Beiträge von Platon7

Bisher nutze ich als Authentifizierungstyp für die OpenVPN Einwahl "PSK (Benutzername/Passwort)" bei Endian Firewall Community 2.5.1. Nun habe ich laut Anleitung unter https://www.efw-forum.de/www/forum/view…hp?f=9&t=66 mal als Authentifizierungstyp "X.509 Zertifikate" getestet:

Ich habe testweise ein einziges Zertifikat mit Windows 2003 und OpenVPN 2.2.2 erstellt, importiert und konnte mich damit per OpenVPN 2.2.2 unter Windows XP und Windows 7 einwählen. Alles so weit wunderbar.

Danach habe ich testweise dieses eine Zertifikat zurückgezogen mittels OpenVPN 2.2.2 unter Windows 2003 laut Anleitung unter https://www.efw-forum.de/www/forum/view…66&start=10. Die Rückzugsliste habe ich importiert. Man konnte sich mit diesem Zertifikat nicht mehr einwählen per VPN. Auch noch OK, aber jetzt kommt es:

Ich habe ich ein neues X.509 Zertifikat erstellt, importiert und konnte mich damit nicht einwählen. Ich habe 2 weitere X.509 Zertifikate erstellt und konnte mich mit keinem der 3 neuen Zertifikate mehr einwählen. Ist das irgendein komischer Bug, der nur auftritt, wenn man ein einziges X.509 Zertifikat hat und nicht mehrere oder ist das ein grundsätzlicher Fehler?

Ich habe mit Endian Firewall Community 2.5.1 getestet und die Zertifikate mittels OpenVPN 2.2.2 unter Windows 2003 erstellt bzw. zurückgezogen.

Dass der unter "VPN \ Erweitert" unter "globale Pushoptionen" eingetragene DNS-Server nicht mehr gepushed wird, war mir auch aufgefallen. Ich habe mir teilweise damit beholfen, dass ich Server-IP-Adressen bei den Windows-Clients in die hosts Datei eingetragen habe, aber das ist auf jeden Fall keine echte Lösung.

Der Zugriff auf andere "Netzwerke", wenn man z.B. mehrere Standorte verbinden will, geht bei mir, indem ich einmal im Benutzerkonto das "Netzwerk hinter dem Client" eintrage (war bereits mit früheren Versionen notwendig) und zusätzlich unter "VPN \ Erweitert \ globale Pushoptionen \ Diese Netzwerke pushen".

Vielen Dank für Deine schnelle Antwort. Ja, es funktioniert auch bei mir. Es ist halt nur merkwürdig, dass die ursprüngliche Zugriffsrichtlinie "Viren filtern" überschrieben wird. Aber vielleicht kann man das auch als "Feature" auffassen.

Ich habe die Endian Firewall 2.5.1 heute bei uns in den Livebetrieb genommen und bisher keine größeren Probleme festgestellt. Was mir aufgefallen ist, dass wenn man bei "Proxy - HTTP" unter "Zugriffsrichtlinien" eine neue ergänzen will, dann die vorhandene Richtlinie "Viren filtern" überschreibt. Danach kann man weitere Richtlinien ergänzen. Ich habe das ganze nicht weiter getestet, weil wir bei uns den HTTP-Proxy aktuell nicht nutzen. Früher war das jedoch der Fall und deshalb hatten wir unterschiedliche Zugriffsrichtlinien und Inhaltsfilter. Ich weiß noch bei früheren Versionen der Endian Firewall dass man die Zugriffsrichtlinie "Viren filtern" nicht anfassen oder löschen durfte, weil der HTTP-Proxy sonst gar nicht ging. Wie das mit der 2.5.1 ist habe ich nicht weiter getestet.

Die Version 2.5 haben wir nach den Problemberichten hier übersprungen zumal wir für die Interneteinwahl PPoE nutzen, die unter 2.5 nicht gehen soll, sondern erst wieder unter 2.5.1.

Da ich mit der Neuinstallation von 2.4.1 per CD mit ISO-Image Probleme auf unserem Live-System hatte, die ich nicht so ohne weiteres hinbekommen habe, habe ich alternativ 2.4 installiert und "efw-upgrade" ausgeführt. Das lief einwandfrei und ganz ohne Probleme durch. Ich musste kein "sa-update" ausführen, wobei ich ergänze, dass ich mit dem 2.4 noch keine snort-regeln downgeloaded hatte. Das habe ich dann erst nach dem Upgrade auf 2.4.1 gemacht. Offenbar haben sie bei endian.com das Upgrade fehlerbereinigt.

Meisen: Danke für den Tip mit dem Upgrade. Das hat gefunzt!

Somit habe ich sowohl unser Live-System, als auch unser Ersatzsystem beide auf 2.4.1 upgegraded. Das war jedoch eine längerwierige "Operation".
:mrgreen:

Zitat von "Meisen"

Ich vermute, Du hast die ISO der 2.4.1 installiert und darauf das Backup zurückgespielt.
Wie ich in einem früheren Beitrag in diesem Thread geschrieben habe, ging das bei mir auch nicht.

Ja, genau. Wie von mir beschrieben hat ein "sa-update" und anschließender Neustart der efw 2.4.1 das Problem behoben. Ich werde das Ding heute hoffentlich noch live schalten und berichten, ob dann wirklich alles funzt.

Cool! Nach einem Neustart der efw 2.4.1 werden die beiden Dienste grün mit "LÄUFT" angezeigt:
1. Spamfilter für POP3 (spamd)
2. Spamfilter für SMTP (amavis)

Supi!

Dann habe ich "sa-update" ausgeführt:

Zitat

root@KDE-Firewall:~ # sa-update
root@KDE-Firewall:~ # spamd restart
Nov 18 16:59:46.137 [10024] info: pyzor: [10026] error: TERMINATED, signal 15 (000f)
Nov 18 16:59:46.706 [10024] info: spamd: server started on port 783/tcp (running version 3.3.1)
Nov 18 16:59:46.708 [10024] info: spamd: server pid: 10024
Nov 18 16:59:46.714 [10024] info: spamd: server successfully spawned child process, pid 10027
Nov 18 16:59:46.728 [10024] info: spamd: server successfully spawned child process, pid 10028
Nov 18 16:59:46.740 [10024] info: prefork: child states: IS
Nov 18 16:59:46.743 [10024] info: prefork: child states: II

Alles anzeigen

Im Webfrontend werden beide Dienste
1. Spamfilter für POP3 (spamd)
2. Spamfilter für SMTP (amavis)
immer noch mit Farbe ROT "ANGEHALTEN" angezeigt. Ich lasse jetzt mal die Endian Firewall neu starten...

Ich erhalte:

Zitat

root@KDE-Firewall:~ # spamd restart
Nov 18 16:58:01.906 [10004] error: config: no rules were found! Do you need to run 'sa-update'?
config: no rules were found! Do you need to run 'sa-update'?

In /var/log/boot.log finde ich:

Zitat

Nov 18 16:28:56 KDE-Firewall spamassassin: spamd startup failed
Nov 18 16:28:59 KDE-Firewall amavisd: amavisd startup succeeded

In /var/log/monit.log taucht immer wieder auf:

Zitat

Nov 18 16:28:56 KDE-Firewall monit[3808]: 'amavisd' process is not running
Nov 18 16:28:56 KDE-Firewall monit[3808]: 'amavisd' trying to restart
Nov 18 16:28:56 KDE-Firewall monit[3808]: 'amavisd' start: /etc/init.d/amavisd
Nov 18 16:28:59 KDE-Firewall monit[3808]: 'amavisd' started
Nov 18 16:29:24 KDE-Firewall monit[3808]: 'winbind' failed to start
Nov 18 16:29:24 KDE-Firewall monit[3808]: 'spamassassin' failed to start
Nov 18 16:29:26 KDE-Firewall monit[3808]: 'winbind' service timed out and will $
Nov 18 16:29:58 KDE-Firewall monit[3808]: 'spamassassin' service timed out and $
Nov 18 16:30:00 KDE-Firewall monit[3808]: 'amavisd' process is not running
Nov 18 16:30:00 KDE-Firewall monit[3808]: 'amavisd' trying to restart
Nov 18 16:30:00 KDE-Firewall monit[3808]: 'amavisd' start: /etc/init.d/amavisd
Nov 18 16:30:30 KDE-Firewall monit[3808]: 'amavisd' failed to start
Nov 18 16:31:05 KDE-Firewall monit[3808]: 'amavisd' service timed out and will $

Alles anzeigen

Wo sollte ich ggf. noch gucken?

Zitat von "joxx"

Was sagen die Logfiles? Hier würde ich zuerst ansetzen.

Hast Du genaue Pfade der Logfiles?

Bei mir tritt das Problem auf, dass nach Einspielen eines Backup aus efw 2.4 community in 2.4.1 die folgenden beiden Dienste in der Seite Systemstatus mit Farbe Rot und "ANGEHALTEN" angezeigt werden:

1. Spamfilter für POP3 (spamd)
2. Spamfilter für SMTP (amavis)

Egal ob ich efw reboote oder über die Weboberfläche diese Dienste deaktiviere und wieder aktiviere: Sie bleiben "ANGEHALTEN".
Als letzte Möglichkeit habe ich noch ein Backup aus efw 2.3 community eingespielt mit dem gleichen Ergebnis.

Muss ich jetzt tatsächlich die komplette Konfiguration per Hand neu vornehmen in 2.4.1 (mehrere Stunden Arbeit...) oder hat jemand eine zündende Idee?