Beiträge von tom.lownex

Hallo zusammen,

ich versuche grade die EFW CE auf einer VM als https-Proxy zu verwenden. Nach der Installation auf einer VM aktivierte und konfiguriere http als nicht transparent und aktivierte https. Gateway und DNS sind in der EF konfiguriert, Updates wurden bspw. erfolgreich untergeladen und installiert. Die Endian ist dabei nicht als gebridged oder geroutet eingerichtet, einfach nur "ohne Uplink" mit nur einem Interface. Wenn ich einen Client per Proxykonfiguration über die Endian schicken möchte (EFW-IP:8080) erhält der Client allerdings eine Proxy-Seite, dass die Verbindung nicht hergestellt werden konnte. Ich habe die Fehlermeldung jetzt nicht 100%ig vor Augen, allerdings inhaltlich sinngemäß:

Die Verbindung konnte nicht hergestellt werden, möglicherweise ist das Zielnetzwerk deaktiviert. Hierbei handelt es sich um eine Endian-Seite der Endian und um keine Client- / Browserseite.

Ich werde die genaue Meldung gleich nochmal reproduzieren. Mich wundert jetzt, die Endian hat doch eine Internetverbindung, der Proxydienst funktionert also wo schmerzt es? Natürlich wäre es naheliegend zu vermuten, dass die Endian ja keinen Uplink hat, aber die Endian selber kommt ja ins Internet. Mein Problem mit einem Uplink in diesem Netzwerk ist, dass es nur eine Zone gibt, und ich somit keinen Uplink erstellen kann.

Hat hier jemand eine Idee?

Gruß,

Tom

Hallo Heinz,
ich habe bereits seit Jahren diverse Erfahrungen mit der Endian und SIP gemacht. Das SIP Protokoll hat eine Designschwäche, was dazu führt, dass ein SIP Gateway hinter einer NAT Firewall die externe IP Adresse nicht kennt, weil die IP Adresse im SIP Header und die externe Adresse nicht übereinstimmt. Die Adresse im IP Paket wird ausgetauscht und nicht geroutet wird und damit der RTP Stream "vor die Wand" läuft oder beim SIP Gateway gedropped wird, weil die Empfänger IP nicht stimmt.
Hierzu gibt es bei der Endian ein Kernel Modul (SIP Helper Modul) was die IP im SIP Header korrigiert. Meiner Erfahrung nach funktioniert SIP Kommunikation, ist aber nicht empfehlenswert - vor allem wenn dazu noch FAX over IP kommt. Ich vermeide die Endian mit SIP in Berührung zu bringen.

Gruß,
Tom

Hallo zusammen,

nutzt jemand hier erfolgreich Let's Encrypt für die Endian CE, bspw. für HTTPS Proxy, SMTP Zertifikat, VPN, WEB Oberfläche etc? Let's encrypt Zertifikate sind ja nur 3 Monate gültig, daher müsste es schon eine automatisierbare Lösung sein. Ein regelmäßiger Upload würde da rausfallen.

Danke + Gruß,

Tom

Hallo,

ich habe das gleiche bzw. ein ähnliches Problem. Mails kommen von einigen Mailservern nicht rein weil die CAs deren Certifikate untrusted sind:

Jun 18 06:32:24 postfix/smtp[28384]: certificate verification failed for mx01.kundenserver.de[217.72.192.67]:25: untrusted issuer /C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2
Jun 18 06:32:24 postfix/smtp[28383]: certificate verification failed for mx01.kundenserver.de[217.72.192.67]:25: untrusted issuer /C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2

Kann man den Issuer-Check deaktiviert? Dieser macht eigentlichlich auch nur bedingt Sinn, da viele Mailserver Ihrer Zertifikate selbst ausstellen.

Gruß,

Tom

amavisd-release banned-xxxxxxxxxxx

Hi,

you could search the web 4 a list of all Top-Level-Domains and paste it into the blacklist section of a content filter.

.de
.com
.info

then explicit whitelist your domains by using the more specific domain e.g.

microsoft.com
amazon.com

Greetz,

Tom

btw, wie kann ich eine Mail aus der Quarantäne whitelisten bzw. weiterleiten bzw. ausliefern?

Hallo zusammen,

hatte schonmal jemand dieses Verhalten? Scheinbar block der SMTP Gif-Dateien mit folgender Begründung:

A banned name (image/gif,.image,.gif,CLIP-{045D4238-D146-4A34-A486-F53CFF67CE48}.gif) was found.

.gif-Datei sind definitiv nicht geblock.

LG,

Tom