Messages

226

17.1 Legacy Series / Re: Please help From Pfesne to Opnsense

« on: February 08, 2017, 07:54:54 pm »

Hey hey,

Google DNS is constantly under high load. I mean it's Google but just because of that fact many people are using their services.

OpenDNS is managed by Cisco and "alot" faster than Google DNS. If u decide to register and use an account there u can also decide to use blacklists for advertisements/Weapons/pr0n/illegal stuff and so on so that your custom DNS is not resolving those websites.
readme: https://www.opendns.com/home-internet-security/

OpenNIC on the other hand is the one u should consider if u care about privacy and censorship, because it's "democratic" as far as they say.
readme: https://www.opennicproject.org/
and: https://prism-break.org/en/

Glad that u found the error.
Don't forget to set the post on [SOLVED] Thanks!
Have a nice day.

Best regards
Oxy

EDIT:
Just found the Wikipedia entry for Split-Horizon DNS.
Obviously the right decision.

Use Case:
One common use case for Split-horizon DNS is when a webserver has a private IP address on a local area network, but the world accesses it at a NAT'ed public address. By using split-horizon DNS the same URL can lead to either private IP address or public IP address for different client machines.

227

17.1 Legacy Series / Re: Please help From Pfesne to Opnsense

« on: February 08, 2017, 06:48:02 pm »

Hey hey,

i could be wrong but i dont think that this is the real problem here.

U are trying to access the webserver using port 80 or 443 within the local network.
Instead of using the webmail servers internal IP address u try to access the webmail server from external with an internal Client.
Regarding your firewall rules (not the NAT rules in this case) u are only allowed to send TCP traffic to the webmail internal ip address NOT any external connections.
>> Try change that "destination IP" to "ANY" just to test if it works

Internal Clients shouldnt even ask external DNS Servers to resolve any internal hostnames so u could try to use the "DNS forwarder" and use the "Host override" option to let internal clients talk to the webmail only by using the internal IP.
Why should any internal Client try to use the external IP Address, which btw. is nothing else than a portforward to the internal ip address of the webmail Server anyway.

Maybe iam just misunderstanding your setup completely here but u should try to check your Firewall rules first or try the trick with the DNS forwarder. Maybe that helps.
If u enabled the DNS forwarder and configured an entry for your webmail hostname with its internal ip address u should also be able to see that entry in your "/etc/resolv.conf" file.

I can't really help you with the NAT reflection idea because i never had to use this option before. Sorry!

Just out of pure curiosity...
why did u choose to use a Google DNS Server as your primary DNS?
Why not OpenDNS or OpenNIC?

Best regards
Oxy

228

17.1 Legacy Series / Re: Please help From Pfesne to Opnsense

« on: February 08, 2017, 03:14:29 pm »

thank you, somehow the DNS is not responding.
thank you
1 hr ago the dns works fine, now its not responding it , it pinging to the old DNS IP.
probably this the issue.

No problem
A few things:
On System > Settings > General did u changed the DNS Server? Or deleted the wrong one if there was any?
Are u using multiple WAN connections with your OPNsense?
>>If Yes, are u using policy-based routing (Rules with gateway)
>>or are u using DNS Servers with a Gateway set in System > Settings > General?
Are u using an DNS forwarder or Resolver?
Did u checked /etc/resolv.conf? What happens when u use "cat /etc/resolv.conf" in your console?
Any DNS Server IP entry which shouldn't be there?

Atleast we now know thats it's a DNS problem which is always good to know.

229

17.1 Legacy Series / Re: Please help From Pfesne to Opnsense

« on: February 08, 2017, 02:49:56 pm »

Hey,

did u allow "ICMP" traffic? If yes, could u try to ping the ip address of the website?
If it worked try to ping again but this time try to use the Domain Name.
If its not working u need to look at your DNS Settings.

Btw...
did u allow outgoing DNS Traffic to the Firewall for your internal Network?
Or in other words what happens if they try to open the website by using the IP Address instead of the "webmail.domain.com" one?

Best regards
Oxy

230

17.1 Legacy Series / Re: Scheduled Reboot

« on: February 08, 2017, 09:52:47 am »

Here is your "Forum" to ask for any Feature Requests: https://github.com/opnsense/core/issues
My Idea of using a cron job+Script was just a workaround.

Best regards
Oxy

231

17.1 Legacy Series / Re: Scheduled Reboot

« on: February 08, 2017, 08:32:43 am »

hey hey,

you can use a Cron Job for that. Sadly there is no action configured to reboot the system.
I wrote a tutorial on how to send backup files on a TFTP Server which works exactly like the way you want your server to reboot.

The obvious problem here is: It's in german.. lol 
Maybe u can still get something out of it: https://forum.opnsense.org/index.php?topic=3853.0
Basically what u need to do is:

1.) Write a shell script which would reboot the system
2.) Create a new "action.conf" in "actions.d"
2.a) The new action needs some input like this:

[start]
command:/directory/your_new_script.sh start
parameters:<keep this empty>
type:script
message:<some message to know whats happening>
description:<some description to know whats happening>

3.) Restart the config Daemon by using this: service configd restart
4.) Now go to your Cron Tab in the WebGUI: https://<LAN-WEBGUI-IP>/ui/cron/
5.) choose a time when to start the script -> Apply

Thats it.

Have fun and hopefully it works

Best regards
Oxy

232

German - Deutsch / Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense

« on: February 07, 2017, 10:18:33 am »

Von daher... No risk no fun. Haha 

In meiner Umgebung wäre aber eine nicht laufende Firewall ein High-Risk für mich!!!
Du kennst meine Frau nicht! 

Ein Fall von "High Risk without any fun" sozusagen. 

Mehr als ne halbe Stunde Zeit "schenkt" man mir aber auch nie um alles wieder in den Griff zu kriegen.
Alles muss funktionieren und schnell sein. Alles muss sicher sein, ohne zusätzlichen Aufwand. Die Hardware Geräte müssen verstecke Spielen und das "Internet" (was auch immer das in diesem Anwendungsfall heißt) muss IMMER erreichbar sein.
Zum krönenden Abschluss muss sich das Netzwerk "von selbst verwalten" können.

Wenn die OPNsense dafür irgendwann mal Tools entwickeln sollte bezahle ich auch freiwillig mit allem was ich besitze.  

233

German - Deutsch / Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense

« on: February 07, 2017, 09:40:12 am »

Ich warte auch immer ein Update ab!
Hat aber nichts mit OpenSource oder so zu tun, sondern ist einfach ein Erfahrungswert, den ich in über 20 Jahren IT gemacht habe!
Trifft leider auf alle Hersteller zu, dass ich zunächst auf das 1. Update/SP warte um Software zu installieren. Ich habe zwar auch schon meine 17.1 Image zu Hause, aber ich warte auch noch 1-2 Updates ab. Die 16.7.14 läuft bei mir absolut problemlos.

Meine Aussage mit dem Open-Source bezog sich nur darauf, dass die "Community" mithelfen muss, damit der Change auf eine neue Firmwareversion so reibungslos wie möglich verläuft. 
Das man anhand von Erfahrungswerten gesehen meistens trotzdem noch 1-2 Updates abwarten sollte ist ja jedem selber überlassen.
Je nachdem wie hoch der Aufwand wäre um alles wieder ins Lot zu bringen und abhängig davon was für eine "monströse" Netzwerkkonfiguration man da am laufen hat, muss jeder selber für sich entscheiden ob es einem das Risiko wert ist.

Von daher... No risk no fun. Haha 

Schöne Grüße
Oxy

234

German - Deutsch / Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense

« on: February 07, 2017, 08:08:20 am »

Hey hey,

deswegen meinte ich ja... entweder du hast Mut und versuchst es oder du wartest lieber noch ein Update ab, was ich in der Regel selber auch immer mache.
Bei mir ist halt nur der Einsatz von Captive Portal wichtig gewesen und ein paar kleine vereinzelte Sachen, die ich mal per Konsole eingerichtet hatte, die laut Patchnotes aber nicht angefasst wurden.
Von daher war das für mich kein Thema.

Es gab für den 17.1 Release ja auch eine Alpha, eine Beta und eine Release "Vorabversion".
Wenn danach trotzdem noch Fehler auftreten, haben einfach leider nich genug Leute beim Testen mitgeholfen.
OPNsense ist ja ein Open-Source / Community Projekt, wie wahrscheinlich jede andere Open Source Software auch. Sie steht und fällt mir den Leuten, die sich mit ihr beschäftigen.

Ich hoffe du hattest dir für den Fallback was vorbereitet.

Schöne Grüße
Oxy

235

German - Deutsch / Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense

« on: February 06, 2017, 04:48:40 pm »

Hehe, bei mir ging alles glatt mit SSH.
Wenn du dir im Klaren bist, was bei Migration Considerations alles stand und bedacht werden muss,
wird alles gut gehen.

Kein Problem und immer wieder gerne.

Schöne Grüße
Oxy

236

German - Deutsch / Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense

« on: February 06, 2017, 04:09:17 pm »

Okay. Update funktioniert wie? Ein Backup (xml-Datei) erstellen, DVD brennen, einlegen, Update auswählen? Oder erfolgt eine Neuinstallation und danach wird die xml-Datei importiert?
Online geht nicht, oder?

Vorher hier einmal alles durchlesen und nachschauen was sich ändern wird:
https://opnsense.org/opnsense-17-1-released/
Besonders wichtig hierbei die Punkte die bei Migration Considerations stehen.

Generell sollte man davon ausgehen das etwas schief geht, bzw. schief gehen wird. Deshalb solltest du dir einen Fallback Plan überlegen. Da es für Fallbacks von einer Firmware Version zu einer älteren bei OPNsense noch kein vertrauenswürdiges Tool gibt, solltest du dir also die "alte" 16.x Firmware auf USB oder auf CD gebrannt vorbereiten, damit der Fallback im schlimmsten Fall wenigstens schnell funktioniert.
Die Config.xml unter System> Configuration> Backups auch noch ebenfalls abspeichern.
Vorher ganz wichtig! check for updates auswählen in der GUI und falls noch kleinere Update Patches da sind diese vorher noch installieren.
Bei dem Firmwareupgrade auf 17.1 wurde vom OPNsense Team empfohlen eine Neuinstallation durchzuführen und dann nur wieder die abgespeicherte Config.xml einzupflegen.

Bist du Faul oder hattest keine Zeit (so wie ich  ) kann das Upgrade auch über die Konsole durchgeführt werden. Also an die Konsole ranstecken (oder SSH nutzen, das funktioniert glücklicherweise auch!) und dann "12" drücken. Wenn er dich fragt was du machen willst, schreibst du bei den drei Auswahlmöglichkeiten (17.1/Y/N/) "17.1" in die Zeile und bestätigst mit Enter.
Die OPNsense Kiste wird dann 2-3 mal Neustarten beim Upgraden (Bei mir dauerte es ungefähr 10 Minuten).

Danach schaust du ob alle Einstellungen das Upgrade überlebt haben und das wars dann auch schon.

Schöne Grüße
Oxy

237

German - Deutsch / Re: [SOLVED] Dringend - ClamAV Update auf Server hinter OPNsense geht nicht mehr

« on: February 06, 2017, 03:44:06 pm »

Vielen Dank an Oxygen61 und monstermania für die Mithilfe!

Kein Problem. Hauptsache es funzt!  
Das Problem das Neustarten vergessen zu haben, hatte ich letztens auch.
Reboot tut gut.

Schöne Grüße
Oxy

238

German - Deutsch / Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense

« on: February 06, 2017, 03:41:25 pm »

Ist das eine Stable-Version?

Jep ist es. Ich für meinen Teil warte aber immer trotzdem gerne noch auf ein Update nach einem Upgrade.
Wenn ich Franco da richtig verstanden hatte, kommt das Update dann eh in den nächsten paar Wochen.
Also entweder mutig sein oder abwarten, aber Upgraden solltest du eh. Die 16.x ist EndofLife

Es ist halt immer wichtig auszuschließen, dass es nicht an der gerade genutzten Version liegt, wenn es denn noch Update Möglichkeiten gibt.

Den Proxy hatte ich schon einmal in der freshclam.conf auf dem Server eingetragen, hat aber leider nicht geholfen. Ich probiers nochmal mit dem anderen Server.

Du musst dem Server schon sagen, dass er einen Proxy nutzen muss anstatt der direkten Verbindung. Wie das bei ClamAV funktioniert... keine Ahnung.
Aber diese Fehlerquelle solltest du versuchen auszuschließen.

239

German - Deutsch / Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense

« on: February 06, 2017, 02:49:48 pm »

Und die Dokumentation dann ständig aktuell zu halten ist dann nochmals ein großer Aufwand.

DAS ist das eigentliche Problem denke ich. Eine Doku schreiben das lässt sich bewerkstelligen.
Ich habe so oder so vor eine Doku zu schreiben, sobald ich mein Heimnetz aufbaue.
*Wartet noch auf die Hardware*
Ich hätte kein Problem damit die, soweit ich es vertreten kann, dann auch öffentlich zu machen.
Die Basics würde ich dann damit also abdecken.
Jedoch würde ich mich nicht verpflichten diese dann immer aktuell zu halten,
wo wir wieder beim eigentlichen Problem wären.

Schöne Grüße
Oxy

240

German - Deutsch / Re: Einfache Gebrauchsanleitung der Interfaces und Regeln für OPNsense

« on: February 06, 2017, 12:58:23 pm »

Ich meinte den Haupt-Reiter "Firewall" unter "Interfaces" und "System".
Filter brauch man gar nicht setzen (natürlich abhängig von deinem Netz).
Geht ja in deinem Fall nur um die Blocks dieser Regel. Das sieht man da dann halt immer ganz schön bei "Dynamic View".

Was du natürlich einfach mal machen könntest wäre auf die neue Version zu Upgraden.
Bei 17.1 ist viel passiert und das kann das Problem vielleicht(?) beheben.
(Vorher das alte (16.7.14_2) Image bereit legen und die config.xml sichern)

OPNsense für Dummies würde ich auch gut finden. Vieles erklärt die Dokumentation ja schon, aber eine Art Handbuch zum "einlesen" wäre echt was schickes. Vielleicht ist OPNsense aber auch noch gar nicht soweit,
weil noch zuviele Änderungen passieren.

Wegen dem Proxy Problem (oder ClamAV) kann ich dir aber leider sonst nich helfen, sorry!
Bist du dir aber sicher, dass du dem ClamAV beigebracht hast, dass er für das Updaten einen Proxy nutzen muss? (Also die OPNsense)?