Messages

16

German - Deutsch / Re: Mail Server soll über eine dedizierte IP raus senden

« on: January 06, 2019, 08:58:44 pm »

Hallo Fabian, danke für das PDF, ist für mich verständlich, dennoch laufe ich gegen eine Wand.
Sobald ich Outbound Proxy umstelle geht mein OWA und die andere Website nicht mehr über HAProxy.

Ich weiß es ist ev. etwas viel verlangt, aber hättest Du ev. mal eine wenig zeit für mich um mit mir zusammen auf meine Firewall zu schauen ?

17

German - Deutsch / Re: Mail Server soll über eine dedizierte IP raus senden

« on: January 06, 2019, 01:13:33 pm »

Hallo Fabian, danke für die Rückmeldung,
mein Problem ist das ich nicht wirklich Fit bin in Firewall dingen und mich erst so nach und nach durch die Themen durcharbeite.
Leider ist es so das ich mit dem Begriff Source NAT nicht wirklich viel anfangen kann, ich habe zwar Verstanden worauf du hinaus willst und mir ist auch klar wie das funktionieren soll, jedoch habe ich keine Ahnung wo und wie der Eintrag aussehen muss.
Wärst Du so nett und könntest mir ein Beispiel für einen Mail Server geben ?
Ich habe es zwar selber versucht heraus zu finden wie ich was einstellen muss, aber sobald ich was mache, ist mein Outlook nicht mehr in der Lage den Exchange Server zu finden.

18

German - Deutsch / Re: HE Proxy multiple Websites und Server HTTPs

« on: January 06, 2019, 12:47:30 am »

Hallo Fabian, danke für die Rückmeldung.
Könntest du mir bitte ein Beispiel geben wie du oder wie eine ACL in OPNSense auszusehen hat ?

Ich habe folgendes :

Name : Webmail_ACL
Bedingung:
Bedingungstyp : SNI TLS extension matches

Parameter:
SNI Matches : webmail.meinedomain.net

und

Name : Forum_ACL
Bedingung:
Bedingungstyp : SNI TLS extension matches

Parameter:
SNI Matches : forum.meinedomain.net

Stecke fest und bekomme es nicht zum laufen
Gruß
Christian

19

German - Deutsch / HE Proxy multiple Websites und Server HTTPs

« on: January 05, 2019, 11:55:59 pm »

Hallo nochmal,
ich bin gerade dabei mehrere Server hinter der OPNsense Firewall zu platzieren, welche alle über https angesprochen werden sollen.

Nun ist es so das ich dies nicht mittels SNI TLS zum laufen bekomme.
Egal was ich dort eintrage, es wird nun ein Webserver angesprochen.

Beispiel :
Server 1 : webmail.meinedomain.net
Server 2 : forum.meinedomain.net

Habe alle SNI TLS Einstellungen an der OPNSesne durchprobiert und bekomme wenn ich die URL von Server 2 aufrufe, immer die Website von Server 1 angezeigt.

Habe ich hier einen Denkfehler und bin mit SNI TLS falsch ?

Danke
Christian

20

German - Deutsch / Mail Server soll über eine dedizierte IP raus senden

« on: January 05, 2019, 02:41:29 am »

Hallo an alle,
ich habe ein Problem und benötige einmal eure Hilfe.

Ich habe folgendes Scenario :

Ich habe einen /28 Adress Pool von meinem Provider, welchen ich der Firewall zugewiesen haben ( Wan und Virtuelle IPs )

Konfiguriert habe ich zudem HA Proxy für das Exchange Backend in Verbindung mittels Lets Encrypt, was auch funktioniert.

Das einzige Problem was ich habe ist das der Exchange über eine dedizierte IP Adresse heraus senden soll was mir aber partout nicht gelingen will, er nimmt immer eine IP welche er nicht nehmen soll und sendet somit über die falsche raus.
Somit stimmt mein SPF Eintrag nicht und die Mails werden abgelehnt.
Kann mir jemand sagen was ich wo konfigurieren muss und ev. ein Beispiel geben ?

Danke schon einmal im Voraus.
Gruß
Christian

21

German - Deutsch / Re: Lets Encrypt fehler : response='{"type":"urn:acme:error:malformed","detail":"Una

« on: December 27, 2018, 12:43:19 am »

Habe den Fehler nun selber gefunden,

1) Zu einem mag es lets encrypt nicht wenn auf der zu hörenden IP eine one-to-one Nat ist
2) IP v6 sollte man abschalten oder konfigurieren mit den Namen die im Zertifikat aufgelöst werden.
( habe es mir einfach gemacht und einfach IPv6 over DHCP auf der WAN abgeschaltet )
3) zum Schluss kam noch der Fehler

new-authz error: {"type":"urn:acme:error:unauthorized","detail":"No registration exists matching provided key","status": 403}

welchen ich dadurch gelöst habe das ich den Account in der pfsense unter /var/etc/acme-client/accounts gelöscht habe.

22

German - Deutsch / Lets Encrypt fehler : response='{"type":"urn:acme:error:malformed","detail":"Una

« on: December 24, 2018, 11:54:33 am »

HAllo, ich schlage mich schon seit tagen damit rum und versuche Lets Encrypt mit HA Proxy zum laufen zu bekommen, scheitere jedoch ständig an folgendem Fehler :

Date   Message
[Mon Dec 24 04:50:59 CST 2018]   code='400'
[Mon Dec 24 04:50:59 CST 2018]   response='{"type":"urn:acme:error:malformed","detail":"Unable to update challenge :: authorization must be pending","status": 400}'
Date: Mon, 24 Dec 2018 10:50:59   GMT
Expires: Mon, 24 Dec 2018 10:50:59   GMT
Expires: Mon, 24 Dec 2018 10:50:59   GMT
[Mon Dec 24 04:50:59 CST 2018]   responseHeaders='HTTP/1.1 100 Continue
"detail": "Unable to update challenge   :: authorization must be pending",
[Mon Dec 24 04:50:59 CST 2018]   original='{
[Mon Dec 24 04:50:59 CST 2018]   _ret='0'
[Mon Dec 24 04:50:59 CST 2018]   _CURL='curl -L --silent --dump-header /var/etc/acme-client/home/http.header -g '
[Mon Dec 24 04:50:59 CST 2018]   _postContentType
[Mon Dec 24 04:50:59 CST 2018]   body='{"header": {"alg": "RS256", "jwk": {"e": "AQAB", "kty": "RSA", "n": "tktzZVVlkWQgOBysjviSosxnxCUVEWsqdii-hi-kKDUhfidz0n5F5kqaiu4V47SFlts7gaYbe8GdPJHQGiLUCNSCbBRlZeLInNZPUvgDFLdU-YbyDZhOtev_uuPChg3HK6T2whQpZgUE9asFd-lsgvgljDUjb4jKs6iV9Oe-qKW7W5gmMNTt-XJK6muTMSm-8hK6JA08KGtbiE_nUWxfRgd-MqqRn7NvW1Lt9pTM3E0ejA0vXPUVXMcyeD-Yt8QhT8gaNx5LK-UhEKtn_PJ74kPxntczPfHohf2PGmwz5GHLtjj0f8r9FB05LwLt_JH4aXFx42fgh6WoZ765vpzzRt9gn0HcxYIGY8UwzSdo8j0ebswmBhQFpVK_UTYPMlBXpqhcMfg3ua44q9RknGTZHPj8dlopAc3otdBar4Jt2iMwWC2UvEA1BoyZcummIoMVimqhiuy5RbdjIe8FRI5CSXAuVdW2bZJ-zyDsypJY1BUtFSW69sOGR-uveLTpp4KTrEYPZQBEYJQNkLt_GDllUY-DGpO54Sad4iJIu5AmdC99gjmUA1rsJDR7NIEGF-WQp_e4xTyFxLxuhrzC4yeyfb03QfVTBjlPLX6u0vWvC75YZN-iovk7GBYEETy4DAq9yKo3oYaV7xdv-0mJtw38udNoK5MdPxdtsZeCmDznCPs"}}, "protected": "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", "payload": "eyJyZXNvdXJjZSI6ICJjaGFsbGVuZ2UiLCAia2V5QXV0aG9yaXphdGlvbiI6ICJYbjdyZGZ4UTk5ank3MWxqeU8xRUhCZHFqVEhNMUU0RkY0Q2pzbU1WS29NLjdDXzFMVXc3WExGUFpfekdxVXB6aWNmNEFMbkJ2cTJHc1MzR0pmbnBGUmMifQ", "signature": "H9ySbDDHt1CZ4HLHhlNNbS0ZxdrXxs4mOPBZMyGiTmyEvcyd4mT-6SYczNzF7wgu9HHfkBHaE7Jee3jsqYfUdl3ZN_3JLQ5RvxZRoIyXkJdjlqGenv61vsGoLVQcW-hqS1PYufm-Lf_s7jR53E3TBMVLQx2cSL480gzRG7ojiM-qUoSO6hhaC1ENJ8ztaimRzwm_lBEBJ-8go4pBUtdJ4dC_ksCrzEf2fZZCVXr23p6jvEyAEXQ74dtiPBe4UAaqU96o7wH4J3U8C6qZ1nGceCDfbfwQSDn7zXkENBoUOyW0rQQv5Ibu7lxYcoVzpG51EEPU0rODhBMJrK4TL99jov8eio1e04_BcGXiClM8pWuG6zMntD5WHvW6smsmlQLtUpcw-wB1wKsGB7IZ8fVMcJvWPoCplePNYil6pi9Al_oGj-14N9lwAaRwfhFEUZ1Rbf-jp-GXNSO4w2CepWfK_UCXqRVHeyUaOKeGzpQy8PG3HOG2Tu88H6f42NkrYxQGQLGh_Y_5CK2pr_OHxxzscZi_34Ng_wu0TmFuXUADCt5lC-6zvryA8m4DvB3AjYXfV2woz9m_GIpkGi4NJtkIcScPMI6YjYUsczRQEHyTL9VLdAXhCm9kcEmaIU893MmZyppgbxrGdeGiAkCDhZNS3vVfks-TbKuvu1wmgOl4WRs"}'
[Mon Dec 24 04:50:59 CST 2018]   _post_url='https://acme-staging.api.letsencrypt.org/acme/challenge/M-pnT-IjEtBkr3ENiKXAVI-xvML64T0WVMe7htB9nEo/212710607'
[Mon Dec 24 04:50:59 CST 2018]   POST
[Mon Dec 24 04:50:59 CST 2018]   nonce='FHZjvpzPYEwjG6idsWpgwfJjtfRUyoxUwHdpTeheGsY'
[Mon Dec 24 04:50:59 CST 2018]   Use _CACHED_NONCE='FHZjvpzPYEwjG6idsWpgwfJjtfRUyoxUwHdpTeheGsY'
[Mon Dec 24 04:50:59 CST 2018]   Use cached jwk for file: /var/etc/acme-client/accounts/5c2004eb9eaf27.16007696/account.key
[Mon Dec 24 04:50:59 CST 2018]   payload='{"resource": "challenge", "keyAuthorization": "Xn7rdfxQ99jy71ljyO1EHBdqjTHM1E4FF4CjsmMVKoM.7C_1LUw7XLFPZ_zGqUpzicf4ALnBvq2GsS3GJfnpFRc"}'
[Mon Dec 24 04:50:59 CST 2018]   url='https://acme-staging.api.letsencrypt.org/acme/challenge/M-pnT-IjEtBkr3ENiKXAVI-xvML64T0WVMe7htB9nEo/212710607'
[Mon Dec 24 04:50:59 CST 2018]   _t_key_authz='Xn7rdfxQ99jy71ljyO1EHBdqjTHM1E4FF4CjsmMVKoM.7C_1LUw7XLFPZ_zGqUpzicf4ALnBvq2GsS3GJfnpFRc'
[Mon Dec 24 04:50:59 CST 2018]   _t_url='https://acme-staging.api.letsencrypt.org/acme/challenge/M-pnT-IjEtBkr3ENiKXAVI-xvML64T0WVMe7htB9nEo/212710607'
[Mon Dec 24 04:50:59 CST 2018]   tigger domain validation.
[Mon Dec 24 04:50:59 CST 2018]   code='400'
[Mon Dec 24 04:50:59 CST 2018]   response='{"type":"urn:acme:error:malformed","detail":"Unable to update challenge :: authorization must be pending","status": 400}'
Date: Mon, 24 Dec 2018 10:50:59   GMT
Expires: Mon, 24 Dec 2018 10:50:59   GMT

23

German - Deutsch / Re: Kein zugriff auf Management GUI nach VLAN Setup

« on: August 14, 2018, 06:39:32 pm »

33 Zugriffe und keiner kann mir helfen ?

Bin schon völlig verzweifelt.
Habe die VM auf der OPNSense läuft nun sicher an die 50 mal auf Werkseinstellungen zurückgesetzt.

Ist jeman in der Lage mit mir per skype das VLAn einmal einzurichten ?

Danke

24

German - Deutsch / Kein zugriff auf Management GUI nach VLAN Setup

« on: August 14, 2018, 10:42:53 am »

HAllo Leute,
ich bin gerade dabei mich zum ersten mal mit  vlans zu befassen und habe das problem das ich nun nachdem die vlans eingerichtet sind und ich auch über die vlans internet zugriff habe, nicht mehr auf das Management GUI zugreifen kann.

Ich habe aktuell nur noch zugriff auf die Konsole.
Ist es irgendwie möglich über mein VLAN ( VLAN TAG 3 ) auf die WEB Console zuzugreifen ?
Wenn ja kann ich die warscheinlich fehlende Regel irgendwie über die Konsole anlegen und wenn ja hat jemand den Befehl für mich ?

Danke

25

German - Deutsch / Re: Zuweisen mehrere IP Adressen zur OPNSense WAN

« on: July 09, 2018, 10:43:31 pm »

Kann mir jemand helfen ?
Ev. auch per remote tool ?

26

German - Deutsch / Zuweisen mehrere IP Adressen zur OPNSense WAN

« on: July 09, 2018, 04:47:41 pm »

HAllo,
ich brauche mal eure hilfe.

Folgende Situation :
Ich habe eine IP Range vom Provider bekommen.
Die erste IP ist der Firewall als WAN Adresse zugewiesen, z.b. 97.123.456.61/29

Nun ist meine IP Range 97.123.456.57 - 97.123.456.62 ( 29 )

Soweit wie ich es verstanden habe, muss ich nun die anderen IPs als Virtuelle IPs eintragen im Format :

97.123.456.57/29
97.123.456.58/29
97.123.456.59/29
97.123.456.60/29

Ist das soweit richt ? Wenn ja dann stimmt meine Konfig soweit bis dahin.

Wenn ich nicht hinbekomme, ist das natten der IP auf einen internen Server.
Stattdessen ist es mir irgendwann nicht mehr möglich auf das Webinterface zuzugreifen.
Leider vergesse ich immer wieder mir den SSH zugang freizuschalten bevor ich was mache, schande auf mein Haupt.

Kann mir bitte jemand so freundlich sein und schreiben oder screenshots machen wie es zu konfigurieren ist ?
Ich habe inzwischen die firewall zig mal neu aufgesetzt da jedesmal das Webinterface nicht mehr geht.
Zur info ich habe den Port des Webinterface auf 5443 gewechselt.

27

German - Deutsch / Public IP an einen Server hinter opnsense firewall

« on: March 22, 2018, 02:24:24 pm »

Hallo liebe Forums Mitglieder,
ich setze nun opnsense seit einer geraumen Zeit ein und beiße mir gerade die Zähne an einer harten Nuss aus und brauche eure Hilfe.

Folgende Situation :

Ich habe eine opnsense Firewall installiert und dieser mehrere Public IPs zugewiesen.
Nun ist es so das 2 Server zwingend eine PUBLIC IP haben müssen sonst funktioniert die Software nicht richtig.

Nehmen wir einmal also folgendes an :

Meine Public IPs sind 62.30.4.224/28
nun muss also ein oder 2 Server welche hinter der Firewall sind genau 2 IPs aus diesem Kreis haben.
also 62.30.4.231 und 62.30.4.241
Wie kann ich das umsetzen ?