Messages

1

High availability / Re: Unexpected CARP ARP Reply

« on: October 17, 2023, 01:17:18 pm »

Thank you for the quick response!
I already expected as much...

Best regards,
modzilla

2

High availability / Unexpected CARP ARP Reply

« on: October 13, 2023, 09:04:13 am »

Hi there,

I am trying to use Opnsense in OpenStack, which works great with a single instance and no HA. But when I try to add a second instance to use HA with CARP I am never able to use the VIP.

I suspect that the issue is that the arp-reply is always done with the MAC of the Opnsense Node and not with a 00:00:5e... MAC, which will result in a DROP in our OVN SDN. I quickly tested the same with Linux + FRR in containerlab and can see that it does reply with the correct 00:00:5e.. MAC.

Code: [Select]

08:13:33.416505 fa:16:3e:0e:36:1b > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Request who-has 100.64.56.254 tell 100.64.56.227, length 28
08:13:33.416593 fa:16:3e:61:76:50 > fa:16:3e:0e:36:1b, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Reply 100.64.56.254 is-at 00:00:5e:00:01:01, length 28


Code: [Select]

root@ovn-db1:~# ovn-trace --minimal 'inport == "c9d850ee-a534-4a52-8c16-b866d0a3a6d2"
&& arp.op == 2
&& eth.src == 00:00:5e:00:01:01
&& arp.sha == 00:00:5e:00:01:01

&& eth.dst == fa:16:3e:0e:36:1b
&& arp.tha == fa:16:3e:0e:36:1b

&& arp.spa == 100.64.56.254
&& arp.tpa == 100.64.56.227'
# arp,reg14=0x5,vlan_tci=0x0000,dl_src=00:00:5e:00:01:01,dl_dst=fa:16:3e:0e:36:1b,arp_spa=100.64.56.254,arp_tpa=100.64.56.227,arp_op=2,arp_sha=00:00:5e:00:01:01,arp_tha=fa:16:3e:0e:36:1b
output("84886d");
root@ovn-db1:~# ovn-trace --summary 'inport == "c9d850ee-a534-4a52-8c16-b866d0a3a6d2"
&& arp.op == 2
&& eth.src == fa:16:3e:61:76:50
&& arp.sha == 00:00:5e:00:01:01

&& eth.dst == fa:16:3e:0e:36:1b
&& arp.tha == fa:16:3e:0e:36:1b

&& arp.spa == 100.64.56.254
&& arp.tpa == 100.64.56.227'
# arp,reg14=0x5,vlan_tci=0x0000,dl_src=fa:16:3e:61:76:50,dl_dst=fa:16:3e:0e:36:1b,arp_spa=100.64.56.254,arp_tpa=100.64.56.227,arp_op=2,arp_sha=00:00:5e:00:01:01,arp_tha=fa:16:3e:0e:36:1b
ingress(dp="wan", inport="opnsense1-wan") {
    reg0[15] = check_in_port_sec();
    next;
    drop;
};


Is there anything I can do to make it work, is it expected behavior or a bug? I was not able to find any info on CARP beyond the basic man pages and tutorials on setting it up.

Thanks in advance!

3

German - Deutsch / Re: Teredo Online Services

« on: March 31, 2021, 08:35:23 pm »

Ich habe zum Glück einen ganz normalen IPv4 Anschluss. Kein DS-Lite oä. Damit mache ich auch die ganzen Port-Freigaben

... für meinen Server. (wollte ich schreiben)

Portfreigaben für Teredo habe ich nicht, da es ja nicht erforderlich sein sollte.

Ich habe das Problem nun umgangen, indem ich auch wirklich jedem Adapter IPv6 deaktiviert habe. Dann ging es komischerweise... Aber wenn jmd weiß, wie es mit v6 nativ geht, freue ich mich über jede Hilfe!

4

German - Deutsch / Re: Teredo Online Services

« on: March 31, 2021, 07:54:06 am »

Ich habe zum Glück einen ganz normalen IPv4 Anschluss. Kein DS-Lite oä. Damit mache ich auch die ganzen Port-Freigaben

5

German - Deutsch / Re: Teredo Online Services

« on: March 30, 2021, 03:26:15 pm »

Danke für die Rückmeldung. Ich nutzte Windows (zum Glück) auch nur zum Zocken. Allerdings verstehe ich Teredo auch nicht wirklich. Es geht halt auch nicht, wenn ich v6 deaktiviere... Achso ja ich nutze keine XBOX btw.

Sry, hier ist der Netzwerkplan.

Code: [Select]

      WAN / Internet Glasfaser
            :
            : PPPoE (Telekom)
            :
      .-----+------.   private DMZ   .------------.
      |  OPNsense  +-----------------+ DMZ-Server |
      '-----+------'   10.0.2.1/24   '------------'
            |
        LAN | 10.0.1.1/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers)

6

German - Deutsch / Teredo Online Services

« on: March 28, 2021, 11:25:54 pm »

Hey,

ich bin langsam wirklich hart am Verzweifeln... Irgendwie bekomme ich das Xbox-Netzwerk nicht zum Laufen. Teredo ist immerzu am Meckern. So wie ich das verstehe, baut Teredo über IPSec mit IPv6 einen Tunnel zu M$ auf, um dann die Online-Svs nutzen zu können.



IPv6 läuft über die Telekom mit PPPoE auch sehr gut mit DHCPv6 auf WAN (denke ich zumindest). Ich habe meinen eigenes /56 Netz (Track Interface), welches ich in 2 kleinere 64er Netze für meine DMZ und mein LAN aufteile. Einmal mit dem Prefix 1 und 2. Wenn ich ping -6 google.de nutze bekomme ich auch ne Antwort von nem IPv6-Server. WieistmeineIP tut auch ne IPv6 Adresse anzeigen.

Ich habe mal geschaut, was die FW blockt und was nicht, aber außer ein Haufen mDNS Anfragen wird kaum was geblockt. Das ist mein Fund:



Ich raffe nicht was da schief läuft und online gibt es dazu auch so ziemlich gar nichts, außer dass es bei vielen nicht läuft, da AVM das auf den FBs standardmäßig blockt. Aber da ich ja keine FB mehr vorgeschaltet habe, ist das ja irrelevant. Windows habe ich ebenfalls bereits neu installiert.

Thx!!

LG