"
Danke @JeGr
Besser hätte man es nicht beschreiben können ;D
Besser hätte man es nicht beschreiben können ;D
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
#1
German - Deutsch / Re: Erfahrungen mit Intel Celeron CPU's mit IPS/IDP
February 15, 2021, 07:27:21 PM #2
German - Deutsch / Re: IPsec Site2Site Problem - Traffic läuft trotz SPD-Eintrag nur kurz wie gewünscht
February 15, 2021, 09:22:18 AM
Danke für deine Antwort :)
Nutzt du da auch SPD-Einträge?
Die FritzBox auf der Gegenseite kann man ja eigentlich ausschließen oder?
Nachdem "Schluckauf" geht ja der Traffic eben nicht mehr über das IPsec Interface, sondern über das WireGuard Interface, dies ist ja auf der OPNsense definitiv ersichtlich - daher sehe ich den Fehler hier auf der OPNsense, gerade auch wegen diesem omniösem Schluckauf....
Der "Schluckauf" müsste doch auch irgendwo in den Logs der OPNsense zu finden sein ???
Nutzt du da auch SPD-Einträge?
Die FritzBox auf der Gegenseite kann man ja eigentlich ausschließen oder?
Nachdem "Schluckauf" geht ja der Traffic eben nicht mehr über das IPsec Interface, sondern über das WireGuard Interface, dies ist ja auf der OPNsense definitiv ersichtlich - daher sehe ich den Fehler hier auf der OPNsense, gerade auch wegen diesem omniösem Schluckauf....
Der "Schluckauf" müsste doch auch irgendwo in den Logs der OPNsense zu finden sein ???
#3
German - Deutsch / Re: IPsec Site2Site Probleme - Tunnel funktioniert nur ein paar Stunden
February 15, 2021, 08:22:22 AM
So, zumindest steht der Tunnel selbst zur FritzBox wieder stabil - das Hauptproblem mit dem Traffic vom WireGuard Tunnel besteht weiterhin...
Hat keiner eine Idee?
Hat keiner eine Idee?
#4
German - Deutsch / Re: IPsec Site2Site Probleme - Tunnel funktioniert nur ein paar Stunden
February 14, 2021, 11:04:11 AM
Ich habe DoT konfiguriert und nicht DoH - über Vorteile/Nachteile kann man sicher auch streiten;)
Habe jetzt am Tunnel den Mode von Main auf Agressive geändert, mal schauen ob er jetzt wieder stabiler läuft...
Das andere Problem mit dem WireGuard Traffic sollte nichts mit dem Moder oder DoT/DoH zu tun haben...
Habe jetzt am Tunnel den Mode von Main auf Agressive geändert, mal schauen ob er jetzt wieder stabiler läuft...
Das andere Problem mit dem WireGuard Traffic sollte nichts mit dem Moder oder DoT/DoH zu tun haben...
#5
German - Deutsch / Re: Port Freigabe VoIP Telekom & Kameras SMTP
February 13, 2021, 05:44:52 PM
Sorry,
aber du solltest dir erstmal bei den Basics sicher sein, bevor du hier weiter machst...
Du wirbelst hier SMTP und SMB durcheinander und wirfst jetzt auch noch den jDownloader mit rein :o
Es gibt kein Handbuch auf Deutsch, nur die englische Doku...
Frage mich ernsthaft, warum du unter diesen Voraussetzungen - deine Skills und die quasi erzwungene Nutzung des Hybrid-Speedports - eine OPNsense betreibst? Dies birgt aufgrund des Doppel-NATs eh schon mehr Probleme mit sich, als du eh schon hast...
Welche Vorteile/Verbesserungen erhoffst du dir denn vom Einsatz der OPNsense, speziell an diesem Anschluss?
Soll kein Angriff sein, sondern nur eine ernstgemeinte Frage....
aber du solltest dir erstmal bei den Basics sicher sein, bevor du hier weiter machst...
Du wirbelst hier SMTP und SMB durcheinander und wirfst jetzt auch noch den jDownloader mit rein :o
Es gibt kein Handbuch auf Deutsch, nur die englische Doku...
Frage mich ernsthaft, warum du unter diesen Voraussetzungen - deine Skills und die quasi erzwungene Nutzung des Hybrid-Speedports - eine OPNsense betreibst? Dies birgt aufgrund des Doppel-NATs eh schon mehr Probleme mit sich, als du eh schon hast...
Welche Vorteile/Verbesserungen erhoffst du dir denn vom Einsatz der OPNsense, speziell an diesem Anschluss?
Soll kein Angriff sein, sondern nur eine ernstgemeinte Frage....
#6
Virtual private networks / IPsec Site2Site problems - tunnel works only a few hours
February 13, 2021, 02:51:38 PM
Hello,
hoping the get some help here too - it's the translated thread from there:
https://forum.opnsense.org/index.php?topic=21489.0
I'll skip the problematic part now, because the actual problem has been solved and the goal has been reached:
https://forum.opnsense.org/index.php?topic=21385.0
Starting point: The IPsec Site2Site tunnel to the remote FritzBox is up and running, and it can also be reached from the local W(LAN) of the OPNsense, as well as from the WireGuard network due to the SPD entry.
This works for a few hours, until this ominous hiccup, where there seem to be local DNS problems - the devices in the (W)LAN of the OPNsense then report no Internet access.
After the hiccup the IPsec tunnel doesn't work properly anymore, the SPD entry is still there but the traffic from the WireGuard VPN doesn't go through the IPsec interface anymore - sometimes the whole IPsec tunnel breaks down and I have to restart the OPNsense and maybe even the remote FritzBox to rebuild the tunnel :-\
I wonder where the error devil is hidden here, I haven't configured anything unusual - Unbound DNS runs with DNS over TLS, otherwise I can't think of anything else that could play a role here.
Has anyone ever had similar problems and/or a tip for me?
Thanks and best regards
If you need further information, feel free to ask :)
Kind regards
hoping the get some help here too - it's the translated thread from there:
https://forum.opnsense.org/index.php?topic=21489.0
I'll skip the problematic part now, because the actual problem has been solved and the goal has been reached:
https://forum.opnsense.org/index.php?topic=21385.0
Starting point: The IPsec Site2Site tunnel to the remote FritzBox is up and running, and it can also be reached from the local W(LAN) of the OPNsense, as well as from the WireGuard network due to the SPD entry.
This works for a few hours, until this ominous hiccup, where there seem to be local DNS problems - the devices in the (W)LAN of the OPNsense then report no Internet access.
After the hiccup the IPsec tunnel doesn't work properly anymore, the SPD entry is still there but the traffic from the WireGuard VPN doesn't go through the IPsec interface anymore - sometimes the whole IPsec tunnel breaks down and I have to restart the OPNsense and maybe even the remote FritzBox to rebuild the tunnel :-\
I wonder where the error devil is hidden here, I haven't configured anything unusual - Unbound DNS runs with DNS over TLS, otherwise I can't think of anything else that could play a role here.
Has anyone ever had similar problems and/or a tip for me?
Thanks and best regards
If you need further information, feel free to ask :)
Kind regards
#7
German - Deutsch / IPsec Site2Site Problem - Traffic läuft trotz SPD-Eintrag nur kurz wie gewünscht
February 13, 2021, 08:42:47 AM
Hallo,
ich gliedere jetzt den problematischen Part mal aus, denn das eigentliche Problem wurde ja gelöst, bzw. das Ziel erreicht:
https://forum.opnsense.org/index.php?topic=21385.0
Ausgangspunkt: Der IPsec Site2Site Tunnel zur entfernten FritzBox steht, und diese ist auch auch dem lokalen W(LAN) der OPNsense zu erreichen, sowie aus dem WireGuard Netz dank SPD-Eintrag.
Dies funktioniert jeweils ein paar Stunden, bis zu diesem ominösen Schluckauf, bei dem es scheinbar lokale DNS-Probleme gibt - die Geräte im (W)LAN der OPNsense melden dann nämnlich kein Internetzugang.
Nachdem Schluckauf funktioniert der IPsec-Tunnel dann nicht mehr richtig, der SPD-Eintrag ist zwar noch vorhanden aber der Traffic aus dem WireGuard VPN geht dann nicht mehr über die IPsec Schnittstelle - teilweise bricht auch der ganze IPsec-Tunnel zusammen und ich muss die OPNsense und ggf. sogar die FritzBox neustarten um den Tunnel wieder aufzubauen :-\
Ich frage mich wo hier der Fehlerteufel versteckt ist, habe ja eigentlich nichts ungewöhnliches konfiguriert - Unbound DNS läuft mit DNS over TLS, ansonsten fällt mir ad hoc nix weiter ein was hier mit reinspielen könnte.
Hat jemand schonmal ähnliches gehabt und/oder einen Tip für mich?
Danke und beste Grüße
ich gliedere jetzt den problematischen Part mal aus, denn das eigentliche Problem wurde ja gelöst, bzw. das Ziel erreicht:
https://forum.opnsense.org/index.php?topic=21385.0
Ausgangspunkt: Der IPsec Site2Site Tunnel zur entfernten FritzBox steht, und diese ist auch auch dem lokalen W(LAN) der OPNsense zu erreichen, sowie aus dem WireGuard Netz dank SPD-Eintrag.
Dies funktioniert jeweils ein paar Stunden, bis zu diesem ominösen Schluckauf, bei dem es scheinbar lokale DNS-Probleme gibt - die Geräte im (W)LAN der OPNsense melden dann nämnlich kein Internetzugang.
Nachdem Schluckauf funktioniert der IPsec-Tunnel dann nicht mehr richtig, der SPD-Eintrag ist zwar noch vorhanden aber der Traffic aus dem WireGuard VPN geht dann nicht mehr über die IPsec Schnittstelle - teilweise bricht auch der ganze IPsec-Tunnel zusammen und ich muss die OPNsense und ggf. sogar die FritzBox neustarten um den Tunnel wieder aufzubauen :-\
Ich frage mich wo hier der Fehlerteufel versteckt ist, habe ja eigentlich nichts ungewöhnliches konfiguriert - Unbound DNS läuft mit DNS over TLS, ansonsten fällt mir ad hoc nix weiter ein was hier mit reinspielen könnte.
Hat jemand schonmal ähnliches gehabt und/oder einen Tip für mich?
Danke und beste Grüße
#8
German - Deutsch / Re: PPPoE / O2 / Vigor / keine IP
February 13, 2021, 08:18:38 AM
@loni78
In welchem Modeus läuft dein Vigor? Router oder Bridge?
Stell ihn mal auf Bridge und deaktiviere die VLAN Insertion, dies machst du auf der OPNsense:
Unter Interfaces/Other Types/VLAN legst ein neues Interface mit VLAN Tag 7 an und verknüpfst es mit der Schnittstelle die zum Vigor geht...
Dann schau mal bitte was unter Point-to-Point an Devices angezeigt wird, dann schauen wir weiter;)
In welchem Modeus läuft dein Vigor? Router oder Bridge?
Stell ihn mal auf Bridge und deaktiviere die VLAN Insertion, dies machst du auf der OPNsense:
Unter Interfaces/Other Types/VLAN legst ein neues Interface mit VLAN Tag 7 an und verknüpfst es mit der Schnittstelle die zum Vigor geht...
Dann schau mal bitte was unter Point-to-Point an Devices angezeigt wird, dann schauen wir weiter;)
#9
German - Deutsch / Re: Entferntes Subnet (IPSec Site2Site) via WireGuard Roadwarrior erreichen
February 12, 2021, 02:10:23 PM
Mittlerweile wird nicht mal mehr der IPsec-Tunnel aufgebaut, selbst nach Reboot der OPNsense...
€dit:
Nach Reboot der FritzBox steht der IPsec Tunnel wieder und der Traffic aus dem WireGuard geht auch erstmal wieder über den IPsec Tunnel - erstmal ;D
€dit:
Nach Reboot der FritzBox steht der IPsec Tunnel wieder und der Traffic aus dem WireGuard geht auch erstmal wieder über den IPsec Tunnel - erstmal ;D
#10
German - Deutsch / Re: Entferntes Subnet (IPSec Site2Site) via WireGuard Roadwarrior erreichen
February 12, 2021, 10:37:14 AM
So, das Problem ist wieder da, seit wann weiss ich nicht, der Hänger war vermutlich nachts...
Der Eintrag unter "VPN: IPsec: Security Policy Database" ist noch vorhanden...
Sehr merkwürdig :o
Der Eintrag unter "VPN: IPsec: Security Policy Database" ist noch vorhanden...
Sehr merkwürdig :o
#11
German - Deutsch / Re: Entferntes Subnet (IPSec Site2Site) via WireGuard Roadwarrior erreichen
February 11, 2021, 08:01:24 PMQuote from: lfirewall1243 on February 11, 2021, 07:08:15 PM
Auf welcher Version bist du
Bei 20.7.x gab es meine ich Mal Unbound Probleme
21.1.1 - die OPNsense wurde letzte Woche sauber mit 21.1 aufgesetzt...
Quote from: Gauss23 on February 11, 2021, 07:10:16 PM
Hast Du für WireGuard ein Interface unter Interfaces: Assignments angelegt? Wenn ja, evtl mal mit "Prevent interface removal" testen. Vielleicht klappt ja kurz die WireGuard Verbindung zusammen und das Interface verschwindet kurz. Damit dann vielleicht auch die Routen dahin...nur so ein Gedanke.
Angelegt ja, aber nur um den kompletten Traffic zu tunneln, wie hier beschrieben:
https://wiki.opnsense.org/manual/how-tos/wireguard-client.html#step-2c-assignments-and-routing
Interface ist auch nicht aktiv (sehe also keinen separaten Eintag unter Firewall/Rules) und vorm Löschen geschützt...
#12
German - Deutsch / Re: Entferntes Subnet (IPSec Site2Site) via WireGuard Roadwarrior erreichen
February 11, 2021, 06:59:06 PM
Hätte ich nach deinem Hinweis mit dem SPD-Reiter auch gemacht :)
Nun heisst es warten 8)
Vermute aber mal ganz stark, dass der zweite Eintrag dann verschwunden ist...
Aber fällt dann kurzzeitig gleich das ganze DNS aus?
Ist im Unbound was falsch konfiguriert?
Nun heisst es warten 8)
Vermute aber mal ganz stark, dass der zweite Eintrag dann verschwunden ist...
Aber fällt dann kurzzeitig gleich das ganze DNS aus?
Ist im Unbound was falsch konfiguriert?
#13
German - Deutsch / Re: Entferntes Subnet (IPSec Site2Site) via WireGuard Roadwarrior erreichen
February 11, 2021, 06:49:56 PM
Jap sorry, hatte den Vigor im Netzwerkplan vergessen - ist jetzt aber drin und auch hier in dem Post mit angehangen.
Der Vigor läuft im FullBridge Modus - also nur als "dummes" Modem...
Genau, es funktioniert eine ganze Weile, bis es zu diesem omiösen "Schluckauf", wo der Zugang zum Internet für die Clients quasi ausfällt. Nach einem Reboot der OPNsense geht es erstmal wieder...
VPN: IPsec: Security Policy Database schaut momentan so aus --> Anhang VPN_SPD.png
Momentan klappt der Zugriff via WireGuard auch wie gewünscht...
Der Vigor läuft im FullBridge Modus - also nur als "dummes" Modem...
Genau, es funktioniert eine ganze Weile, bis es zu diesem omiösen "Schluckauf", wo der Zugang zum Internet für die Clients quasi ausfällt. Nach einem Reboot der OPNsense geht es erstmal wieder...
VPN: IPsec: Security Policy Database schaut momentan so aus --> Anhang VPN_SPD.png
Momentan klappt der Zugriff via WireGuard auch wie gewünscht...
#14
German - Deutsch / Re: Entferntes Subnet (IPSec Site2Site) via WireGuard Roadwarrior erreichen
February 11, 2021, 06:36:48 PM
Ups, der Vigor fehlt ja zwischen OPNsense und WAN - wird geändert :)
#15
German - Deutsch / Re: Port Freigabe VoIP Telekom & Kameras SMTP
February 11, 2021, 06:28:17 PM
Du nutzt also den Hybridmodus des Speedports auch?
Sonst hätte ich das Teil als "dummes" Modem umkonfiguriert und dann sollte es auch klappen...
Sonst hätte ich das Teil als "dummes" Modem umkonfiguriert und dann sollte es auch klappen...
