OPNsense Forum

International Forums => German - Deutsch => Topic started by: SiggiFR on May 08, 2019, 11:13:48 am

Title: Nach Update auf 19.1.7 funktioniert Internet-Zugriff nicht mehr
Post by: SiggiFR on May 08, 2019, 11:13:48 am
Hi, ich habe gestern auf 19.1.7 aktualisiert und danach komme ich von keinem meiner Rechner mehr ins Internet (time-outs). Die OPNsense Box selbst kommt aber noch dran, weil ich testweise schon Reinstalls von einigen Packages gemacht habe.
Was mir im Unterschied zu vor dem Update auffällt sind folgende Punkte:
1. Das Firewall /  Logfile / LiveView oder Plain View wird immer leer angezeigt, obwohl ich ein paar Regeln mit Block oder Pass explizit zum Testen auf Logging gesetzt habe. Es müsste also was auftauchen.
2. Unter Firewall / Diagnostics / pfInfo / Rules wird nur ein leerer Rahmen angezeigt. Aber über SSH Zugriff kann ich sehen, dass /tmp/Rules.debug existiert und gefüllt ist (sieht auf den ersten Blick so aus wie vor dem Upgrade). Ebenso existiert /conf/config.xml und Inhalt sieht korrekt aus.
3. Unter Firewall / Diagnostics / pfTables sehe ich nur noch meine Alias Tabellen. Vorher habe ich immer als erste Tabelle die Bogon-Liste gesehen und ich meine da waren noch andere Tabellen (AV?) zum auswählen.

Ich habe in OPNsense einen Packet Capture aufs WAN Interface gemacht und kann erkennen, dass meine Rechner wohl was raussenden, aber nichts rein kommt. Habe aber im gesamten NAT Bereich nichts geändert. Bei Outbound ist "Automatic outbound NAT rule generation" aktiviert und die Rules finde ich auch .

Ich hänge mit meiner OPNsense Box hinter einer FritzBox 6490 mit 7.02 bei UnityMedia und habe LAN2 als Public Port mit meiner OPNsense dahinter eingerichtet. Das hat bis vorgestern auch funktioniert. Die FritzBox hat vor einigen Tagen den Update auf 7.02 erhalten. Aber da es vorgestern Abend noch funktioniert hat, schließe ich die FritzBox als Fehlerquelle aus (habe auch testweise mal die OPNsense als Exposed Host eingerichtet, obwohl dies ja nur für den Zugriff von außen relevant ist).
Reboots habe ich durchgeführt, Services laufen alle, Gateway (FritzBox) wird als Online angezeigt. Namensauflösung funktioniert (habe Ping auf meine Rechner mit Namen durchgeführt, das funktioniert. Ping von OPNsense auf externe Rechner geht, von meinem Rechner aus nicht.
Was bisher funktioniert hat: Ich habe die FritzBox unter System / Gateways / Single mit ihrer statischen IP Adresse definiert und bei WAN Interface als Upstream-Gateway ausgewählt. Bei meinen anderen Interfaces (LAN und VLANs) habe ich Auto-Detect.

Kann mir jemand noch Hinweise geben, wie und wo ich weitersuchen kann? Vielen Dank!

Meine Linux-Version: FreeBSD 11.2-RELEASE-p9-HBSD

Update im 1. Topic per 14.5.19: Ursache ist eine einzige 1  ;D Ich habe in einer Block Regel einen AllowOpts = 1 gehabt. Solange das System läuft, ist das ok. Wenn aber diese Konfiguration gesichert und wieder für Restore herangezogen wird, ergeben sich die oben beschriebenen Phänomene. Temporäre Lösung: Flag löschen in der Block-Regel. Weitere Behebungsmöglichkeit wird weiter geklärt (siehe unten).
Title: Nach Update auf 19.1.7 funktioniert Internet-Zugriff nicht mehr
Post by: micneu on May 08, 2019, 04:05:52 pm
Hast du mal ein Ping auf den Google DNS gemacht (8.8.8.8) von deinem Rechner?

Kannst du mal trotzdem dein Netz skizzieren bitte, hast du es per lan oder wlan getestet.
So können wir besser helfen.


Gesendet von iPhone mit Tapatalk Pro
Title: Re: Nach Update auf 19.1.7 funktioniert Internet-Zugriff nicht mehr
Post by: SiggiFR on May 08, 2019, 04:24:16 pm
Hi, Ping geht nicht durch.

Frage: wenn ich auf dem WAN Interface einen Capture mittels OPNsense mache, ist das doch schon nach dem Natting, oder?
In meinem Mitschnitt sehe ich in Wireshark nämlich meinen Rechner-Namen oder auch mal das Handy (und jeweils die lokale IP) als Source an Wikipedia oder andere.
Ich habe jetzt die Vermutung, dass die OPNsense kein Natting macht und deswegen die Nachrichten verworfen werden, weil es ja lokale IPs sind. Kann mir jemand bestätigen, dass meine Vemutung korrekt ist oder sehe ich das falsch? (habe noch nicht so viel Erfahrung mit Capturing-Daten).
Title: Re: Nach Update auf 19.1.7 funktioniert Internet-Zugriff nicht mehr
Post by: SiggiFR on May 08, 2019, 04:51:51 pm
Anbei Capture auf WAN Interface. In rot markiert die lokale IP Adresse, die so wie ich NAT verstanden habe, da nciht mehr drin stehen dürfte. Ist das korrekt?
Title: Re: Nach Update auf 19.1.7 funktioniert Internet-Zugriff nicht mehr
Post by: SiggiFR on May 08, 2019, 05:14:02 pm
Hier noch meine Netzkonfiguration als Skizze:

Code: [Select]
      WAN / Internet
            :
            : Kabel UnityMedia BaWü (statische IP 37.x.x.17, Businesstarif)
            :
      .-----+----.
      | Fritzbox |  (FB 6490 7.02, hat eigenen IP-Bereich 10.10.92.0/24)
      '-----+----'
            | 37.x.x.18 (an LAN2 als Port mit Public IP Address, nicht als Exposed Host definiert)
        WAN |
            |
      .-----:-----.
      | OPNsense  |
      '-----:-----'       
            |             
     (V)LAN |      (mehrere VLANs mit jeweils 10.10.x.0/24 Range)
            |             
      .-----+------.       
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers)

Die OPNsense muss hier NAT machen (hat sie ja auch schon), weil die FB nur durchreicht. Deswegen meine ich darf bei Capture auf der OPNsense am WAN Interface (zur Fritzbox) keine lokale IP-Adesse mehr im Telegramm stehen.
Title: Re: Nach Update auf 19.1.7 funktioniert Internet-Zugriff nicht mehr
Post by: hbc on May 08, 2019, 05:44:59 pm
Schon mal die Outbound-Regeln gecheckt? Viell. nochmal öffnen, speichern und apply?
Check mal auf Console, ob
Code: [Select]
# pfctl -snsie Dir noch anzeigt. Ich hätte auch mal Problem, das Regeln in GUI nicht mit denen von pf übereinstimmten.
Title: Re: Nach Update auf 19.1.7 funktioniert Internet-Zugriff nicht mehr
Post by: SiggiFR on May 09, 2019, 11:45:07 am
Hi, mit pfctl -sn kommt rein gar nix. :(
Ich habe schon mehrfach Regeln geändert, Im NAT Outbound mal die Automatic generation auf Disable gesetzt und danach wieder auf Automatic.

Was mich wundert, dass im Capture auf das WAN Interface aber doch Sätze mit Source meiner Rechner und Handies drin stehen. Also muss doch was durchkommen ...

Gibt es außer Backup, Neuinstallation und Restore noch eine Alternative? 

Gruß, Siggi
Title: Re: Nach Update auf 19.1.7 funktioniert Internet-Zugriff nicht mehr
Post by: vikozo on May 09, 2019, 03:35:49 pm
ist das WAN Gateway als default Gateway definiert?
Title: Re: Nach Update auf 19.1.7 funktioniert Internet-Zugriff nicht mehr
Post by: micneu on May 09, 2019, 04:17:29 pm
Hier noch meine Netzkonfiguration als Skizze:

Code: [Select]
      WAN / Internet
            :
            : Kabel UnityMedia BaWü (statische IP, Businesstarif)
            :
      .-----+----.
      | Fritzbox |  (FB 6490 7.02, hat eigenen IP-Bereich 37.x.x.17/24)
      '-----+----'
            | 37.x.x.18 (an LAN2 als Port mit Public IP Address, nicht als Exposed Host definiert)
        WAN |
            |
      .-----:-----.
      | OPNsense  |
      '-----:-----'       
            |             
     (V)LAN |      (mehrere VLANs mit jeweils 10.10.x.0/24 Range)
            |             
      .-----+------.       
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers)


Code: [Select]
.-----+----.
      | Fritzbox |  (FB 6490 7.02, hat eigenen IP-Bereich 37.x.x.17/24)
      '-----+----'
Ist dein WAN wirklich eine 24 netzmaske oder doch nur eine 30er netzmaske?


Gesendet von iPhone mit Tapatalk Pro
Title: Re: Nach Update auf 19.1.7 funktioniert Internet-Zugriff nicht mehr
Post by: SiggiFR on May 10, 2019, 08:55:08 am
Hallo @micneu, sorry, das war Schreibfehler. Habe meine Skizze oben korrigiert.
Fritzbox hat 10.10.92.0/24 Netz für Verwaltung und deren WAN hat die .17.
Title: Re: Nach Update auf 19.1.7 funktioniert Internet-Zugriff nicht mehr
Post by: SiggiFR on May 10, 2019, 08:59:25 am
ist das WAN Gateway als default Gateway definiert?
Hallo @Vikozo, siehe bitte auch meine geänderte Netzwerkskizze oben. Die IP Adresse der Fritzbox (37..17) habe ich unter System / Gateways / Single angelegt (auf Interface WAN der OPNsense). Und dieses Gateway im WAN Interface als IPv4 Upstream Gateway eingetragen. Das WAN Interface der OPNsense hat die 37..18 public IP Adresse.
Title: Re: Nach Update auf 19.1.7 funktioniert Internet-Zugriff nicht mehr
Post by: micneu on May 10, 2019, 09:04:54 am
du hast in deiner Skizze LAN2 ist das dein WAN oder wie soll man das verstehen?
wenn LAN2 dein WAN ist, bitte mal das bild von dieser Interface Konfiguration Posten.
jetzt nochmal meine frage die du noch nicht wirklich beantwortet hast, hast du von deinem Provider ein /30 Netz bekommen?
Title: Re: Nach Update auf 19.1.7 funktioniert Internet-Zugriff nicht mehr
Post by: SiggiFR on May 10, 2019, 07:04:59 pm
LAN 2 ist an der Fritzbox, wo man für die Ports 2 bis 4 angeben kann, ob sie mit einer Public IP Adresse versorgt werden. Von Unity Media habe ich eine /30 Adresse bekommen (also 4 Nummern). Die 37.x.x.17 ist für die Fritzbox, die 37.x.x.18 ist für meine OPNsense an LAN 2 und die anderen beiden sind irgendwas Internes für UM.

Was mich ja brennend interessiert: Wieso sehe ich weder bei
Code: [Select]
pfctl -sn etwas noch in meinen Logfiles (auch keine Blocks, einfach nix) und wieso sind die unter Firewall / Diagnostics angezeigten Rules leer, obwohl die Datei Rules.debug ja da ist und gefüllt ist. Es lief ja schon alles vor dem Update, also kann es nicht total verkehrt konfiguriert sein (wenn überhaupt :-) ). Als hätte der Update mir irgendwie auf Linux-Ebene was kaputt gemacht.

Kann mir jemand vielleicht schreiben, wie ich das, was über Firewall / Diagnostics / pfinfo / Tab "Rules" angezeigt werden soll, anderwie prüfen kann?   Oder ist das obiger pfctl -sn mit leerer Anzeige?
Ich hatte Dienstag mal einen Firewall / Diagnostic / States Reset gemacht. Seitdem sind auch States Dump und States Summary einfach nur leer. Normalerweise bauen sich ja hier bei Zugriffen wieder neue Werte auf ...

Nachtrag: habe gerade pftop auf Console aufgerufen und dann über die Untermenüs 1 bis 8 gesteppt. Alles immer leer.

Nachtrag 2: Ich glaube ich habe gerade selbst die Antwort auf meine obige Frage gefunden:
Code: [Select]
clog /var/log/filter.log zeigt mir nichts an.
Title: Re: Nach Update auf 19.1.7 funktioniert Internet-Zugriff nicht mehr
Post by: SiggiFR on May 14, 2019, 02:15:52 pm
Hallo, ich habe die Ursache gefunden: in einer meiner Block-Regeln habe ich wohl irgendwann mal (letzte Änderung war im April) vielleicht durch Kopieren den Parameter AllowOpts angeklickt (=1) gesetzt. Dies ist im laufenden Betrieb nicht schlimm, weil das System unverändert weiterläuft. Erst wenn ich diese Konfiguration sichere und sie wieder für Restore nutze, werden  alle Logfiles leer angezeigt, keine Regeln mehr unter Diagnostics / pfinfo zu sehen und meine Internetverbindung ist auf allen VLANs tot.
Ich habe folgende Tests durchgeführt:

Meine Regel (hier die mit der allowopts-Zeile):
Code: [Select]
    <rule>
      <type>block</type>
      <interface>opt5</interface>
      <ipprotocol>inet46</ipprotocol>
      <statetype>keep state</statetype>
      <descr>Block This VLAN to  Immels-VLANs</descr>
      <allowopts>1</allowopts>
      <log>1</log>
      <source>
        <network>opt5</network>
      </source>
      <destination>
        <address>Private_IPs</address>
      </destination>
      <updated>
        <username>root@10.10.50.64</username>
        <time>1556230187.622</time>
        <description>/firewall_rules_edit.php made changes</description>
      </updated>
      <created>
        <username>root@10.10.50.64</username>
        <time>1555357507.915</time>
        <description>/firewall_rules_edit.php made changes</description>
      </created>
    </rule>

Für mich ist da irgendwo ein Fehler im System (wohl beim Restore und Upgrade), den es zu beheben gilt. Da muss ich jetzt suchen, wie ich das an einen Entwickler melden kann  :)

Dank auch an @micneu, der mir mit seiner telefonischen Unterstützung den entscheidenden Tip gegeben hat um die Ursache zu identifizieren!

Noch eine Ergänzung, weil sie vielleicht jemandem helfen kann: Der oben von mir gepostete Wireshark-Auszug zeigt ja die 10-er Adressen. Dies ist definitiv FALSCH und lag wohl daran, dass meine Konfiguration defekt war und somit kein Natting durchgeführt wurde. Nachdem ich jetzt mein System wieder am Laufen habe, habe ich einen neuen Capture gemacht. Nur die OPNsense-Adresse steht nun in den Daten ins Internet (mit "Natt-Ports").