Messages

>>>>> Hat sich erledigt. Ich habe das falsche Ruleset (Subscription Version) aktiviert anstatt der Telemetry Edition.


Hallo zusammen,

ich habe gestern die kostenlose ET Pro Telemetry Edition im Shop bestellt und entsprechend der Anleitung installiert. Im Widget wird der Status auch als aktiv angezeigt und es werden auch Daten für den Download der Rulesets angezeigt.

Im Reiter Download des Intrusion Detection Moduls werden mir die Rulesets von ET Pro aber als nicht installiert angezeigt (sind aber aktiviert). Das Token ist im Downloadreiter bei et_telemetry.token eingetragen. Bei etpro.oinkcode habe ich nichts eingetragen, da ich einen solchen Code nicht erhalten habe.

Übersehe ich hier irgendetwas?

Installiert ist die OPNsense 19.7.4.

Gruß, Stefan

Hallo zusammen,

momentan hängt die OPNsense 19.7.4 bei mir über den LAN-Port an einem Switch im internen Netz und wird nur für die Spamfilterung genutzt. Nun wollte ich über das Backend nach neuen Updates suchen, aber egal welchen Mirror ich auswähle, es kommt nach ca. 1 Minute die Meldung, dass keine Updates verfügbar sind.

Muss ich hier etwas spezielles einstellen oder werden Updates nur über das WAN-Interface gefunden?

Gruß, Stefan

Danke.

Noch eine Frage zu iOS und Zertifikaten hinterher  ;)

Darf das OpenVPN Server Zertifikat nur eine maximale Laufzeit von 825 Tagen haben?

OK, danke.

Eine weitere Frage zu OpenVPN, ohne extra einen neuen Thread zu eröffnen:
iOS hat ja mittlerweile die Anforderung, dass das Serverzertifikat den DNS-Namen des Servers alternativen Namen im Server-Zertifikat haben muss.

Welchen DNS-Namen muss man bei der Zertifikatserstellung im entsprechenden Feld eintragen?

Hallo zusammen,

ich bin gerade dabei, nach der Anleitung in der Wiki einen OpenVPN Zugang für mehrere Benutzer einzurichten. Ist es möglich, mit einem OpenVPN Server User mit unterschiedlichen Authentifizierungsverfahren zu bedienen oder muss man für jedes Verfahren einen separaten erstellen?

1 User soll sich als Verfahren Username/PW/Zertifikat nutzen
1 anderer Username/PW/Zertifikat/OTP

Gruß, Stefan

Wenn ich den Link richtig verstehe, ist es dort so, dass HAProxy die Mails annimmt und an Postfix weiterleitet. Ich benötige es aber genau anderes herum. Also:

Internet -> Postfix -> HAProxy -> Exchange DAG

Wie gesagt Postfix und HAProxy auf dem OPNsense Router.

Hallo zusammen,

kann man externe Mails, die von Postfix empfangen werden, an HAProxy (beides direkt auf der OPNsense Firewall installiert) weiterleiten, sodass HAProxy dann ein Load Balancing für die Mitglieder einer Exchange DAG macht?

Ich dachte daran, als Destination bei Postfix für die Domains 127.0.0.1 anzugeben und dann in HAProxy als Listen-IP 127.0.0.1:25).

Gruß, Stefan

Ich habe eigene White- und Blacklisten als Map erstellt (z.B. mit Regexp-Filter, Domain-Filter etc.). Diese Maps lassen sich über die Rspamd GUI bearbeiten, wenn diese in der multimap.conf eingetragen sind.

Die multimap.conf ist im Verzeichnis rspamd/local.d eigentlich dafür vorgsehen laut Anleitung auf der Rspamd Webseite. Aber da diese von OPNsense bei jeder Speicherung von Einstellungen im OPNsense Backend überschrieben werden, sind die eigenen Einträge dann wieder weg. Es fehlt somit die Möglichkeit, eigene Einträge hinzuzufügen. Eventuell könnte das OPNsense Plugin dahingehend angepasst werden, dass ein include in der multimap.conf eingefügt wird auf eine Datei, die dann nicht überschrieben wird.

Hat jemand die RBLs schon einmal zum Laufen gebracht?

Ein weiteres Problem:

Laut Rspamd Webseite soll man im Ordner rspamd/local.d die multimap.conf anpassen können, um die Standard Config zu erweitern bzw. anzupassen. Ich habe also dort eigene Einträge hinzugefügt. Aber sobald ich im OPNsense Backend bei Rspam die Config speichere, wird die multimap.conf überschrieben und meine Anpassungen sind weg. Wo kann ich die multimap.conf anpassen?

Gruß, Stefan

Hallo zusammen,

ich habe Postfix mit Rspamd seit gestern am Laufen. Allerdings bin ich auf folgende Probleme gestoßen, für die ich bisher keine Lösung gefunden habe. Es ist eine OPNsense 19.1.9 ohne manuelle Änderungen an den Rspamd Config Dateien:

• Im Rspamd UI sind im Configuration Reiter diverse Listen zu sehen, von denen man einige direkt bearbeiten kann, andere dagegen sind nur lesbar.
  
  Die nur lesbaren sind //usr/local/etc/rspamd/local.d/bad_file_extensions.map, //usr/local/etc/rspamd/local.d/whitelist_sender_domains.map, /usr/local/etc/rspamd/local.d/antivirus.wl, /var/db/rspamd/surbl-whitelist.inc.local, /var/db/rspamd/2tld.inc.local
  
  Die nur lesbaren Datein haben die Berechtigung -rw-r--r--   root    wheel
  Welche Berechtigungen muss ich hier setzen?
  
  


• 
  Die RBL-Filterung funktioniert gar nicht. Die Listen wie Spamhaus werden nicht abgefragt (in der Rspamd Log ist kein entsprechender Eintrag zu finden. In der UI History wird bei den Symbols der Mails auch nicht aufgeführt. Deshalb kommen Mails durch, deren IP aber in diesen Listen steht.
  

Gruß, Stefan

Hallo zusammen,

ist es möglich, die OPNsense als reinen Spamfilter zu nutzen? Meine Überlegung ist, einen Mini-PC mit OPNsense über dessen LAN-Port an einen Switch im internen LAN zu hängen und dann auf dem vorhandenen Router eine Portweiterleitung für SMTP auf dessen IP zu machen. Ist dieses Vorhaben möglich und wenn ja, wie muss ich die Interfaces konfigurieren?

Gruß, Stefan.

Eine offene Frage habe ich hierzu noch: Wenn man ein Frontend für Port 443 mit mehreren Webseiten hat, die per Regeln aufgerufen werden, wie kann man die Client Zertifikate auf bestimmte dieser Webseiten beschränken?

Da ich gerade dabei bin, VPN für mehrere externe Benutzer einzurichten, pushe ich das Thema mal nach oben. Ist es aktuell möglich, dass mehrere VPN IPsec User gleichzeitig auf das LAN zugreifen können oder muss man hierfür OpenVPN benutzen?

Ich habe es jetzt gefunden. Ich musste das Häkchen bei "Aktiviere SSL-Entlastung aktivieren" setzen, damit die Optionen für die Client Zertifikate erscheinen

Ich kann auch im Advanced-Modus keine Einstellmöglichkeiten für Client-Zertifikate finden. Folgende Bereiche werden mir angezeigt (von oben nach unten):

Basic Authentication
Optimierungsoptionen
Optionen protokollieren
HTTP(S)-Einstellungen
Stickiness table
Erweiterte Einstellungen
Regeln
Fehlernachrichten