OPNsense Forum

Grüß euch!

Ich heiße Martin und komme aus Tirol/Österreich. Vor ein paar Tagen habe ich mich dazu entschieden, auf meinem HP Prodesk 400 G3 Mini mit i5 CPU, 16 GB RAM und 256 GB SSD OPNSense zu installieren. Eine zweite Netzwerkkarte wurde verbaut, das Image auf einen USB-Stick gepackt. Bereit für die Installation.

Nun möchte ich vorher ein paar Dinge mit euch Profis abklären, damit die Installation zügig und problemlos über die Bühne geht.

OPNSense soll vorerst nur als Firewall eingesetzt werden, um den Traffic zu monitoren. Ein Projekt für kalte Winterabende. DNS, DHCP und WLAN wird derzeit von einem bestehenden Ubiquiti AmplifiHD übernommen. Das kann gerne so bleiben.

Jetzt meine Frage: Wie muss ich die Geräte verkabeln? Aktuell sieht es so aus:

- Kabelmodem vom Provider Magenta im Bridge Mode -> Netzwerkkabel zum WAN Port des Ubiquiti Routers, welcher auch einen 4-Port-Switch integriert hat -> Netzwerkkabel weiter zu einem 8-Port Netgear Gigabit Switch -> Netzwerkkabel weiter zu zwei anderen Gigabit Switches in anderen Räumen

Ich gehe davon aus, dass OPNSense zwischen dem Kabelmodem und dem Ubiquiti Router zwischengeschaltet wird. Also Kabelmodem -> Kabel zu WAN-Port OPNSense -> Kabel weiter von LAN-Port OPNSense zu WAN-Port Ubiquiti? Oder muss der Router auch in den Bridge Mode geschaltet werden? Aber DHCP, WLAN usw. soll ja weiterhin wie bisher laufen.

Ich wäre für Tipps und Hilfe dankbar. VLANS brauche ich keine. Alle LAN und WLAN Clients können wie bisher einen IP-Range verwenden.

Danke euch!

LG Martin

Wenn du DHCP und DNS weiter mit Ubiquiti machen willst, und der Traffic auch weiterhin durch das Gerät hindurch laufen soll, welchen Sinn hat dann die OPNsense davor? Die sieht dann nur die eine externe IP-Adresse von dem Ubiquiti-Teil ...

Verdammt, du hast Recht. Danke für den Input. Dann wird OPNSense diese Dienste übernehmen und ich versetze den aktuellen Router in den Bridge Mode. WLAN kann er dann ja weiterhin. NAT, UPnP und Port Forwarding macht dann ebenfalls die OPNSense.

Hast du sonst irgendwelche nützlichen Infos und/oder Erfahrungen für mich?

Danke dir.

Langsam vorgehen und nicht alles auf einmal einbauen wollen.

Die Default-Konfiguration ist "sicher" und funktional. Ausgehend alles erlaubt, eingehend alles verboten, DNS und DHCP funktionieren.

Also erst mal den Uplink von einem einzelnen PC aus einrichten. Wenn der geht, dann ggf. das Netz vom LAN ändern, und dann erstmal durchatmen und angucken  ;)

Alles klar, werde mich vorantasten :D

Danke einstweilen.

LG Martin

Schönen Sonntag,

ich habe soweit alles konfiguriert und getestet, bin soweit zufrieden mit OPNsense. Ein großes Problem habe ich jedoch: 1 - 2x täglich zu unterschiedlichen Zeiten verliere ich die Verbindung zum LAN-Interface. Es hilft dann nur ein Neustart der Firewall.

Als Hardware kommt ein HP ProDesk 400 G3 Mini, i5 6 core 2.2 GHz, 256 GB SSD und 16 GB RAM zum Einsatz. Es ist eine Realtek Gigabit NIC verbaut (WAN Interface).

Und jetzt kommt's, bitte nicht alle gleich rufen "es kann nur daran liegen". Ich würde es gerne einschränken oder Logfiles durchforsten (welche auch immer das mitloggen). Da der HP keine zweite NIC verbaut hat, habe ich einen USB-Ethernet Gigabit Adapter von Ugreen angeschlossen: https://amzn.to/3V8ynqV

Ich habe, so lange es funktioniert, keinerlei Probleme. Ich erreiche bei Speedtests die maximale Bandbreite von 300/50 Mbit, kann online spielen und nebenher 4K Videos am TV streamen. Gleichzeitig laufen Downloads auf einem anderen Client im Netzwerk. Und dann, Stunden später, die oben beschriebenen Probleme. Als ob jemand das LAN-Kabel aus der Firewall abzieht. Nach einem Neustart der Firewall funktioniert sofort alles wieder. Anbei ein paar Screenshots.

Wer könnte mich hier unterstützen bei der Fehlersuche bzw. Logfile-Analyse? Welche Infos oder Screenshots könnte ich noch zur Verfügung stellen?

Danke!

LG Martin

Gib wenn die Verbindung weg ist, an der Konsole mal

dmesg

als Befehl ein.

Weder USB-Adapter im Besonderen noch Realtek-Adapter im Allgemeinen laufen besonders stabil unter FreeBSD... Bist Du überhaupt sicher, dass es der LAN-USB-Adapter ist, der ausfällt?

Quote from: meyergru on November 24, 2024, 03:27:42 PMBist Du überhaupt sicher, dass es der LAN-USB-Adapter ist, der ausfällt?

Ich bin ziemlich sicher, sagen wir mal so. Ich bekomme keine internen IPs mehr nach dem ipconfig/renew Befehl.

Bei der ersten Installation wollte ich ursprünglich den USB-Adapter für die WAN-Seite nehmen. Der Adapter wurde zwar erkannt, aber mir wurde keine IP vom Provider zugewiesen. Als ich dann die integrierte Realtek-Karte für WAN verwendete, funktionierte LAN und WAN. Und nun habe ich diese Verbindungsprobleme, die ich nicht jederzeit reproduzieren kann. Manchmal passiert es während einem Download und gestern als ich nur im Admin-Menü der OPNsense unterwegs war.

Tipp bitte mal den Befehl ein, den ich genannt hatte, wenn die Verbindung weg ist.

Quote from: Patrick M. Hausen on November 24, 2024, 04:17:53 PM
Tipp bitte mal den Befehl ein, den ich genannt hatte, wenn die Verbindung weg ist.

Mach ich Patrick, danke. Aktuell läuft alles wie gewünscht. Melde mich wieder.

Quote from: meyergru on November 24, 2024, 03:27:42 PMBist Du überhaupt sicher, dass es der LAN-USB-Adapter ist, der ausfällt?

Ich kann mich während eines Ausfalls via WireGuard auf die Firewall connecten und mein iPhone bekommt die voreingestellte IP aus dem VPN-Range. Aber ich komme dann weder ins LAN noch Internet bei aufrechter VPN-Verbindung. Somit dürfte es eindeutig am LAN-Adapter liegen.

Quote from: Patrick M. Hausen on November 24, 2024, 04:17:53 PM
Tipp bitte mal den Befehl ein, den ich genannt hatte, wenn die Verbindung weg ist.

Ich habe den Befehl dmesg ausgeführt. Einmal während des Ausfalls und einmal nach dem Reboot. Nach dem Reboot war die Verbindung übrigens sofort ein zweites Mal weg. Vor dem ersten Ausfall funktionierte es seit meinem Post am Nachmittag. Soll ich die Files hier öffentlich posten? Mit allen MACs und IPs ;-)?

In den letzten paar Zeilen der Ausgabe von dmesg steht vielleicht so etwas wie "USB Verbindung verloren, Adapter detached ..." whatever. Sowas suche ich.

Und natürlich kannst du MAC-Adressen und private IP-Adressen hier posten. Wieso sollten die sicherheitsrelevant sein? Alle haben die gleichen privaten IP-Adressen - mehr oder weniger.

Hallo Patrick,

ich hab mal beide Files angehängt. Danke für deine Zeit.

Zusatzinfo: Der "Dell Computer Corp Dell Universal Receiver" ist der USB-Dongle von Maus/Tastatur, den ich nur anstecke, wenn ich in der shell was tippen muss. Standardmäßig hängt das Viech nur an Strom/LAN/WAN.

Im General-Log ist mir aufgefallen, dass ziemlich oft dieser Eintrag aufscheint (ich hab nur einen Teil kopiert):

2024-11-24T21:30:40   Notice   opnsense   /usr/local/etc/rc.linkup: DEVD: Ethernet detached event for lan(ue0)   
2024-11-24T21:30:38   Notice   opnsense   /usr/local/etc/rc.linkup: DEVD: Ethernet detached event for lan(ue0)   
2024-11-24T20:06:36   Notice   opnsense   /usr/local/etc/rc.linkup: DEVD: Ethernet detached event for lan(ue0)   
2024-11-24T20:06:34   Notice   opnsense   /usr/local/etc/rc.linkup: DEVD: Ethernet detached event for lan(ue0)   
2024-11-24T20:06:33   Notice   opnsense   /usr/local/etc/rc.linkup: DEVD: Ethernet detached event for lan(ue0)   
2024-11-24T20:06:31   Notice   opnsense   /usr/local/etc/rc.linkup: DEVD: Ethernet detached event for lan(ue0)   
2024-11-24T20:02:23   Notice   opnsense   /usr/local/etc/rc.linkup: DEVD: Ethernet detached event for lan(ue0)   
2024-11-24T20:02:21   Notice   opnsense   /usr/local/etc/rc.linkup: DEVD: Ethernet detached event for lan(ue0)   
2024-11-24T20:02:20   Notice   opnsense   /usr/local/etc/rc.linkup: DEVD: Ethernet detached event for lan(ue0)   
2024-11-24T15:06:04   Notice   opnsense   /usr/local/etc/rc.linkup: DEVD: Ethernet detached event for lan(ue0)

Es gibt aber mehr von diesen Einträgen als Ausfälle der Firewall. Nach jedem detached erfolg dann ein attached (hab aber nur die detached Einträge kopiert).

OK, also keine ausdrücklichen Fehlermeldungen vom USB-Interface. Schade.

Was sind denn das für Geräte, die da dauern die MAC-Adressen wechseln?

Generell gilt die Aussage von @meyergru natürlich schon. Weder Realtek noch USB sind Garanten für einen stabilen Betrieb.

Gruß
Patrick

Hab mir das mal angeschaut: 10.0.1.131 (Apple TV) hat die MAC 70:56:81:de:db:0a). Die zweite MAC 28:37:37:42:9c:60 gehört einem Apple Airport Express mit der IP 10.0.1.143?! Check ich grad nicht.

Die IP 10.0.1.122 ist eine von mehreren Amazon Alexas mit der MAC fc:49:2d:c8:a3:6f. Was die MAC 10:09:f9:18:f8:ef sein soll, ist mir schleierhaft. Aber angeblich gehört der Range auch zu Amazon (Bild anbei).

Beide Geräte haben dynamische Leases. Andere Geräte im Netz, wie die Spielkonsolen, das NAS, der Drucker etc. haben static leases. Aber ein Mischbetrieb sollte ja kein Problem sein.

Das ist bei den Apple-Geräten normal. Das ist irgend so ein Stromspar-Modus mit Wake on LAN und Proxy-ARP oder so ähnlich.

Ich finds grad auf die Schnelle nicht, aber wie gesagt: normal bei den Apple-Kisten.

Ich hab jetzt mal nach "/usr/local/etc/rc.linkup: DEVD: Ethernet detached event for dynamic lan" gegoogelt und kam dabei auf diese Seite (https://katzenbiber.de/posts/opnsense-ethernet-detached-event/).

Der Typ hat das Netzwerkkabel getauscht und der Fehler war Vergangenheit... Ich habe das nun auch gemacht und werde es beobachten.

Quote from: Patrick M. Hausen on November 24, 2024, 11:07:45 PMGenerell gilt die Aussage von @meyergru natürlich schon. Weder Realtek noch USB sind Garanten für einen stabilen Betrieb.

Ja, ich habe vor der Installation von OPNSense davon gelesen, dass manche Netzwerkkarten bzw. USB-NICs (die sowieso nicht) nicht das Gelbe vom Ei sein sollen und jeder auf Intel NICs schwört.

Ganz will ich die Flinte noch nicht ins Korn werfen. WAN-seitig läuft die Realtek ohne Probleme. Und ich hoffe, dass ich die LAN-Seite mit der USB-NIC auch noch irgendwie in den Griff bekomme. Dann hätte mich die Hardware für die Firewall nix gekostet (außer Nerven und eure Zeit). Solltet ihr mal in der Nähe sein, gebe ich gerne eine Hopfenkaltschale aus. Oder drei.

LG Martin

Leider hat auch der Kabeltausch nix gebracht. So sehen die letzten paar Sekunden vor dem Ausfall aus. Zuerst können die Widgets nicht mehr angezeigt werden, dann erscheint die Fehlermeldung im Browser. Und zum Schluss die "Weltkugel" statt der LAN-Verbindung.

Moin. Alternative NIC?

https://www.servethehome.com/hp-elitedesk-mini-2-5gbe-flex-io-v2-nic-intel-i225-m74416-001/
https://www.servethehome.com/hp-prodesk-405-g4-mini-dual-internal-1gbe-nics-with-a-catch/

Guten Morgen, danke für die Links. Ich habe mich auch schon informiert zu dem Thema. Leider sind diese NICs nicht mit dem G3 kompatibel. LG Martin

Oh. Da fehlte mir wohl der eine oder andere Kaffee.  ;) Aber falls dein Modell einen M.2 Port hat ...

https://www.addoncards.com/m2ae-ge-1t

Quote from: cadzen on November 25, 2024, 08:52:07 AM
Aber falls dein Modell einen M.2 Port hat ...

Das Motherboard verfügt über einen M2 Slot. Dort ist die nvme verbaut, auf der OPNSense läuft. Aber die Karte ist für einen normalen Desktop PC gedacht. Mein Mini ist tatsächlich mini. Das Slotblech der NIC ist ca. gleich lang wie das Gehäuse des HP ;-)

Quote from: Zavinator on November 25, 2024, 09:15:56 AM

Quote from: cadzen on November 25, 2024, 08:52:07 AM
Aber falls dein Modell einen M.2 Port hat ...

Das Motherboard verfügt über einen M2 Slot. Dort ist die nvme verbaut, auf der OPNSense läuft. Aber die Karte ist für einen normalen Desktop PC gedacht. Mein Mini ist tatsächlich mini. Das Slotblech der NIC ist ca. gleich lang wie das Gehäuse des HP ;-)

Da sollte doch noch der M.2 Slot für das WLAN Modul sein. Und mit etwas handwerklichem Geschick, kannst du das Slotblech doch mit einer Blechschere kürzen und mit 2 kleinen Schräubchen am Gehäuse befestigen?

Etwas günstiger https://de.aliexpress.com/item/1005003931556191.html?gatewayAdapt=glo2deu
oder ggf. auch mit i225 für 2.5G zu haben.

Werde ich mir anschauen, danke für den Tipp! Vielleicht kommen auch noch andere Lösungsansätze bzgl. der Ausfälle.

LG Martin

Aja, da ich gerne vorausplane: Angenommen ich kaufe mir eine solche NIC und sie wird korrekt erkannt. Wie kann ich meine bestehende OPNSense Installation auf die neue NIC umstellen? Einfach das LAN-Interface auf die neue MAC umstellen und das alte Interface (USB-Adapter) löschen und abstecken? Oder hängt da ein Rattenschwanz an notwendigen Schritten dran?

Nur per Assignment dem LAN zuordnen, fertig.

P.S.: Billiger hier https://de.aliexpress.com/item/1005003726088994.html oder sogar aus Europa: https://www.amazon.de/NGFF-Gigabit-Ethernet-Chipsatz-Intel/dp/B09NYMCCMG/ref=sr_1_17 bis Mittwoch.

Es gibt auch Modelle mit I225/I226. Eine andere Möglichkeit wäre ein Router-On-A-Stick, wenn Du einen managebaren Switch hast.

Quote from: meyergru on November 25, 2024, 10:42:38 AM
P.S.: Billiger hier https://de.aliexpress.com/item/1005003726088994.html oder sogar aus Europa: https://www.amazon.de/NGFF-Gigabit-Ethernet-Chipsatz-Intel/dp/B09NYMCCMG/ref=sr_1_17 bis Mittwoch.

Bei Ali die passenden Suchbegriffe für günstige Angebote zu finden ist ... naja  ;D

Danke Männer für eure Hilfe und die Links. Ich hab die Karte bei Amazon bestellt und werde diese dann testen. Eine Kundenrezension hat mich etwas verunsichert. Hoffentlich habe ich mehr Glück. Sonst geht sie zurück an Amazon.


1,0 von 5 Sternen Zu breit
Bewertet in Deutschland am 28. Februar 2024
Verifizierter Kauf

Achtung, die Karte (M.2 A+E Key) ist breiter als der Slot und kollidiert somit mit Bauteilen auf dem Motherboard. Das sollte beim Produkt angegeben werden. Die Karte konnte also nicht verbaut werden.

Interessant finde ich auch, dass der LAN-Port während der Nacht oder des Tages, wenn ich zB 10 Stunden im Büro bin, nicht abschmiert. Und es laufen immerhin zwischen 10 und 15 Geräte permanent (Alexa's, Heimautomatisierungsdevices usw.). Erst wenn ich aktiv etwas an einem der PCs oder Notebooks mache (surfen, Downloads oder nur die OPNsense Web GUI), verabschiedet sich das Interface. Manchmal nach mehreren Stunden, manchmal nach 5 Minuten).

Aufgebaut ist das Ganze aktuell so: Kabelmodem von Magenta -> WAN-Port OPNSense -> von dort über LAN-Port zum gebridgten Ubiquiti Amplifi HD (der nur noch für WLAN zuständig ist und auch einen integrierten 4-Port-Switch hat) -> weiter zu einem Netgear Switch -> dort hängen 7 Geräte dran -> der 8. Port führt zu einem weiteren Gigabit Switch auf der anderen Seite des Wohnzimmers -> weitere 7 Geräte -> 8. Port geht zu einem dritten Gigabit Switch im Schlafzimmer.

Den gebridgten Ubiquiti Router habe ich schon mal aus der Kette entfernt, macht keinen Unterschied.

Bastelanleitungen  ;)

https://www.printables.com/model/748026-hp-flex-io-v1-bracket-for-25gbe-m2-network-card?lang=en
https://www.thingiverse.com/thing:6654358
https://www.printables.com/model/986942-hp-g1-g5-flex-io-v1-ethernet-nic-bracket?lang=en

Super, danke dir  :D

NIC ist heute gekommen. Hab sie am M.2 Slot eingesteckt und nur provisorisch installiert und das Interface hinzugefügt. Statische IP vergeben. Kabel hängt noch keines dran, mach ich morgen. Es erscheint noch das rote Symbol für "no carrier". Hängt das an dem nicht verbundenen Kabel oder muss ich noch was anderes einstellen?

"no carrier" heißt "kein Kabel oder Kabel kaputt oder Gegenstelle aus oder Gegenstelle kaputt.  :)

Quote from: Patrick M. Hausen on November 26, 2024, 09:23:37 PM
"no carrier" heißt "kein Kabel oder Kabel kaputt oder Gegenstelle aus oder Gegenstelle kaputt.  :)

Alles klar, danke ;-)

Noch einmal zur Sicherheit, damit dann nix schief geht: Ich assigne dem bisher verwendeten und konfigurierten LAN-Interface die MAC-Adresse der neuen NIC. Speichern. Neustart der Firewall. Und alles funktioniert?

Und das neu hinzugefügte Interface muss dann nicht "enabled" werden oder? Das heißt, in der Liste der Interfaces scheint dann weiterhin nur "LAN" auf, aber mit der MAC des neuen Adapters?

Schönen Tag wünsche ich euch!

LG Martin

Oder habe ich etwas vergessen? Worst case wäre, wenn ich LAN-seitig nicht mehr auf die Firewall kommen würde...

Quote from: Zavinator on November 27, 2024, 07:31:20 AM
Noch einmal zur Sicherheit, damit dann nix schief geht: Ich assigne dem bisher verwendeten und konfigurierten LAN-Interface die MAC-Adresse der neuen NIC. Speichern. Neustart der Firewall. Und alles funktioniert?

Du weist keine neue MAC zu - Du änderst lediglich die Zuweisung von logischen (z.B. LAN) auf physische Interfaces (z.B. igc0). Das geht per SSH oder auf der Konsole mit "Assign interfaces" oder im Web UI unter "Interfaces: Assignments".

Ich denke, wir meinen dasselbe.

Ich wähle beim Interface LAN die neue MAC (also die zusätzlich eingebaute NIC) aus und speichere/übernehme die Änderungen.

LG Martin

Bis jetzt schaut es sehr stabil aus, keine Abbrüche mehr seit Einbau der m.2 Intel NIC! Vielen Dank an alle Brains, die mir geholfen haben!

LG Martin