Messages

391

German - Deutsch / Re: Postfix für die Mail-Verteilung

« on: September 18, 2019, 05:38:13 pm »

Hallo Emma2,

Postfix hat nichts mit IMAP zu tun.
Auch dein Port 587 wird vermutlich, auch wie der 25, bei dir im Mailserver Authentifizierung machen. Das bedeutet, du musst für das Versenden Benutzername & Passwort angeben. Die Daten dafür ommen momentan mit hoher Wahrscheinlichkeit aus dem gleichen Verzeichnis wie die Daten für das Abholen der Emails. Vllt. hat der alte Mailserver da ein LDAP/AD oder lokal eine Benutzerdatenbank die er ausliest.

Was du vermutlich machen möchtest ist ein Mailrelay eingehend so konfigurieren, dass die Emails nur wie eine Weiche entweder an den einen oder an den anderen Server weitergeleitet werden.

Das funktioniert bei Postfix normalerweise mit der transport Datei. Du musst hier aber einiges konfigurieren um das hinzubekommen und dem Postfix sagen, dass er aus dem Internet Emails annimmt und dann richtig weitergibt. Das richtig weitergeben ist der einfachste Teil. Da wird in der tranport Datei gepflegt welche Domain auf welche IP oder Hostnamen geht. Per default nutzt Postfix die aber nicht, das muss konfiguriert werden. Bin mir nicht sicher wie es bei der OPNsense da momentan gehandhabt wird.
Du musst auch das Verhalten von Postfix so konfigurieren, das es Regelkonform bei Problemen antwortet, Emails zwischencached wenn dein Server dahinter kurz nicht erreichbar ist.

Zusätzlich öffnet ein schlecht Konfigurierter Server an dieser Stelle Tür und Tor für Spam. Der Postfix kann ja evtl. noch garnicht entscheiden ob es Email oder Benutzer der die Mail empfangen kann überhaupt gibt. Also sollte oder muss er möglichst alles annehmen und dann weitergeben. Das kann zu Backscatter Attacken auf deinen Postfix führen.

Will damit nur sagen, hier ist ein wenig mehr Arbeit mit Postfix nötig, unabhängig von OPNsense ist das eine anspruchvollerer Aufgabe wenn man es dauerhaft haben möchte.

Ich kann die Postfix Handbücher empfehlen da steht viel drin und es sind viele gute Howtos im Netz verfügbar wie man sowas konfiguriert und auf was man aufpassen sollte.

VG,

Dominik

392

General Discussion / Re: Port Forwarding help

« on: September 18, 2019, 05:25:38 pm »

The source port of an application is in the most cases a random high port number.
Very few protocols require fixed source ports. Even less have same source and destination port.

Some more details are explained and linked in this thread:
https://networkengineering.stackexchange.com/questions/40850/why-does-source-port-and-destination-port-differ-in-my-network-communications

393

19.7 Legacy Series / Re: VLANs and Firewalling

« on: September 17, 2019, 03:40:50 pm »

Hi Oliver,

if you have private networks on the vlans you could create an Alias for all RFC1918 networks and create a block rule on each interface.

Before or over that block rule you should add rules that are allowed to talk between that vlans or directly with the firewall interface (NTP and DNS for example)

After or bellow that block rule you can add rules like:
Allow: LAN 1 -> ANY : ANY


By that all traffic to your firewall or between VLANS is processed by your allow rules.
All other Traffic between your VLANs is blocked by the Block rule but only from RFC1918 networks.

Hope that helps.
For a detailed guide you can use the guest network howto as reference: https://docs.opnsense.org/manual/how-tos/guestnet.html

Regards,

Dominik

394

German - Deutsch / Re: Wie soll ich mit CGN (Carrier-Grade NAT [RFC6598]) umgehen?

« on: September 17, 2019, 11:31:19 am »

Wenn man als Kunde bei einem Dienstleister geblockt wird, sollte man sich einen anderen Provider suchen dem man monatlich sein Geld überweist.

395

19.7 Legacy Series / Re: What is the "correct" way to adjust the php max memory used by lighttp andp php?

« on: September 13, 2019, 02:41:09 pm »

Hi Franco,

it is related to https://github.com/opnsense/plugins/issues/1482

But first I want to some testing, what php.ini would be the correct one to change for testing?

396

19.7 Legacy Series / Re: Transparent firewall and IPTV

« on: September 13, 2019, 10:12:22 am »

Hey,

with transparent configuration you mean you are using a bridge between WAN and LAN?
Mhm thats indeed more complex since two VLANs are required.

If you only would need one I would configure the bridge to the WAN VLAN interface and try if that works.
But you would not see the traffic from the other VLAN then.

If you want to do firewalling you would have to let the VLANs from WAN terminate on the opnsense. This would lead to multiple WAN interfaces. I am not optimistic that this is possible with two VLANs on WAN to one LAN and then transparent firewalling.

Maybe others have more input on that?

397

19.7 Legacy Series / What is the "correct" way to adjust the php max memory used by lighttp andp php?

« on: September 13, 2019, 09:33:24 am »

Hi,

some plugins request more memory usage on one of my boxes.
Is there a "correct" way to adjust the max memory value or what php.ini file would be the correct one?

If the value is adjusted is it a persistent change or will it be overritten with system updates?

Regards,

Dominik

398

German - Deutsch / Re: Wie soll ich mit CGN (Carrier-Grade NAT [RFC6598]) umgehen?

« on: September 11, 2019, 08:29:59 pm »

Hallo,

wollte noch anmerken, dass du wahrscheinlich für die IPv4 kämpfen musst. Du wirst vermutlich nicht alle Dienste auf IPv6 verfügbar bzw. für alle erreichbar bekommen.

Sollte dein Dienst dann zwar über DynDNS eine IPv6 Adresse bereitstellen, muss du von extern auch einen Weg zu der IPv6 Adresse haben. Entweder du kannst extern in dem Moment auch IPv6 (auch 2019 eher nicht immer gegeben) oder du hast irgend eine Hilfskrücke die es erlaubt auf IPv6 zu connecten.

Meiner persönlichen Erfahrung möchtest du auf IPv4 noch nicht wirklich verzichten. Leider.

VG,

Dominik

399

General Discussion / Re: still trying to see internet - need advice

« on: September 09, 2019, 07:33:03 pm »

On WAN side you have a private network, too? If so, have you disabled the block rfc1980 and bogon network checkboxes on WAN interface side?

Maybe can you draw a diagram with all ips and interface ips to make it more clear to me what ip is assigned to what interface. you can use draw.io or similar sites.

400

German - Deutsch / Re: Transparent Proxy mit IPv6

« on: September 09, 2019, 07:21:22 pm »

Hi Karl,

mit einem transparenten Proxy erwischst du im ersten Schritt doch "nur" http bzw. unverschlüsselte Verbindungen.
Dararuf ziehlte mein Post ab.

Um verschlüsselte Verbindungen aufzubrechen und den Inhalt tiefer bewerten zu können, musst du dann SSL Interception machen und eine eigene CA auf die Clients verteilen.

Bitte korrigiert mich jemand der es besser weiß.

Wenn du jedoch auf den Clients einen SOCKS Proxy konfigurierst, kannst du ihn für alle HTTP und HTTPS Verbindungen nutzen und kannst Inhalte nach Viren scannen und noch viel mehr machen. Damit du das nicht manuell im Browser oder System machen musst, kann man das mit Autoconfig an den Client verteilen lassen.

Im Zweifel finde ich persönlich einen geschlossenen Port und einen bekannten Proxy die schönere Lösung, da jeder User es "mitbekommt", dass normale Verbindungen geblockt werden und man über einen Proxy kommuniziert.
Das lässt evtl. jemandem die Wahl ob er darüber sensitive Dinge machen möchte oder es sein lässt.

Natürlich kann wieder nicht jedes Gerät einen Proxy und es ist kein Allheilmittel.

Über die IDS und Deep Package Inspection Plugins kann ich nichts weiter sagen.

VG,

Dominik

401

German - Deutsch / Re: Transparent Proxy mit IPv6

« on: September 07, 2019, 09:49:39 pm »

Hallo karl,

ich hab keine Lösung, das schon vorab.
Mich interssiert aber ob transparenter Proxy wirklich noch ein Ding ist. Ich meine bei immer mehr HTTPS Verbindungen hat es ja nur einen Sinn wenn auch SSL Interception gemacht wird oder?
Ist da eine Autoconfig für einen 2normalen" Proxy nicht stressfreier?

VG,

Dominik

402

General Discussion / Re: still trying to see internet - need advice

« on: September 07, 2019, 09:47:05 pm »

This should work in a basic configuration. 

Define the IPs, turn off IPv6 if you don't want to use it.
Define your Gateway.

Check that the rules are correct to allow LAN to "ANY" if wanted.

First things you should debug is, if your firewall can ping the gateway from the WAN interface. If it can, you can try to reach out for example to 8.8.8.8 If that works, you're connected.
Then check if name resolution works for your firewall. If that works, everything should be fine and test if a client can access the internet.

Your clients need to have the firewall as default gw and then it should work.

Regards,

Dominik

403

General Discussion / Re: still trying to see internet - need advice

« on: September 07, 2019, 06:42:21 pm »

Hi,

i don't know spectrum but here some thoughts while reading your configuration.

When I had to use bridge modem, I got the address on WAN side assigned via DHCP.
What happens when you trie to set WAN to DHCP for IPv4 and IPv6?

On the IPv6 configuration, your IPV6 gateway has a local address, thats probably no correct. Lots of providers do things different but if you have a IPv6 address from official range, a gateway in local F80 range makes no sense to me.

Later you wrote you did set IPv4 both address and gateway to the same addresss, that makes not sense to me.

404

19.7 Legacy Series / Re: Run OPNsense as router and firewall at the same time

« on: September 07, 2019, 11:53:58 am »

Yeah I have rules with state none defined in both directions.
I will let you know how it works and how it performs.

405

19.7 Legacy Series / Run OPNsense as router and firewall at the same time

« on: September 07, 2019, 12:57:02 am »

Hey,

is it possible to run a OPNsense box as router and firewall at the same time. At one hand I need to route traffic from one interface to the other without stateful processing.

Would it be enough to define rules with state "none" to turn of stateful processing if the rule hits?
I know it is possible to turn of pf completely, but that would mean I could not even protect the box itself?

To add some more backround, the box is doing BGP and forwards traffic to other routers. This traffic does not need filtering. In addition to that, I don't want to keep states for the forwarded traffic in my state table. Since the routing to that other router could go asynchronous, stateful rules could block traffic because no states for the connection are there. This is not what I want for that connection. 

On other interfaces or rules, the box should be able to filter.

Regards,

Dominik