"
Meinst Du eine ausgehende Regel vom VPN-Netz nach aussen per Port 153?
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
#2
German - Deutsch / Exchange on premise mit DNS split und VPN
October 23, 2025, 07:48:28 PM
Hallo Forum,
ich habe bei mehreren Kunden einen lokalen Exchange-Server im Einsatz, der per Webproxy (HAProxy) von aussen erreichbar ist. Autodiscover und der eigentliche Zugriff erfolgt immer von aussen (ist als Split DNS aufgesetzt).
Outlook auf den Rechnern versucht also immer den Pfad zum Exchange-Server über das Internet zu finden. Das klappt eigentlich hervorragend. Wenn die Nutzer beispielsweise in einem Hotel WLAN sind, findet Outlook immer den Weg nach Hause.
Wenn nun aber ein VPN-Tunnel zum Fileserver aufgebaut wird, bricht die Verbindung von Outlook zum Exchange-Server ab. Das Problem scheint DNS zu sein.
Was müsste ich wo einstellen, damit Outlook funktioniert, wenn der VPN-Tunnel aufgebaut wird.
Habe bei Kunden, die noch eine SOPHOS SG und XGS haben, übrigens das gleiche Problem.
Besten Dank für Hinweise
Gruß
Christoph
ich habe bei mehreren Kunden einen lokalen Exchange-Server im Einsatz, der per Webproxy (HAProxy) von aussen erreichbar ist. Autodiscover und der eigentliche Zugriff erfolgt immer von aussen (ist als Split DNS aufgesetzt).
Outlook auf den Rechnern versucht also immer den Pfad zum Exchange-Server über das Internet zu finden. Das klappt eigentlich hervorragend. Wenn die Nutzer beispielsweise in einem Hotel WLAN sind, findet Outlook immer den Weg nach Hause.
Wenn nun aber ein VPN-Tunnel zum Fileserver aufgebaut wird, bricht die Verbindung von Outlook zum Exchange-Server ab. Das Problem scheint DNS zu sein.
Was müsste ich wo einstellen, damit Outlook funktioniert, wenn der VPN-Tunnel aufgebaut wird.
Habe bei Kunden, die noch eine SOPHOS SG und XGS haben, übrigens das gleiche Problem.
Besten Dank für Hinweise
Gruß
Christoph
#3
German - Deutsch / 28er Netz auf dem WAN-Port, wie intern aufteilen
June 26, 2025, 06:34:21 PM
Hallo Community,
ich habe heute einen Glasfaseranschluss mit einem 28er Netz bekommen. Ich habe das vlan07 angelegt und mit einem PPPoE-Device verknüpft und dieses wiederum mit dem WAN-Interface.
Ich bekomme auch sauber meine erste frei verfügbare Adresse zugewiesen und habe Zugriff ins Internet. Alles soweit fein.
Ich möchte nun einen weiteren physikalischen Netzwerkport der Firewall (LAN2) mit der zweiten öffentlichen IP aus dem Netz verbinden.
Der Hotliner sagte, dass man vlans anlegen soll, diese den IPs zuweisen und dann die Netzwerkports mit den vlans verknüpfen. So kennt er das von CISCO-Firewalls, weiß aber nicht wie es bei der Sense ist.
Wisst Ihr wie das geht?
Hintergrund: ich möchte einen Raum untervermieten und dem Mieter eine öffentliche IP anbieten mit einem eigenen internen IP-Bereich, der mit meinem nichts zu tun hat.
Gruß
Christoph
ich habe heute einen Glasfaseranschluss mit einem 28er Netz bekommen. Ich habe das vlan07 angelegt und mit einem PPPoE-Device verknüpft und dieses wiederum mit dem WAN-Interface.
Ich bekomme auch sauber meine erste frei verfügbare Adresse zugewiesen und habe Zugriff ins Internet. Alles soweit fein.
Ich möchte nun einen weiteren physikalischen Netzwerkport der Firewall (LAN2) mit der zweiten öffentlichen IP aus dem Netz verbinden.
Der Hotliner sagte, dass man vlans anlegen soll, diese den IPs zuweisen und dann die Netzwerkports mit den vlans verknüpfen. So kennt er das von CISCO-Firewalls, weiß aber nicht wie es bei der Sense ist.
Wisst Ihr wie das geht?
Hintergrund: ich möchte einen Raum untervermieten und dem Mieter eine öffentliche IP anbieten mit einem eigenen internen IP-Bereich, der mit meinem nichts zu tun hat.
Gruß
Christoph
#4
German - Deutsch / Re: In der Entstehung: HowTo zur Einrichtung eines Mailgateways auf der OPNsense
June 20, 2025, 12:17:47 PM
So, nun läufts.
Auf der Sense war schon das ACME-Plugin installiert. Ich habe über Services/ACME/Certificates ein neues Let's Encrypt-Zertifikat erzeugt und unter Services/Postfix dieses unter den Zertifikatseinstellungen ausgewählt.
Der Haken bei "Allow TLS only" setzt sich trotzdem immer noch selbständig zurück. Wenn ich aber über die Kommandozeile von OpenSSL eine Anfrage an den MX-Record stelle, dann wird mir das Zertifikat angeboten. Von daher alles gut.
Frage an die alten Hasen: Muß man nochmehr einstellen, wenn man verschlüsselten E-Mail-Verkehr will? Ist der Haken "Allow TLS only" für andere Dinge gut?
Auf der Sense war schon das ACME-Plugin installiert. Ich habe über Services/ACME/Certificates ein neues Let's Encrypt-Zertifikat erzeugt und unter Services/Postfix dieses unter den Zertifikatseinstellungen ausgewählt.
Der Haken bei "Allow TLS only" setzt sich trotzdem immer noch selbständig zurück. Wenn ich aber über die Kommandozeile von OpenSSL eine Anfrage an den MX-Record stelle, dann wird mir das Zertifikat angeboten. Von daher alles gut.
Frage an die alten Hasen: Muß man nochmehr einstellen, wenn man verschlüsselten E-Mail-Verkehr will? Ist der Haken "Allow TLS only" für andere Dinge gut?
#5
German - Deutsch / Re: In der Entstehung: HowTo zur Einrichtung eines Mailgateways auf der OPNsense
June 19, 2025, 06:29:55 AM
Ich habe die Kombi aus postfix/clamav/rspamd/redis bei einem Kunden mit nachgeschaltetem Exchange rudimentär am Laufen. Gestern sagte ein Kunde von denen, dass die externe Kommunikation unverschlüsselt auf Port 25 läuft. Das will ich natürlich abstellen.
Es gibt im Postfix-Plugin eine Checkbox "Allow TLS only". Wenn ich den setze, dann verschwindet der Haken von alleine wieder. Kann es sein, dass das nur geht, wenn ich die RootCA und das Server Certificate angebe?
Wie würde das mit Let's Encrypt auf der Sense funktionieren? Funktioniert das überhaupt?
Es gibt im Postfix-Plugin eine Checkbox "Allow TLS only". Wenn ich den setze, dann verschwindet der Haken von alleine wieder. Kann es sein, dass das nur geht, wenn ich die RootCA und das Server Certificate angebe?
Wie würde das mit Let's Encrypt auf der Sense funktionieren? Funktioniert das überhaupt?
#6
German - Deutsch / Kunde bekommt keine Mails von OnOffice
June 16, 2025, 11:13:10 AM
Hallo Forum,
bei einem Kunden kommen seit der Einführung der OPNsense mit postfix/rspamd keine Mails an, die von einem seiner Kunden verschickt werden. Sein Kunde ist ein Immobilienmakler, der die Software OnOffice nutzt. Daraus schreiben die ihre Mails.
Im Log von Postfix sehe ich die Mail ankommen, aber diese wird nicht weitergeleitet an den internen Exchange-Server. Das Log sieht so aus. Woran kann das liegen? Oder wo muss ich eine Ausnahme eintragen? In Postfix oder in rspamd?
Vielen Dank im Voraus.
Gruß
Christoph
bei einem Kunden kommen seit der Einführung der OPNsense mit postfix/rspamd keine Mails an, die von einem seiner Kunden verschickt werden. Sein Kunde ist ein Immobilienmakler, der die Software OnOffice nutzt. Daraus schreiben die ihre Mails.
Im Log von Postfix sehe ich die Mail ankommen, aber diese wird nicht weitergeleitet an den internen Exchange-Server. Das Log sieht so aus. Woran kann das liegen? Oder wo muss ich eine Ausnahme eintragen? In Postfix oder in rspamd?
Vielen Dank im Voraus.
Gruß
Christoph
#7
German - Deutsch / Re: OPNcentral - Aufruf der einzelnen GUIs
June 15, 2025, 05:44:08 PM
Hat das so niemand laufen?
#8
German - Deutsch / Re: Wie geht es weiter mit LEGACY OpenVPN-Clients/Servern ab OPNsense 26.1 ?
June 15, 2025, 05:33:26 PM
Hallo,
ja, das steht sogar in der Kopfzeile wenn Du OpenVPN/Legacy aufrufst, sofern Du die aktuelle Firmware nutzt.
Es gibt ein paar Skripte von unterschiedlichen Leuten, die die Legacy-Profile in Instance-Profile umwandeln. Habe mich damit aber noch nicht beschäftigt.
Gruß
Christoph
ja, das steht sogar in der Kopfzeile wenn Du OpenVPN/Legacy aufrufst, sofern Du die aktuelle Firmware nutzt.
Es gibt ein paar Skripte von unterschiedlichen Leuten, die die Legacy-Profile in Instance-Profile umwandeln. Habe mich damit aber noch nicht beschäftigt.
Gruß
Christoph
#9
German - Deutsch / Re: Abwehr von SPAM-E-Mails in der Sense
June 15, 2025, 05:12:22 PMQuote from: Patrick M. Hausen on June 11, 2025, 07:11:34 PMMach auf LAN (oder deinem dedizierten Admin-Netz falls vorhanden) ein Port-Forward für TCP Port 11334 nach 127.0.0.1.
Meinst Du So:
Und dann im Browser http://127.0.0.1:11334 aufrufen ?
#10
German - Deutsch / Re: In der Entstehung: HowTo zur Einrichtung eines Mailgateways auf der OPNsense
June 14, 2025, 11:38:27 AM
... Blankopost für das spätere HoTo ...
#11
German - Deutsch / In der Entstehung: HowTo zur Einrichtung eines Mailgateways auf der OPNsense
June 14, 2025, 11:37:35 AM
Hallo Community,
ich möchte an dieser Stelle ein HoTo für das korrekte Einrichten eines Mailgateways auf der OPNsense schreiben.
Zum Einen, um selbst zu lernen, weil ich selbst zu wenig Ahnung habe und zum Anderen als Vorlage für die vielen Anderen,
denen es ähnlich geht wie mir. Vielleicht kann der Thread dann ja irgendwann mal angepinnt werden.
Dazu bin ich natürlich auf die Hilfe der Community und auf die Hilfe der alten Hasen angewiesen. Ich würde gerne
im obersten Thread diesen Text belassen und das eigentliche HoTo im zweiten Thread beschreiben.
Hintergrund: Ich löse gerade eine ganze Reihe SOPHOS-UTMs ab, die das Mailhandling aus meiner Sicht super gemacht hat. Diese
Funktionalität möchte ich möglichst gut mit der OPNsense abbilden.
Beginnen möchte ich mit der Annahme eines gängigen und klassichen Szenarios und mit einer offenen Sammlung an Fragen,
die sich dann nach und nach beantworten lassen.
Annahme:
Firma Max Meier GmbH hat einen VDSL oder FTTH-Anschluß bei irgendeinem Anbieter mit fester IPv4 und seine Domain bei einem
der gängigen Provider (IONOS, Strato, All Inkl. o.ä.) gehostet und ruft derzeit seine E-Mails per POP3 oder IMAP ab.
Ziel soll es sein, dass er OnPremise einen eigenen E-Mail-Server betreibt. Die Firewall soll eine OPNsense sein.
Die OPNsense ist bereits vorhanden und es soll zusätzlich das Mailgateway eingerichtet werden.
Deklarationen:
Feste IPv4: 80.90.100.110
Domain: max-meier.de
IP-Kreis LAN: 192.168.0.0/24
IP OPNsense: 192.168.0.1
IP Microsoft Windows-Server als DC: 192.168.0.10
IP Microsoft Exchange-Server: 192.168.0.20
Fragensammlung:
- Was benötigt mal alles auf der OPNsense an Plugins und wie sind diese einzurichten?
a) Hier würde ich zunächst nach der Anleitung aus der Online-Hilfe der OPNsense vorgehen:
https://docs.opnsense.org/manual/how-tos/mailgateway.html
Installation der folgenden Plugins
- ClamAV
- Postfix
- Redis
- Rspamd
und Standard-Einrichtung nach der Online-Hilfe. Wir können das ja später selbst schreiben, wenn es Abweichungen dazu geben wird.
b) Postix-Plugin:
Unter "System Hostname" den beim Provider festgelegten FQDN "gw.max-meier.de".
Unter "System Domain" die Mail-Domäne. In diesem Falle "max-meier.de". Hier die Maildomäne nehmen und nicht die local-Domain der OPNsense.
c) Rspamd
d) ClamAV
e) Redis
- Was ist beim Provider einzustellen?
- Was muss man alles im DNS des Providers umstellen?
a) Anlegen eines A Records: gw.max-meier.de mit Verweis auf die feste IP 80.90.100.110
b) Anlegen eines MX-Records als CNAME auf gw.max-meier.de
Damit würden die eingehenden E-Mails schonmal nicht mehr beim Provider anklopfen, sondern
am WAN-Interface der OPNsense.
- Wie stellt man den Reverse-Proxy ein? Muss man den überhaupt einstellen?
- Was ist spf?
- Was ist DKIM?
- Was ist DMARC?
- Greifen die spf und DMARC-Einträge beim Provider noch, wenn der MX-Record vom Mailserver des Providers auf
die feste IP der Firma umgestellt wird? Falls nein, wie sind die dann bei den Plugins einzustellen.
- Wie wird die OPNsense als Smarthost eingerichtet und konfiguriert, wenn der Exchange-Server die ausgehenden Mails
an die OPNsense sendet und diese wiederum die Mails beim Provider einliefert?
ich möchte an dieser Stelle ein HoTo für das korrekte Einrichten eines Mailgateways auf der OPNsense schreiben.
Zum Einen, um selbst zu lernen, weil ich selbst zu wenig Ahnung habe und zum Anderen als Vorlage für die vielen Anderen,
denen es ähnlich geht wie mir. Vielleicht kann der Thread dann ja irgendwann mal angepinnt werden.
Dazu bin ich natürlich auf die Hilfe der Community und auf die Hilfe der alten Hasen angewiesen. Ich würde gerne
im obersten Thread diesen Text belassen und das eigentliche HoTo im zweiten Thread beschreiben.
Hintergrund: Ich löse gerade eine ganze Reihe SOPHOS-UTMs ab, die das Mailhandling aus meiner Sicht super gemacht hat. Diese
Funktionalität möchte ich möglichst gut mit der OPNsense abbilden.
Beginnen möchte ich mit der Annahme eines gängigen und klassichen Szenarios und mit einer offenen Sammlung an Fragen,
die sich dann nach und nach beantworten lassen.
Annahme:
Firma Max Meier GmbH hat einen VDSL oder FTTH-Anschluß bei irgendeinem Anbieter mit fester IPv4 und seine Domain bei einem
der gängigen Provider (IONOS, Strato, All Inkl. o.ä.) gehostet und ruft derzeit seine E-Mails per POP3 oder IMAP ab.
Ziel soll es sein, dass er OnPremise einen eigenen E-Mail-Server betreibt. Die Firewall soll eine OPNsense sein.
Die OPNsense ist bereits vorhanden und es soll zusätzlich das Mailgateway eingerichtet werden.
Deklarationen:
Feste IPv4: 80.90.100.110
Domain: max-meier.de
IP-Kreis LAN: 192.168.0.0/24
IP OPNsense: 192.168.0.1
IP Microsoft Windows-Server als DC: 192.168.0.10
IP Microsoft Exchange-Server: 192.168.0.20
Fragensammlung:
- Was benötigt mal alles auf der OPNsense an Plugins und wie sind diese einzurichten?
a) Hier würde ich zunächst nach der Anleitung aus der Online-Hilfe der OPNsense vorgehen:
https://docs.opnsense.org/manual/how-tos/mailgateway.html
Installation der folgenden Plugins
- ClamAV
- Postfix
- Redis
- Rspamd
und Standard-Einrichtung nach der Online-Hilfe. Wir können das ja später selbst schreiben, wenn es Abweichungen dazu geben wird.
b) Postix-Plugin:
Unter "System Hostname" den beim Provider festgelegten FQDN "gw.max-meier.de".
Unter "System Domain" die Mail-Domäne. In diesem Falle "max-meier.de". Hier die Maildomäne nehmen und nicht die local-Domain der OPNsense.
c) Rspamd
d) ClamAV
e) Redis
- Was ist beim Provider einzustellen?
- Was muss man alles im DNS des Providers umstellen?
a) Anlegen eines A Records: gw.max-meier.de mit Verweis auf die feste IP 80.90.100.110
b) Anlegen eines MX-Records als CNAME auf gw.max-meier.de
Damit würden die eingehenden E-Mails schonmal nicht mehr beim Provider anklopfen, sondern
am WAN-Interface der OPNsense.
- Wie stellt man den Reverse-Proxy ein? Muss man den überhaupt einstellen?
- Was ist spf?
- Was ist DKIM?
- Was ist DMARC?
- Greifen die spf und DMARC-Einträge beim Provider noch, wenn der MX-Record vom Mailserver des Providers auf
die feste IP der Firma umgestellt wird? Falls nein, wie sind die dann bei den Plugins einzustellen.
- Wie wird die OPNsense als Smarthost eingerichtet und konfiguriert, wenn der Exchange-Server die ausgehenden Mails
an die OPNsense sendet und diese wiederum die Mails beim Provider einliefert?
#12
German - Deutsch / Re: Abwehr von SPAM-E-Mails in der Sense
June 13, 2025, 01:18:28 PM
Ich greife das Thema nochmal auf, da der Kunde über "tonnenweise" SPAM-E-Mails klagt, seit wir die Sophos gegen die Sense getauscht haben.
Kann mir jemand mit vernünftigen Parametern für rspamd aushelfen, die gut funktionieren? Und ggfs. für die anderen Plugins, die für den Gateway-Betrieb notwendig sind (redis, postfix. clamav).
Besten Dank im Voraus.
Kann mir jemand mit vernünftigen Parametern für rspamd aushelfen, die gut funktionieren? Und ggfs. für die anderen Plugins, die für den Gateway-Betrieb notwendig sind (redis, postfix. clamav).
Besten Dank im Voraus.
#13
German - Deutsch / Re: Abwehr von SPAM-E-Mails in der Sense
June 11, 2025, 09:47:53 PM
Uups,
ich habe die Pulldown-Menüs übersehen. Da ist ja noch mehr :-). Dann werde ich mir mal die Doku von rspamd reinziehen und schauen, wie die Scores zu setzen sind.
Danke für's Augenöffnen :-).
ich habe die Pulldown-Menüs übersehen. Da ist ja noch mehr :-). Dann werde ich mir mal die Doku von rspamd reinziehen und schauen, wie die Scores zu setzen sind.
Danke für's Augenöffnen :-).
#14
German - Deutsch / Spamhaus oder Firehol?
June 11, 2025, 07:11:06 PM
Hallo Forum,
in der Onlinehilfe der Sense wird erklärt, wie man die Blocklisten von Spamhaus integriert. Ich habe das mal gemacht und fand nun auch Hinweise auf Firehol-Listen.
a) Ist das prinzipiell ähnlich oder sind das zwei paar Schuhe?
b) Nutzen die SPAM-Haus-Listen auch gegen SPAM-Mails? Gelistete E-Mailserver dürften doch theoretisch abgeblockt werden, oder?
Gruß
Christoph
in der Onlinehilfe der Sense wird erklärt, wie man die Blocklisten von Spamhaus integriert. Ich habe das mal gemacht und fand nun auch Hinweise auf Firehol-Listen.
a) Ist das prinzipiell ähnlich oder sind das zwei paar Schuhe?
b) Nutzen die SPAM-Haus-Listen auch gegen SPAM-Mails? Gelistete E-Mailserver dürften doch theoretisch abgeblockt werden, oder?
Gruß
Christoph
#15
German - Deutsch / Re: Abwehr von SPAM-E-Mails in der Sense
June 11, 2025, 07:08:11 PM
Hallo Patrick,
vielen Dank für die Nachricht. Auf der Sense hat rspamd kein eigenes UI, außer den Einstellungen über das UI der Sense selber. Das gibt aber nicht viel her. Wie gesagt, habe ich z.B. nicht mal Greylisting gefunden.
vielen Dank für die Nachricht. Auf der Sense hat rspamd kein eigenes UI, außer den Einstellungen über das UI der Sense selber. Das gibt aber nicht viel her. Wie gesagt, habe ich z.B. nicht mal Greylisting gefunden.
