Messages

Hallo Forum,
ich würde gerne meinen ISC DHCP gegen Kea DHCP austauschen.

Nun meine Fragen:
1.) Wozu ist der "Control Agent"? Kea scheint ja, auch ohne diesen aktiviert zu haben, zu funktionieren.
2.) Bei den Settings teile ich Kea mit, auf welchen Schnittstellen DHCP gemacht werden soll. Warum trage ich beim Reiter "Subnet" die Schnittstellen-IP und nicht den Netzwerkbereich ein? Also statt 192.168.100.1/24 sondern 192.168.100.0/24?
3.) Wenn ich das so richtig verstanden habe, dann geht Kea davon aus, dass der DNS-Server und das Gateway jeweils die IP-Adresse des Subnets hat?! Wie kann ich Kea andere IP-Adressen mitteilen? Also Gateway z.B. 192.168.1.1 und DNS aber 192.168.1.12?

Ich danke im Voraus für Aufklärung :-).

Hallo nochmal,
ich habe nun in der Phase1 bei der verbindungsaufbauenden OPNsense als lokale IP nun die interne IP der OPNsense eingetragen. Und schwups kommt die Verbindung zustande. Der Tunnel steht nun seit ein paar Tagen.
Könnten die Jungs von Deciso gerne mal mit in die Doku nehmen :-).

Ping geht nun, da ich eine FW-Regel auf der WAN-Schnittstelle gesetzt habe, dass ICMP-Requests durchgelassen werden.Das Problem des Tunnels ist aber immer noch da.
Wenn ich google, dann wird gesagt, dass irgendwo nicht die feste IP eingetragen werden muss, sondern die WAN-IP der aufbauenden OPNsense. Habe aber nicht durchdrungen wo. Wäre das ein Ansatz?

Kurze Ergänzung:
- die aufbauende OPNsense hängt hinter einer FritzBox, also WAN im FritzBox-Netz
- Im Log der aufbauenden OPNsense steht: "error writing to socket: Can't assign requested address"
- Im LAN-Netz der aufbauenden OPNsense kann ich im Internet surfen, jedoch nicht die feste IP der anderen Seite anpingen

Ich habe die Einstellungen auf beiden Seiten nochmal neu gemacht und auf der Seite, die keine feste öffentliche IP hat, den Parameter auf "Start" gestellt und auf der anderen Seite mit der öffentlichen IP auf "None".

Der Tunnel kommt ca. für 30s zustande, bricht dann aber wieder ab. Firewall-Regeln sind gesetzt.

Woran könnte es noch haken?

Hallo Forum,

in der Dokumentation und in Youtube findet man nur Beispiele, wo beide Seiten eine feste IP haben müssen. Damals unter den Legacy-Einstellungen konnte man auch wählen, welche OPNsense den Verbindungsversuch startet. Damit war es möglich an einem Anschluss, der keine feste öffentliche IP hatte dieser Box zu sagen, dass sie den Verbindungsaufbau initiieren sollte.

Wie kann ich es mit den Connections realisieren?

Meinst Du eine ausgehende Regel vom VPN-Netz nach aussen per Port 153?

Hallo Forum,
ich habe bei mehreren Kunden einen lokalen Exchange-Server im Einsatz, der per Webproxy (HAProxy) von aussen erreichbar ist. Autodiscover und der eigentliche Zugriff erfolgt immer von aussen (ist als Split DNS aufgesetzt).

Outlook auf den Rechnern versucht also immer den Pfad zum Exchange-Server über das Internet zu finden. Das klappt eigentlich hervorragend. Wenn die Nutzer beispielsweise in einem Hotel WLAN sind, findet Outlook immer den Weg nach Hause.

Wenn nun aber ein VPN-Tunnel zum Fileserver aufgebaut wird, bricht die Verbindung von Outlook zum Exchange-Server ab. Das Problem scheint DNS zu sein.

Was müsste ich wo einstellen, damit Outlook funktioniert, wenn der VPN-Tunnel aufgebaut wird.

Habe bei Kunden, die noch eine SOPHOS SG und XGS haben, übrigens das gleiche Problem.

Besten Dank für Hinweise

Gruß
Christoph

Hallo Community,

ich habe heute einen Glasfaseranschluss mit einem 28er Netz bekommen. Ich habe das vlan07 angelegt und mit einem PPPoE-Device verknüpft und dieses wiederum mit dem WAN-Interface.

Ich bekomme auch sauber meine erste frei verfügbare Adresse zugewiesen und habe Zugriff ins Internet. Alles soweit fein.

Ich möchte nun einen weiteren physikalischen Netzwerkport der Firewall (LAN2) mit der zweiten öffentlichen IP aus dem Netz verbinden.

Der Hotliner sagte, dass man vlans anlegen soll, diese den IPs zuweisen und dann die Netzwerkports mit den vlans verknüpfen. So kennt er das von CISCO-Firewalls, weiß aber nicht wie es bei der Sense ist.

Wisst Ihr wie das geht?

Hintergrund: ich möchte einen Raum untervermieten und dem Mieter eine öffentliche IP anbieten mit einem eigenen internen IP-Bereich, der mit meinem nichts zu tun hat.


Gruß
Christoph

So, nun läufts.

Auf der Sense war schon das ACME-Plugin installiert. Ich habe über Services/ACME/Certificates ein neues Let's Encrypt-Zertifikat erzeugt und unter Services/Postfix dieses unter den Zertifikatseinstellungen ausgewählt.

Der Haken bei "Allow TLS only" setzt sich trotzdem immer noch selbständig zurück. Wenn ich aber über die Kommandozeile von OpenSSL eine Anfrage an den MX-Record stelle, dann wird mir das Zertifikat angeboten. Von daher alles gut.

Frage an die alten Hasen: Muß man nochmehr einstellen, wenn man verschlüsselten E-Mail-Verkehr will? Ist der Haken "Allow TLS only" für andere Dinge gut?

Ich habe die Kombi aus postfix/clamav/rspamd/redis bei einem Kunden mit nachgeschaltetem Exchange rudimentär am Laufen. Gestern sagte ein Kunde von denen, dass die externe Kommunikation unverschlüsselt auf Port 25 läuft. Das will ich natürlich abstellen.

Es gibt im Postfix-Plugin eine Checkbox "Allow TLS only". Wenn ich den setze, dann verschwindet der Haken von alleine wieder. Kann es sein, dass das nur geht, wenn ich die RootCA und das Server Certificate angebe?

Wie würde das mit Let's Encrypt auf der Sense funktionieren? Funktioniert das überhaupt?

Hallo Forum,

bei einem Kunden kommen seit der Einführung der OPNsense mit postfix/rspamd keine Mails an, die von einem seiner Kunden verschickt werden. Sein Kunde ist ein Immobilienmakler, der die Software OnOffice nutzt. Daraus schreiben die ihre Mails.

Im Log von Postfix sehe ich die Mail ankommen, aber diese wird nicht weitergeleitet an den internen Exchange-Server. Das Log sieht so aus. Woran kann das liegen? Oder wo muss ich eine Ausnahme eintragen? In Postfix oder in rspamd?

Vielen Dank im Voraus.

Gruß
Christoph

Hat das so niemand laufen?

Hallo,

ja, das steht sogar in der Kopfzeile wenn Du OpenVPN/Legacy aufrufst, sofern Du die aktuelle Firmware nutzt.

Es gibt ein paar Skripte von unterschiedlichen Leuten, die die Legacy-Profile in Instance-Profile umwandeln. Habe mich damit aber noch nicht beschäftigt.

Gruß
Christoph

Mach auf LAN (oder deinem dedizierten Admin-Netz falls vorhanden) ein Port-Forward für TCP Port 11334 nach 127.0.0.1.

Meinst Du So:

Und dann im Browser http://127.0.0.1:11334 aufrufen ?