Messages

Falls Deine Switch es unterstützt, könntest Du auch einen bond (LACP) für die bridges erstellen. Realtek ist bekanntermaßen nicht so 100%ig mit dem PVE ,,gut Freund". Wie sieht denn Deine Netzkonfig innerhalb vom PVE aus?

As already mentioned above filtering services like AdGuard Home or PiHole can give you a quantum of control over what can be visited and what not.

ZenArmor has additional options which can be combined with existing Adblocking DNS services to prevent bypassing filtering mechanisms. One option is to block DoH (DNS over HTTPS). Afaik this feature is available in the smallest subscription (SOHO) but I'm not 100% sure. And there are web filtering options available (categories of known services/sites). These services rely on lists which are maintained by ZenArmor. But it's also possible to extend these with your own custom rules or addresses, like in AdGuard Home and in PiHole.

If you implement DNS blockers be sure to force DNS requests which bypass your DNS sinkhole with appropiate NAT rules.


Cheers

Befindet sich die NAS im selben Subnetz wie der Client? Falls der Zugriff von außerhalb erfolgen soll, musst Du mit port forwarding den Zugriff auf Port 5001 der NAS gestatten und zudem via (D)DNS selbst darauf zugreifen, damit der korrekte Link erstellt wird.

[nicht mehr aktives]

Salve!

Ich habe heute ein seltsames Phänomen bei einer Sense erlebt. Sobald ich ein nicht mehr aktives Gateway nebst zugehöriger WAN-Schnittstelle lösche, erhalte ich nach kurzer Zeit beim Aufruf von Seiten (auch die der Sense) den Fehler im Browser:

"SSL_UNRECOGNIZED_NAME_ALERT"

Bisher waren auf der Sense 7 WAN-Schnittstellen nebst 7 Gateways vorhanden. Aktiv ist nur noch ein synch. Glasfaser-Anschluss, die übrigen wurden früher für VDSL genutzt (FritzBox <-> WANXY).

Outbound rules im Zusammenhang mit den inaktiven Gateways gibt es nicht. Ebenso kein policy based routing auf den (V)LAN-Interfaces über Gateways.

Auf der Sense läuft Unbound als Resolver (löst gegen roots auf). Als outgoing interface ist hier lediglich das Glasfaser-Gateway gesetzt.

DNS-Server sind in den Settings nicht gesetzt. Proxy wird ebenfalls nicht genutzt.

Ich habe jetzt ad hoc nur noch ZenArmor (Business) im Verdacht. Allerdings ist dies nur für einen Teil der Interfaces für VLAN/LAN aktiviert.

Ein Reboot hatte keine Wirkung. Sobald ich die GUI der Sense aufrufen wollte, kam o.g. Fehler. Da ging nur der SSH-Zugriff und die Wiederherstellung der letzten Config.

Schon mal jemand ein ähnliches Problem gehabt?

OPNsense 24.1.6-amd64

LG & schönes WE!

Wie sieht denn die DNS Config aus? Läuft Unbound als Resolver? Sind ggf. overrides aktiv?

Du könntest probieren, den mailserverspezifischen Traffic (SMTP/SMTPS) von DMZ1 auf DMZ2 zu erlauben und umgekehrt.

Baud rate: 38400
Data bits: 8
Stop bits: 1
COMX entsprechend Deinem COM-Port

Wenn die Verbindung aufgebaut wird, im Terminal aber nix angezeigt wird, testweise mal eine Taste drücken.

Das gleiche Problem habe ich nicht, aber ähnlich gelagert. Sense mit 6 Stück Draytek Modems (VDSL), welche unregelmäßig ,,flappen". D.h., die Verbindungen sind für einige Minuten (5-20) weg und kommen dann wieder. An den Providern liegt es nicht, das wurde schon getestet und in den Logs der Drayteks finden sich keine Hinweise darauf, dass der Synch weg war. Unter V22 ist das Problem weg bzw. tritt nicht auf.

Mahlzeit!

Ich hätte mal eine Verständnisfrage bzgl. des DHCP in der Sense bzw. folgendes Phänomen hatte ich auf drei verschiedenen Systemen (alle V23.1.x):

Erzeuge ich einen statischen Lease-Eintrag noch bevor ein Endgerät sich erstmals im Subnet ,,gemeldet" hat, findet keine Kommunikation durch das Endgerät statt, sobald es sich mit dem entsprechenden Subnet verbindet. Die Sense zeigt dann zwar an, das der Lease für die MAC aktiv ist, aber ich kann weder vom Endgerät noch zum Endgerät bspw. pings schicken.

Jedes Endgerät (Drucker, Smartphone, etc.) erhält auch die gesetzte IP, aber Traffic findet nicht statt.

Gehe ich den anderen Weg (Endgerät verbinden, Lease aus dem Pool wird zugeteilt und dann über die GUI einen statischen Eintrag erzeugen), klappt alles ohne Probleme.

Anfangs dachte ich noch, ich hätte Typos in der Notation der MAC gehabt (bspw. Leerzeichen durch copy and paste), dem war aber nicht so. Wenn das Phänomen nur an einer Sense auftreten würde, ok. Aber auf verschiedenen Systemen?

Oder muss sich jedes Gerät erstmal ,,normal" vom DHCP eine Adresse aus dem Pool geben lassen, damit sich statische Einträge erzeugen lassen?

Grüße

Bei mir ging anscheinend entweder etwas schief oder es verträgt sich etwas nicht.

Wenn ich System -> Firmware -> Status aufrufe, erscheint im Tab der "Ladekreis", bei Type, Version, etc. wird dann nichts angezeigt. Wechsele ich auf den Reiter "Updates", erscheint ebenfalls der Ladekreis und im Output steht nur folgendes:

"*GOT REQUEST TO CHECK FOR UPDATES*"
Currently running OPNsense 23.1 at Fri
Jan 27 17:48:42 CET 2023
Fetching changelog information, please
wait...
fetch: transfer timed out
Llpdating OPNsense repository catalogue...

Unbound läuft als DNS, keine DNS-Server in System -> Settings -> General hinterlegt. DNS Lookup funktioniert ohne Probleme (via GUI). Ein Lookup auf pkg.opnsense.org spuckt sofort den A und AAAA Record aus.

Alle Dienste laufen, es findet sich lediglich ein Fehler in Log Files -> General:

opnsense   /usr/local/etc/rc.bootup: The command '/usr/local/etc/rc.d/strongswan onestop' returned exit code '1', the output was 'strongswan not running? (check /var/run/daemon-charon.pid).'

Reboot habe ich bereits mehrfach durchgeführt, keine Veränderung.

Nachdem ic

Can you show more of your client config? You don't need to censor anything other then the private key and the server address.

Nix spezielles.. Beispiel vom Windows Client:

Name: Peer1
Public Key: VH2Yp1Yo7wWWgUbFU4hv4DMj9NupwN3++DJ5oM2y2lg=
[Interface]
PrivateKey = XXXXXXX
Address = 10.20.30.2/24
DNS = my.local.unbound.dns.ip

[Peer]
PublicKey = 7NhL4ej1pKZowbChrJG8+QrGEFw+Gv/rcRTLZCn1PD4=
PresharedKey = XXXXXXXXX
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = mydomain.de:59999

Verwende ich einen Wireguard Server im LAN/VLAN (VM oder LXC) abseits von OPNsense mit entsprechendem NAT auf die IP, funktioniert alles ohne Probleme...

Der Port in der Config des Peers ist gesetzt:

[Peer]
PublicKey = XXX
PresharedKey= XXX
Allowed IPs = XXX.XXX
Endpoint = mydomain.de:59999

Oder bezieht sich das auf den Endpoint Port in der Config von WG auf der Sense?

Hallo zusammen.

Ich bekomme keinen Handshake im Wireguard Setup auf der Sense mit den Clients hin.

Grundlegendes zum Setup:

- OPNsense 22.7.4-amd64
- Die Sense sitzt als "Exposed Host" hinter 2 FritzBoxen (Option "Block private Networks" ist im jeweiligen WAN-Interface [WAN1 & WAN2] deaktiviert)

Das Setup habe ich nach dem offiziellen HowTo durchgeführt. Also von der Installation des Plugins, anlegen von Local und Endpoints, WG-Interface ohne IP, entsprechende Regel auf WAN, Restart des Wireguard Servers, usw. Der einzige Unterschied ist der IP-Bereich (10.20.30.0/24 anstatt 10.10.10.0/24) sowie der Port (59999). Sowohl das Subnet als auch der Port werden anderweitig weder auf der Sense noch im dahinterliegenden LAN/VLAN verwendet.

Der Client scheint sich auch zu verbinden, allerdings findet (wie im Titel erwähnt) kein Handshake statt. Der Client (mit Windows, Android und iOS getestet) sendet brav, bekommt aber nix zurück.

Laut Packet Capture kommt auch auf Port 59999/UDP des WAN etwas an:

09:32:16.137290 IP XX.XX.XX.XX.22941 > 192.168.24.1.59999: UDP, length 148

Das wiederholt sich gleichbleibend ohne Änderung in der Paketgröße, solange der verbundene Client den Handshake versucht.

Bin etwas ratlos  :-\

Danke im Voraus  8)

Danke, funktioniert wie gewünscht  ;)

Salut!

Besteht in Unbound die Möglichkeit, für einen Host multiple IPs zu hinterlegen?

Hintergrund: ein Software-Anbieter fragt beim Start seines Programms den Lizenzstatus über eine Subdomain ab, hinter der aber 5 verschiedene IPs liegen. 2-3 von denen sind aber regelmäßig down, das habe ich über ein Monitoring die letzten Wochen verfolgen können.

Das Problem: fragt die Software beim Start die Subdomain ab und diese wird in diesem Monat gegen eine der nichterreichbaren IPs aufgelöst, bricht das System ins Essen. Man hätte ja auch einfach 5 Subdomains in den Code setzen können, welche nacheinander abgefragt werden. Aber diese Notwendigkeit sieht der Anbieter nicht...

Kurzum: wäre das im Unbound der Sense möglich? Also das ich einen Override für diese Domain erstelle, welche auf 2 der 5 IPs verweist?

Danke im Voraus und ein schönes Wochenende 😊

Ich denke, dass ein genauerer Netzwerkplan vielleicht hilfreicher wäre (inkl. VLANs, falls verwendet). Ebenso ein Auszug aus Deiner PVE NIC config aus /etc/network/interfaces.