OPNsense Forum

International Forums => Dutch - Nederlands => Topic started by: ronald on June 04, 2020, 04:46:17 pm

Title: [RESOLVED] ping lukt, ping lukt niet
Post by: ronald on June 04, 2020, 04:46:17 pm

Hallo iedereen,

ik ben net nieuw op dit forum en ik ben ook maar pas bezig met het verwerkelijken van een beveiligingskonzept in mijn bedrijfje.

In de oorspronkelijke situatie hingen alle computers in hetzelfde netwerk, wat ook een WLAN toegang bood. Dat vond ik geen aangename situatie aangezien WLAN beveiliging niet erg goed is en er bovendien nog apparaten als televisie en BD players in het netwerk hangen.

In de eerste stap op weg naar een veiligere situatie heb ik het netwerk in twee netwerken verdeeld:
192.168.25.0/24 en 192.168.36.0/24. Daartussen staat een OPNsense installatie die in de eerste instantie alleen maar router tussen de beide netwerken hoeft te zijn.

En na veel geknutsel werkt het dan ook, ... soms.

Ik kan van het ene netwerk naar het andere een ping sturen, en ook weer terug. Ik kan ook een ssh connectie opbouwen van het ene netwerk naar het andere en vice versa.
Dus op zich lijkt dat allemaal goed.

Maar soms valt het plotseling uit, niet volledig, maar ten dele. Plotseling lukt een ping van sommige computers van het ene netwerk (192.168.25.0, LAN kant van het OPNsense systeem) naar het andere (192.168.36.0/24, WAN kant) niet meer (een traceroute stopt bij het OPNsense systeem). Van andere computers echter nog wel. En korte tijd later, een minuut of 5 tot 10, gaat alles weer goed.
Surfen in het Internet lukt (dns servers staan in het 192.168.25.0 netwerk, Internet aansluiting hangt achter de router in het 192.168.36.0 netwerk),... meestal.

Ik zoek me een bult en snap er geen fluit van.
En voordat ik dit probleem heb opgelost kan ik ook de firewall regels niet aktiveren. en daarmee heb ik nu nog niet de veiligheid die ik aanstreef.

Heeft iemand een idee waar ik die dobbelsteen optie kan uitschakelen?

--------------------

Goed, ik geef toe dat ik wel de situatie heb geschilderd, maar verder niet al te veel informatie heb verstrekt. Dus daar gaat ie dan:

OPNsense versie:

Code: [Select]

OPNsense 20.1.7-amd64
FreeBSD 11.2-RELEASE-p20-HBSD
OpenSSL 1.1.1g 21 Apr 2020

Hardware:

Code: [Select]

CPU: Intel(R) Celeron(R) CPU  J3160  @ 1.60GHz (1600.05-MHz K8-class CPU)
  Origin="GenuineIntel"  Id=0x406c4  Family=0x6  Model=0x4c  Stepping=4
  Features=0xbfebfbff<FPU,VME,DE,PSE,TSC,MSR,PAE,MCE,CX8,APIC,SEP,MTRR,PGE,MCA,CMOV,PAT,PSE36,CLFLUSH,DTS,ACPI,MMX,FXSR,SSE,SSE2,SS,HTT,TM,PBE>
  Features2=0x43d8e3bf<SSE3,PCLMULQDQ,DTES64,MON,DS_CPL,VMX,EST,TM2,SSSE3,CX16,xTPR,PDCM,SSE4.1,SSE4.2,MOVBE,POPCNT,TSCDLT,AESNI,RDRAND>
  AMD Features=0x28100800<SYSCALL,NX,RDTSCP,LM>
  AMD Features2=0x101<LAHF,Prefetch>
  Structured Extended Features=0x2282<TSCADJ,SMEP,ERMS,NFPUSG>
  Structured Extended Features3=0xc000400<IBPB,STIBP>
  VT-x: PAT,HLT,MTF,PAUSE,EPT,UG,VPID
  TSC: P-state invariant, performance statistics
real memory  = 8589934592 (8192 MB)
avail memory = 8152670208 (7774 MB)

4 Netwerk interfaces, igb0, ..., igb3
In gebruik zijn igb0 en igb1

ifconfig:

Code: [Select]

igb0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=400b8<VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,VLAN_HWTSO>
ether dc:58:bc:e0:0e:8a
hwaddr dc:58:bc:e0:0e:8a
inet6 fe80::de58:bcff:fee0:e8a%igb0 prefixlen 64 scopeid 0x1
inet 192.168.36.38 netmask 0xffffff00 broadcast 192.168.36.255
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
igb1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=400b8<VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,VLAN_HWTSO>
ether dc:58:bc:e0:0e:8b
hwaddr dc:58:bc:e0:0e:8b
inet 192.168.25.60 netmask 0xffffff00 broadcast 192.168.25.255
inet6 fe80::de58:bcff:fee0:e8b%igb1 prefixlen 64 scopeid 0x2
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
igb2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=400b8<VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,VLAN_HWTSO>
ether dc:58:bc:e0:0e:8c
hwaddr dc:58:bc:e0:0e:8c
inet6 fe80::de58:bcff:fee0:e8c%igb2 prefixlen 64 scopeid 0x3
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
media: Ethernet autoselect
status: no carrier
igb3: flags=8c02<BROADCAST,OACTIVE,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=6403bb<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,TSO4,TSO6,VLAN_HWTSO,RXCSUM_IPV6,TXCSUM_IPV6>
ether dc:58:bc:e0:0e:8d
hwaddr dc:58:bc:e0:0e:8d
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
media: Ethernet autoselect
status: no carrier
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
inet 127.0.0.1 netmask 0xff000000
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
groups: lo
enc0: flags=0<> metric 0 mtu 1536
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
groups: enc
pflog0: flags=0<> metric 0 mtu 33160
groups: pflog
pfsync0: flags=0<> metric 0 mtu 1500
groups: pfsync
syncpeer: 0.0.0.0 maxupd: 128 defer: off

Routes:

Code: [Select]

root@FW2:~ # route show 192.168.36.0
   route to: 192.168.36.0
destination: 192.168.36.0
       mask: 255.255.255.0
        fib: 0
  interface: igb0
      flags: <UP,DONE,PINNED>
 recvpipe  sendpipe  ssthresh  rtt,msec    mtu        weight    expire
       0         0         0         0      1500         1         0
root@FW2:~ # route show 192.168.25.0
   route to: 192.168.25.0
destination: 192.168.25.0
       mask: 255.255.255.0
        fib: 0
  interface: igb1
      flags: <UP,DONE,PINNED>
 recvpipe  sendpipe  ssthresh  rtt,msec    mtu        weight    expire
       0         0         0         0      1500         1         0
root@FW2:~ # route show default
   route to: default
destination: default
       mask: default
    gateway: dlink
        fib: 0
  interface: igb0
      flags: <UP,GATEWAY,DONE,STATIC>
 recvpipe  sendpipe  ssthresh  rtt,msec    mtu        weight    expire
       0         0         0         0      1500         1         0

Disk Usage:

Code: [Select]

root@FW2:~ # df -k
Filesystem      1024-blocks    Used    Avail Capacity  Mounted on
/dev/gpt/rootfs    51414800 1388612 45913004     3%    /
devfs                     1       1        0   100%    /dev
devfs                     1       1        0   100%    /var/dhcpd/dev
devfs                     1       1        0   100%    /var/unbound/dev

Uptime:

Code: [Select]

root@FW2:~ # uptime
 6:17PM  up 2 days,  6:36, 2 users, load averages: 0.67, 0.60, 0.49

Verder geldt: het OPNsense systeem is altijd bereikbaar vanuit het 192.168.25.0 netwerk. Vanuit het OPNsense systeem kom ik probleemloos naar het Internet.
Voor mij ziet het er naar uit dat het OPNsense systeem niet altijd aan zijn routing opgave voldoet.
Ik heb nog geen wetmatigheid ontdekt, maar het lijkt een beetje op: 10 minuten aan, 10 minuten uit.

Ik vind echter niets interessants in de mij bekende logfiles.

Heeft iemand een idee hoe ik nadere informatie vinden kan?

Ronald

Title: [RESOLVED] Re: ping lukt, ping lukt niet
Post by: ronald on June 10, 2020, 10:34:43 am

De oorzaak is gevonden.

Tussen de firewall en de gateway naar het Internet stond een Access Point Client die een bridge tussen WLAN en Ethernet vormde. En blijkbaar is dat ding niet zo compatibel als je zou verwachten.

Nadat ik een kabel door de woonkamer heb gelegd funktioneert alles probleemloos.
Nou moet ik dus op zoek naar een WLAN-Ethernet Bridge die functioneert. (Als ik de kabel laat liggen ben ik bang dat ik niet veel ouder word; mijn vrouw is not amused).

Mocht er iemand toevallig een tip of goede ervaringen met een dergelijke bridge hebben dan zou ik mij daar zeer over verheugen.

Ronald

Title: Re: [RESOLVED] ping lukt, ping lukt niet
Post by: miruoy on June 10, 2020, 06:24:37 pm

Hey welkom op het forum!  8)

Ziet er een leerrijke opstelling uit voor je.

Wat bedoel je juist met een "WLAN-Ethernet Bridge" ?? Er bestaan "devolo" kits waarmee je een ethernet signaal over je powerline kan sturen. Indien nodig hebben deze vaak ook nog een WiFi AP ingebouwd.

Is dat iets waar je naar op zoek bent om uw madam content te stellen?

Title: Re: [RESOLVED] ping lukt, ping lukt niet
Post by: ronald on June 11, 2020, 03:23:49 pm

Hallo Miruoy,

met een WLAN-Ethernet Bridge bedoel ik een component dat zich als client in het WLAN inboekt en dan de traffic van en naar het ethernet omzet. Uiteindelijk doet een WLAN signaal het niet zo goed op een ethernet kabel, en een ethernet signaal werkt niet zo goed in het WLAN. Dus heb ik een bridge nodig.

Nou heb ik gisteren een Fritz!Repeater 1200 gekocht en het lijkt er sterk op dat het werkt.
Ik heb nog steeds af en toe korte onderbrekingen. Maar die komen slechts sporadisch voor en duren maar 10-20 seconden. Daarmee kan ik leven.

Om mijn madam content te stellen moet ik er voor zorgen dat er geen kabels door de woonkamer lopen. Ik heb daar ook wel begrip voor. Maar het betekent wel, dat ik een stukje communicatie in het netwerk door de lucht moet doen (WLAN dus).

Net zo min als dat ik een fan van WLAN ben, ben ik een fan van powerline. In beide gevallen kan de buurman mij afluisteren (en misschien zelfs meepraten) zonder dat ik het merk. Dat is bij het gebruik van Cat6 kabels minder gemakkelijk het geval (ik heb niet de illusie dat ik de NSA kan uitsluiten).

UPDATE:
Na een tijdje bleek dat ook die FritzRepeater niet stabiel functioneert.
Een Raspberry Pi 4 doet nu, sinds enige maanden, alles wat ik wil.

Groet,

Ronald