Messages

Ping geht nun, da ich eine FW-Regel auf der WAN-Schnittstelle gesetzt habe, dass ICMP-Requests durchgelassen werden.Das Problem des Tunnels ist aber immer noch da.
Wenn ich google, dann wird gesagt, dass irgendwo nicht die feste IP eingetragen werden muss, sondern die WAN-IP der aufbauenden OPNsense. Habe aber nicht durchdrungen wo. Wäre das ein Ansatz?

Kurze Ergänzung:
- die aufbauende OPNsense hängt hinter einer FritzBox, also WAN im FritzBox-Netz
- Im Log der aufbauenden OPNsense steht: "error writing to socket: Can't assign requested address"
- Im LAN-Netz der aufbauenden OPNsense kann ich im Internet surfen, jedoch nicht die feste IP der anderen Seite anpingen

Ich habe die Einstellungen auf beiden Seiten nochmal neu gemacht und auf der Seite, die keine feste öffentliche IP hat, den Parameter auf "Start" gestellt und auf der anderen Seite mit der öffentlichen IP auf "None".

Der Tunnel kommt ca. für 30s zustande, bricht dann aber wieder ab. Firewall-Regeln sind gesetzt.

Woran könnte es noch haken?

Hallo Forum,

in der Dokumentation und in Youtube findet man nur Beispiele, wo beide Seiten eine feste IP haben müssen. Damals unter den Legacy-Einstellungen konnte man auch wählen, welche OPNsense den Verbindungsversuch startet. Damit war es möglich an einem Anschluss, der keine feste öffentliche IP hatte dieser Box zu sagen, dass sie den Verbindungsaufbau initiieren sollte.

Wie kann ich es mit den Connections realisieren?

Meinst Du eine ausgehende Regel vom VPN-Netz nach aussen per Port 153?

Hallo Forum,
ich habe bei mehreren Kunden einen lokalen Exchange-Server im Einsatz, der per Webproxy (HAProxy) von aussen erreichbar ist. Autodiscover und der eigentliche Zugriff erfolgt immer von aussen (ist als Split DNS aufgesetzt).

Outlook auf den Rechnern versucht also immer den Pfad zum Exchange-Server über das Internet zu finden. Das klappt eigentlich hervorragend. Wenn die Nutzer beispielsweise in einem Hotel WLAN sind, findet Outlook immer den Weg nach Hause.

Wenn nun aber ein VPN-Tunnel zum Fileserver aufgebaut wird, bricht die Verbindung von Outlook zum Exchange-Server ab. Das Problem scheint DNS zu sein.

Was müsste ich wo einstellen, damit Outlook funktioniert, wenn der VPN-Tunnel aufgebaut wird.

Habe bei Kunden, die noch eine SOPHOS SG und XGS haben, übrigens das gleiche Problem.

Besten Dank für Hinweise

Gruß
Christoph

Hallo Community,

ich habe heute einen Glasfaseranschluss mit einem 28er Netz bekommen. Ich habe das vlan07 angelegt und mit einem PPPoE-Device verknüpft und dieses wiederum mit dem WAN-Interface.

Ich bekomme auch sauber meine erste frei verfügbare Adresse zugewiesen und habe Zugriff ins Internet. Alles soweit fein.

Ich möchte nun einen weiteren physikalischen Netzwerkport der Firewall (LAN2) mit der zweiten öffentlichen IP aus dem Netz verbinden.

Der Hotliner sagte, dass man vlans anlegen soll, diese den IPs zuweisen und dann die Netzwerkports mit den vlans verknüpfen. So kennt er das von CISCO-Firewalls, weiß aber nicht wie es bei der Sense ist.

Wisst Ihr wie das geht?

Hintergrund: ich möchte einen Raum untervermieten und dem Mieter eine öffentliche IP anbieten mit einem eigenen internen IP-Bereich, der mit meinem nichts zu tun hat.


Gruß
Christoph

So, nun läufts.

Auf der Sense war schon das ACME-Plugin installiert. Ich habe über Services/ACME/Certificates ein neues Let's Encrypt-Zertifikat erzeugt und unter Services/Postfix dieses unter den Zertifikatseinstellungen ausgewählt.

Der Haken bei "Allow TLS only" setzt sich trotzdem immer noch selbständig zurück. Wenn ich aber über die Kommandozeile von OpenSSL eine Anfrage an den MX-Record stelle, dann wird mir das Zertifikat angeboten. Von daher alles gut.

Frage an die alten Hasen: Muß man nochmehr einstellen, wenn man verschlüsselten E-Mail-Verkehr will? Ist der Haken "Allow TLS only" für andere Dinge gut?

Ich habe die Kombi aus postfix/clamav/rspamd/redis bei einem Kunden mit nachgeschaltetem Exchange rudimentär am Laufen. Gestern sagte ein Kunde von denen, dass die externe Kommunikation unverschlüsselt auf Port 25 läuft. Das will ich natürlich abstellen.

Es gibt im Postfix-Plugin eine Checkbox "Allow TLS only". Wenn ich den setze, dann verschwindet der Haken von alleine wieder. Kann es sein, dass das nur geht, wenn ich die RootCA und das Server Certificate angebe?

Wie würde das mit Let's Encrypt auf der Sense funktionieren? Funktioniert das überhaupt?

Hallo Forum,

bei einem Kunden kommen seit der Einführung der OPNsense mit postfix/rspamd keine Mails an, die von einem seiner Kunden verschickt werden. Sein Kunde ist ein Immobilienmakler, der die Software OnOffice nutzt. Daraus schreiben die ihre Mails.

Im Log von Postfix sehe ich die Mail ankommen, aber diese wird nicht weitergeleitet an den internen Exchange-Server. Das Log sieht so aus. Woran kann das liegen? Oder wo muss ich eine Ausnahme eintragen? In Postfix oder in rspamd?

Vielen Dank im Voraus.

Gruß
Christoph

Hat das so niemand laufen?

Hallo,

ja, das steht sogar in der Kopfzeile wenn Du OpenVPN/Legacy aufrufst, sofern Du die aktuelle Firmware nutzt.

Es gibt ein paar Skripte von unterschiedlichen Leuten, die die Legacy-Profile in Instance-Profile umwandeln. Habe mich damit aber noch nicht beschäftigt.

Gruß
Christoph

Mach auf LAN (oder deinem dedizierten Admin-Netz falls vorhanden) ein Port-Forward für TCP Port 11334 nach 127.0.0.1.

Meinst Du So:

Und dann im Browser http://127.0.0.1:11334 aufrufen ?

... Blankopost für das spätere HoTo ...

Hallo Community,

ich möchte an dieser Stelle ein HoTo für das korrekte Einrichten eines Mailgateways auf der OPNsense schreiben.
Zum Einen, um selbst zu lernen, weil ich selbst zu wenig Ahnung habe und zum Anderen als Vorlage für die vielen Anderen,
denen es ähnlich geht wie mir. Vielleicht kann der Thread dann ja irgendwann mal angepinnt werden.

Dazu bin ich natürlich auf die Hilfe der Community und auf die Hilfe der alten Hasen angewiesen. Ich würde gerne
im obersten Thread diesen Text belassen und das eigentliche HoTo im zweiten Thread beschreiben.

Hintergrund: Ich löse gerade eine ganze Reihe SOPHOS-UTMs ab, die das Mailhandling aus meiner Sicht super gemacht hat. Diese
Funktionalität möchte ich möglichst gut mit der OPNsense abbilden.

Beginnen möchte ich mit der Annahme eines gängigen und klassichen Szenarios und mit einer offenen Sammlung an Fragen,
die sich dann nach und nach beantworten lassen.

Annahme:
Firma Max Meier GmbH hat einen VDSL oder FTTH-Anschluß bei irgendeinem Anbieter mit fester IPv4 und seine Domain bei einem
der gängigen Provider (IONOS, Strato, All Inkl. o.ä.) gehostet und ruft derzeit seine E-Mails per POP3 oder IMAP ab.
Ziel soll es sein, dass er OnPremise einen eigenen E-Mail-Server betreibt. Die Firewall soll eine OPNsense sein.
Die OPNsense ist bereits vorhanden und es soll zusätzlich das Mailgateway eingerichtet werden.

Deklarationen:
Feste IPv4:   80.90.100.110
Domain: max-meier.de
IP-Kreis LAN: 192.168.0.0/24
IP OPNsense: 192.168.0.1
IP Microsoft Windows-Server als DC: 192.168.0.10
IP Microsoft Exchange-Server: 192.168.0.20


Fragensammlung:
- Was benötigt mal alles auf der OPNsense an Plugins und wie sind diese einzurichten?

  a) Hier würde ich zunächst nach der Anleitung aus der Online-Hilfe der OPNsense vorgehen:
     https://docs.opnsense.org/manual/how-tos/mailgateway.html
   
    Installation der folgenden Plugins
    - ClamAV
    - Postfix
    - Redis
    - Rspamd
   
    und Standard-Einrichtung nach der Online-Hilfe. Wir können das ja später selbst schreiben, wenn es Abweichungen dazu geben wird.

  b) Postix-Plugin:
      Unter "System Hostname" den beim Provider festgelegten FQDN "gw.max-meier.de".
      Unter "System Domain" die Mail-Domäne. In diesem Falle "max-meier.de". Hier die Maildomäne nehmen und nicht die local-Domain der OPNsense.
   c) Rspamd
   d) ClamAV
   e) Redis

- Was ist beim Provider einzustellen?

- Was muss man alles im DNS des Providers umstellen?

  a) Anlegen eines A Records: gw.max-meier.de mit Verweis auf die feste IP 80.90.100.110
  b) Anlegen eines MX-Records als CNAME auf gw.max-meier.de

  Damit würden die eingehenden E-Mails schonmal nicht mehr beim Provider anklopfen, sondern
  am WAN-Interface der OPNsense.


- Wie stellt man den Reverse-Proxy ein? Muss man den überhaupt einstellen?

- Was ist spf?

- Was ist DKIM?

- Was ist DMARC?

- Greifen die spf und DMARC-Einträge beim Provider noch, wenn der MX-Record vom Mailserver des Providers auf
die feste IP der Firma umgestellt wird? Falls nein, wie sind die dann bei den Plugins einzustellen.

- Wie wird die OPNsense als Smarthost eingerichtet und konfiguriert, wenn der Exchange-Server die ausgehenden Mails
an die OPNsense sendet und diese wiederum die Mails beim Provider einliefert?