Messages

Weiß hier jemand einen Supporter, der sich mit den OPNsense-Internas auskennt? Ich hab eben beim Händler, wo wir das Gerät gekauft hatten, und bei einem anderen angefragt, aber beide kennen sich nicht mit dem SW-Stack aus.

So, wir haben das Problem auf jeden Fall auf die FW eingegrenzt.

Ich hatte Anfang der Woche testweise ein neues VLAN eingerichtet und ein WLAN, was über das neue VLAN geht. Es funktionierte auch ganz gut. Alle Testrechner haben ganz normal Netz bekommen. Nach zwei Tagen fingen die Probleme wieder an. Mein Mac bekam schon nach 2 Tagen keinen Zugriff auf den DHCP mehr. Andere Rechner betraf es erst später. Mein Test-Dell (Windows) hatte in einem 2-Tage-Dauertest einen einzigen einsekündigen Aussetzer. Dann ging plötzlich auch bei dem nichts mehr.

Wir hatten uns dann via SSH auf der Kiste umgesehen und haben festgestellt, daß der letzte Eintrag im dhcpd.log vom 25.2. war und mit Zeichenmüll endet. Im Web-Interface bekommt man alle aktuellen Zugriffe auf dem DHCP zu sehen.

:/

Ich hab noch eine kleine Ergänzung:

Wir haben bei uns Ubiquiti-Accesspoints. Ich hatte sie so übernommen wie sie waren und hab da auch nie groß draufgeschaut. In den letzten Monaten kamen vermehrt Kollegen auf den Plan, daß das deren Rechner sporadisch kein Netz mehr haben. Von wenigen Sekunden bis "WLAN manuell deaktivieren und wieder aktivieren". Bei den allermeisten keine Probleme, bei manchen alle par Wochen mal und bei 2-3 teilweise mehrfach am Tag.

Ich hab heute Abend mal die APs alle gleichgezogen (warum auch immer gab es hier und da kleinere Unterschiede in der Konfiguration) und dabei das eine oder andere Feature deaktiviert, was zu Problemen mit manchen Geräten führen könnte, sowie probehalber von 160 auf 80MHz umgeschaltet.

Jetzt bekommt mein Test-Dell auch nach einem "ipconfig /release && ipconfig /renew" sofort eine Verbindung, auch nach mehrfacher Wiederholung.

Ach so: es hatte sich Montag und heute herausgestellt, daß unsere Surfacebooks trotz des "/release + reboot"-Tricks nicht dazu bringen lassen im internen WLAN Netz zu bekommen. Bin gespannt, ob des die Geräte morgen schaffen.

Was für ein merkwürdiges Gemengelage aus Switch + APs...

Habs auch endlich gerade gefunden (wie blind kann man sein?). Ich hab bei der Gelegenheit die Logfile-Größe deutlich hochgeschraubt. Ich hatte nur die letzten 20 Minuten im Log sehen können.

Moin,

gibt es irgendeine Möglichkeit die Logs besser dargestellt zu bekommen? Ich versuche gerade herauszufinden wieso die IPsec-Subnets zu einem bestimmten Standord ständig abbrechen. Leider bekomme ich nur einen viel zu kurzen Zeitraum im IPsec-Log (in der Web-GUI) angezeigt, selbst wenn ich auf die konkrete Connection (z.B. con3) filtere.

Bietet vielleicht irgendein Plugin eine bessere GUI? Oder muß ich dafür jetzt immer per SSH auf die Kiste?

moin, was ist dein host (linux, windows mac)?

macOS 10.14.6

wie virtualisierts du (kvm, virtualbox, parallels, vmware)?

Parallels 13

wie hast du bei den virtuellen rechner das netzwerk konfiguriert?

Bridged

Die VM verhält sich auch genau so wie der Dell, mit dem ich getestet habe. Ich hab das gleiche Verhalten auch von einem anderen Dell und einem Lenovo bestätigt bekommen.

Es scheint übrigens so zu sein, daß der Rechner nach dem Wecken immernoch volles Netz hat. Das hab ich allerdings nur von einem Kollegen so bestätigt bekommen.

Es wirkt so, als wenn die Switches da einen Anteil haben. Ich hatte...

1. die Firewall und Switches rebootet -> keine Besserung
2. die Firewall von 19.7.7 auf 19.7.10 gebracht -> keine Besserung
3. die Ubiquiti EdgeSwitches von 1.8 auf 1.8.3 (der Zwischenschritt ist nötig) auf 1.9 gebracht -> Besserung

Die Lösung ist es nicht, aber schon sowas wie ein Workaround. Die Rechner starten und bekommen vom DHCP ihre Daten. Nach dem Login denkt Windows noch (laut Tray-Icon), daß es Internet hat. Wenn ich jetzt aber versuche das Gateway zu pingen, bekomme ich nur Timeouts. Nach einer Weile (1-3min) gehen die Pings aber durch und ab da steht das Netz.

Ich hab das bislang an 2 Rechnern und einer VM beobachten können. Jetzt bleibt wohl nur noch der Weg über Wireshark.

Die Switches agieren derzeit rein als Switches. Kein DHCP oder sonst irgendwelche Features sind aktiviert.

Ein Neustart der Switches und der Firewall hat nichts gebracht. Auch nicht das Update auf 19.7.10 nicht.

Bei der Gelegenheit bringe ich die Switches auch gleich auf den neuesten Stand (ich denke aber nicht, daß das Besserung bringen wird).

Ich bin jetzt ein bisschen weiter (bislang an einer gebridgten VM getestet und von einem echten Rechner Teilbestätigt):

Wenn ein Rechner hochfährt, bekommt er vom DHCP die korrekten Daten. Ab hier kann der Rechner den DHCP/Gateway nicht mehr erreichen. Ein "ipconfig /renew" erreicht den DHCP nicht. Die Maschine kann angepingt werden und andere Rechner anpingen – abgesehen vom Gateway.

"Witzigerweise" kann der Switch und der WLAN-AP hängt ebenfalls nicht gepingt werden. Vom Host, auf dem die VM läuft erreiche ich alles.

Lokale Firewalls oder Proxy-Eintragungen sind nicht vorhanden. Nachher werde ich alle Netzwerk-Geräte mal neustarten. Wenn das immer noch nichts bringt, muß ich wohl mit Wireshark ran.

Bin aber für Ideen immernoch offen. :)

Moin ihrs,

wir haben hier seit Montag das Problem, daß wir unterschiedliche Problembilder bzgl. Windows-Laptops haben. Während die Linux- und macOS-Clients scheinbar keinerlei Probleme haben, bieten die Windows-Laptops folgende Varianten:

• Rechner bekommt kein Internet und kann nicht mal die Firewall pingen.
• Rechner bekommt Internet und hat soweit keinerlei Verbindungsprobleme.
• Rechner bekommt übers Gäste-WLAN Internet, aber nicht über das Interne.

Die Rechner beziehen alle die korrekten Daten vom DHCP.

Intern-WLAN: 172.17.0.0/16
Gast-VLAN: 172.18.0.0/16

Ich bin jetzt schon so oft durch die Settings gegangen, daß ich überhaupt nichts mehr sehe. Ich wüsste jetzt auch keine Daten, die ich hier posten könnte, ohne hier gleich alles zu droppen.

Hat hier irgendwer eine Idee, wo man noch schauen könnte? Die Logs sind (für mich) wenig hilfreich, da betreffend der Rechner kaum vorhanden. :/

Ach ja: OPNsense 19.7.7 (ja, ich müsste mal Updaten, aber ich hatte bislang noch keine Zeitz das außerhalb der Bürozeiten zu machen.

Was benötigt ihr noch für Infos?

EDIT: OPNsense-Version von 17.x auf 19.x gepimpt :)

So, ich bin dem Problem nicht auf die Spur gekommen. Ein Upgrade auf 19.1.1 hat nicht geholfen. Ich hab die Kiste komplett neu aufgesetzt (18.7) und hab die Settings wieder eingespielt. Jetzt läuft wieder alles wie es soll.

Falls hier jemand eine Idee hat, was da schiefgelaufen sein könnte... irgendwann muß ich das Gerät ja updaten.

Die OPNsense Quad Core scheint tatsächlich gestorben zu sein. :/

Bislang finde ich nur Postings, die sagen, daß man diese Ausgaben ignorieren kann – würde ich ja gerne, wenn die Tunnel (fast 20) wenigstens da wären. Ich hab eben die IPsec-Konfig, neu eingespielt, aber das hilft nicht.

Was ein sch... ich hab eben unsere zukünftige Slave-OPNsense in Betrieb genommen und von 18.7.x auf 18.7.10 geupdated. Leider will IPSec nicht mehr hochkommen.

Code Select Expand

Feb 15 19:49:26 ipsec_starter[6599]: ipsec starter stopped
Feb 15 19:49:26 ipsec_starter[6599]: charon refused to be started
Feb 15 19:49:26 ipsec_starter[6599]: charon has quit: integrity test of libstrongswan failed
Feb 15 19:49:26 ipsec_starter[5976]: no known IPsec stack detected, ignoring!
Feb 15 19:49:26 ipsec_starter[5976]: no KLIPS IPsec stack detected
Feb 15 19:49:26 ipsec_starter[5976]: no netkey IPsec stack detected
Feb 15 19:49:26 ipsec_starter[5976]: Starting strongSwan 5.7.1 IPsec [starter]...

Hat da jemand eine Idee?

PS: und weil das ja nicht reicht, will der Master nicht mehr starten. da regt sich nichts mehr. Er lief ewig durch, dann hab ich den via Web-Interface heruntergefahren und ist nun tot. :(

Nur mal kurz als Rückmeldung: ich hab es erstmal gelassen. Ich warte wohl erstmal, ob das bald mal offiziell kommt. Oder ich hab mal Zeit dafür – jenachdem, was zuerst kommt. :)

Moin moin, so wie es ausschaut, komme ich jetzt endlich dazu mich mit den Firewalls zu beschäftigen. Da beide (Master: OPNsense Quad Core und Slave: OPNsense A10) neu aufgesetzt werden, wäre es ja nett, die Systeme gleich auf ZFS zu installieren.

"ZFS guided installation pending" klingt ja durchaus so, daß das manuell schon ginge.

Hat das hier schon jemand gemacht? Der Installer von 18.7 bietet es einem ja noch nicht an. Macht das der von 19.1 und wie gut läuft die RC1 schon? (Ich hab bislang selten schlechte Erfahrungen mit Betas und RCs gemacht.)