Posts by Lownex

    Hallo Wolfili,
    das alles kann ich ausschließen, da jegliche Komponente inkl. der Firewallhardware und Kabeln bereits getauscht wurde. allerdings muss ich sagen, dass der Teil des Logs auch nicht representativ für die Vorkommnisse sind. Allerdings habe ich jetzt ggf. etwas. Immer wenn die Verbindung für 4-8 Pings weg ist sehe ich dieses hier im Log:


    May 24 22:38:22 dnsmasq[2433] using nameserver 8.8.4.4#53

    May 24 22:38:22 dnsmasq[2433] using nameserver 8.8.8.8#53

    May 24 22:38:22 dnsmasq[2433] reading /etc/dnsmasq/resolv.conf

    May 24 22:38:19 dnsmasq[2433] using nameserver 8.8.4.4#53

    May 24 22:38:19 dnsmasq[2433] using nameserver 8.8.8.8#53

    May 24 22:38:19 dnsmasq[2433] reading /etc/dnsmasq/resolv.conf

    May 24 22:37:52 dnsmasq[2433] using nameserver 8.8.4.4#53

    May 24 22:37:52 dnsmasq[2433] using nameserver 8.8.8.8#53


    Hat jemand hierzu ggf. eine Idee? Ich sehe keinerlei ZUsammenhang in der Umgebung. Anbei hänge ich auch nochmal zwei Screenshots.


    wolfili

    ich lasse im Uplink die Erreichbarkeit von 8.8.8.8 testen. Allerdings passiert das hier mit und ohne dem Test. In der Tat ist eth3 der WAN uplink.


    Gruß,


    Tom

    Wie es der Zufall will gucke ich grad nochmal in die Logs und sehe das hier, jemand ne Idee was das verursachen kann? Wo kommt der "uplink stop main" her?


    May 22 15:47:19 sudo nobody : TTY=unknown ; PWD=/home/httpd/cgi-bin ; USER=root ; COMMAND=/usr/sbin/postqueue -f

    May 22 15:47:16 dnsmasq[6203] using nameserver 8.8.4.4#53

    May 22 15:47:16 dnsmasq[6203] using nameserver 8.8.8.8#53

    May 22 15:47:16 dnsmasq[6203] reading /etc/dnsmasq/resolv.conf

    May 22 15:47:12 dnsmasq[6203] using nameserver 8.8.4.4#53

    May 22 15:47:12 dnsmasq[6203] using nameserver 8.8.8.8#53

    May 22 15:47:12 dnsmasq[6203] reading /etc/dnsmasq/resolv.conf

    May 22 15:46:37 kernel r8169 0000:04:00.0 eth3: link up

    May 22 15:46:36 ntpd[3164] new interface(s) found: waking up resolver

    May 22 15:46:36 ntpd[3164] Listen normally on 6 eth3 192.168.13.26:123

    May 22 15:46:36 dnsmasq[6203] using nameserver 8.8.4.4#53

    May 22 15:46:36 dnsmasq[6203] using nameserver 8.8.8.8#53

    May 22 15:46:36 dnsmasq[6203] reading /etc/dnsmasq/resolv.conf

    May 22 15:46:35 uplink[main] Uplink 'main' status: 'ONLINE'

    May 22 15:46:35 uplink[main] Notify uplinks daemon about status change of uplink 'main'. Status id OK

    May 22 15:46:35 kernel r8169 0000:04:00.0 eth3: link down

    May 22 15:46:34 uplink[main] Starting Uplink 'main'

    May 22 15:46:34 ntpd[3164] 31.172.86.173 local addr 192.168.13.26 ->

    May 22 15:46:34 ntpd[3164] 176.221.42.125 local addr 192.168.13.26 ->

    May 22 15:46:34 ntpd[3164] 176.9.102.215 local addr 192.168.13.26 ->

    May 22 15:46:34 ntpd[3164] 51.254.155.97 local addr 192.168.13.26 ->

    May 22 15:46:34 ntpd[3164] Deleting interface #5 eth3, 192.168.13.26#123, interface stats: received=225, sent=236, dropped=0, active_time=18199 secs

    May 22 15:46:33 uplink[main] Successfully shut down link 'main'

    May 22 15:46:33 uplink[main] Uplink 'main' status: 'OFFLINE'

    May 22 15:46:33 uplink[main] Notify uplinks daemon about status change of uplink 'main'. Status id FAILED

    May 22 15:46:33 kernel r8169 0000:04:00.0 eth3: link down

    May 22 15:46:33 kernel r8169 0000:04:00.0 eth3: link down

    May 22 15:46:32 uplink[main] Stopping Uplink 'main'

    May 22 15:46:30 sudo nobody : TTY=unknown ; PWD=/home/httpd/cgi-bin ; USER=root ; COMMAND=/etc/rc.d/uplinks stop main

    May 22 15:46:30 sudo nobody : TTY=unknown ; PWD=/home/httpd/cgi-bin ; USER=root ; COMMAND=/usr/sbin/ifplugstatus

    May 22 15:45:36 sudo nobody : TTY=unknown ; PWD=/home/httpd/cgi-bin ; USER=root ; COMMAND=/usr/sbin/ifplugstatus

    May 22 15:45:33 sudo nobody : TTY=unknown ; PWD=/home/httpd/cgi-bin ; USER=root ; COMMAND=/usr/bin/openvpn-user list

    May 22 15:45:33 sudo nobody : TTY=unknown ; PWD=/home/httpd/cgi-bin ; USER=root ; COMMAND=/usr/sbin/ifplugstatus

    May 22 15:45:26 sudo nobody : TTY=unknown ; PWD=/home/httpd/cgi-bin ; USER=root ; COMMAND=/usr/bin/openvpn-user list

    May 22 15:43:52 fcron[16839] Job [ -x /bin/run-parts ] && run-parts --report /etc/anacron.hourly completed

    May 22 15:43:44 sudo nobody : TTY=unknown ; PWD=/home/httpd/cgi-bin ; USER=root ; COMMAND=/usr/sbin/ifplugstatus

    May 22 15:43:40 sudo nobody : TTY=unknown ; PWD=/home/httpd/cgi-bin ; USER=root ; COMMAND=/usr/bin/openvpn-user list

    May 22 15:43:40 sudo nobody : TTY=unknown ; PWD=/home/httpd/cgi-bin ; USER=root ; COMMAND=/usr/sbin/ifplugstatus

    May 22 15:43:36 sudo nobody : TTY=unknown ; PWD=/home/httpd/cgi-bin ; USER=root ; COMMAND=/usr/sbin/ifplugstatus

    May 22 15:43:33 sudo nobody : TTY=unknown ; PWD=/home/httpd/cgi-bin ; USER=root ; COMMAND=/usr/sbin/ifplugstatus

    May 22 15:43:30 sudo nobody : TTY=unknown ; PWD=/home/httpd/cgi-bin ; USER=root ; COMMAND=/usr/sbin/ifplugstatus

    May 22 15:43:25 sudo nobody : TTY=unknown ; PWD=/home/httpd/cgi-bin ; USER=root ; COMMAND=/usr/bin/openvpn-user list

    May 22 15:43:25 sudo nobody : TTY=unknown ; PWD=/home/httpd/cgi-bin ; USER=root ; COMMAND=/usr/sbin/ifplugstatus

    May 22 15:43:18 sudo nobody : TTY=unknown ; PWD=/home/httpd/cgi-bin ; USER=root ; COMMAND=/usr/bin/openvpn-user list

    May 22 15:43:18 sudo nobody : TTY=unknown ; PWD=/home/httpd/cgi-bin ; USER=root ; COMMAND=/usr/sbin/ifplugstatus

    May 22 15:42:53 kernel device br0 left promiscuous mode

    May 22 15:42:47 fcron[16839] Job [ -x /bin/run-parts ] && run-parts --report /etc/anacron.hourly started for user root (pid 16840)

    May 22 15:42:39 httpd Use of qw(...) as parentheses is deprecated at /home/httpd/cgi-bin/salearn.cgi line 207.

    May 22 15:01:02 fcron[15946] Job [ -x /bin/run-parts ] && run-parts --report /etc/cron.hourly terminated (exit status: 1)

    Hallo zusammen,


    seit einiger Zeit bricht bei uns mehrfach am Tag aber unregelmäßig die Verbindung zum Internet ab - ohne dass das Internet eigentlich gestört wäre. Unser Netzwrk besteht aus zwei Ringen. Das äußere Netzwerk / DMZ hat WLAN und einen Lancom DSL Router und sonstige Services. Die Endian trennt den inneren Ring vom äußeren, hierzu wird der Router als Static Gateway verwendet, d.h. NATing, kein Routing.


    Von Zeit zu Zeit kommt es vor, das einige Sekunden bis 1-3 Minuten die Verbindung ins Internet weg ist. Ein Ping auf 8.8.8.8 und ein weiterer auf die Endian zeigt, dass die FW weiter erreichbar ist jedoch kein Internetverkehr mehr möglich ist. Von WLAN Geräten, welche im äußeren Ring sind, kann das Internet weiter ohne Ausfall während dessen erreicht werden.


    Ein Kollege hat mir mitgeteilt, dass ihm aufgefallen wäre, dass die Endian im Serverraum dabei gelegentlich piept, also als wenn bspw. ein Link hergestellt wird (Kabel rein, Kabel raus?). Switche sind bereits vom Strom genommen worden, DSL Router ausgetauscht, Endian auf anderer Hardware installiert + Config wieder hergestellt, Kabel ausgetauscht. Das einziege was ich im Log (...wenn auch gefühlt nicht oft genug im Vergleich zu den geführen Ausfällen ) sehe sind Link up und Link down - aber nicht warum das passiert.


    Hat hier ggf. jemand noch ne Idee oder einen konreten Hinweis in welches Log in der Endian / Shell ich gucken kann um dem auf den Grund zu kommen?


    Dank + Gruß,


    Tom

    Hallo Volker,


    bist Du sicher dass Du bei Umstellung auf 3.0 das Routing für die entfernten Netzwe wieder richtig eingerichtet hast? Ich habe noch 3.0 mit 2.5 im Einsatz.


    LG,


    Tom

    Hallo zusammen,


    kann es sein dass es keine Übersicht der aktiven Verbindungen mehr gibt oder mache ich was falsch? Selbst auf dem Dashborad ist die VPN nicht mehr visualisiert - unter OpenVPN finde ich nur Konfigurationen aber keine aktiven Verbindungen.


    LG,


    Tom

    In meinem Fall störte mich hauptsächlich der Common Name des selbstgenerierten Zertifikats weil der Postfix auf eine SMTP-Verbindung zwar mit einem HELO der öffentlichen Domäne antwortet wie es im SMTP-Proxy konfiguriert ist jedoch das selbstsignierte Zertifikat den Common Name hat welches bei der ersten Einrichtung der Endian gewählt wurde - in meinem Fall war das der interne FQDN. Somit ist es etwas unschön wenn ein Mailserver mit der Endian eine TLS-Verbindung aufbauen möchte und das Zertifikat den falschen Common Name hat.


    1) Login über SSH auf der Endian
    Im Verzeichnis /etc/postfix findet man die main.cf. Dort findet man den Pfad zu den SSL Zertifikaten:


    smtpd_tls_cert_file = /etc/httpd/server.crt
    smtpd_tls_key_file = /etc/httpd/server.key


    Hier ist es so dass dort dieselben Zertifikate verwendet werden welche auch der Webserver verwendet. Ich habe mich dazu entschieden einfach diese Zertifikate zentral auszutauschen sodass der Webserver auch mit dem neuen Zertifikat arbeitet. Alternativ wäre es auch möglich in der main.cf vom Postfix einen neuen Pfad anzugeben um ausschließlich für den Postfix neue Zertifikate zu verwenden. Ich ändere also nichts in der main.cf


    2)
    im Pfad /etc/httpd benennt man die alten Zertifikate um:
    mv Server.key Server.key.bak
    mv Server.crt Server.crt.bak
    mv Server.csr Server.csr.bak


    3)
    Mithilfe von openssl ein neues Zertifikt erstellen. Dabei gibt es verschieden Rückfragen von OpenSSL zum Namen der Firma, OU, Land, Email. Die einzige relevante Information dort ist der Common Name, welcher dem externen FQDN entsprechen sollte, also bspw. mail.domain.de.


    openssl req -new > server.csr
    openssl rsa -in privkey.pem -out server.key
    openssl x509 -in server.csr -out server.crt -req -signkey server.key -days 365


    Meine Empfehlung wäre dort die Gültigkeit etwas höher zu setzen (-days 7200).


    4)
    Anschließend Webserver und Postfix neustarten:


    /etc/init.d/httpd restart
    /etc/init.d/postfix restart


    Ich hoffe das hilft bei Gelegenheit dem einen oder anderen weiter...


    Gruß, Lownex

    Hallo zusammen,


    ich würde gerne das für den SMTP-Proxy verwendete Zertifikat austauschen. Im Moment antwortet die EFW mit dem selbstgenerieren Zertifikat welches den internen Namensraum verwendet und bspw auch bei https verwendet wird. Im Bereich OpenVPN kann ich ein neues Zertifikat importieren welches dann allerdings nur für diesen Dienst verwendet wird. Kann mir jemand sagen wie ich das Zertifikat austauschen kann sodass der SMTP-Proxy mit dem richtigen Zertifikat antwortet?


    Vielen Dank schonmal +


    Viele Grüße!


    Lownex

    Servus zusammen,


    ich habe eine Konstrukt und wollte mal fragen was Ihr davon haltet bzw. wie sich das verhält.


    Szenario:
    1x Endian, 2x WAN Interface, 1x LAN Interface


    Bestimmte Benutzer aus dem LAN Segment sollen immer über WAN2 (WAN1 ist die Main-Verbindung) gehen - soweit kein Problem, source-based-Routing ist schnell eingerichtet. Jetzt möchte ich allerdings von den übrigen Nutzern im Netz bestimmte Ziele, welche nur über den Namen identifizierbar sind (bspw. Youtube.de) auch über die WAN2 Verbindung schicken. Da hinter Youtube o.ä. allerdings sicherlich ein Cluster von tausenden von Servern hängt und die IP-Adressen sich ggf. ändern kann ich kein Destination-based-Routing einsetzen.


    Meine überlegung ist bisher folgende: WAN1 und WAN2 tauschen, HTTP Proxy auf transparent und das Subnetz teilweise über Routingregeln über die 2. (nicht-Main) Wan Leitung Routen. Jetzt müsste man dem Proxy nur noch sagen dass jegliche Ziele außer youtube etc. umgangen werden. Problem an der Stelle ist, dass ich ja prinzipiell *.de vom Proxy ausschließen kann, jedoch dann nicht youtube.de einschließen kann. Fraglich wäre auch wie sich Routing vs. Proxy verhalten, wenn ich z.B. sage Client 1 immer über WAN 2, jedoch der Inhalt vom Proxy "gefangen" wird und dieser eigentlich seinen "eigenen" Traffic immer über WAN1 (MAIN) sendet.


    Hat dort jemand vielleicht eine Idee oder hab ich jetzt jeden hier zu-Ende-verwirrt?

    Hallo zusammen,


    ich habe ein Problem mit der Anzahl der zugelassenen Connections (eingehend) beim SMTP Proxy. Wir setzen die EFW eigentlich nur als SMTP Proxy vor einem Exchange ein. gelegentlich gibt es Peaks sodass unser Provider "too many connections" vom Postfix erhält. Wenn man sich die main.cf vom Postfix anguckt findet man dort einen Parameter "smtpd_client_connection_rate_limit = 15". Leider wird diese Configdatei immer wieder überschrieben wenn man dort Änderungen vornimmt.


    Hat jemand zu diesem Thema eine Idee?


    MfG,


    Lownex

    Hallo zusammen,


    da an der Hyper-V Front bei Endian keine Lösung in Aussicht steht, suche ich seit einiger Zeit nach einer Alternative für diesen Anwendungsfall. Das soll jetzt hier keine Anti-Endian Werbung sein sondern eine Hilfe für diejenigen die wie ich dringend eine performante Lösung für Hyper-V suchen. Ich verwende dafür jetzt die Software "Vyatta Virtual" welche Hyper-V unterstützt und daher sehr performant darauf läuft. Einziges Manko: man darf keine Angst vor nem CLI (Command Line Interface) haben, weil die eigentliche Konfig darüber läuft. Jedoch gibt es eine sehr gute Doku.


    Hoffe das hilft jemandem!

    Aja, zur Ergänzung. Ich habe mal ein Konkurenzprodukt "IPFire" ausprobiert. Dort sind die Kernelmodule für Hyper-V enthalten und können durch die Anpassung der Konfigurationsdateien aktiviert werden. Komischerweise läuft das zuerst ganz gut und dann ist die WAN Netzwerkkarte plötzlich ohne Funktion. Neustart und die Sache geht wieder für 3 Minuten - komisch. Dummerweise kann man in der Endian ja nichtmals auf die üblichen Konfigdateien zugreifen weil diese garnicht vorhanden sind...

    Hallo mschoen,


    da gebe ich Dir Recht, wobei mich das ganze eigentlich nicht stören würde wenn der Datendurchsatz netzintern nicht so bescheiden wäre. Das Problem ist dass ich mehrere Netzwerksegmente habe welche unter Umständen Daten untereinander bewegen müssen. Dort erreiche ich leider nur 3-5 MB/s. Die meisten User würden dies ja über eine WAN-Leitung garnicht mitbekommen. Das Problem ist dass ich Endian in einem HA-Cluster betreiben möchte, und da ist VMware ESX für mich grade nicht machbar. An sonsten läuft die Endian ja unter Hyper-V.


    Kannst Du mir sagen wie der Datendurchsatz unter VMware ist?

    Antwort von Endian Germany:


    Vielen Dank für Ihr Interesse an unseren Produkten.

    Die von Ihnen verwendete Community Version unterstützt leider keine Hypervisor.

    Unsere Enterprise Produkte hingegen laufen auf den gängigen Virtuellen Umgebungen
    von XEN, KVM und VMWare. Für VMWare auch zertifiziert: "VMWare ready".

    Eine Unterstützung von Microsoft hyper-V ist angedacht, zum derzeitigen Zeitpunkt
    können wir Ihnen aber noch nicht sagen bis wann diese verfügbar sein wird.

    Mit freundlichen Grüßen
    Ihr Endian Team

    Hallo zusammen,


    Hält es jemand für möglich die Hyper-V Integrationstools für Linux in Endian zu integrieren? Im Endeffekt sind es nur ein paar Treiber und ein Perl-Skript. was unter folgendem Link zu erhalten ist. In der Exe ist ein Iso, welches sich in das Gastsystem mounten lässt. Nach der Aussage von Microsoft bin ich optimistisch dass dies eventuell die Perfomance verändern könnte.


    http://www.microsoft.com/downl…9f-41cf-b5eb-74d0595ccc5c


    Unterstützt werden von Microsoft folgende Systeme:


    "Supported Guest Operating Systems
    This version of the Linux Integration Components supports the following guest operating systems and virtual CPU (vCPU) configurations:
    SUSE Linux Enterprise Server 10 SP2 x86 and x64 (1 vCPU)
    SUSE Linux Enterprise Server 11 x86 and x64 (1 vCPU)
    Red Hat Enterprise Linux 5.2, 5.3, and 5.4 x86 and x64 (1 vCPU)"


    Leider habe ich von Endian zu wenig "root-Erfahrung" um diese Treiber dort zu integrieren. Es scheint mir so als wenn bei EFW 2.4.1 sowieso alles schreibgeschützt ist, oder? Es müsste auch nicht ungedingt die 2.4.1 sein, die EFW 2.2 scheint etwas sauberer zu laufen.


    Gruß, Lownex

    Hallo zusammen,


    der letzte Post ist zwar schon was älter aber ich möchte noch mal auf das Performanceproblem in Hyper-V zurückkommen. Ich würde in der Firma gerne eine Endian in einem Hyper-V Cluster bereitstellen weil dort eine HA Lösung für einen bestimmten Netzteil notwendig ist. Problem ist der mangelnde Durchsatz von ~3MB/s wenns hoch kommt. Ich habe auch mal IP-Cop ausprobiert, dort sind es ~4-5MB/s.


    Hält es jemand für möglich die Hyper-V Integratinstools für Linux in Endian zu integrieren? Im Endeffekt sind es nur ein paar Treiber und ein Perl-Skript. was unter folgendem Link zu erhalten ist. In der Exe ist ein Iso, welches sich in das Gastsystem mounten lässt. Nach der Aussage von Microsoft bin ich optimistisch dass dies eventuell die Perfomance verändern könnte.


    http://www.microsoft.com/downl…9f-41cf-b5eb-74d0595ccc5c


    Unterstütz werden von Microsoft folgende Systeme:


    "Supported Guest Operating Systems
    This version of the Linux Integration Components supports the following guest operating systems and virtual CPU (vCPU) configurations:
    SUSE Linux Enterprise Server 10 SP2 x86 and x64 (1 vCPU)
    SUSE Linux Enterprise Server 11 x86 and x64 (1 vCPU)
    Red Hat Enterprise Linux 5.2, 5.3, and 5.4 x86 and x64 (1 vCPU)"


    Leider habe ich von Endian zu wenig "root-Erfahrung" um diese Treiber dort zu integrieren. Es scheint mir so als wenn bei EFW 2.4.1 sowieso alles schreibgeschützt ist, oder?


    Gruß, Lownex


    [ich habe dafür extra einen eigenen Thread eröffnet, also bitte hier posten]
    http://www.efw-forum.de/www/forum/viewtopic.php?f=45&t=977

    Hallo zusammen,


    ich habe die efw 2.4.1 zur Zeit in einem Netzwerk zum Test virtualisiert in einem Hyper-V Cluster zwischen dem internen LAN und der DMZ. Wenn ich von einer DMZ Ressource Daten ins Interne LAN kopiere ist das sehr langsam (ca. 2 MB/s). Ein TOP auf der Endian Console zeigt mir dass der Dienst ksoftirepd/0 bei ca. 90% hängt. Wenn ich das Kopieren stoppe ist sofort wieder alles ok. Das selbe passiert bei Version 2.2.


    Kann mir dazu jemand eine Hilfestellung anbieten? Kann ich den Dienst irgendwie beruhigen?

    Hallo zusammen,


    ich bin am WE auf die Version 2.4.1 umgestiegen und habe anschließend ein efw_upgrade ausgeführt. Zuvor hatte ich die Version 2.2 in Verwendung. Mir ist aufgefallen dass bei der neuen Version keine Dateiendungen mehr gefiltert werden. Geht das jemandem ähnlich? Ich habe sowohl .exe als auch .bat Dateien getestet und habe festgestellt dass die einfach durchgehen. Darüber hinaus funktioniert die Email Benachrichtigung nicht mehr - jedoch konnte ich dies schon hier im Forum nachlesen.


    Mitlerweile scheint mir der SMTP Dienst in der 2.4er nicht mehr ganz geheuer. Kann mir vielleicht jemand bestätigen dass zumindest der AntiVirus im SMTP vernüftig funktioniert?


    Noch eine weitere Frage:
    Wo liegt die "Standard-Quaratäne" für Virusmails, Spammails etc.?


    Ich hatte mal vorübergehend die RBL Blacklist aktiviert - jedoch sehr schnelle festgestellt dass auch erwünschte Emails dadurch geblockt wurden. In den SMTP Logs habe ich dieses nachvollziehen können, jedoch konnte ich nicht sehen welcher Absender (abgesehen von der IP-Adresse des Mailsservers) die vermeintliche Spammail versendet hat. Ich habe leider nciht rausfinden können wie ich auf diese geblockten Spammails zugreifen kann. Als Ordner ist der ominöse "Standard-Quarantäne-Ordner" angegeben.


    vielen Daank für die Anleitung, allerdings scheine ich eine Kleinigkeit irgendwo übersehen zu haben. In welcher Datei nimmst Du den "/" raus?