Messages

Hallo,

Zwischenstand: Muenet lässt die Abfrage der öffentlichen IPv4-Adresse nicht zu, so schreibt jedenfalls der Support. Damit ist klar, warum meine Dienste (u.a. Zeiterfassung) über den HA-proxy nicht mehr erreichbar sind. Für die statische IPv4-Adresse werden 10 EURO im Monat fällig.

Aber die IPv6-Adresse wäre von außen erreichbar. Jetzt muss ich mich erstmal mit IPv6 beschäftigen und den ddclient über dedyn.io die IPv6-Adresse abfragen lassen.

Oder die 10 EURO im Monat bezahlen.

Hallo,
Danke für die Antwort, aber ich habe mich vorher beim Support von Muenet erkundigt, das Telemark-Netz gibt es in meiner Region nicht, daher entfällt die VLAN-ID.
Einen zweiten Router habe ich noch, den werde ich nachher mal einsetzen und einen Speedtest machen.
Ist denn an meiner Konfiguration in der Opensense für den Glasfaseranschluss irgendetwas falsch?

Hallo zusammen,
die Umstellung von DSL (Vodafone) auf Glasfaser Muenet, regionaler Anbieter aus dem Münsterland) hat funktioniert, der Internetzugang steht, aber weitere (für mich) nicht erklärbare Phänomene sind aufgetreten.

Mit DSL Vodafone (Aufbau: Modem Vigor 165 <-> OPNsense <-> Switch) hat einwandfrei funktioniert:
- Kea DHCP
- Squid Web Proxy
- AdguardHome
- Wireguard
- Fritzbox 7490 als IP-Client, als Telefonanlage und WLAN 
- HAProxy mit Zertifikat (Let´sEncrypt), für die Zeiterfassung meiner Firma und Zugriff auf ein NAS von außen
- DynDNS über dedyn.io
- Kalendersynchronisation mit einem Webserver
- meine PV-Anlage ist direkt mit einer der Netzwerkschnittstellen an der OPNSense angeschlossen, über Firewall-Regeln getrennt, keine Filterung über ADG o.ä.
- OPNSense 25.7.5
- Hardware: NRG Systems IPU445 mit Intel Core i7-4500U mit 8 GB RAM

Nach der Umstellung auf Glasfaser (Aufbau: ONT <-> OPNsense <-> Switch) habe ich zwar Internetzugang, auch alle Clients kommen ins Internet.
- Statt der angegebenen 600 Mbit/s ergibt der Speedtest nur knapp 100 MBit/s. Da schreibe ich den Provider noch an.
- Internetseiten werden manchmal mit mehreren Sekunden Verzögerung aufgerufen
- Webseite der Zeiterfassung meldet "Beim Login ist ein Fehler aufgetreten"
- Kalendersynchronisation funktioniert nicht mehr
- Bei Anmeldung am NAS erfolgt die Meldung "DNS-Adresse von name.dedyn.io wurde nicht gefunden"
- die Telefonanlage der Fritzbox streikt, die Rufnummern sind nicht mehr registriert. 
- Dynamic DNS zeigt aber in der OPNSense eine IP-Adresse an.


Leider beschränkt sich die Anleitung zur Einrichtung des Internetzugangs von Muenet auf eine Fritzbox. Ich möchte nicht wieder zurück auf eine FB als exposed host vor der OPNSense, das hatte ich ganz zu Anfang mal in einer Testphase, bis das Vigor 160 zum Einsatz kam.

Mir ist nicht klar, warum bei einem Wechsels des Internetproviders hier nichts mehr funktioniert.

Folgende Einstellungen habe ich bei der Einrichtung vorgenommen:
Interfaces -> Devices -> Point-to-Point: Grafikdatei Point-to-Point.png

Interfaces -> Assignments: Grafikdatei Interface Assignments.png

Eine VLAN-ID ist im Gegensatz zu Vodafone DSL nicht erforderlich.

Habe ich bei der Einrichtung irgendetwas grundlegend falsch gemacht? Meine vielleicht naive Vorstellung war, dass ich einfach bei Assignments den Eintrag Muenet auswähle und alles rennt wie gewohnt.
Kann mir jemand einen Hinweis geben, welche Einstellungen noch zu kontrollieren sind?

Danke für die Hilfe
Stefan

Check the usb-type, only one entry must be ticked.

Best regards
Stefan

Hello,
Thank you for your reply. Rspamd is 3.11.0, according to System->Firmware->Packages
How does the downgrade process work?

Hello,

I have configured Postfix on OPNsense 24.7.8-amd64 as a smarthost for my internal network devices. All devices send their mails to Postfix and via smarthost outside.

My config:
Postfix - General:
- Listen ip: all
- ListenPort:  25
- Trusted Networks: 192......../24
- TLS Server compatibility: intermediate
- TLS client compatibility: intermediate
- TLS wrapper mode: yes
- Smart Host: smtp.providername.de:465
- Server certificate: mycertificate
- RootCA: myrootCA
- Smtp client security: encrypt
- Smarthost: smtp.servername.de:465
- EnableSMTP Authentication: yes
- Authentication Username: user@domain.de
- Authentication Password: UserPW

Postfix - AntiSpam:
Enable Rspamd integration: yes
Milter default action: accept

One day I noticed that my E-mails were no longer passing through the smarthost. The postfix log shows:

Warning   postfix/smtpd   warning: milter unix:/var/run/rspamd/milter.sock: read error in initial handshake
Warning   postfix/smtpd   warning: milter unix:/var/run/rspamd/milter.sock: can't read SMFIC_OPTNEG reply packet header: Operation timed out
Warning   postfix/cleanup   warning: milter unix:/var/run/rspamd/milter.sock: can't read SMFIC_BODYEOB reply packet header: Operation timed out

I tried to connect rspamd: http://OPNSenseIP:11334  but it failed with a timeout-error.

I then unchecked ,,Enable Rspamd Integration" and the smarthost worked fine again.

It looks weird to me. Any help would be appreciated.

Squid started after I removed the entrys in the white list section (Forward Proxy -> Access Control List)
Thanks for the hint.

Hi all,
after update to 23.7.8_1 squid failed to start.
,,Enable Transparent Proxy", ,,Enable SSL Inspection" and ,,Log Information only" is aktivated.

Error Message:

Starting squid.
CPU Usage: 0.006 seconds = 0.000 user + 0.006 sys
Maximum Resident Size: 0 KB
Page faults with physical i/o: 0
2023/11/16 09:48:47| Processing Configuration File: /usr/local/etc/squid/squid.conf (depth 0)
2023/11/16 09:48:47| Starting Authentication on port 127.0.0.1:3128
2023/11/16 09:48:47| Disabling Authentication on port 127.0.0.1:3128 (interception enabled)
2023/11/16 09:48:47| Starting Authentication on port [::1]:3128
2023/11/16 09:48:47| Disabling Authentication on port [::1]:3128 (interception enabled)
2023/11/16 09:48:47| Starting Authentication on port 127.0.0.1:3129
2023/11/16 09:48:47| Disabling Authentication on port 127.0.0.1:3129 (interception enabled)
2023/11/16 09:48:47| Starting Authentication on port [::1]:3129
2023/11/16 09:48:47| Disabling Authentication on port [::1]:3129 (interception enabled)
2023/11/16 09:48:47| WARNING: empty ACL: acl bump_nobumpsites ssl::server_name "/usr/local/etc/squid/nobumpsites.acl"
2023/11/16 09:48:47| ERROR: configuration failure: POSIX regcomp(3) failure: (13) repetition-operator operand invalid
regular expression: *\.apps\.apple\.com
exception location: RegexPattern.cc(30) RegexPattern
2023/11/16 09:48:47| Not currently OK to rewrite swap log.
2023/11/16 09:48:47| storeDirWriteCleanLogs: Operation aborted.
2023/11/16 09:48:47| FATAL: Bungled /usr/local/etc/squid/squid.conf line 61: acl whiteList url_regex *\.apps\.apple\.com
2023/11/16 09:48:47| Squid Cache (Version 6.5): Terminated abnormally.
/usr/local/etc/rc.d/squid: WARNING: failed to start squid


Does anyone have an idea how to solve this?

das Tutorial von TheHellSite enthält alles was nötig ist. Kann man nicht besser dokumentieren.
https://forum.opnsense.org/index.php?topic=23339.0

Hallo,
Entschuldigung, wenn meine Antwort etwas verspätet kommt, aber ich musste ein paar Tage Dienstreise dazwischen schieben. Mein beruflicher background liegt nun mal auf einem vollkommen anderen Gebiet.

Ich habe zwar gesehen, dass inzwischen mit 22.7.6 (Patch notes: ports: squid no-forgery patch fix) das Problem vermutlich behoben ist. Trotzdem habe ich zunächst mit opnsense-revert -r 22.7.4 squid die vorherige Version installiert und anschließend die Firwall-Regeln und Squid wieder aktiviert.
Damit läuft es wieder einwandfrei.

Danke für die Hilfe!

Hallo,
seltsam, nicht nur Google wird geblockt sondern auch diverse andere Webseiten. Ich habe jetzt die Firewallregeln für den Web-Proxy deaktiviert und anschließend auch den Web-Proy. Jetzt sind alle betreffenden Webseiten wieder erreichbar.

Es scheint tatsächlich an der Squid Version 5.7 liegen.

Hallo
ich benötige etwas Hilfe nach dem Update der OpnSense auf 22.7.5.
Nach dem Update auf 22.7.5 kann ich Google und die weitereb Dienste Maps, Mail, etc. nicht mehr aufrufen.

Fehlermeldung Firefox: SSL_ERROR_RX_RECORD_TOO_LONG
Fehlermeldung Edge: ERR_SSL_PROTOCOL_ERROR
Fehlermeldung Safari: ,,Safari kann die Seite nicht öffnen ... da Safari keine sichere Verbindung zum Server www.google.com aufbauen kann."

Nach langer Suche bin ich auf den Web-Proxy gekommen. Es ist ein transparenter Web-Proxy eingerichtet. Unter Forward Proxy -> ,,General Forward Settings" ist ,,Enable SSL Inspektion" und ,,Log SNI Information only" angehakt.

Testweise habe ich mal ein selbst signiertes Zertifikat bei CA to use hinterlegt und den Haken bei  ,,Log SNI Information" entfernt, da konnte ich zumindest bei Safari nach Bestätigung der Ausnahme die Google-Webseite aufrufen.

Im cache log steht: kid1| SECURITY ALERT: on URL: www.google.de:443


Der Web-Proxy wurde beim Update 22.7.5 auf die Version 5.7 gebracht, kann der Fehler damit zusammenhängen?

Ok, Speichern von E-Mails auf der Firewall ist sicher nicht der richtige Weg. Meine Hardware wäre zwar geeignet, aber ich stelle mir das gerade mit einem APU-Board vor....  ;)
Würde denn der finnische Taubenschlag (Dovecot) auf einem Server genügen? Postfix filtert Spam etc raus, Dovecot speichert die E-Mails auf einem Server und Thunderbird ruft diese per IMAP von Dovecot ab?
Oder muss ich mich doch z.B. mit hMailserver beschäftigen?

Hallo
ich habe zunächst den Laboraufbau wie im Layout dargestellt realisiert, um mit der OPNSense (Version 21.1.2) Erfahrung zu sammeln. Die beiden Clients holen sich die E-Mails mit dem Thunderbird E-Mail-Client direkt beim Provider Strato ab (SMTP/IMAP). Ich betreibe keinen eigenen E-Mailserver, das habe ich angesichts von 2 Clients auch nicht vor.

Daher wollte ich ein E-Mail-Gateway mit dem Postfix-Plugin einrichten, insbesondere wegen Rspamd. Strato ist nicht bekannt für einen guten Spamfilter. Also habe ich wie in https://docs.opnsense.org/manual/how-tos/mailgateway.html losgelegt.

Bei den erforderlichen Eintragungen im Plugin blicke ich nicht durch, da ich auch keine Erfahrung mit Mailservern habe.

Was trage ich aber im Plugin unter Domains ein ? Einen Mailserver habe ich nicht, also die IP des betreffenden Clients? Habe ich versucht, E-Mails kommen aber nicht durch.   

Immerhin kann ich E-Mails versenden, Rspamd ist aktiv, die WebUI zeigt die Anzahl der gesendeten Mails und der GTUBE Test zeigt reject in der WebUI.

Ist das dargestellte Layout mit 2 Clients ohne Mailserver dem Plugin überhaupt umsetzbar?

Ich würde mich über etwas Starthilfe freuen. Wenn Informationen fehlen bitte ich um Nachricht.

Gruß
Stefan