376
German - Deutsch / Re: Squid Proxy hängt sich auf
« on: September 25, 2019, 09:28:05 pm »
Sehr schön zu hören. Könntest du im ersten Post das Thema ändern und mit "gelöst" marktieren.
Danke.
Danke.
Show Posts
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
377
19.1 Legacy Series / Re: Could not access another network from OPNSense
« on: September 25, 2019, 08:29:26 am »
Can you please draw a little diagram what interfaces are connected where and some screenshots of your rules and interface configuration?
378
19.7 Legacy Series / Re: High memory usage
« on: September 24, 2019, 03:40:34 pm »
Have you tried to restart the services you use one by one to identify if memory is released after service restart?
Or go to the shell and try to identify the service or process with top or htop.
I would try to identify the process before restart any service to be more sure where the problem is located.
Are you using tmpfs btw?
Or go to the shell and try to identify the service or process with top or htop.
I would try to identify the process before restart any service to be more sure where the problem is located.
Are you using tmpfs btw?
379
General Discussion / Re: GEOM SW RAID sensitive to power outage
« on: September 24, 2019, 02:04:23 pm »
Are you not using a RAID-controller at all or an HBA.
Some RAID-Controllers only simulate HBA mode or simulate one disk arrays. That can lead to the problem you see.
Some RAID-Controllers only simulate HBA mode or simulate one disk arrays. That can lead to the problem you see.
380
General Discussion / Re: Config Two completely separate home networks with one shared internet connection
« on: September 24, 2019, 02:01:31 pm »
Hi,
basically setup the block rules on each interface.
You can follow the this guide and adapt it to your networks: https://docs.opnsense.org/manual/how-tos/guestnet.html
basically setup the block rules on each interface.
You can follow the this guide and adapt it to your networks: https://docs.opnsense.org/manual/how-tos/guestnet.html
381
German - Deutsch / Re: leidiges OpenVPN Thema
« on: September 23, 2019, 04:08:22 pm »
So übel sind die Verschlüsselungen bei aktuellen nicht mehr, ich würde aber generell VPN mit Firtzbox vermeiden.
Habe zwangsweise eine mit AES256/SHA512 DH15 angebunden, das ist meiner Mainung vertretbar und auch wohl noch nicht das Maximum was aktuelle Fritz.Boxen könnten. Die Doku dazu ist jedoch ziemlich veraltet und nicht aktiv gepflegt.
Aber da keine Regeln und andere Funktionen nutzbar sind, nicht mein Fall.
Habe zwangsweise eine mit AES256/SHA512 DH15 angebunden, das ist meiner Mainung vertretbar und auch wohl noch nicht das Maximum was aktuelle Fritz.Boxen könnten. Die Doku dazu ist jedoch ziemlich veraltet und nicht aktiv gepflegt.
Aber da keine Regeln und andere Funktionen nutzbar sind, nicht mein Fall.
382
19.7 Legacy Series / Re: VLANs and Firewalling
« on: September 23, 2019, 03:05:58 pm »
Or use the inspect functionality to see if the rules are processed.
383
19.7 Legacy Series / Re: VLANs and Firewalling
« on: September 23, 2019, 01:35:36 pm »
Have you set the allow rules to logging?
384
German - Deutsch / Re: Wie handhabt ihr viele Client Certs?
« on: September 23, 2019, 09:09:35 am »
Hi,
bei der Anzahl an Zertifikaten und dem Verwaltungsaufwand würde ich eine PKI Verwaltungssoftware nutzen.
Gibts natürlich auch OpenSource. (EJBCA , OpenXPKI)
Ich glaube manche davon können auch in Workflows integriert werden, so könnte man die Zertifikate ggf. über die API in die Firewall laden wenn ein neues beantragt und genehmigt wurde.
Wenn möglich kannst du dann auch die CA auf einem anderen Rechner verwalten und nur die nötigen Zertifikate und Keys auf die Firewall installieren.
bei der Anzahl an Zertifikaten und dem Verwaltungsaufwand würde ich eine PKI Verwaltungssoftware nutzen.
Gibts natürlich auch OpenSource. (EJBCA , OpenXPKI)
Ich glaube manche davon können auch in Workflows integriert werden, so könnte man die Zertifikate ggf. über die API in die Firewall laden wenn ein neues beantragt und genehmigt wurde.
Wenn möglich kannst du dann auch die CA auf einem anderen Rechner verwalten und nur die nötigen Zertifikate und Keys auf die Firewall installieren.
385
German - Deutsch / Re: leidiges OpenVPN Thema
« on: September 23, 2019, 08:43:48 am »
O.k dann ist den Problem aber ein anderes.
Nur weil ein Client eine Verbindung aufbaut, hat das Netz auf der anderen Seite keinen Zugriff.
Am einfachsten ist es, Du lässt die Fritzbox einen Tunnel per IPsec mit der Opnsense aufbauen. Das kann die Fritzbox selbst. https://avm.de/service/vpn/tipps-tricks/fritzbox-mit-einem-firmen-vpn-verbinden/
Sonst müsstest du hinter der Fritzbox einen OpenVPN Dienst mit Site-to-Site konfigurireren und den Rechner als Router konfigurieren. Diesen Router musst du dann all deinen Clients als statische Router für das andere Netz bekannt machen. Das macht meiner Erfahrung viele Probleme, manche Geräte können keine statischen Routen oder ähnliches. Zusätzlich möchtest du einen normalen Rechner nicht als Router verwenden.
Die OpenVPN Client Verbindung ist per Default erstmal nur dazu gedacht einem Client in ein anderes Netzwerk zu gewähren, aber dabei nicht sein lokales Netzwerk freizugeben. Das wäre auch in den meisten Fällen eher Subergau.
Nur weil ein Client eine Verbindung aufbaut, hat das Netz auf der anderen Seite keinen Zugriff.
Am einfachsten ist es, Du lässt die Fritzbox einen Tunnel per IPsec mit der Opnsense aufbauen. Das kann die Fritzbox selbst. https://avm.de/service/vpn/tipps-tricks/fritzbox-mit-einem-firmen-vpn-verbinden/
Sonst müsstest du hinter der Fritzbox einen OpenVPN Dienst mit Site-to-Site konfigurireren und den Rechner als Router konfigurieren. Diesen Router musst du dann all deinen Clients als statische Router für das andere Netz bekannt machen. Das macht meiner Erfahrung viele Probleme, manche Geräte können keine statischen Routen oder ähnliches. Zusätzlich möchtest du einen normalen Rechner nicht als Router verwenden.
Die OpenVPN Client Verbindung ist per Default erstmal nur dazu gedacht einem Client in ein anderes Netzwerk zu gewähren, aber dabei nicht sein lokales Netzwerk freizugeben. Das wäre auch in den meisten Fällen eher Subergau.
386
German - Deutsch / Re: leidiges OpenVPN Thema
« on: September 22, 2019, 08:12:48 pm »
Hast du Site-to-Site VPN mit der Fritzbox konfiguriert oder hast du hinter der Fritzbox nur einen Client im LAN B der sich mit der OpenVPN verbindet?
387
19.7 Legacy Series / Re: Firewall drops pings
« on: September 20, 2019, 04:11:00 pm »
Hi,
Do you have ressource pools for network defined in VMware?
If so, disable them for the virtual switch the firewall is connected to.
Had a similira behaviour with 6.7 in the past.
Even the working packages are slow with 3ms if it is local network.
Do you have ressource pools for network defined in VMware?
If so, disable them for the virtual switch the firewall is connected to.
Had a similira behaviour with 6.7 in the past.
Even the working packages are slow with 3ms if it is local network.
388
German - Deutsch / Re: HAproxy Anfragende Ip durchreichen (Nextcloud)
« on: September 18, 2019, 09:45:43 pm »
Hallo Sigi,
du bist auf der richtigen Spur, ich vermute du musst in der Nextcloud aber die Firewall noch als TrustedProxy definieren.
Infos zur Config der Nextcloud findest du hier: https://docs.nextcloud.com/server/15/admin_manual/configuration_server/reverse_proxy_configuration.html
Da wird das mit dem forward_for auch angesprochen.
HA Proxy solltest du dann wie in deinem verlinkten Post sagen, dass er die Infos im Header weitergibt und der Nextcloud musst du sagen, dass die Firewall eben vertrauenswürdig ist.
Würde mich interessieren ob Du es damit zum laufen bekommst, da ich das evtl. auch bald konfigurieren möchte.
VG,
Dominik
du bist auf der richtigen Spur, ich vermute du musst in der Nextcloud aber die Firewall noch als TrustedProxy definieren.
Infos zur Config der Nextcloud findest du hier: https://docs.nextcloud.com/server/15/admin_manual/configuration_server/reverse_proxy_configuration.html
Da wird das mit dem forward_for auch angesprochen.
HA Proxy solltest du dann wie in deinem verlinkten Post sagen, dass er die Infos im Header weitergibt und der Nextcloud musst du sagen, dass die Firewall eben vertrauenswürdig ist.
Würde mich interessieren ob Du es damit zum laufen bekommst, da ich das evtl. auch bald konfigurieren möchte.
VG,
Dominik
389
German - Deutsch / Re: Ständig auftretende Segmentation Faults: Hardware oder Software Problem?
« on: September 18, 2019, 09:38:44 pm »
Hallo,
kann bestätigen auch ich hab die Segfaults beim Start/Stop
VG,
kann bestätigen auch ich hab die Segfaults beim Start/Stop
VG,
390
German - Deutsch / Re: Postfix für die Mail-Verteilung
« on: September 18, 2019, 09:17:13 pm »
Hi Emma2,
nein die MX funktionieren ein wenig anders. Sie sind dein Adresseintrag im Telefonbuch.
Der MX Eintrag sagt welcher Server mit welcher Adresse für diese angefragte Domain zuständig ist.
Der Server dahinter wird dann angesprochen und wie er die Mails behandelt, weiterleitet oder was auch immer damit macht ist konfiguration des Servers.
Es muss also der Server so konfiguriert sein erstmal für die Domain um die es geht zuständig zu sein.
Nur einen MX Eintrag auf den einer anderen Domain zeigen zu lassen führt dazu, dass der andere Emailserver die Emails ablehnt wenn er nicht explizit dafür konfiguriert ist.
Gehört aber jetzt wirklich nicht hierher.
Hier aber ein paar Vorträge die dir evtl. helfen was sicheres funktionierendes auf die Beine zu stellen:
Grundlagen zum Thema Mail/DNS/MX/SMTP:
https://media.ccc.de/v/2018-159-email-wie-funktioniert-das-eigentlich-wirklich-#t=191
Hier eine einfache Methode für den Einstieg um was sicheres auf die Beine zu stellen
https://media.ccc.de/v/GLT18_-_363_-_de_-_g_ap147_005_-_201804281645_-_privater_mailserver_aber_sicher_-_patrick_lesky_-_wolfgang_berger
Würde den Mailserver aber auch nicht auf der Firewall betreiben!
VG,
Dominik
nein die MX funktionieren ein wenig anders. Sie sind dein Adresseintrag im Telefonbuch.
Der MX Eintrag sagt welcher Server mit welcher Adresse für diese angefragte Domain zuständig ist.
Der Server dahinter wird dann angesprochen und wie er die Mails behandelt, weiterleitet oder was auch immer damit macht ist konfiguration des Servers.
Es muss also der Server so konfiguriert sein erstmal für die Domain um die es geht zuständig zu sein.
Nur einen MX Eintrag auf den einer anderen Domain zeigen zu lassen führt dazu, dass der andere Emailserver die Emails ablehnt wenn er nicht explizit dafür konfiguriert ist.
Gehört aber jetzt wirklich nicht hierher.
Hier aber ein paar Vorträge die dir evtl. helfen was sicheres funktionierendes auf die Beine zu stellen:
Grundlagen zum Thema Mail/DNS/MX/SMTP:
https://media.ccc.de/v/2018-159-email-wie-funktioniert-das-eigentlich-wirklich-#t=191
Hier eine einfache Methode für den Einstieg um was sicheres auf die Beine zu stellen
https://media.ccc.de/v/GLT18_-_363_-_de_-_g_ap147_005_-_201804281645_-_privater_mailserver_aber_sicher_-_patrick_lesky_-_wolfgang_berger
Würde den Mailserver aber auch nicht auf der Firewall betreiben!
VG,
Dominik