Messages

Checked the sshd_config (why is this not in /etc/ssh ...) and it's the same as the firewall, that does not kick me out. Still thanks for pointing me towards it.

To be clear: This is NOT about idle, that would be understandable. I also get kicked out while doing something on the shell and that's always after 10-15 minutes.

Setup is HA with master slave, master works fine and SSH session still open after the weekend and more than 3 days idle, slave kicks me out after 10-15 minutes.

Doing ssh -vvv:
...
debug1: client_input_channel_req: channel 0 rtype keepalive@openssh.com reply 1
debug3: send packet: type 100
debug3: receive packet: type 98
debug1: client_input_channel_req: channel 0 rtype keepalive@openssh.com reply 1
debug3: send packet: type 100
debug3: send packet: type 1
packet_write_wait: Connection to <ip> port 22: Broken pipe

When connecting to a opnsense box via SSH the connection is closed after 10-15 minutes, even while working on something. So this has nothing to do with idle.

On another opnsense box (same hardware) this is no issue and SSH stays open for hours.

So I guess there is sime config to set to get rid of the SSH disconnects, but I don't find them. Any hints where to search?

Thanks

Danke für den Hint mit unbound DNS, dort sind auch einige Optionen hinsichtlich DNS Forwarder, die ich testweise abgestellt habe, hat allerdings auch nichts gebracht:
DHCP Static Mappings (Register DHCP static mappings in the DNS Resolver)
Pv6 Link-local (Register IPv6 link-local addresses in the DNS Resolver)
DHCP Registration (Register DHCP leases in the DNS Resolver)

Zudem haben wir wohl eine veraltete Version:
Versions    OPNsense 18.7.5_1-amd64
FreeBSD 11.1-RELEASE-p14
OpenSSL 1.0.2p 14 Aug 2018

Mal ganz grundsätzlich: An welcher Stelle wird denn der DNS Push zum DNS Forwarder geregelt? Sprich die statisch hinterlegten DHCP-Einträge zum DNS Server gepusht?

Ist letztlich nur eine kosmetische Sache, aber trotzdem eine nervige.

Hallo,

auf unserem internen nameserver tauchen eine Menge solche Logeinträge auf:
Apr  2 13:31:39 nameserver named[28637]: client <ip-address>#50339: view internal: update '<domain>/IN' denied

Was logisch ist, da unsere Firewall keine DNS Informationen in die Zone pushen soll.

Ich gehe stark davon aus, dass man dieses Pushen auch deaktivieren kann, nur wo?

Ich habe bereits unter Services -> DNSmasq DNS -> Settings -> Optionen "Register DHCP leases in DNS forwarder" und "Register DHCP static mappings in DNS forwarder" entfernt bzw. abgehakt.

Zum besseren Verständnis:
Die Firewall dient als Abschottung unseres Office-Netzes zum restlichen Netzwerk und stellt dabei per DHCP den Office-Rechnern IP-Adressen.

DNS kommt aber von unserem nameserver bzw. von der Firewall, die hierfür unseren nameserver fragt (und das auch darf).

Nur eben das Pushen der DHCP-Informationen in die DNS-Zone benötigen und wollen wir nicht, denn die Netze sind strikt getrennt.