Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Topics - choffmeister

#1
Hallo liebe OPNsensler,

ich habe mir eine OPNSense mit HAProxy und LetsEncrypt für einen Exchange Server eingerichtet.
Nun kann ich den Exchange von außen über den HAPROXY und Lets Encrypt SSL erreichen.
Leider klappt das aber von innen nicht.
Kann mir jemand sagen wie ich es bewerkstellige das ich den Exchange von innen für einen Nicht Domain Computer über https://mein.mailserver.com erreichen kann ?

Anmerkung: das es jetzt ein Exchange ist, ist nebensächlich da ich auch andere Server über den Public DNS mit SSL erreichen will ohne diese am DC DNS eintragen zu müssen.
#2
HAllo liebe Leute,
ich bin gerade dabei ein Spam Gateway auf der OPNSense Firewall einzurichten und bin am verzweifeln weil die Doku einfach nur ein witz ist.
Ich muss dazu sagen das ich auch nicht aus dem Linux bereich komme und mir somit auch das Wissen zu den einzelnen Modulen fehlt.
Hat jemand zufällig eine funktionierende Konfiguration die er mir als Screenshot schicken kann ?
Die Doku unter : https://docs.opnsense.org/manual/how-tos/mailgateway.html halte ich für einen witz.
Es ist überhaupt nicht beschrieben wie mann wo was wie konfiguriert, gerade für mich als nicht Linux Guy und Anfänger in diesem Bereich werde ich so nicht zum Ziel kommen.
#3
Hallo,
ich habe folgendes Problem, ich habe 2 LAN Ports für 2 unterschiedliche Netzwerke.
LAN1 ist das Company Lan
LAN2 ist das Test LAN

Nun steht im LAN2 ein Exchange Server, der von extern einwandfrei erreicht werden kann, jedoch nicht aus dem LAN1.
Ich gehe davon aus das ich hier ein Problem mit der Firewall config habe, kann mir hier jemand weiterhelfen ?

LAN1 - Firewall Rules any to internet allowed
LAN2 - Firewall Rules nur die Exchange Ports die ich brauche wie z.b. https, http, smtp, imap nach internet allowed.
#4
Guten abend liebe Leute,
ich habe mir heute aufgrund dieser anleitung mein VPN eingerichtet

( https://www.thomas-krenn.com/de/wiki/OPNsense_OpenVPN_f%C3%BCr_Road_Warrior_einrichten )

und bekomme nun folgenden fehler beim Client export angezeigt :

An API exception occured
Error at /usr/local/opnsense/mvc/app/controllers/OPNsense/OpenVPN/Api/ExportController.php:349 - Undefined index: CN (errno=8)

Kennt jemand das Problem ?
#5
German - Deutsch / VOIP, keine eingehenden Anrufe
January 31, 2019, 01:48:45 PM
Hallo,
ich benötige einmal eure hilfe.
Ich habe meine OPNsense soweit am laufen, nur habe ich noch Probleme mit unseren VOIP Handsets.

Wir können aktuell ohne Probleme nach draußen telefonieren, jedoch kommen keine eingehenden Anruf an den Handsets an.
Die Anrufe werden stattdessen immer an die Mailbox weitergeleitet.

Es sind 2 Handsetz mit jeweils 4 eingehenden Leitungen :

Handset1
Reception1
sip:1029962@192.168.15.161:5075
ShootKey1
sip:1029964@192.168.15.161:5076
Complaints1
sip:1029965@192.168.15.161:5077
Sales1
sip:1029963@192.168.15.161:5078


Handset2
Reception2
sip:1029960@192.168.15.160:5070
ShootKey2
sip:1029966@192.168.15.160:5071
Complaints2
sip:1029967@192.168.15.160:5072
Sales2
sip:1029968@192.168.15.160:5073

Die frage ist, was muss ich wo einstellen damit die Anrufe bei mir an den Handsets ankommen und nicht auf der Mailbox landen ?
#6
Hallo,
da habe ich gleich nochmal eine Frage :
Ich habe hinter der Firewall mehrere Webserver die einen Lets Encrypt ACME Client am laufen haben und sich so die Zertifikate selber ausstellen und installieren.
Wie bekomme ich es nun so hin das nicht der HA Proxy das Zertifikat liefert sondern der Webserver wenn ich die Website mittels https aufrufe ?
#7
Hallo,
ich habe folgendes Problem :

Ich möchte mehrere Domains über den HA Proxy auf den richtigen Server mit dem richtigen Port weiterleiten.

Als Beispiel habe ich drei Server

Server A ( Exchange Server )     Domain : mail.meinedomain.net
Server B ( Website )                  Domain : cic.meinedomain.net
Firewall Management Interface   Domain : firewall.meinedomain.net

Nun ist es so das ich in der OPNSense ein Condition wie folgt erstellt habe :

^https:\/\/mail\.meinedomain\.net
^https:\/\/cic\.meinedomain\.net
^https:\/\/firewall\.meinedomain\.net

Das Problem ist das wenn ich das so eintrage, z.b. der aufruf von http oder https://cic.meinedomain.net
ich auf die website von mail.meinedomain.net weitergeleitet werde, was natürlich falsch ist.
Zudem scheint auch das unterscheiden von http und https nicht richtig zu funktionieren.
Da auf den Servern teilweise eine eigene Lets Encrypt ACME Client instanz läuft, muss ich dort auch richtig umleiten damit das Zertifikat ausgestellt werden kann.
Also muss der http aufruf auch auf port 80 gehen und https auf 443.

Kann mir da jemand helfen ?
Gruß
Christian

#8
Hallo nochmal,
ich bin gerade dabei mehrere Server hinter der OPNsense Firewall zu platzieren, welche alle über https angesprochen werden sollen.

Nun ist es so das ich dies nicht mittels SNI TLS zum laufen bekomme.
Egal was ich dort eintrage, es wird nun ein Webserver angesprochen.

Beispiel :
Server 1 : webmail.meinedomain.net
Server 2 : forum.meinedomain.net

Habe alle SNI TLS Einstellungen an der OPNSesne durchprobiert und bekomme wenn ich die URL von Server 2 aufrufe, immer die Website von Server 1 angezeigt.

Habe ich hier einen Denkfehler und bin mit SNI TLS falsch ?

Danke
Christian
#9
Hallo an alle,
ich habe ein Problem und benötige einmal eure Hilfe.

Ich habe folgendes Scenario :

Ich habe einen /28 Adress Pool von meinem Provider, welchen ich der Firewall zugewiesen haben ( Wan und Virtuelle IPs )

Konfiguriert habe ich zudem HA Proxy für das Exchange Backend in Verbindung mittels Lets Encrypt, was auch funktioniert.

Das einzige Problem was ich habe ist das der Exchange über eine dedizierte IP Adresse heraus senden soll was mir aber partout nicht gelingen will, er nimmt immer eine IP welche er nicht nehmen soll und sendet somit über die falsche raus.
Somit stimmt mein SPF Eintrag nicht und die Mails werden abgelehnt.
Kann mir jemand sagen was ich wo konfigurieren muss und ev. ein Beispiel geben ?

Danke schon einmal im Voraus.
Gruß
Christian
#10
HAllo, ich schlage mich schon seit tagen damit rum und versuche Lets Encrypt mit HA Proxy zum laufen zu bekommen, scheitere jedoch ständig an folgendem Fehler :

QuoteDate   Message
[Mon Dec 24 04:50:59 CST 2018]   code='400'
[Mon Dec 24 04:50:59 CST 2018]   response='{"type":"urn:acme:error:malformed","detail":"Unable to update challenge :: authorization must be pending","status": 400}'
Date: Mon, 24 Dec 2018 10:50:59   GMT
Expires: Mon, 24 Dec 2018 10:50:59   GMT
Expires: Mon, 24 Dec 2018 10:50:59   GMT
[Mon Dec 24 04:50:59 CST 2018]   responseHeaders='HTTP/1.1 100 Continue
"detail": "Unable to update challenge   :: authorization must be pending",
[Mon Dec 24 04:50:59 CST 2018]   original='{
[Mon Dec 24 04:50:59 CST 2018]   _ret='0'
[Mon Dec 24 04:50:59 CST 2018]   _CURL='curl -L --silent --dump-header /var/etc/acme-client/home/http.header -g '
[Mon Dec 24 04:50:59 CST 2018]   _postContentType
[Mon Dec 24 04:50:59 CST 2018]   body='{"header": {"alg": "RS256", "jwk": {"e": "AQAB", "kty": "RSA", "n": "tktzZVVlkWQgOBysjviSosxnxCUVEWsqdii-hi-kKDUhfidz0n5F5kqaiu4V47SFlts7gaYbe8GdPJHQGiLUCNSCbBRlZeLInNZPUvgDFLdU-YbyDZhOtev_uuPChg3HK6T2whQpZgUE9asFd-lsgvgljDUjb4jKs6iV9Oe-qKW7W5gmMNTt-XJK6muTMSm-8hK6JA08KGtbiE_nUWxfRgd-MqqRn7NvW1Lt9pTM3E0ejA0vXPUVXMcyeD-Yt8QhT8gaNx5LK-UhEKtn_PJ74kPxntczPfHohf2PGmwz5GHLtjj0f8r9FB05LwLt_JH4aXFx42fgh6WoZ765vpzzRt9gn0HcxYIGY8UwzSdo8j0ebswmBhQFpVK_UTYPMlBXpqhcMfg3ua44q9RknGTZHPj8dlopAc3otdBar4Jt2iMwWC2UvEA1BoyZcummIoMVimqhiuy5RbdjIe8FRI5CSXAuVdW2bZJ-zyDsypJY1BUtFSW69sOGR-uveLTpp4KTrEYPZQBEYJQNkLt_GDllUY-DGpO54Sad4iJIu5AmdC99gjmUA1rsJDR7NIEGF-WQp_e4xTyFxLxuhrzC4yeyfb03QfVTBjlPLX6u0vWvC75YZN-iovk7GBYEETy4DAq9yKo3oYaV7xdv-0mJtw38udNoK5MdPxdtsZeCmDznCPs"}}, "protected": "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", "payload": "eyJyZXNvdXJjZSI6ICJjaGFsbGVuZ2UiLCAia2V5QXV0aG9yaXphdGlvbiI6ICJYbjdyZGZ4UTk5ank3MWxqeU8xRUhCZHFqVEhNMUU0RkY0Q2pzbU1WS29NLjdDXzFMVXc3WExGUFpfekdxVXB6aWNmNEFMbkJ2cTJHc1MzR0pmbnBGUmMifQ", "signature": "H9ySbDDHt1CZ4HLHhlNNbS0ZxdrXxs4mOPBZMyGiTmyEvcyd4mT-6SYczNzF7wgu9HHfkBHaE7Jee3jsqYfUdl3ZN_3JLQ5RvxZRoIyXkJdjlqGenv61vsGoLVQcW-hqS1PYufm-Lf_s7jR53E3TBMVLQx2cSL480gzRG7ojiM-qUoSO6hhaC1ENJ8ztaimRzwm_lBEBJ-8go4pBUtdJ4dC_ksCrzEf2fZZCVXr23p6jvEyAEXQ74dtiPBe4UAaqU96o7wH4J3U8C6qZ1nGceCDfbfwQSDn7zXkENBoUOyW0rQQv5Ibu7lxYcoVzpG51EEPU0rODhBMJrK4TL99jov8eio1e04_BcGXiClM8pWuG6zMntD5WHvW6smsmlQLtUpcw-wB1wKsGB7IZ8fVMcJvWPoCplePNYil6pi9Al_oGj-14N9lwAaRwfhFEUZ1Rbf-jp-GXNSO4w2CepWfK_UCXqRVHeyUaOKeGzpQy8PG3HOG2Tu88H6f42NkrYxQGQLGh_Y_5CK2pr_OHxxzscZi_34Ng_wu0TmFuXUADCt5lC-6zvryA8m4DvB3AjYXfV2woz9m_GIpkGi4NJtkIcScPMI6YjYUsczRQEHyTL9VLdAXhCm9kcEmaIU893MmZyppgbxrGdeGiAkCDhZNS3vVfks-TbKuvu1wmgOl4WRs"}'
[Mon Dec 24 04:50:59 CST 2018]   _post_url='https://acme-staging.api.letsencrypt.org/acme/challenge/M-pnT-IjEtBkr3ENiKXAVI-xvML64T0WVMe7htB9nEo/212710607'
[Mon Dec 24 04:50:59 CST 2018]   POST
[Mon Dec 24 04:50:59 CST 2018]   nonce='FHZjvpzPYEwjG6idsWpgwfJjtfRUyoxUwHdpTeheGsY'
[Mon Dec 24 04:50:59 CST 2018]   Use _CACHED_NONCE='FHZjvpzPYEwjG6idsWpgwfJjtfRUyoxUwHdpTeheGsY'
[Mon Dec 24 04:50:59 CST 2018]   Use cached jwk for file: /var/etc/acme-client/accounts/5c2004eb9eaf27.16007696/account.key
[Mon Dec 24 04:50:59 CST 2018]   payload='{"resource": "challenge", "keyAuthorization": "Xn7rdfxQ99jy71ljyO1EHBdqjTHM1E4FF4CjsmMVKoM.7C_1LUw7XLFPZ_zGqUpzicf4ALnBvq2GsS3GJfnpFRc"}'
[Mon Dec 24 04:50:59 CST 2018]   url='https://acme-staging.api.letsencrypt.org/acme/challenge/M-pnT-IjEtBkr3ENiKXAVI-xvML64T0WVMe7htB9nEo/212710607'
[Mon Dec 24 04:50:59 CST 2018]   _t_key_authz='Xn7rdfxQ99jy71ljyO1EHBdqjTHM1E4FF4CjsmMVKoM.7C_1LUw7XLFPZ_zGqUpzicf4ALnBvq2GsS3GJfnpFRc'
[Mon Dec 24 04:50:59 CST 2018]   _t_url='https://acme-staging.api.letsencrypt.org/acme/challenge/M-pnT-IjEtBkr3ENiKXAVI-xvML64T0WVMe7htB9nEo/212710607'
[Mon Dec 24 04:50:59 CST 2018]   tigger domain validation.
[Mon Dec 24 04:50:59 CST 2018]   code='400'
[Mon Dec 24 04:50:59 CST 2018]   response='{"type":"urn:acme:error:malformed","detail":"Unable to update challenge :: authorization must be pending","status": 400}'
Date: Mon, 24 Dec 2018 10:50:59   GMT
Expires: Mon, 24 Dec 2018 10:50:59   GMT
#11
HAllo Leute,
ich bin gerade dabei mich zum ersten mal mit  vlans zu befassen und habe das problem das ich nun nachdem die vlans eingerichtet sind und ich auch über die vlans internet zugriff habe, nicht mehr auf das Management GUI zugreifen kann.

Ich habe aktuell nur noch zugriff auf die Konsole.
Ist es irgendwie möglich über mein VLAN ( VLAN TAG 3 ) auf die WEB Console zuzugreifen ?
Wenn ja kann ich die warscheinlich fehlende Regel irgendwie über die Konsole anlegen und wenn ja hat jemand den Befehl für mich ?

Danke
#12
HAllo,
ich brauche mal eure hilfe.

Folgende Situation :
Ich habe eine IP Range vom Provider bekommen.
Die erste IP ist der Firewall als WAN Adresse zugewiesen, z.b. 97.123.456.61/29

Nun ist meine IP Range 97.123.456.57 - 97.123.456.62 ( 29 )

Soweit wie ich es verstanden habe, muss ich nun die anderen IPs als Virtuelle IPs eintragen im Format :

97.123.456.57/29
97.123.456.58/29
97.123.456.59/29
97.123.456.60/29

Ist das soweit richt ? Wenn ja dann stimmt meine Konfig soweit bis dahin.

Wenn ich nicht hinbekomme, ist das natten der IP auf einen internen Server.
Stattdessen ist es mir irgendwann nicht mehr möglich auf das Webinterface zuzugreifen.
Leider vergesse ich immer wieder mir den SSH zugang freizuschalten bevor ich was mache, schande auf mein Haupt.

Kann mir bitte jemand so freundlich sein und schreiben oder screenshots machen wie es zu konfigurieren ist ?
Ich habe inzwischen die firewall zig mal neu aufgesetzt da jedesmal das Webinterface nicht mehr geht.
Zur info ich habe den Port des Webinterface auf 5443 gewechselt.

#13
Hallo liebe Forums Mitglieder,
ich setze nun opnsense seit einer geraumen Zeit ein und beiße mir gerade die Zähne an einer harten Nuss aus und brauche eure Hilfe.

Folgende Situation :

Ich habe eine opnsense Firewall installiert und dieser mehrere Public IPs zugewiesen.
Nun ist es so das 2 Server zwingend eine PUBLIC IP haben müssen sonst funktioniert die Software nicht richtig.

Nehmen wir einmal also folgendes an :

Meine Public IPs sind 62.30.4.224/28
nun muss also ein oder 2 Server welche hinter der Firewall sind genau 2 IPs aus diesem Kreis haben.
also 62.30.4.231 und 62.30.4.241
Wie kann ich das umsetzen ?