Messages

Ähmmm nööö, das war ein völliger Trugschluss.

Was mir aufgefallen ist, ist dass die Zeit von der OPNSense ewig langsam läuft. Heute morgen hatte ich einen Versatz von mehreren Stunden gegenüber der korrekten Zeit.

Ich habe zwischenzeitlich die CMOS Zeit von meinem ODROID (da läuft die FW drauf) kontrolliert und korrigiert (waren 2 Stunden hinten an). Danach war die FW 2 Stunden vor mir.

Jetzt läuft das ganze gut 1 1/2 Stunden und der NTP synct noch immer nicht. Ich hab ein Outbound NAT gesetzt: Geht nicht, FW Rules angepasst: Geht nicht.

Vielleicht ist auch einfach die Installation hinüber. Ich setze gleich mal eine VM auf um zu sehen ob sich das Verhalten dort wiederspiegelt. Wenn ja scheint es ein Bug innerhalb des NTP oder der OPNSense zu sein.

Wie schon erwähnt, wenn ich per ntpdate die Daten vom NTP Server fische (egal ob lokal oder extern) dann bekomme ich auch die Zeit - dauert nur relativ lange.

Ich habe zusätzlich noch einen NTP Server im gleichen Subnetz eingerichtet und den in der Sense eingerichtet - Ergebnis bleibt das Gleiche. Unerreichbar / Ausstehend - wobei die Logs sagen: Ist erreichbar.

Danke für eure Unterstützung.

Hi,

kannst du damit was anfangen?

filterlog: 8,,,0,re1,match,block,in,4,0x10,,64,38317,0,DF,6,tcp,52,xxx.xxx.xxx.x,xxx.xxx.xxx.x,22,29494,0,A,,1595132639,270,,nop;nop;TS

Ich erkenne "nur" dass Traffic geblockt wird. Der NTP Server ist per Roule allerdings freigegeben.

IPv4 UDP   xxx.xxx.xxx.x   123 (NTP)   LAN Netzwerk   *   *   *


Edith meint:

Per ntpdate kann ich die Zeit ja vom PI ziehen, also denke ich nicht, dass es an der Firewall liegt.

Hallo,

ich bin auch relativ neu in der FW-Ecke und hatte ähnliches Problem.

FritzBox als Router -> OPNSense als FW -> Clients

Da ich noch einen PI vor der Firewall und an der FB hängen habe (hat seine Gründe) habe ich eine FW Regel erstellt die den PI durchlässt. Habe das als Floating-Rule erstellt weil es sonst nicht funktioniert hat.

Und natürlich noch eine Route von der FB zur FW (und dann an die IP der FW auf "WAN"-Seite) definiert.

Das ist gewiss nicht die schönste und intelligenteste Variante, aber es tut so.

Habe allerdings auch 2 NICs im Einsatz und 2 Subnetze.

Hallo zusammen,

ich habe das Problem, dass sich, wie bei vielen anderen auch, der NTPD nicht mit einem NTP Server synct.

Lokal übernimmt die Aufgabe ein PI - der Port 123 ist auf dem Teil frei und er kann auch verteilen - soll er aber nicht (bis auf an die OPNSense - ich weiß, das klingt absurd aber ist so).

Die Meldungen im Log sind die üblichen:

Aug 16 15:57:15   ntpd[68510]: kernel reports TIME_ERROR: 0x41: Clock Unsynchronized
Aug 16 15:57:15   ntpd[68510]: kernel reports TIME_ERROR: 0x41: Clock Unsynchronized
Aug 16 15:57:15   ntpd[68510]: mlockall(): Cannot allocate memory

Das geht soweit, dass die Zeiten gut und gerne mal eine Stunde abweichen.

Per ntpdate (-u) IP-Adresse funktioniert das Tadellos - ob mit oder ohne (-u).

Der PI hängt (noch) im WAN Netz.

Firewalltechnisch habe ich aus spaß an der Freude mal eine Regel erstellt die besagt, dass das Netz wo der Pi drin hängt (WAN) den einen zulässt und den Port 123 durchlässt - egal von welcher Quelladresse und egal von welchem Quellport im LAN Netzwerk.

Bringt aber nichts.

Gleiches Problem bei externen NTP Servern.

Ich vermute mal, dass irgendwelche IPTable-Rules nicht passen - wobei die Firewall so gut wie jungfräulich ist und nahezu keine Extraregeln inne hat.

Hat irgendwer eine Idee? Bisher hab ich keine brauchbare Lösung gefunden.

Und die Frage wäre welche?

Danke das werde ich mir mal ansehen.

Passt das auch für externe Mailserver wo ich nur von empfange? Habe derzeit (noch) keinen eigenen Mailserver.

Also Hintergrund ist folgender:

Ich habe einen Account bei T-online (jaja ich weiß) und mehrere über meine eigene Domain wo ich keinen eigenen Mailserver betreibe / habe. Ich werde in ferner Zukunft vermutlich aber auf einen eigenen gehen. Für den jetzigen Stand hätte ich gern dass eigehende Mails von der FW gescannt und geblockt werden sofern sie gegen Regeln verstoßen.

In den Erweiterungen in 19.7 kann ich leider nichts finden.

Eventuell kannst du die Unbound Skripte übertragen - dann aber auch nur händisch.

Richte die FW lieber per Hand ein - das wird dir, wie mein Vorredner schon sagte, dir ein wesentlichen Einblick ins System geben.

Moin,

gibt es seitens der Opnsense eine Möglichkeit eingehende Mails zu überwachen? Ähnlich eines Spamfilters? Ich hab das bisher noch nicht entdeckt.

Könnt ihr mir dazu was sagen?

Gruß,

Dom