Messages

So,
nach dem ich nun die TLS Fehlermeldung mit dem Hello on ClearPort mit einem öffentlichen Zertifikat von LE beseitigen konnte,  haut mir die OPNSense auf der Captive Portal Schnittstelle nun neue, bzw. weitere Fehlermeldungen raus.
Vielleicht kann mir hier ja jemand sagen was es damit aufsich hat und wie damit umzugehen ist:

alles mit dem Vermerk: lighttpd 62619
- SSL: 1 error:0A000076:SSL routines::not suitable signature algorithm
- uri /images/default-logo.png in=8530 smaller than out=8553
- SSL: 1 error:=0A00010B:SSL routines::wrong version number

Vielen Dank im Voraus.

Ich würde das hier gerne, Zwecks Ermangelung von Vorschlägen schließen wollen.
Die TLS Fehlermeldung habe ich durch ein hinterlegtes, öffentliches Zertifikat von LE beseitigt.

Da es hier keine Antwort gibt, würde ich das gerne schließen wollen.
Ich habe statt der Weiterleitung ein öffentliches Zertifikat von LE hinterlegt und damit zumindest diese Fehlermeldung beseitigt.

Moin,

ich habe ja dieses Problem mit dem "Hello on ClearPort" auf meiner WLAN Schnittstelle.
Das hängt wohl damit zusammen, dass manche Clients versuchen auf einem unverschlüsselten Port eine verschlüsselte Verbindung zur Anmeldeseite des CP herzustellen.
Was aber auch irgendwie kein Sinn macht, da das CP eigentlich eine verschlüsselte Verbindung für die Anmeldung voraussetzt und diese wohl auch von den Clients fordert.
Ein Zertifikat, um die Fehlermeldung des unbekannten Zertifikates zu vermeiden, habe ich nicht aktiviert.
Ist es möglich alle Anfragen die über Port 80 an die Anmeldeseite des CP gehen auf Port 443 umzuleiten?
Wie ist die Adresse der Anmeldeseite?
Subnetz ist 10.0.1.1.
Wäre http dann 10.0.1.1:80 und https 10.0.1.1:443, so dass ich einfach nur eine Umleitung an die Adresse 10.0.1.1 von 80 auf 443 einrichten muss?

Hallo in die Runde.
Ich habe eine OPNSense auf einem
Intel Core i5-10210U 1,6 GHz Comet Lake-U Quad Core
mit Hyperthreading und Turbo bis zu 4,2 GHz, 6 MByte L3
Cache, Intel UHD Graphics 620, 8xIntel i225-V (B3) 2,5
Gigabit LAN, DDR4-2666 SO-DIMM / Seriennr.
mit 8GB RAM und 32GB SSD laufen

Versionen
OPNsense 24.7.6-amd64
FreeBSD 14.1-RELEASE-p5
OpenSSL 3.0.15

Darin sind drei Netzwerke
32.72.... als WAN (Verbindung über LWLcom mit 1Gb synchron.
192.168.X.X als Heimnetzwerk
10.0.X.X als Gästenetz mit dem CaptivePortal
10.0.1X.X als Versuchnetz mit einem CaptivePortal über den TP-LINK OMADA Controller

Ich versuche hier mit TrafficShaping den einzlnen Gästenetzen unterschiedliche Geschwindigkeiten zuzordnen.
Das funktioniert leider nur Suboptimal, ist aber im Moment auch nicht das Thema.

Ich habe festgestellt, dass mir im 10.0.1.1 Netz manche Geräte mit irgendwelchen:
"Unexpected TLS ClientHello on Clear Port" die OPNSense vollspammen.
Und je mehr die Spammen, desto langsamer wird anscheinend die Internetgeschwindigket.
Vor einem Reboot war ich bei 20Mb/s im Download und 1Mb/s im Upload.
Nachdem Reboot hatte ich 26Mb/s im Download und 24Mb/s.
(Das TrafficShaping soll diese Leitung auf 30Mbit UP/DOWN begrenzen)

Die Geräte im LAN sind von der Leistungsreduzierung nur zum Teil betroffen.
Aber alle Geräte im WLAN, egal über welches Netzwerk sie die Verbindung herstellen...

Bis jetzt habe ich im Forum nichts hilfreiches dazu finden können.
Hat sonst jemand schon einmal diese Meldungen bekommen?
Kann mir jemand sagen was es damit aussich hat?
Kann mir jemand dabei helfen das Problem zu lösen?

Schon einmal vielen Dank.
Anbei zwei Bilder der Fehlermeldung.

Danke und Grüße
Nils

Moin,
folgende Frage in der Hoffnung, dass hier jemand schon ähnliches probiert hat:
Ist es möglich mit der OPNSense einen Speedtest auf die einzelnen Schnittstellen durchzuführen?

OPNsense 23.7.12_5-amd64
FreeBSD 13.2-RELEASE-p7
OpenSSL 1.1.1w

Läuft auf einem AMD GX-210UA SOC (2 cores, 2 threads) von OPNSense.

3 Schnittstellen:
WAN auf em1 angeschlossen an Glasfaser von LWL mit 250Mbit/s Synchron als Gateway
LAN als internes Netzwerk an em0
Gästenetz (opt1) hinter Capitve Portal an em2 mit eigenem Adressbereich
zweites Gästenetz (opt2)  als vlan hinter Captive Portal des OMADA Controllers von TP-LINK, an em2 mit eigenem Adressbereich

per Traffic Shaper hatte ich den beiden Gästenetzen unterschiedliche Bandbreiten zugeordnet (von den 250max gehen 50 an opt1 und 150 an opt2).
Dabei habe ich mich an das Howto aus der Dokumentation gehalten und habe entsprechend der Vorgaben folgendes eingerichtet:
-Multi Interface shaping for a GuestNet
(um den beiden Gästenetzen die entsprechende maximale Bandbreite zu zuordnen)
-Share internet bandwidth amongst users evenly
(damit jeder angemeldete Nutzer die gleiche Bandbreite zur Verfügung gestellt bekommt)

Anfangs funktionierte das auch ohne Probleme.
Speedtests aus den einzelnen Netzen heraus zeigten Geschwindigkeit die im Maximum der eingestellten maximalen Bandbreite entsprachen.
Mittlerweile ist das aber aus unerklärlichen Gründen nicht mehr.
Auch die Schnittstelle opt2, die eine höhere Bandbreite hat, ist limitiert auf die Bandbreite von opt1.

Nun wollte ich wissen ob es am Netzwerk selbst liegt (mehrere TP-Link Switches und Accesspoints verwaltet über Omada) oder ob das Problem eventuell in einer mittlerweile überlasteten OPNsense liegt.
Dafür habe ich das Speedtest Plugin installiert.
Das scheint aber nur die Geschwindigkeit zu messen, die über die WAN Schnittstelle geht.
Interessant wäre es, einzustellen den Test über eine der anderen Schnittstellen umzuleiten und dann zu testen wie die Geschwindigkeit an em1 und opt1 und opt2 ist.
Ob vielleicht irgendeine Einstellung in der OPNSense den Traffic begrenzt und ich daher diese Geschwindigkeiten bekomme.
Denn auch an der em1, dem ja theoretisch die restliche Bandbreite zur Verfügung steht, bekomme ich weniger.

Hat jemand ähnliche Erfahrungen oder eine Idee warum das Traffic Shaping auf einmal nicht mehr richtig funktioniert?

Ich habe mir bereits eine neue OPNSense basierenden auf einen intel i5 mit ausreichend RAM und Festplatte zugelegt. Aber dort waren die Geschwindigkeiten teilweise noch langsamer als auf meinem alten System.
Bin daher wieder zurück zum alten gewechselt solange ich nicht weiß, wie ich den Fehler beheben soll...

Grüße aus Bremen

Der Thread kann gerne geschlossen werden.
Ich habe mich dazu entschieden besagten PC für die Zeit der Konfiguration einfach an nen anderen Port im Switch zu stecken.
Alles andere scheint mir zu umständlich.
Trotzdem Danke für die Hilfe

Ich ging davon aus es sei ausreichend beschrieben.

OPNSense mit DREI LAN-Anschlüssen.
1x WAN (statische IP vom Provider)
1x LAN für das Firmennetzwerk (IP 192.168.0.1/24)
1x LAN für GUESTNET (IP 10.0.1.1) und an der Schnittstelle noch ein virtuelle IP (IP 10.0.10.1) zugeordnet.
GUESTNET ist Captive Portal für Hotelgäste, daran hängen mehrere APs.
Das VIP ist für 2 Gäste PCs und ein paar LAN-Buchsen, die Gäste im Aufenthaltsraum nutzen können ohne sich am CP anmelden zu müssen.

Hinter der OPNSense hängt ein 24 Port Managed Switch von TP-Link mit drei VLAN IDs
IP 192.168.0.1 ist VLAN ID 2 zugewiesene Ports: 1 + 13-24
IP 10.0.1.1 ist VLAN ID 1 zugewiesene Ports: 1-8 + 24
IP 10.0.10.1 ist VLAN ID 10 zugewiesene Ports: 1 + 9-12

Verbindung an die OPNSense
LAN Anschluss für 192.168.0.1 ist verbunden mit Port 13
LAN Anschluss für 10.0.1.1 ist verbunden mit Port 1

Komischerweise kam die Verbindung an die 10.0.1.1 und damit auch der Zugriff auf die OPNSense erst zustande nachdem ich auch den Port 1 mit ID2 verbunden habe. (oder ich hab nicht lange genug gewartet)

Aber ein Scan listet mir halt keinen der APs auf.

Also meine VLAN Verkabelung passt, das funktioniert ja soweit.
Die Geräte an ID2 können mit einander kommunzieren und werden alle gefunden
Die Geräte an ID1 kommen alle an die LogIn Seite vom Captive Portal, melden sich an und ab ins Internet
Die Geräte an ID10 haben Internet ohne sich vorher einloggen zu müssen
Das Problem ist doch eher, dass die Erreichbarkeit der Captive Portal Schnittstelle ins LAN (und vermutlich auch in die andere Richtung) unterbunden ist.
Ich möchte aber nun einmal gerne mit dem PC, der an Port 24 hängt auf die APs zugreifen die im VLAN 1 sind.
Irgendwie muss man die Teile ja auch mal neustarten oder Einstellungen ändern ohne das mit die APs ständig abbauen muss um sie mit nem Rechner zu verbinden an dem man vorher ne entsprechende IP eingetragen hat.
Ich ging davon aus, dass würde gehen, wenn ich diesem PC ebenfalls eine statische IP im 10.0.1.X Bereich gebe und über das Managed Switch auch mit dem Netzwerk verbinde.

Man kann übrigens einem PC beliebig viele IP Adressen auf einer Netzwerkkarte zuweisen.

Und was meinst du mit:

Verstehe auch nicht ganz, warum du überhaupt den einen PC mit 2 IPs ausstatten willst? Warum nicht den Zugriff auf den anderen PC freigeben? Was soll damit erreicht werden, außer dass du die Firewall komplett unterläufst?

Ne Portweiterleitung oder Routing von dem PC am Port 24 an die entsprechenden APs?
Das ist ja am Ende das was ich hinbekommen möchte.
Hab nur keinen Plan wie diese Regel aussehen sollte.

OPNsense 20.7-amd64
FreeBSD 12.1-RELEASE-p7-HBSD
OpenSSL 1.1.1g 21 Apr 2020

Ich habe eine opnsense mit 3 Lan Anschlüssen
WAN (statische IP vom Provider)
LAN 192.168.0.1 /24
GUESTNET 10.0.1.1 /24
und einem VLAN
USERPC 10.0.10.1 /24

Am LAN hängen alle internen Rechner, Drucker, etc....
Im GUESTNET ist CaptivePortal aktiviert und dient Hotelgästen als Internetzugang.
Daran hängen mehrere Access Points
USERPC ist ein VLAN an der GUESTNET-Schnittstelle, daran hängen zwei PCs für Gäste


Aufbau im Prinzip wie folgt:

                           |-LAN (192.168.0.1)
                           |
WAN (statische IP)---------|-GUESTNET (10.0.1.1)
                               |
                               |-USERPC (10.0.10.1)

funktioniert so weit auch ganz gut.
Nun würde ich gerne mit einem Managed-Switch vom LAN auf die APs im GUESTNET zugreifen.

VLAN-IDs usw. sind zugeteilt, funktioniert auch soweit so gut.
Allerdings kann ich mit dem PC im LAN, der in der IP Konfiguration zwei statische IP4 Adressen zugewiesen bekommen hat, lediglich auf den opnSense zugreifen.

IP4 vom PC im LAN ist: 192.168.0.55 und im GUESTNET 10.0.1.2

Mit dem Tool "Portscan" werden im LAN alle vergebenen Adressen angezeigt,
Im GUESTNET ist nur die 10.0.1.1 aufzufinden.

Ich vermute mal, dass es irgendeine Firewall-Regel sein wird.
Komme jetzt aber auf anhieb nicht darauf, wie diese aussehen sollte.
Nach Möglichkeit sollten die APs, die im GUESTNET außerhalb des DHCP liegen NUR vom LAN aus erreichbar sein und vom GUESTNET ein Zugriff weiterhin gesperrt bleiben.

Anbei mal meine Firewall Regeln für die beiden Schnittstellen und meine NATs.

Bitte um Hilfe.

Danke

[Allgemeinen Einstellungen]

Um das einmal kurz zum Abschluss zu bringen.
Es war von jeder Hilfe so ein bißchen und dann ganz wichtig:

In den Allgemeinen Einstellungen die DNS Adressen eintragen!

Kurzum: Es läuft

Lass doch einfach die Fritzbox weg. 8)

Das ist ja auch Sinn der Übung...
Hatte in letzter Zeit wenig davon übrig mich darum zu kümmern.
Habe jetzt erstmal die Fritzbox zur Einwahl genommen.
Damit funktioniert das auch ohne Probleme.

Vielleicht habe ich zwischen den Jahren etwas mehr Zeit um mich darum zu kümmern...

Dazu vielleicht noch was grundlegendes:
Die angegebenen DNS Adressen gehören in die LAN-Netz DHCP Einstellungen?

Moin,

Du brauchts doch nur Dein Wan Interface anpassen.
Von DHCP auf Static.

Und die Werte vom Provider eintragen.

Da du ja eine IPV4 hast must du das IPV6 ja gar nicht nutzen und Deine internen Netze können
wie bisher betrieben werden.

Dann bekomme ich aber ne Fehlermeldung das mein IP4 Bereich in nem anderen Adressbereich liegt.
Möglich wäre das nur, wenn ich auf die mir zugewiesene statische IP verzichte und demnach nur den Gateway vom Provider eintrage.

Ansonsten ist mir gerade nur eingefallen, dass ich meinen IP4 Bereich "einfach" in ein VLAN lege könnte...

Kannst du dein bestehendes Setup mal kurz grafisch skizzieren? Wenn ich dich richtig verstehe, ist bisher deine Fritzbox in einer Broadcast Domain bzw. in einem Subnet mit dem LAN Interface deiner OPNsense?

Fritzbox (192.168.2.1)
                       |
                       |
                       >>>>>OPNSense>>>WAN Interface (IP von Fritz per DHCP 192.168.2.110)
                                                            |
                                                            |
                                                            |>>LAN Interface IP: 192.168.0.1
                                                            |
                                                            |
                                                            |>>GUESTNET Interface IP: 10.0.1.1

Sprich: mein OPNSense hat 3 LAN Buchsen

Aus deinem /56 Präfix schneidest du dir dann für deine internen Netze (Guest und LAN so wie ich es verstanden habe) einfach jeweils /64er Netze raus und hängst sie auf die Interfaces

Das bedeutet ich muss alle meine statisch vergebenen IP-Adressen ändern?
Ist es nicht mehr möglich im oben angegebenen IP Bereich zu bleiben?

Hallo,
bisher hängt meine OPNSense mit aktueller Firmware
OPNsense 20.7-amd64
FreeBSD 12.1-RELEASE-p7-HBSD
OpenSSL 1.1.1g 21 Apr 2020
direkt hinter einer FritzBox.
Diese war mit der IP-Adresse als WAN-Gateway eingerichtet.
Dazu gab es ein LAN mit statischer IP und DHCP (192.168.XXX.1) und ein GUESTNET auf dem das CaptivePortal mit statischer IP und DHCP (10.0.X.X) eingerichtet ist.
Läuft soweit alles wunderbar.

Nun habe ich einen Glasfaser-Anschluss mit fester IP bekommen.
Die OPNSense würde dann direkt am Übergabepunkt hängen und sich mit statischer IP ins Internet verbinden.
Nur bekomme ich es nicht hin, die entsprechenden Werte da einzutragen wo sie hingehören.

Das hier habe ich vom Provider erhalten:

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Hier die dazugehörigen IP-Daten zum Internetanschluss zur Inbetriebnahme für Sie / Ihre IT


Die Daten für IPv4 lauten wie folgt:

Sie / Ihre IP-Adresse(n):    37.XX.XXX.206
Wir / Gateway-IP:            37.XX.XXX.205

Netz:                        37.XX.XXX.204/30
Maske:                       255.255.255.252
DNS / Nameserver:            185.XX.XXX.33 / 185.XX.XXX.49


Die Daten für IPv6 lauten wie folgt:

Sie / Ihre IP-Adresse:       2a00:XXXX:c110:f1::2
Wir / Gateway-IP:            2a00:XXXX:c110:f1::1

Transfernetz:                2a00:XXXX:c110:f1::/64

Ihr Präfix:                  2a00:XXXX:c100:ef00::/56 gerouted auf 2a00:XXXX:c110:f1::2


An unserem Netzabschlussgerät ist dann der der Port ,,ETH1" zu nutzen, dort schließen Sie Ihren Router / Ihre Firewall an.

Es werden keine weiteren Zugangsdaten benötigt, die o.g. IP-Konfiguration ist statisch auf Ihrem Endgerät zu hinterlegen (kein PPPoE o.ä.)
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>


Meine eigene IP Adresse ist dann meine öffentliche und die sollte doch mit der bei LAN nur wenig zu tun haben.
Im Prinzip ersetzt die doch lediglich mein DynDNS.

Ich hoffe es gibt hier jemanden, der mir weiterhelfen kann.
Ich bin der Meinung es ist irgendwas mit der WAN Schnittstelle und einem neuen Gateway.
Bekomme es aber nicht hin....

Für Hilfe, Tipps und Anregungen wäre ich dankbar.

Das brachte leider auch keinen Erfolg.
Ich werde mal testen, wie es ist, wenn ich den Datenverkehr zwischen der 2. und 3. Schnittstelle erlaube.
Sollte es dann funktionieren, wird ja irgendwo der Traffic geblockt.