Messages

@combo The firewall wouldn't even see traffic on the same subnet. That would be layer 2 traffic only.
There's something you're not telling us about your setup. Post pics of your network layout.

Thanks Demusman
Attached the network situation. All IPs manually an in Subnet 255.255.255.255. Router and DNS-Server 192.168.1.1.

All you see on this layout has been worked well many months. Regular updates on the iMac and OPNsense. I have the feeling that either the Mac OS 12.6.1 > 2 > 3 Update or the last few OPNsense updates are causing my problems. Updating OPNsense today onto 23.1_6 was not solving.

Again, if I switch the iMac onto WLAN via the Timecapsules AP there is all green in the firewall live log.

Thanks again for any help.
Christian

• Here is a Mac OS X Server (really old, El Capitan 10.11.6, Server 5.2) with serveral services running (all the years)
• OPNsense 22.7.11 running unbound as DNS server
• Apple TimeCapsule running WiFi access
• iMac M1 OS X 12.6.3

Problem
OPNsense firewall is blocking traffic from iMac to Server over LAN/Ethernet suddenly. Not happening with connections from outside over WAN and connections over the local WiFi AP. AFP file sharing and VNC remote access are suffering. Calendar and addressbook services are not affected noticeably.

1st AFP and VNC connections establish fast. Browsing the servers directories is fast until the connection gets stucked and the iMac shows the rainbow spinning wheel. VNC is running well, looses connection and is reconnecting itself after some different length of timeout.

Looking the OPNsense firewall live log shows the same (see attachments): 1st connection, some time running well, then suddenly blocking by Default deny / state violation rule. Waiting some time could establish a reconnection if my iMac is not freezing himself meanwhile in the save-as dialog of an open document.

Until now
This setup has been running over years with the last changes to the firewall maybe 20 month back. Updating OPNsense and Mac OS regularly. Absolutely no troubles before the OPNsense last main update and before the iMac's Mac OS 12.5/6.

Any idea, where I have to start fixing? Thanks in advance.

Merci vielmals für die Erläuterung.
Ich staune, da Source 1.1.1.1 ist und ich mit Cloudflare in keiner Verbindung stehe.
Entweder löst eine mir nicht bewusste interne Config diesen Traffic aus, oder Cloudflare pingt meine öffentliche IP einfach alle 30 Sek. an?

Unklar ist mir auch, was es bedeutet, wenn im Log als 'Interface' em0 eingetragen ist. Sonst wird alles im Log mit LAN oder WAN deklariert.

Liebe Grüsse Christian

Nach etlichem Suchen leider noch nicht fündig geworden.

Meine FW blockt und logt exakt alle 30 Sekunden obenstehenden Eintrag.
Leider bin ich in diesen Sachen ziemlich Anfänger und verstehe soweit, dass es sich um Multicast handelt und dass die Source 1.1.1.1 Cloudflare ist. Es ist mir nicht bewusst, dass ich irgendwo in meiner Umgebung Cloudflare bzw. 1.1.1.1 konfiguriert hätte.

Eine Idee, ob ich irgendwo etwas falsch eingestellt hätte bzw. wie ich das eliminieren kann?

Merci im Voraus. Christian

Könnte das in dieselbe Problematik fallen, wie meines hier?
https://forum.opnsense.org/index.php?topic=10496.0

Sorry im Voraus falls ich da etwas durcheinanderbringen sollte und mehr Verwirrung als Lösung beitrage. Bin leider genau in solchen Dingen nicht wirklich der Hirsch.

Liebe Grüsse Christian

Hallo zusammen

OPNsense an PPoE (fixe IP) und dahinter einen Mac Mini mit OS X Server sowie einen Raspberry Pi mit FreePBX am laufen. Funktioniert alles nach Wunsch, mit kleinen Schwierigkeiten wie das hier:

Nach einem Reboot der OPNsense kann der Asterisk der FreePBX sich beim SIP-Provider nicht mehr registrieren. Die internen Nummern funktionieren, auch von ausserhalb der FW.

Beim Suchen bemerkte ich, dass die OPNsense in Firewall > Diagnostics > States Dump die IP des SIP-Providers gelistet hat. Und wenn ich die beiden Einträge (In und Out glaube ich) manuell lösche, registriert sich die PBX gleich wieder ganz nach Wunsch.

Kann jemand daraus lesen, was bei mir in der OPNsense Config noch fehlt, damit dies künftig nicht mehr passiert?

Lieben Dank im Voraus. Christian


BTW: Ich habe den Raspberry in Unbound DNS > Host Overrides als voip.meinedomain.ch auf seine IP eingetragen. Dieser A-Record ist auf dem DNS meines externen Web-Hostings eingetragen.

Christian

Perfekt! Dank deiner Hilfe läuft es nun prima.  :)

dig office.domain.com gab mir 8.8.8.8 zurück, wohl weil ich auf dem iMac als DNS-Server 8.8.8.8, 8.8.4.4, 192.168.1.1 eingetragen hatte. Nun habe ich als DNS-Server einzig noch 192.168.1.1, also die OPNsense drin und das haut hin.

Sehe ich richtig, dass ich den DNS auf dem OS X Server nun eigentlich abschalten könnte? Der war mit der ZyWall nötig, um im LAN mit dem Hostnamen arbeiten zu können. Aber das regelt ja nun Unbound DNS.

Ich danke und hoffe, mich mal hier revanchieren zu können.

Liebe Grüsse. (Auch) Christian

Danke für deine schnelle Antwort chrs.

Ich hatte den Override drin, wieder draussen usw. Hat nichts verändert.

Aber mit dem Terminal-Command: host office.domain.com aus dem LAN (iMac) erhalte ich mit und ohne Override-Eintrag stets die fixe IP Adresse meines WAN. Das ist doch schon mal eine Spur. Nur weiss ich nicht weiter. Im Anhang drei Screenshots.

Ich habe eine alte Zywall USG20 durch OPNsense auf einer J800-Box ersetzt und bin mit dem erweiterten Umfang und der besseren Performance sehr zufrieden. Beim DNS-Setup schwimme ich jedoch auch nach Tagen noch in Problemen.

Situation
- Externe Nameserver beim Domain-Hoster mit Eintrag office.domain.com > fixe IP vom FTTH
- Anbindung via PPPoE an FTTH
- OPNsense 18.7.6-amd64 Box mit em0/WAN, em1/LAN
- 8-Port Switch

Im LAN am Switch und somit hinter der OPNsense sind angeschlosssen
- Mac Mini OS X Server 3.6 mit AFP, VNC, CalendarServer, AddressbookServer, DNS-Server
- Raspbery Pi 3 mit FreePBX
- iMac
- TimeCapsule als TimeMachine und WiFi AP
- HP Drucker

OPNsense
- NAT Port Forwarding für die entsprechenden Dienste, z. B. AFP > 192.168.1.60 (OS X Server)

Damit z. B. auf dem iPhone der Kalenderserver auswärts wie auch im Büro läuft, habe ich auf dem OS X Server DNS ebenfalls konfiguriert. Heisst ich konnte per office.domain.com von auswärts wie auch von intern auf den OS X Server zugreifen.

Neu mit OPNsense hat der Zugriff von aussen ohne viel Mühe funktioniert. Intern will es aber einfach nicht klappen. Aufrufe vom im LAN stehenden iMac per office.domain.com werden einfach nicht geroutet. Per IP Adresse klappt es.

Nach Stunden der Sucherei und Probiererei habe ich OPNsense's UnboundDNS und Dnsmasq sicher arg ver-konfiguriert, weiss selbst nicht mehr, was standardmässig eingestellt war. Aktuell habe ich Dnsmask deaktiviert und UnboundDNS inkl. 'Enable Forwarding Mode' aktiviert.

Ich bin in Sachen DNS leider totaler Anfänger und blicke da nur wenig durch. Mit der ZyWall hatte das ohne weiteres funktioniert. Kann mir jemand auf die Sprünge helfen? Grossen Dank im Voraus.

Christian