Messages

121

German - Deutsch / Re: Zwei Mailserver auf einer öffentlichen IP?

« on: January 04, 2022, 04:00:35 pm »

Danke... aber ich befürchte, das geht über meinen (aktuellen) opnSense-Horizont. Da ist es vermutlich einfacher, wenn ich den einen der beiden Mailserver einmotte und die auf ihm lebende Domain lieber auf den anderen umziehe... 

122

German - Deutsch / Re: Zwei Mailserver auf einer öffentlichen IP?

« on: January 04, 2022, 03:35:37 pm »

... aber was mich gerade verwirrt hat: Wie kann es denn jetzt überhaupt funktionieren (mit nur einem Mail-Server), wenn ich bisher noch gar keine passenden Einträge in meinem HAProxy habe?

Ok, das sehe ich jetzt, denn ich habe eingehende Regeln u.a. für den Port 25. Aber kann ich das irgendwie "aufteilen"?
... und wer schlägt überhaupt zuerst zu? Die Firewall-Regel oder der HAProxy?

Wenn es mir hier an Grundlagen fehlt, hilft mir auch ein Lesetipp! Danke im Voraus!

123

German - Deutsch / Re: Zwei Mailserver auf einer öffentlichen IP?

« on: January 04, 2022, 01:42:39 pm »

Ja, mit ein bisschen Nachdenken muss es an den Einstellungen meines HAProxy liegen: Wie soll der wissen, auf welchen Server er weiterleiten soll, wenn ich es ihm nicht sage... Bleibt also die Frage: Wie erstelle ich eine Regel für eine "MX-Anfrage"?

124

German - Deutsch / Zwei Mailserver auf einer öffentlichen IP?

« on: January 04, 2022, 11:47:38 am »

Irgendwo habe ich eine Wissens- oder Verständnis-Lücke und weiß sie gerade nicht zu füllen...

Ich habe zwei Standorte DE und SE, jeweils mit einer opnSense und einem iRedmail auf Ubuntu dahinter. Das funktioniert(e) so weit ganz gut, aber da der Standort SE nur eine dynamische IP hat, gab es mit dem Senden von dort öfters mal Probleme (z.B. akzeptiert GMX Mails von dort gar nicht). Ich habe deshalb den kompletten zweiten Server von SE nach DE portiert und die DNS-Einträge entsprechend geändert. Nun aber kann ich vom portierten Server zwar noch Senden, empfange dort aber keine Mails mehr.

Wenn ich vom funktionierenden Server sende, erhält der Absender die Nachricht "loops back to myself". wenn ich von GMX aus sende, erhalte ich ein "SMTP error from remote server for RCPT TO command, host: MYURL (MYIP reason: 554 5.7.1 <MYADDRESS>: Relay access denied"

Die Roundcube-URL dieses Servers ist erreichbar, und ich weiß nicht so richtig, was ich noch einstellen muss. Kann oder muss ich im HAProxy eine Regel für den MX-Eintrag machen? Das habe ich aber für den bisherigen Server auch nicht gemacht. Mein Problem ist wohl, dass ich nicht weiß, wie eine Mail/SMTP an der opnSense "ankommt". Andererseits funktioniert es mit dem bisherigen Server ja weiterhin.

Ich hoffe, die Frage ist hier nicht völlig falsch, aber da ich am Server nichts geändert habe (außer seiner internen IP natürlich), vermute ich den Fehler in meiner opnSense/HAProxy-Konfiguration und freue mich über jeden Tipp.

125

German - Deutsch / Re: Let's Encrypt ist weg... oder doch nicht?

« on: September 09, 2021, 11:31:32 am »

Alles klar, lesen bildet. Danke! ... und beruhigte Grüße. 

126

German - Deutsch / [GELÖST] Let's Encrypt ist weg... oder doch nicht?

« on: September 09, 2021, 11:19:48 am »

Ich habe meine beiden OPNsense auf 21.7.2 aktualisiert, und nun fehlt auf beiden unter Dienste das "Let's Encrypt"!
Habe ich etwas falsch gemacht? (Kann wohl kaum sein, da das Update automatisch läuft...)

Ich finde unter "Dienste" jedoch den "ACME Client", und das scheint der richtige Dienst zu sein.
Habe ich das falsch in Erinnerung, hieß der bisher nicht "Let's Encrypt"?

... oder ist das jetzt eine Zusammenfassung, um verschiedene Anbieter nutzen zu können?

127

German - Deutsch / Re: OPNsense portiert - lässt mich nicht mehr raus

« on: August 11, 2021, 10:43:57 pm »

Na, das ist jetzt seltsam (aber vielleicht auch nur für mich als Nicht-Experte seltsam?):

Ich habe die "Funkt" heruntergefahren und die "Nicht" mit der "Original"-Konfiguration gestartet (bis auf Interface-Namen), und damit komme ich dann sofort wieder ins Netz (zumindest mehr oder weniger, siehe unten).

Nun ist es so, hatte ich nicht erwähnt, dass aufgrund der vorhandenen Ausrüstung beide Subnetze physisch auf dem selben Draht liefen. Ist es da vielleicht denkbar, dass sich die beiden OPNsense-Instanzen irgendwie "beharkt" haben? (Schließlich waren die ja bis auf die IPs gleich, also auch die Namen...) Jedenfalls SCHEINT die geklonte Instanz nun zu laufen.

Warum nur "scheint"? Ich bin nicht ganz sicher, denn es gab nach wie vor Probleme, die könnten allerdings timing-bedingt sein und in der zugegeben "hemdsärmeligen" Hardwaresituation begründet liegen: Der temporäre Linux/VB-Host ist über Kabel an den Glasfaserswitch angebunden. Da dieser "Host" jedoch nur ein Notebook ist, geschieht seine Anbindung ans LAN über seinen WLAN-Adapter. Ich könnte mir vorstellen, dass das ein paar Timeouts verschuldet hat. Wenn ich es direkt am "Host" versucht habe (auf dem die OPNsense-VM lief, dann sah es deutlich besser aus...  )

Ich werde, um ein bisschen "Restsicherheit" zu haben, morgen folgendes tun:

• Ich fahre die "Funkt" herunter und deinstalliere Hyper-V auf dem W2k12-Host.
• Ich installiere Virtualbox auf dem Host und starte darin die "Nicht".
• Wenn sie Probleme macht, kann ich schnell zurückrudern.
• Wenn sie läuft (was ich fast erwarte), dann töte ich das Win2k12 und installiere Ubuntu mit Virtualbox neu.

Ich werde berichten. Vielen Dank bis hier - hat wie immer geholfen, wenn auch nicht ganz konkret, aber es hat mich auf alle Fälle zum weiteren Nachdenken gebracht.

128

German - Deutsch / Re: OPNsense portiert - lässt mich nicht mehr raus

« on: August 11, 2021, 09:19:53 pm »

Was sagt folgendes auf dem Client

tracert 1.1.1.1. ?

Routenverfolgung zu 1.1.1.1 über maximal 30 Abschnitte
"*   *   *   *   Zeitüberschreitung der Anforderung" - 30 mal, und auf dem Liveprotokoll ist NICHTS davon zu sehen.


Ich fahre nun mal die "Funkt" herunter und konfiguriere die "Nicht" absolut identisch (also auch gleiche IPs) bis auf die Namen der Schnittstellen. Bin gleich wieder da.

129

German - Deutsch / Re: OPNsense portiert - lässt mich nicht mehr raus

« on: August 11, 2021, 07:14:23 pm »

Also zuerst wurde ich prüfen, wenn die nicht funktionierende aktiv ist.

Aktuell sind beide aktiv, aber auf verschiedenen Subnetzen, und der Client ist nur auf dem Subnetz der "Nicht".

1. Prüfen ob man vom Client auf die OPNsense kommt.

Geht (s.o.)

2. WAN Schnistelle auf Zuordnung prüfen

Hat identische Einstellungen wie bei "Funkt": IPv4-DHCP.

3. Gateway Einstellungen der opnsense prüfen, evtl. Ping auf 1.1.1.1 von der OPNsense aus.

Geht (s.o.). Geht auch mit einer anderen antwortenden Adresse.

4. Outbound NAT prüfen, manchmal werden trotz "Automatisch" keine regeln angelegt, dann manuell anlegen.

Ist auf "Funkt" und auf "Nicht" identisch: "Manuelle Erstellung", LAN - Quelle jeglich; Quellport, Ziel, Zielport *; NAT Adresse Schnittstellenadresse; NAT Port *; Statischer Port JA. Dito für WAN.
(Ich weiß nicht, ob das schon immer so war, oder - wenn nicht - warum ich das umgestellt hätte (eventuell wegen VoIP?), aber wie gesagt ist es auch auf "Funkt" genau so eingestellt und funktioniert.)

Was mich wundert, und da kommt mir wieder mal eine schreckliche Idee: Auf "Funkt" sehe ich in Firewall/Protokoll/Live den Ping nach 1.1.1.1, auf "Nicht" sehe ich den gar nicht erst, so als würde der Client nicht das richtige Gateway fragen, sein IPCONFIG antwortet aber passen "Standardgateway... 192.168.12.14".

130

German - Deutsch / Re: OPNsense portiert - lässt mich nicht mehr raus

« on: August 11, 2021, 06:49:40 pm »

Kannst du denn vom Client aus auf deine OPNsense zugreifen, oder passt das schon was nicht ?

Ja, das geht problemlos. Da die "Nicht" ja mittlerweile sogar im anderen Subnetz (192.168.12.0 statt 192.168.2.0) hängt, muss ich das sogar tun. (Einzig muss ich den Port 81 wählen, weil ich die lokale Umleitungsregel nicht geändert habe.)

Ich werde nacher einmal die "Funkt" herunterfahren und die "Nicht" mit exakt den gleichen Einstellungen (bis auf die Interface-Namen) starten, erwarte aber nicht, dass das dann funktioniert. Ich werde berichten.

Bis dahin lese ich gern weitere Vorschläge oder Ideen... Danke schon jetzt!

131

German - Deutsch / Re: OPNsense portiert - lässt mich nicht mehr raus

« on: August 11, 2021, 06:15:52 pm »

Hmm, ich bleibe ratlos und brauche bitte Eure Hilfe:

Ich habe nun zwei OPNsense-Installationen, die aus meiner Sicht völlig gleich sind. Ich nenne sie "Funkt" und "Nicht", Beide "sind im Internet", "Funkt" funktioniert wie gewünscht, aber über "Nicht" kommt ein Client nicht dorthin.

Was habe ich getan, damit beide "gleich" sind?

• Ich habe die Konfiguration von "Funkt" exportiert, darin die Namen der Interfaces angepasst und die internen IPs geändert (von x.2.14 auf x.12.14)
• Ich habe bei "Nicht" die internen Kabel gezogen, auf der Shell sind "ping 8.8.8.8." und "ping amazon.de" erfolgreich, die IST also im Netz
• Ich habe einem Win7-Client eine feste IP gegeben und die x.12.14 ("Nicht") als Gateway eingetragen
• "ping 8.8.8.8" meldet "Zeitüberschreitung"
• "ping amazon.de" wird verständlicherweise nicht einmal aufgelöst.
• "tracert 8.8.8.8" meldet ebenfalls "Zeitüberschreitung".

Woran kann das denn bloß liegen?

In der Firewall gibt es für das LAN-Interface eine Regel "mit nur Sternchen", dann sollte ich doch "nach draußen kommen", oder wo fehlt es hier noch?

Ich weiß nicht, wo ich noch suchen sollte - die beiden sind doch gleich (dachte ich zumindest...)...

132

German - Deutsch / OPNsense portiert - lässt mich nicht mehr raus

« on: August 10, 2021, 10:36:08 am »

Hallo.

Ich habe es nun endlich in die "Filiale" geschafft und will dort meinen Win2k12/HyperV-Host gegen Ubuntu/Virtualbox tauschen. Das muss ich jedoch (mehr oder weniger) im laufenden Betrieb tun. Allerdings habe ich hier den "Luxus", dass ich beliebig viele öffentliche IPs (per DHCP) bekomme.

Ich habe also meine (gut funktionierende!) OPNsense heruntergefahren, die VHD-Datei in eine VDI geklont und dann als Virtualbox-VM wieder gestartet. Die WAN-Schnittstelle habe ich "ans Internet" gehängt, und auf der LAN-Schnittstelle habe ich anstatt der produktiven 192.168.2.14 die temporäre 192.168.2.214 vergeben.

Ich sehe im Web-Interface, dass die geklonte OPNsense im Netz ist, sie hat eine IP bekommen, und wenn ich sie "von außen" auf dieser IP anpinge, sehe ich auch Traffic im Dashboard. Mehr geht jedoch nicht.

Per SSH auf die neue OPNsense verbunden, geht dort in der Shell nicht einmal ping 8.8.8.8. Die beiden OPNsense können sich gegenseitig anpingen, und von der alten aus funktioniert auch ping 8.8.8.8. Ich schließe daraus, dass die Schnittstellen richtig zugewiesen sind.

Selbstverständlich kommt dann ein Client, auf dem ich die 192.168.2.214 (neue OPNsense) als Gateway eingetragen habe, auch nicht ins Internet. Regeln habe ich NICHT verändert. Trotzdem funktioniert "irgend etwas" nicht.

Übrigens habe ich im ersten Versuch, die originale OPNsense heruntergefahren und die geklonte mit der "produktiven" LAN-Adresse 192.168.2.14 gestartet, aber das Ergebnis war das Gleiche (meine ich zumindest). Ich habe deshalb die Befürchtung, dass beim Klonen etwas "auf der Strecke geblieben" ist. (Vielleicht ähnlich wie bei Windows-VMs, die nach der Portierung immer "neue Netzwerkkarten" haben und ihre IPv4-Settings verlieren...)

Wo fange ich am besten das Suchen an? Oder in welche Protokolle sehe ich am besten zuerst? Oder habt Ihr vielleicht schon jetzt eine Idee? Muss ich z.B. der OPNsense irgendwo mitteilen, wie und wo sie ins Internet routet? Ich freue mich mal wieder auf Eure Hilfe... 

133

German - Deutsch / Re: IPsec-Tunnel: "no shared key found for ..."

« on: July 28, 2021, 02:16:35 pm »

Hmm, dann probiere ich das nochmal in Ruhe und melde mich dann wieder. Danke bis hier!

134

German - Deutsch / Re: IPsec-Tunnel: "no shared key found for ..."

« on: July 28, 2021, 01:39:35 pm »

Sind beide Seiten 21.1-latest?

Beide Seiten sind

Code: [Select]

OPNsense 21.1.6-amd64
FreeBSD 12.1-RELEASE-p16-HBSD
OpenSSL 1.1.1k 25 Mar 2021
und der Meldung

Code: [Select]

This is the end of life release for the 21.1 series with 21.7 being released tomorrow.


135

German - Deutsch / Re: IPsec-Tunnel: "no shared key found for ..."

« on: July 28, 2021, 12:02:51 pm »

Oh, Menno, mir schwirrt der Kopf...
Die Lebenszeiten dort sind jedoch schon 28800 für P1 und 3600 für P2.

Verfügbar ist natürlich auf beiden Seiten das gleiche (weil auf beiden Seiten die gleiche OPNsense ist).
Also stelle ich den Hash von SHA512 um auf AES-XCBC. Aber, oh, das funktioniert reproduzierbar nicht.
In VPN/IPsec/Statusübersicht ist der Tunnel (der Abspieln-Button) zwar grün, aber im Dashboard sehe ich, dass der Tunnel nicht steht, und er kann auch nicht aufgebaut werden. Nach dem Zurückändern geht es sofort wieder.
Müsste ich mehr tun, als SHA512 ab- und AES-XCBC an-zuwählen?