Messages

Hallo zusammen,

ich spiele derzeit etwas mit dem Squid Proxy und ClamAV.

Habe Den Proxy für HTTP Seiten laufen und in C-ICAP werden mir auch Viren angezeigt (getestet mit versuchtem Eicar).
Funktioniert also alles wie gewünscht. HTTP-Requests gehen an über Proxy und wenn ein Download stattfindet, scannt ClamAV über C-ICAP die Download-Datei.

Ich habe das nun mit größeren Dateien probiert. Habe die maximale Scan-Größe auf 11.000M gestellt und mal eine 10GB *.bin Datei gedownloadet.
Sobald ich den Download im Browser starte, passiert erstmal lange Zeit nichts. Der Browser zeigt an, dass er irgendwas versucht zu laden, und dann nach ca. 2-3 Min. startet der Download. Alles soweit (denke ich) zu erwarten, weil die Datei von der Firewall ja erstmal gescannt werden muss.
Je kleiner die Datei, desto schneller startet der Download.


Jetzt die Frage:
Ich kenne es von Sophos Firewalls oder von anderen Antivirensoftware im Netzwerk, dass man bei einem solchen versuchten Download über den Browser zu einer "Zwischenseite" von der Firewall geleitet wird, in derer man den Fortschritt des Scans sieht, oder zumindest Bescheid bekommt, dass erst gescannt wird. Oder die Datei wird erst irgendwo "zwischengeladen" und muss dann nochmal auf en Client kopiert werden.
Kann ich hier sowas in der Art einrichten?

Ich damit zB. sicherstellen, dass man den Download-Start nicht abbricht, weil man denkt, der Download-Link ist defekt oder so.

Hallo zusammen,

seit geraumer Zeit ist mir aufgefallen, dass sämtliche email Programme bei mir auf allen Geräten zeitweise Probleme beim email empfang haben. Dabei handelt es sich ausschließlich um emails von ionos.

Sprich: Alles was eine Verbindung zu imap.ionos.de herstellt, erhält Zeitüberschreitungen. Egal ob iPhone, Mac, PC...

Sobald ich LTE nutze, klappt alles sofort. Auch sind die ionos Dienste in letzter Zeit nie gestört gewesen. Es hat definitiv etwas mit der Firewall zu tun.
Die domains werden auch auf die richtigen IP's aufgelöst.

Einzige was auffällig war:
Im Mail-Programm ist als server "imap.ionos.de" eingestellt. In der Firewall sehe ich bei der detaillierten Ansicht, dass wohl "imap.1und1.de" angesprochen wird. die domains enden aber nach Recherche beide auf die gleiche IP's.


Jemand eine Idee wie ich hier auf Fehlersuche gehen kann?

Danke

EDIT:
Hat wohl irgendwas mit dem NAT zu tun. Ich nutze die OPNSense an einem DS-Lite Anschluss

Update: we were able to fix the issue by creating a new CA, Server/Client Certificates and CRL

Ok thanks. Will try that, too.

Hello,

after my update to 22.7.4 (meanwhile 22.7.7) I can't connect via OpenVPN when using user authentication.

user and server are active and valid.

When testing user via "System: Access: Examiner" it says its valid.

I have had activated the "VPN: OpenVPN: Server: Server mode" to "SSL/TLS + user auth", but that doesn't work anymore.
When changing to just "SSL/TLS" everything is working again.

The logs said:

Code Select Expand


2022-11-04T05:35:29 Notice openvpn 2a01:xxxxxxxxx [vpn_user] Peer Connection Initiated with [AF_INET6]2a01:xxxxxxxxx
2022-11-04T05:35:29 Error openvpn 2a01:xxxxxxxxx TLS Auth Error: Auth Username/Password verification failed for peer
2022-11-04T05:35:29 Warning openvpn 2a01:xxxxxxxxx WARNING: Failed running command (--auth-user-pass-verify): external program exited with error status: 255
2022-11-04T05:35:29 Warning openvpn user 'vpn_user' could not authenticate.
2022-11-04T05:35:28 Notice openvpn 2a01:xxxxxxxxx peer info: IV_SSO=webauth,openurl,crtext
2022-11-04T05:35:28 Notice openvpn 2a01:xxxxxxxxx peer info: IV_GUI_VER=net.openvpn.connect.ios_3.3.2-5086
2022-11-04T05:35:28 Notice openvpn 2a01:xxxxxxxxx peer info: IV_CIPHERS=AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305:AES-256-CBC
2022-11-04T05:35:28 Notice openvpn 2a01:xxxxxxxxx peer info: IV_PROTO=30
2022-11-04T05:35:28 Notice openvpn 2a01:xxxxxxxxx peer info: IV_TCPNL=1
2022-11-04T05:35:28 Notice openvpn 2a01:xxxxxxxxx peer info: IV_NCP=2
2022-11-04T05:35:28 Notice openvpn 2a01:xxxxxxxxx peer info: IV_PLAT=ios
2022-11-04T05:35:28 Notice openvpn 2a01:xxxxxxxxx peer info: IV_VER=3.git::08aaaaaa

(changed IP, MAC, and user name)


Created new user and client cert, but got the same error.

I didn't try to create new Server so far.

Seems to me, that the Server can't proof the user with the local database.

Jo stimmt. Habs im Log gesehen. Hab dem test-client mal den 443-Port gesperrt und gesehen, dass er trotz "wget http://www.eicar.org/download/eicar.com" eine https Verbindung aufbauen will.

Also die ssl Verbindungen über den Proxy zu leiten erscheint mir schon sehr schwierig. Da werden sicherlich hunderte Verbindungen nicht mehr ordentlich funktionieren.

Also ist der Virenscanner ohne SSL Injection eigentlich unbrauchbar. Schade :( ... und Danke :)

Super community und der Rest der OPNSense gefällt mir bisher auch sehr gut :)

Mit curl bekomme ich eine ,,http 301" Meldung (Moved permanently)

Mit wget kann ich die Dateien runterladen.

Hallo zusammen,

ich probiere mich gerade an dem Antivirus Schutz über Proxy.
Leider bisher ohne Erfolg. Ein downloaden der EICAR Test Dateien ist immer problemlos möglich.

Ich möchte erstmal nur http Verbindungen versuchen. Dazu hab ich mehrere Anleitungen gelesen oder angeschaut und x-mal mit meinen Einstellungen verglichen.

Proxy-Einstellungen:

- Proxy aktiviert
- Transparenten Modus aktiviert
- lokalen Zwischenspeicher aktiviert
- C-ICAP aktiviert
- Proxy Interface = Alle lokalen Interfaces


C-ICAP-Einstellungen:

- C-ICAP aktiviert
- Zugangsprotokollierung aktiviert
- c-icap mit dem localen squid verwenden aktiviert
- CalmAV aktiviert


CalmAV-Einstellungen:

- CalmAV Dienst aktiviert
- Freshcalm aktiviert
- TCP-Port aktiviert

Im Reiter "Signatures" wird mir nichts angezeigt. Im Reiter "Version" steht aber "Gesamtanzahl an Signaturen
7065888"


NAT-Einstellungen:


OPNSense hab ich auch mal neugestartet.



Das Einzige, was mir auffiel steht im Cache Log des Web Proxy:

Code Select Expand

| FATAL: pinger: Unable to open any ICMP sockets.
| pinger: Unable to start ICMPv6 pinger.
| Open icmp_sock: (1) Operation not permitted
| pinger: Unable to start ICMP pinger.
| Open icmp_sock: (1) Operation not permitted
| pinger: Initialising ICMP pinger ...


Ansonsten dürfte ich eigtl. nichts übersehen haben oder dergleichen.

I will try it ^^thx

Viel Dank für die Antwort.

Ok. Verstehe...

feste-ip will afaik das Präfix explizit im HTTP-Request haben


Gibt es vielleicht alternativ einen zu empfehlenden DynDNS-Client, der das Präfix schicken kann? Dann würde ich mir einfach einen LXC erstellen, der das dann erledigt.
Ich werde mal googeln, aber vielleicht kann mir ja jemand einen empfehlen

Hallo zusammen,

bin noch neu bei der OPNSense Community und habe gestern erst meine erste OPNSense in Betrieb genommen.

Die WAN-Verbidnung wird über DHCP aufgebaut (IPv4 und IPv6). Für den Fernzugriff kann ich ISP-Bedingt nur IPv6 nutzen.

Einen DynDNS Dienst habe ich in der Sense auch schon erfolgreich angelegt.
Da ich nicht für jedes Endgerät, welches ich ansprechen will einen eigenen DynDNS-Client laufen haben möchte, würde ich gerne über den Router direkt den LAN-IPv6-Präfix mit an den DynDNS-Anbieter senden. Gibt es da eine Option?

Bei Feste-IP.net kann ich subhosts über den Host-Identifier anlegen. Um diese dann ohne NAT direkt anzusprechen, brauche ich den LAN-Präfix. Denn sonst schickt OPNSense einfach nur die öffentliche IPv6 Adresse...

Gibt es da eine Option, die ich in der Update-URL einbauen kann?


Vielen Dank im Voraus

Edit:
Vorher hab ich es mit einem Lancom-Router so wie hier beschrieben gelöst:
https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=32984832

Also einfach ein "&subhostprefix=%x" in die Update-URL mit eingebaut.