ein ICMP packet to big mit MTU 1412 an den SIP Provider was ja auch korrekt ist für den Wireguard Tunnel nach OPNsense 1. Der SIP Provider schickt dann den INVITE nochmal in 1412 + 188 Bytes Fragmenten. Soweit ok, aber OPNsense 2 antwortet wieder ICMP packet to big mit MTU 1412. Das wiederholt sich ein paar Mal bis der SIP Provider aufgibt.
Was läuft da schief?

Wenn ich als Workaraound den SIP Provider auf TCP statt UDP umstelle, funktioniert alles.

Ich hab mir dann mal die scrub Regeln auf OPNsense 2 angeguckt:

Code Select Expand

# pfctl -s rules | grep scrub
scrub on wg1 all fragment reassemble
scrub on vtnet0 all fragment reassemble

und es fällt auf, daß da nicht scrub in steht, also auch ausgehend scrub mit fragment reassemble angewendet wird.
Was soll das bezwecken?

Ich hab dann mal folgendes probiert:

Code Select Expand

# pfctl -s rules | grep scrub
no scrub out on wg1 all
scrub on wg1 all fragment reassemble
scrub on vtnet0 all fragment reassemble

und das funktioniert: nach dem ersten ICMP packet to big werden die korrekt fragmentierten UDP Pakete weitergeleitet.

Wo liegt hier eigentlich der Fehler, oder übersehe ich was wesentliches?

Grüße, chris

Die CPU ist sicher nicht die schnellste, aber wenn 300 Mb down funktionieren sollten auch 100 Mb up gehen, denke ich.

Wie wird denn gemessen? Könnte es ein MTU Problem geben, daß evtl im Upload fragmentiert wird? Ist es mit IPv4 und IPv6 identisch?

Grüße, chris

Bei dem Setup spielt die MTU/MSS eine große Rolle. Durch den Wireguard Tunnel haben die Pakete mehr Overhead.

Hier muss auf beiden seiten MSS TCP Clamping passieren, ansonsten funktioniert z.B. SSH oder HTTPS nicht.

Nur zum Verständnis gefragt: Warum eigentich funktioniert die path MTU discovery nicht? Natürlich könnte es langsamer sein weil die Verhandlung zu Beginn der Verbindung länger dauert oder Pakete fragmentiert werden, aber durchkommen sollte es nach meinem Verständnis schon.

Grüße, chris

Ich glaub nicht, daß die Provider config kaputt ist, es könnte ja wirklich so sein, daß das lokal am WAN so funktioniert.

Wie sieht es denn mit Ping aus, geht das zu deinem Kumpel durch? Nicht daß da eine zu großzügig greifende NAT reflection Regel oder sowas auf Deinen eigenen Webserver bei Dir zeigt?

Grüße, chris