OPNsense Forum
International Forums => German - Deutsch => Topic started by: theq86 on January 29, 2018, 09:43:53 pm
-
Hi,
habe gerade das Upgrade gemacht. Jetzt geht das Internet nicht mehr, zumindest das IPv4 Internet.
- PPPoE Verbindung ist erfolgreich, ich habe eine IPv4 Adresse
- Firewallregeln sind OK, nichts dran gebastelt
- NAT Regeln: Genauso
- Von der Shell der OPNsense ist Internetzugriff möglich
- DHCP Optionen werden korrekt an Clients gegeben
- Clients erhalten das richtige Standardgateway
- OPNsense Gateway ist korrekt konfiguriert
- Routen der OPNsense sehen auch OK aus.
Was kann ich jetzt noch machen um das Problem zu finden?
-
tcpdump auf dem pppoe Interface und Routen über netstat -r wären interessant
-
Plötzlich läuft es wieder. Keine Ahnung warum. Habe mit ein paar WAN Rules gespielt, die ICMP betreffen. ICMP Ping habe ich für v4 deaktiviert und danach habe ich eine rule, die icmp für v6 erlaubt.
ich bekomme seit dem Upgrade oben in der Kopfzeile so komische Fehlermeldungen
01-29-18 21:55:54 [ There were error(s) loading the rules: /tmp/rules.debug:126:#proto icmp doesnt match address family
inet6 - The line in question reads [126]: pass in quick on pppoe0 reply-to
( pppoe0 fe80::5651:1bff:fe83:bbbd ) inet6 proto icmp from {any} to {any} keep state label
USER_RULE: ICMP # adb459d7979ea6d103ddb05ee854f186]
-
Okay, hier die Lösung:
Früher konnte ich folgende Regeln problemlos einrichten:
Version v4 Protokoll ICMP oder v6 und ICMP.
Jetzt MUSS man scheinbar für IPv4 das Protokoll "ICMP" und für IPv6 das Protokoll "IPV6-ICMP" verwenden.
Desweiteren dürfen keine Regeln mehr angelegt werden, die "IPv4+IPv6" als Version haben und mit ICMP zu tun haben.
Konnte man manches in der Vorversion noch zusammenfassen, so muss man es jetzt streng getrennt konfigurieren.
Wie es jetzt genau dazu führte, dass meine IPv4 Konnektivität im A... war weiß ich auch nicht.
Aber falls jemand mal drüber stolpert: ICMP für v4 und v6 können NICHT mehr zusammen konfiguriert werden.
-
Ja, nur IPv4 auswählen hilft. Ich suche grade nach dem FreeBSD Change...
Grüsse
Franco
-
> Wie es jetzt genau dazu führte, dass meine IPv4 Konnektivität im A... war weiß ich auch nicht.
Ich mutmaße, da ich ähnliches Problem von der pfSense noch grob kenne, dass pf dann wegen Error einfach dein Ruleset nicht geladen hat - damit auch kein outbound NAT und kein Internet. Von der Sense selbst kein Problem, da kommuniziert sie ja via PPPoE/WAN raus.
Gruß Jens
-
War übrigens ein Change von OpenBSD der auf FreeBSD unverändert ist, ist auch so schon drin seit vielen Jahren, also hat es unsere Regel-Generation hier forciert. War der Gegenstand des 18.1_1 Updates.
Warum das grundsätzlich als "falsch" validiert wird ist mir nicht klar, v.a. wenn "inet" oder "inet6" nicht angegeben wird, dann geht es ja trotzdem irgendwie... Nun, ja, nicht schön aber selten.
Grüsse
Franco
-
Hi,
welche Einstellungen habt Ihr Angepasst? Ich habe das selbe Problem.
Der ausgehende Nat ist auf automatisch gesetzt.
-
Jetzt MUSS man scheinbar für IPv4 das Protokoll "ICMP" und für IPv6 das Protokoll "IPV6-ICMP" verwenden.
ich weiß nicht genau ob es tatsächlich die Lösung ist, weil es so auch bei mir eingestellt ist, und trotzdem bekomme ich den Fehler immer noch!. (s. bitte das Attachment).
Egal was ich gemacht habe und mache, es zeigt mir den Fehler immer wieder.
@nasq: kannst du bitte posten was du genau als Regel eingestellt hast?
Ich habe meine OPNsense Box mit PPPoE eingestellt, und ICMP Regel nach Empfehlung von RFC 4890 eingerichtet:
Traffic That Must Not Be Dropped:
o Destination Unreachable (Type 1) - All codes
o Packet Too Big (Type 2)
o Time Exceeded (Type 3) - Code 0 only
o Parameter Problem (Type 4) - Codes 1 and 2 only
o Echo Request (Type 128)
o Echo Response (Type 129)
bestimmt für IPv6 alle o.g. Parameters angegeben (obwohl "Packet Too Big" nicht unter Subtypes in OPNsense verfügbar ist), und für IPv4 nur "Echo Request" und "Echo Response".
P.S. unter "pf" geht alles einwandfrei.
-
Es scheint mir, als ob in opnsense etwas bugt.
Ich kann jetzt wieder Internetseiten aufrufen und meine Ports sind wieder offen:
- Unter "Firewall: NAT: Portweiterleitung", musste in den gesetzten Regeln die Einstellung "NAT reflection" deaktiviert werden.
- Unter "Firewall: Einstellungen: Erweitert" müssen die Punkte "Reflektion für Portweiterleitungen" "Reflektion für 1:1" "Automatisches ausgehendes NAT für Reflektion" aktiviert sein.
-
Hi,
nach 5 Stunden haben wir herausgefunden, was bei unserer Firewall Installation die Ursache des Problems war.
Wir haben ein Alias für "Internet" das viele IP Blöcke in der folgenden kurzen Notation beinhaltete:
1/8
2/7
...
was funktionierte. Nach dem Upgrade mussten wir sie alle in diese Notation überführen:
1.0.0.0/8
2.0.0.0/7
...
damit IPv4 wieder ging.
Vielleicht hilft das noch jemand anderem in der Zukunft.
-
Huch, danke. 1/8 hatten wir selbst nicht auf dem Schirm. Ist aber auch besser wenn das nicht wiederkommt.
Grüsse
Franco