Hallo Leute,
in jüngster Zeit macht mir eine meiner efw's Sorgen. Konkret geht es um den HTTP-Proxy, der auf dieser Maschine in regelmässigen Abständen "voll läuft", so dass kein Surfen mehr möglich ist. Leere ich den Cache, ist alles wieder in bester Ordnung. Andere Dienste sind davon nicht betroffen.
Ich habe schonmal testhalber die Cachegröße auf 1000 MB erhöht, was aber auch nicht zielführend war.
Hat mir jemand nen Tipp?
Grüße
Joachim
Wenn man sich die main.cf vom Postfix anguckt findet man dort einen Parameter "smtpd_client_connection_rate_limit = 15". Leider wird diese Configdatei immer wieder überschrieben wenn man dort Änderungen vornimmt.
Ändere den Parameter mal in der main.cf.tmpl
Hast Du in den erweiterten Einstellungen des SMTP-Proxys die Häkchen bei den Optionen der Spamabwehr gesetzt, z.B. "ungültige Empfänger zurückweisen"?
Bei mir hat sich nach dem Update bei identischer Hardware der Datendurchsatz auch deutlich verbessert. Zudem ist auch die Belastung des Hauptspeichers wesentlich moderater als bei der 2.4.1. Meine 4 GB RAM werden jetzt im Schnitt mit 65% ausgelastet. Vorher waren es > 90%.
Fritzbox 7390 => Portweiterleitung Port 500 => endian Firewall Community 2.5.1
Leite mal die UDP-Ports 500 und 4500 weiter.
Die wurden auf allen von mir umgestellten EFWs 1:1 übernommen.
Was hast Du bei den Einstellungen für die Datensicherung ausgewählt?
VPN funktioniert wohl auch nicht ganz so wie es soll . . . . .
Also VPN geht nach einer Woche Umstellung meiner Erfahrung nach besser als zuvor. Sogar die PSK-Verbindungen, die mir mit der 2.4.1 nach 1-2 Tagen immer zusammengebrochen sind, halten jetzt stabil.
Hm, ich glaube, Du machst Dir die Sache unnötig kompliziert. Was mir an Deiner Konfig spontan auffällt ist die Zeile mit dev tun. Dort sollte eigentlich dev tap stehen.
Aber der Reihe nach: Es reicht vollkommen aus, das von der efw erzeugte CA-Zertifikat herunterzuladen und unter ..\OpenVPN\config zu speichern. Die ebenfalls dort abgelegte Konfiguration (xxx.ovpn) sollte ungefähr so aussehen:
client
dev tap
proto udp
port 1194
remote <IP oder DYNDNS> 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca <efw-zertifikat>.cer
auth-user-pass
comp-lzo
verb 3
Jetzt muss beim OpenVPN-Server auf der efw nur noch ein dynamischer IP-Adresspool angelegt sein und schon wuppt die Verbindung mit Benutzername und Kennwort. Wenn Du soweit bist kannst Du das Ganze natürlich auch mit Client-Zertifikaten ausbauen.
Wie übernimmt man die Daten der 2.4.1 am einfachsten auf die 2.5.1 ?
Ich habe auf der 2.4.1 ein Backup ohne Logfiles (sind bei mir > 10 GB) gemacht und diese auf die frisch installierte 2.5.1 importiert. Nach dem obligatorische Anpassen der /etc/businfotab wegen der Zuordnung der Netzwerkkarten lief alles wie zuvor. Die Lofiles habe ich dann nachträglich manuell kopiert.
Mir gefällt an der 2.5.1 vor allem, dass sie schonender mit den Ressourcen - vor allem dem Arbeitsspeicher - umgeht und dadurch wesentlich performanter ist.
Zwischenzeitlich habe ich alle meine Maschinen auf 2.5.1 gebracht und bin vollkommen zufrieden damit.
Ok, dann beschreibe mal, was Du genau vorhast, sprich von wo willst Du Dich womit wohin verbinden und welche Hard- und Software ist dabei im Spiel?
Persönlich fand ich die Einrichtung der OpenVPN-Verbindung einfacher als IPSEC. Im Nachhinein betrachtet ist auch IPSEC kein Hexenwerk, aber wie Du sicher schon bemerkt hast, steckt der Teufel oft im Detail. Die Anleitungen, die dazu im Internet kursieren, beinhalten meistens nicht genau die Lösung für Deine Konfiguration, sind aber zum Verständnis eine gute Hilfe.
Gruß
Joachim
Hallo Philipp,
ich verwende IPSEC für die (dauerhaften) Verbindungen von Router zu Router, bzw. OpenVPN für zeitweilige Verbindungen von Unterwegs mit dem Laptop.
Es wäre denkbar, dass Dein Router / Deine (Windows-) Firewall die erforderlichen UDP-Ports blockiert und die Verbindung deshalb nicht zustande kommt.
Für OpenVPN könnte ich Dir eine Anleitung zukommen lassen. Das ist eigentlich der einfachste Weg.
Gruß
Joachim
Moin,
den Dienst gibt es nicht in der init.d. Hab mir mal mit ps aux alle laufenden Dienste anzeigen lassen, da war der Appache auch nicht mit dabei....
Muss ich jetzt neu installieren? :o
Nein, der Dienst heisst httpd.
/etc/init.d/httpd status
gibt Dir den Betriebszustand an.
Sollte da etwas anderes stehen als
httpd (pid xxx) is running...
mach mal
/etc/init.d/httpd restart
Gruß
Joachim
Hallo Philipp,
Ich arbeite zwar nicht mit Shrewsoft, aber die Anleitung aus dem Link in Deinem 1. Post ist grundsätzlich richtig. Wenn es dennoch nicht funktioniert, würde ich die Parameter aus Phase 1, die auf "auto" stehen (DH Exchange, Cipher Algorithm), durch fixe Werte ersetzen und diese ebenso in den erweiterten Einstellungen der IPSEC-Verbindung an der EFW hinterlegen.
Ich verwende auf beiden Seiten für IKE und ESP jeweils 3DES und SHA1, sowie DH-Gruppe 2. Auch das Key Life Time Limit sollte auf beiden Seiten identisch sein.
Und noch ein Tipp aus der Praxis: Starte die Verbindung erst auf dem Client, anschliessen an der EFW. Damit hat es bei mir immer besser funktioniert wie mit der umgekehrten Reihenfolge.
Gruß
Joachim
Hat denn überhaupt schon jemand mit IPSEC in der neuen Version gearbeitet ?
Ich habe seit vergangenem WE meine erste EFW auf 2.5.1 im Produktivbetrieb und dafür eine Datensicherung aus der 2.4.1 eingespielt. Es läuft alles zu meiner vollen Zufriedenheit, auch die beiden VPN-Tunnel, die dauerhaft per IPSEC angebunden sind.
Ich empfehle allerdings dringend, mit Zertifikaten zu arbeiten, um eine stabile Verbindung zu gewährleisten.
Gruß
Joachim
Wie machst du das mit der Protokollierung der User ?
Die kann ich über feste IP-Adressen zuordnen.
Was hast du da alles auf der Firewall mitlaufen ?IDS , Proxy- Authentifizierung , Inhaltsfilter ?
Ich habe gegenwärtig alle Dienste am Laufen bis auf den FTP-Proxy. Den HTTP-Proxy betreibe ich transparent ohne Authentifizierung und AD.
Wichtig sind mir vor allem der VPN-Server, weil darüber zwei Zweigstellen angebunden sind. Der läuft mit den Zertifikaten, die aus der Datensicherung übernommen werden, stabil wie zuvor. Weiterhin müssen auch SMTP- und POP3-Proxy funktionieren. Über die EFW laufen am Tag > 3000 Mails. Auch hier ist alles im grünen Bereich.
Gruß
Joachim
P.S. Werde heute eine weitere Maschine updaten.
So, ich habe jetzt vergangenes Wochenende mal die 2.5.1 in den Produktivbetrieb genommen.
Datenübernahme aus der 2.4.1 hat problemlos funktioniert. Der erste Tag unter Belastung mit Usern ging auch ohne Zwischenfälle über die Bühne. Mein erster Eindruck: Die aktuelle Version scheint tatstächlich schonender mit den Resource umzugehen. Die Maschine scheint mir jetzt performanter zu sein. Negatives gibt es bislang nicht zu berichten.
Gruß
Joachim
gerade das wichtigste geht nicht
sehr schlecht.
Bin gespannt ob Endian dazu nen Fix bereitstellt.
Habe die 2.5 am Wochenende mal getestet und kann das Problem nicht bestätigen. Hatte die EFW allerdings nur an meinen Haupt-Router gekoppelt und von dort eine IP per DHCP zuweisen lassen. Mit dem Laptop hinter der EFW lief alles wie geschmiert, so dass ich schon versucht bin, die 2.5 diese Woche in den produktiven Betrieb zu nehmen.
Gruß
Meisen
wWrd die Realtek 8169 Netzwerkkarte jetzt von der 2.4.1 unterstützt?
Ja
Hat sie irgendeiner im Betrieb?
Ja
Endian Konfiguration importiert, System läuft!
Na siehste. Wenn Du jetzt noch ein zusätzliches GB RAM aufrüstest fühlt sich die EFW richtig wohl.
