Hallo liebe Community,
ich darf mich mit meinem ersten Post hier im OPNsense Forum vorstellen:
Mein Name ist Lukas und ich bin Informatik-Student.
Seit ca. vier Tagen bin ich Besitzer einer OPNsense Firewall, realisiert über ein APU2 Board.
Habe mir vor der Umstellung der Fritz.Box 7390 (6.85) auf das APU2 Board viele Tutorials angeschaut um möglichst wenig Probleme nach der Umstellung zu bekommen - es hat auch fast geklappt. ;)
Zunächst meine Probleme:
1. Scheint der Unbound DNS (wohl aufgrund einer Fehlkonfiguration) manchmal Fehlfunktionen zu haben: Wenn ich den (derzeit aktivierten) Weiterleitungsmodus deaktivere habe ich gar kein Internet mehr, auch ein nslookup auf Google bring einen timeout.
Selbst im Weiterleitungsmodus kann ich manchmal (sporadisch) eine Webseite nicht erreichen und es wird mir ein DNS-Fehler im Browser angezeigt.
Bilder zu den Einstellungen findet Ihr im Anhang.
2. Kann ich meine Services von außen auch nach NAT Weiterleitung nicht erreichen. Zudem muss ich einen Weg finden, meine Domains vom LAN aus zu erreichen, ohne einen DNS-Rebind Attack Alarm zu erzeugen. (selbst mit deaktiviertem Rebind-Schutz funktioniert es nicht).
Bilder hierzu ebenfalls im Anhang.
Hier noch mein Netzwerkaufbau:
Inexio/QUiX DSL 100 -> Fritz.Box 7390 (per Configdatei-WDH in dsld_bridge Modus geschaltet, ansonsten nicht weiter configuriert) -> OPNsense (wählt per PPPoE ein) -> D-Link managed Switch -> Meine Rechner und Services, u.a. ein Proxmox-Node mit Nextcloud, TS3-Server und ein QNAP NAS als separates Gerät.
Ich hoffe sehr, dass ihr mir helfen könnt, da z.B. DNS noch ein Neuland für mich ist und weder Tutorials noch Wikis von OPNsense und Netgate mich weitergebracht haben. :-\ Auch ist es mein Wunsch, Unbound DNS weiterzuverwenden, später eventuell noch den Web Proxy als Ersatz für mein derzeit ebenfalls nicht funktionierendes Pi-hole hinzu zu schalten.
Sollte dies ein unsinniger Vorschlag sein lasse ich mich gerne davon überzeugen.
Wenn gewünscht kann ich gerne weitere Screenshots liefern.
Hier der Link zu eine Zip-File mit 8 Bildern:
http://www.mediafire.com/file/t8n814w68kmkni9/Palulukas.zip/file
Ich hätte die Bilder gerne selbst geteilt, jedoch kann ich meine Dienste derzeit nicht erreichen... daher muss Mediafire genügen.
Liebe Grüße
Palulukas
Hallo liebe Community,
mittlerweile bin ich etwas weiter: Und zwar hatte sich die Fritz.Box wieder vom ihrem per cfg Datei eingestellten bridge-Modus zurückgestellt und war wieder als Router aktiv. Somit hing OPNsense hinter der FritzBox Firewall und das hat wohl u.a. Probleme bereitet.
Nachdem es mir aufgefallen war habe ich OPNsense in der Fritz Firewall als sog. "Exposed Host" markiert und auf einmal funktionierten meine Portweiterleitungen.
Wenn es noch eine bessere Möglichkeit als die "Exposed Host" Funktion gibt, so lasst es mich bitte wissen.
Das Problem mit Unbound DNS besteht jedoch immer noch: Wenn der Weiterleitungsmodus deaktiviert ist, funktioniert gar nichts mehr. Was mache ich hier falsch? (Bilder sind noch aktuell).
Liebe Grüße
Palulukas
Quote from: Palulukas on November 13, 2018, 11:43:00 AM
Nachdem es mir aufgefallen war habe ich OPNsense in der Fritz Firewall als sog. "Exposed Host" markiert und auf einmal funktionierten meine Portweiterleitungen.
Wenn es noch eine bessere Möglichkeit als die "Exposed Host" Funktion gibt, so lasst es mich bitte wissen.
Ich hatte ähnlich wie Du Probleme bei der Portweiterleitung. Obwohl es auch Vorteile gibt, die Firewall als exposed host zu betreiben, wollte ich diese Einstellung erst einmal außen vor lassen. Das englische Tutorial zur Portweiterleitung brachte dann den Hinweis Aliase zu verwenden und zudem die folgenden Einstellungen zu verwenden:
- Reflection for port forwards: Enabled
- Reflection for 1:1: Disabled
- Automatic outbound NAT for Reflection: Enabled
Beste Grüße
OPNsenseN00b
was nichts daran ändert, dass mit oder ohne Aliase trotzdem auf der FritzBox irgendwas eingestellt werden muss, damit die Portweiterleitung funktioniert. Entweder exposed Host, dann geht einfach alles was man an der Sense macht, oder man muss jede Weiterleitung doppelt einrichten - erst auf der Fritzbox zur Sense, dann auf der Sense zum eigentlichen System.
Gruß
Hallo JeGr, hallo OPNsenseN00b,
danke für eure Antworten.
@OPNsenseN00b: Ich gehe mal davon aus, dass sich deine Empfehlungen auf Einstellungen in OPNsense beziehen. Ich werde sie raussuchen.
Wie JeGr jedoch richtigerweise anmerkt löst dies mein Problem nicht ganz. Vor allen Dingen stört mich mein DNS Problem.
Hat da jemand eine Idee, was da falsch läuft?
Zudem ist mir noch eine weitere Sache aufgefallen: Ich kann festgesetzte DHCP-Leases nicht löschen. Hat das was damit zutun, ob das Gerät online oder offline angezeigt wird? Konkret geht es um meinen OpenWRT Access Point, welchen ich versehentlich eine falsche IP-Adresse gegeben habe und nun kann ich diese in OPNsense nicht mehr ändern.
Liebe Grüße
Palulukas
Erstmal die Frage: Warum willst du den Forwarding Modus nutzen? Im OP war es noch anders herum, da ging der Resolver nicht wirklich und ab und zu der Forwarding Mode nicht. Was ist denn dazu jetzt der Stand? Und was zeigt ggf. das Unbound Log/Protokoll?
Die Bilder können dazu nicht aktuell sein, denn du schreibst ja dass die Fritzbox jetzt wieder NAT vor der Sense macht, die Bilder sind aber mit Direktverbindung der Sense ins Internet via PPPoE.
Hallo JeGr,
Ich glaube, dass wir uns da missverstehen: Ich hätte gerne, dass der Resolver funktioniert, jedoch funktioniert er nicht bzw. etwas ist verstellt.
Lediglich mit dem Forwarder habe ich DNS-Auflösung und damit normal Internet.
http://www.mediafire.com/file/wu56rtd46ooz1jd/Anf%25C3%25A4ngerprobleme_Palulukas.zip/file
https://www.mediafire.com/file/7usddcedzv7lyfh/Unbound_Protokoldatei_Palulukas.zip/file
Die Sense wählt sich mit PPPoE ein, dazu habe ich PPPoE Passthrough auf der Fritzbox eingeschaltet. Zusätzlich ist die Sense als exposed host in der Fritzbox Firewall eingetragen.
Es wählen sich also zwei Geräte ein: Die Fritte und die Sense.
Ich hoffe sehr, dass die oben verlinkten Bilder helfen, das Problem zu finden.
Liebe Grüße
Palulukas
Hallo liebe Community,
das Problem besteht leider immer noch. Hat jemand vielleicht noch einen Tipp für mich?
Liebe Grüße
Palulukas
Es wäre schön wenn du Bilder o.ä. nicht als ZIP File irgendwo einbindest - ich für meinen Teil habe beim "Kurz durchsehen" im Forum keine Zeit erst ein Archiv runterzuladen, Bilder zu entpacken und mir dann zusammenzureimen was welches Bild darstellt. Das nur kurz zum Hilfeersuchen per se.
> Die Sense wählt sich mit PPPoE ein, dazu habe ich PPPoE Passthrough auf der Fritzbox eingeschaltet. Zusätzlich ist die Sense als exposed host in der Fritzbox Firewall eingetragen.
Was denn nun. Es gibt nicht beides.
ENTWEDER die Sense wählt sich ein - dann hat SIE auch die externe IP direkt auf dem PPPoE Interface/WAN drauf. Gleichzeitig irgendeinen exposed host in der FB einzutragen bringt dann genau gar nichts. Oder die FB macht die Einwahl und gibt alles per exposed Host an die Sense weiter - dann ist das Szenario komplett anders. BItte erstmal konkret klären was vorliegt.
> Ich hätte gerne, dass der Resolver funktioniert, jedoch funktioniert er nicht bzw. etwas ist verstellt.
Dann sollten wir erstmal die Grundlagen klären bevor wir zu DNS kommen.
Cheers