Messages

Hi,

Hab heute nochmal geschaut und jetzt logged das System wieder. Ich habe eigentlich nichts mehr gemacht.

Aktualisiert auf 23.1.11. Problem besteht. Kein Logging.

Moin zusammen,

Ich habe meine Opnsense von 2.1.X auf 22.7.11 upgadatet. Läuft eigentlich alles sauber, aber es wird nix mehr geloggt. Habe schon das Logging zurückgesetzt und die Opnsense neu gebootet, aber leider hat das nicht geholfen. Kein Dienst loggt mehr was. Jemand eine Idee was das sein könnte?

Gruss
Peter

Moin,

Wollte einen Cleaninstall von 22.1.2 auf der APU2E0 machen.

- Bios vorher auf 4.17 upgedatet.
- USB Stick mit Rufus und neuster Image als Serial Version erstellt.
- Boot from USB
- Und jetzt kommt das Problem. Er bleibt mit einem Fehler hängen. Ich weiss einfach nicht mehr weiter. Jemand eine Idee?

Code Select Expand

(probe0:umass-sim0:0:0:0): INQUIRY. CDB: 12 00 00 00 24 00
(probe0:umass-sim0:0:0:0): CAM status: CCB request completed with an error
(probe0:umass-sim0:0:0:0): Retrying command, 0 more tries remain
(probe0:umass-sim0:0:0:0): INQUIRY. CDB: 12 00 00 00 24 00
(probe0:umass-sim0:0:0:0): CAM status: CCB request completed with an error
(probe0:umass-sim0:0:0:0): Error 5, Retries exhausted
ada0 at ahcich0 bus 0 scbus0 target 0 lun 0
ada0: <SATA SSD SBFM01.3> ACS-4 ATA SATA 3.x device
ada0: Serial Number 920D0706022C00252579
ada0: 600.000MB/s transfers (SATA 3.x, UDMA6, PIO 8192bytes)
ada0: Command Queueing enabled
ada0: 15272MB (31277232 512 byte sectors)
mountroot: waiting for device /dev/ufs/OPNsense_Install...
Mounting from ufs:/dev/ufs/OPNsense_Install failed with error 19.

Loader variables:
  vfs.root.mountfrom=ufs:/dev/ufs/OPNsense_Install
  vfs.root.mountfrom.options=ro,noatime

Manual root filesystem specification:
  <fstype>:<device> [options]
      Mount <device> using filesystem <fstype>
      and with the specified (optional) option list.

    eg. ufs:/dev/da0s1a
        zfs:zroot/ROOT/default
        cd9660:/dev/cd0 ro
          (which is equivalent to: mount -t cd9660 -o ro /dev/cd0 /)

  ?               List valid disk boot devices
  .               Yield 1 second (for background tasks)
  <empty line>    Abort manual input

mountroot>


Update: Hab es mal mit der 21.7.1 Version versucht und die klappt ohne Probleme.

Thx. Thats helps. Delete old root und renew and everything is now fine.

I will wait after restart, but where can i see which root certificate is rpsamd using? Im searching for it, but didnt find it.

Youre right. There was an old root CA. I have delete it and the new one in postifx select and renew cert from lets encrypt. Restart Postfix and Rspamd, but still the same "certificate verfiy failed" errors in rspamd. Will restart later the opnsense router.

Hello,

OPNSense Version: 21.1.5

I have since few days diffrent connection errors with rspamd. See attached picture. Is it maybe, because im using here older OPNSense Version?

Peter

Ja das ist mir bekannt. Danke.

Versuche es mal mit einem Switchupdate. Davor war ein Lancom angeschlossen und die Problematik habe ich erst seit der OPNSense.

Moin zusammen,

Anbei Netzstruktur als Bild.

Die Synology NAS holt sich einfach keine IP im Vlan 3 vom Windowsserver 1 DHCP und ich kann sie somit nicht ansteuern. Selbst, wenn ich eine feste IP im Vlan3 der Synology gebe, dann kann ich sie nur bedingt ansteuern - Webservice gebrochen, Fileservice garnicht und sie kann keinen DNS ansteuern. Ping ist möglich mit fester IP. Hänge ich am selben Port einen stinknormalen Windowsclient dran, dann geht das ohne Probleme. Stecke ich die Synology ins default Vlan, dann holt die sich ganz normal die IP vom Windowsserver 2 und ich kann die problemlos ansteuern. Ich weiss einfach nicht, wo die Synology das Problem hat mit dem Vlan 3. Ich habe die neuste Firmware bereits installiert. Jemand eine idee? Wäre über jeden Tipp dankbar.

Gruss
Peter

I think the "Allow only TLS" Button is no longer necessary.

In this version you always send/receive tls. With modern, intermediate and old you decide between tls 1.1, tls 1.2 and tls 1.3. With TLS setting "may" the server decide it to handle it with other server.

But i think for send over tls "letsencrypt" certificate there one line missing or im wrong?

This lines:

smtp_tls_CApath =

Here my Config:

Code Select Expand

##########################
# START SYSTEM DEFAULTS
##########################
alias_database = hash:/usr/local/etc/postfix/aliases
alias_maps = hash:/usr/local/etc/postfix/aliases
compatibility_level = 2
queue_directory = /var/spool/postfix
command_directory = /usr/local/sbin
daemon_directory = /usr/local/libexec/postfix
data_directory = /var/db/postfix
mail_owner = postfix
unknown_local_recipient_reject_code = 550
mynetworks_style = host
debug_peer_level = 2
debugger_command =
         PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
         ddd $daemon_directory/$process_name $process_id & sleep 5

sendmail_path = /usr/local/sbin/sendmail
newaliases_path = /usr/local/bin/newaliases
mailq_path = /usr/local/bin/mailq
setgid_group = maildrop
html_directory = no
manpage_directory = /usr/local/man
sample_directory = /usr/local/etc/postfix
readme_directory = no
inet_protocols = ipv4
meta_directory = /usr/local/libexec/postfix
shlib_directory = /usr/local/lib/postfix
relay_domains = hash:/usr/local/etc/postfix/transport
transport_maps = hash:/usr/local/etc/postfix/transport
virtual_alias_maps = hash:/usr/local/etc/postfix/virtual
sender_bcc_maps = hash:/usr/local/etc/postfix/senderbcc
recipient_bcc_maps = hash:/usr/local/etc/postfix/recipientbcc
sender_canonical_maps = regexp:/usr/local/etc/postfix/sendercanonical
header_checks = regexp:/usr/local/etc/postfix/header_checks_receiving
smtp_header_checks = regexp:/usr/local/etc/postfix/header_checks_delivering
##########################
# END SYSTEM DEFAULTS
##########################

myhostname = "SECRET"
mydomain = "SECRET"
myorigin = $myhostname
inet_interfaces = all
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.0.4/32
smtpd_banner = "SECRET"
message_size_limit = 31200000

smtp_tls_security_level = may
smtp_tls_loglevel = 1
# END SYSTEM DEFAULTS
##########################

myhostname = "SECRET"
mydomain = "SECRET"
myorigin = $myhostname
inet_interfaces = all
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.0.4/32
smtpd_banner = "SECRET"
message_size_limit = 31200000

smtp_tls_security_level = may
smtp_tls_loglevel = 1
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_mandatory_ciphers = medium
smtp_tls_protocols = $smtp_tls_mandatory_protocols
smtp_tls_ciphers = $smtp_tls_mandatory_ciphers
smtpd_use_tls = yes
smtpd_tls_auth_only = yes
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_cert_file = /usr/local/etc/postfix/cert_opn.pem
smtpd_tls_CAfile = /usr/local/etc/postfix/ca_opn.pem
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_dh1024_param_file = /usr/local/etc/dh-parameters.2048
smtpd_tls_mandatory_ciphers = medium
smtpd_tls_protocols = $smtpd_tls_mandatory_protocols
smtpd_tls_ciphers = $smtpd_tls_mandatory_ciphers
tls_low_cipherlist = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20
-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES12
8-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AE
S128-SHA256:DHE-RSA-AES256-SHA256:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA
tls_medium_cipherlist = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACH
A20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
tls_preempt_cipherlist = no


smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/usr/local/etc/postfix/smtp_auth
smtp_sasl_security_options =


smtpd_milters = unix:/var/run/rspamd/milter.sock
non_smtpd_milters = $smtpd_milters
milter_protocol = 6
milter_default_action = accept

relay_recipient_maps = hash:/usr/local/etc/postfix/recipient_access


smtpd_recipient_restrictions = check_recipient_access hash:/usr/local/etc/postfix/recipient_access, reject_unknown_client_hostname, reject_non_fqdn_helo_host
name, reject_invalid_helo_hostname, reject_unknown_helo_hostname, reject_unauth_pipelining, reject_unknown_sender_domain, reject_unknown_recipient_domain, re
ject_non_fqdn_sender, reject_non_fqdn_recipient, permit_mynetworks, reject_unauth_destination


smtpd_helo_required = yes

smtpd_helo_restrictions =
        permit_mynetworks,


Hi,

"Allow TLS Only" -> Whatever i set in Server/Client. I click on it, save, refresh, and its not activate and it nothing log why.

The "Untrusted TLS Connection" to every server. Is there something missing? Like this:

smtp_tls_CApath = /etc/ssl/certs
smtpd_tls_CApath = /etc/ssl/certs

-----------

SSL_Accept error between postfix and exchange should be fix now. I confgure some protols on exchange. Now it works.

Hello,

I'm setting up another Postfixserver, but first time to version 21.7.3_1

Setup as alawsy with acme certificate: See attached picture 1

I cannot activate "Allow TLS Only". I get for every mail send this log: See attached picture 2

I dont't know what the problem is. Somebody can help?

Dear
Peter

Moin zsam,

Bin hier nach der Anleitung gegangen: https://docs.opnsense.org/manual/how-tos/multiwan.html

Opnsenseversion: 21.7.3_1

Klappt auch alles soweit prima mit dem Failover, aber nach jedem Neustart der Opnsense funktioniert weder Unbound DNS bzw. Dnsmasq-DNS. Hab es mit beiden ausprobiert. Lokal auf der Opnsense ist keine DNS Auflösung mehr möglich. Erst wenn ich beim jeweiligen Dienst auf "Speichern" klicke, funktioniert alles normal und DNS Auflösung lokal auf der Sense klappt. Das Phänomen habe ich seit 21.1, aber nur auf Sense mit dem Failovereinrichtung. Jemand eine Idee wodran es liegt?

Gruss
Peter