Netgate SG-1000 microFirewall

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - viragomann

Pages: [1] 2 3 4 5 ... 170
1
OpenVPN / Re: Can not access Local network
« on: Today at 05:40:07 pm »
Is the pfSense internal interface IP set as default gateway on the camera?

On which interface have you taken that capture?

2
Hallo,

der Datenverkehr wird in den *_traffic.rrds gesammelt.
Mit dem Package RRD Summery lässt sich schön der gesamte Verkehr eines Interfaces für den laufenden und den letzten Monat getrennt anzeigen. Vorausgesetzt natürlich, die RRDs reichen soweit zurück.
Die Funktion findet man nach Installation des Pakets im Status-Menü.

In Status > Traffic Graph kann man die aktuelle Bandbreite einzelner IPs ablesen, ist aber nur eine Momentaufnahme.

Ein Tool, das den Traffic je IP oder Gerät über eine Zeitperiode summiert und zur Anzeige bringt, kenne ich nicht.

Grüße

3
Deutsch / Re: Mail Notification ins LAN
« on: Today at 10:34:36 am »
Was JeGr vorschlägt, ist heute die bevorzugte Methode Mail von einem MUA auf einem Server einzubringen. SMTP ist eigentlich für Verbindungen zwischen Servern gedacht.
Allerdings habe ich nicht verstanden, wie er das mit dem STARTTLS meint. Wenn der Server STARTTLS macht (weil er Verschlüsselung bei Authentifizierung erzwingt), benötigt er ebenso ein Zertifikat.

Ich weiß immer noch nicht, ob der Server auch unverschlüsseltes SMTP (ohne Authentifizierung) erlauben würde, bzw. ob es konfigurierbar wäre. Falls ja, könntest du noch folgende Variante versuchen:
Du stellst sämtliche MUA Clients (die sich eben auch von extern verbinden möchten) auf Port 587 um, weiterhin mit Auth und Verschlüsselung. Diese akzeptieren ja das Zertifikat.
Du sperrst Port 25 von außen und erlaubst am SMTP Server anonyme Verbindungen.
Dann kannst du den User und Passwort in der Notification Konfig rausnehmen.

SMTP ohne Auth und ohne Verschlüsselung sind dann nur noch von intern möglich. Vorausgesetzt, du benötigst keine weiteren SMTP-Verbindungen von außen.

4
Deutsch / Re: Mail Notification ins LAN
« on: Today at 07:46:18 am »
Hast auch einen Neustart versucht?
Ansonsten bin ich am Ende mit den Weisheiten. :(

5
Deutsch / Re: Statische IPs hinter pfsense
« on: Today at 06:32:29 am »
Hallo,

so wie ich das verstehe, möchtest du NAT machen, also intern ein privates Netz verwenden.

Dann musst du jede öffentliche IP dem WAN Interface als virtuelle hinzufügen. Firewall > Virtual IPs. Hier den Typ "IP Alias" wählen und die IP und das richtige Subnetzmaske und nach Belieben eine Beschreibung angeben.

Dann richtest du am besten für jedes Geräte, das ein öffentliche IP habe soll, ein 1:1 NAT ein. Einfach Interface = WAN, die externe IP und darunter Single host und die interne IP angeben und wieder eine Beschreibung nach Belieben.

Grüße

6
Deutsch / Re: Mail Notification ins LAN
« on: Today at 06:13:57 am »
Jetzt bin ich aber verwirrt:
Der Server hat draussen nichts zu suchen. Sammelt von mehren Mailaccounts die Mails per pop3-Abruf und stellt sie mir zu Verfügung.
Da stehen bei mir User und Passwort. Authentifizierung ist am Mailserver aktiviert da von draußen zugegriffen wird.
Die Aussagen widersprechen sich doch.
Hast du nun doch eingehende SMTP-Verbindungen aktiv, oder nur POP3 od. IMAP? Das sollte sich getrennt konfigurieren lassen.
Wenn du aber per SMTP-Clients darüber Mails verschicken willst, benötigst du die Authentifizierung, keine Frage, ansonsten könnte es jeder.

Etwas ähnliches wie Grimson hatte ich auch schon angedacht, ich hätte allerdings versucht, das Zertifikat oder das der ausstellenden CA als zusätzliche Datei im entsprechenden Verzeichnis abzulegen. Welches das in FreeBSD zu sein hat, weiß ich aber leider auch nicht.
Vielleicht findest du im Netz Infos dazu mit den richtigen Suchbegriffen, die deine FreeBSD Version anstatt pfSense enthalten.
Aber auch das könnte bei einem OS-Update überschrieben werden.

Nachdem in FreeBSD auch OpenSSL am Werken ist, vermute ich, dass es ähnlich ist wie in Linux sein (ist aber auch von Distro zu Distro ein wenig unterschiedlich). Bei einigen Linux-Distros funktioniert es so:
  • Das Stammzertifikat der CA, die das berüchtigte Zertifikat ausgestellt hat, im USR-Zertifikats-Verzeichnis ablegen. Das kann ggf. auch das Zertifikat selbst sein. Ein Root CA Zert gibt es in deinem Fall wohl nicht. In pfSense könnte das /usr/local/openssl sein.
  • Im Verzeichnis, in dem die Applikationen nach den Zertifikaten suchen (in Linux ist das typischerweise /etc/sll/certs, hier könnte das /etc/ssl sein), einen Symlink setzen, der auf dieses Zertifikat verweist.
  • Den Zertifikatsspeicher aktualisieren: update-ca-certificates --fresh

Vom Grundsystem, FreeBSD, her muss das so ähnlich funktionieren, ob es die pfSense zulässt, kann ich nicht sagen.

7
Firewalling / Re: Block by "Default deny rule IPv4"
« on: Yesterday at 09:39:40 am »
You need the static route on PC2!

As mentioned the traffic will not go through pfSense.
The blocks you see in the log are the response packets, which PC2 sends to pfSense, presumably cause its the default gateway. However, since the request packet hasn't passed pfSense it has no state for that connection and blocks it.

8
Firewalling / Re: Block by "Default deny rule IPv4"
« on: Yesterday at 07:40:24 am »
10.0.0.0/8 - 16 Million IPs?  ::)

Overall, you've a strange setup with the two routers. Would be better to use two pfSense in HA with Multi-WAN.

In you setup packets from 192.168.88.9 to 10.10.2.3 won't go through pfSense. So it wouldn't filter the traffic.

Obviously 10.10.2.3 is configured to use pfSense as default gateway and it sends its response packet to it, since it has no route to 192.168.88.9.
So the solution with this setup would be to add a route to the PC2 for the subnet 192.168.88.0/24 pointing to 10.10.9.99.

I hope, you don't want to reach all 16 Million hosts.  ;D

9
OpenVPN / Re: OPENVPN TROUBLE
« on: December 11, 2017, 05:30:24 pm »
Is it a Windows Laptop?

10
Firewalling / Re: VLAN Internet access
« on: December 11, 2017, 03:50:02 pm »
Your pass rules on DATA_NET interface have the source "LAN net".  ???  Should be "DATA_NET net", I think.

11
Deutsch / Re: Mail Notification ins LAN
« on: December 11, 2017, 03:45:36 pm »
Hast du einen SMTP-User angegeben? Siehe im Att.

Bei mir ist das Feld leer.

12
Deutsch / Re: Mail Notification ins LAN
« on: December 11, 2017, 01:29:01 pm »
Das witzige ist, der Mailclient, hier Evloution, kann ohne Verschlüsselung Mails empfangen und versenden, also nur mit Authentifizierung. Weis nicht mehr weiter.... :'(
Hast du dem Zertifikat irgendwann mal in Evolution dauerhaft vertraut? Das geht ja normalerweise bei MUAs.

Edit2:
pfSense 2.3.5 installiert, config geladen, kann jetzt Mails versenden. Leider nur unverschlüsselt, aber geht. Warum? ::)
D.h. der SMTP-Server erlaubt unverschlüsselte Verbindungen.
Vielleicht, weil du jetzt keinen "Notification E-Mail auth username" angegeben hast?

Ich nehme an, dass der Server mit Login-Daten nach wie vor eine verschlüsselte Verbindung verlangt, oder?

13
Deutsch / Re: Mail Notification ins LAN
« on: December 11, 2017, 09:55:11 am »
Der Mailserver der Syno versucht sich damit offenbar nur an den RFC 4954 zu halten.
Ein Auszug:
Quote
   Note: A server implementation MUST implement a configuration in which
   it does NOT permit any plaintext password mechanisms, unless either
   the STARTTLS [SMTP-TLS] command has been negotiated or some other
   mechanism that protects the session from password snooping has been
   provided.  Server sites SHOULD NOT use any configuration which
   permits a plaintext password mechanism without such a protection
   mechanism against password snooping.


Ist das Zertifikat zwingend / automatisch von der Syno generiert? Aber auch das wäre gemäß des Standards.

Wenn das Problem von der Seite nicht zu lösen ist, bleibt nur dafür zu sorgen, dass die pfSense dem Zertifikat vertraut.

14
Firewalling / Re: VLAN Internet access
« on: December 11, 2017, 08:58:36 am »
You have to change the interface to WAN in that rule. The rest is fine.

15
Firewalling / Re: VLAN Internet access
« on: December 11, 2017, 07:50:11 am »
Is there an outbound NAT rule in place for that subnet? Firewall > NAT > Outbound.

Pages: [1] 2 3 4 5 ... 170