Messages

Danke für deine Antwort. Habs ausprobieren wollen, aber leider ganz raff ichs nicht.

Mit der Outbound funktionierts im LAN-Netzwerk. Aber nicht mit Wireguard von einem anderen Netz. Weiterhin das Problem.
und die One-to-One NAT Regel kann ich nicht eintragen weil ich nicht ganz weiß wo ich was wie eintragen soll.

Darf ich noch um Hilfe bitten?

zuerst mal großes Danke für deine Antworten!

Habe versucht die One to One NAT zu machen. Oder meintest du Port Forward NAT?

Ich krig aus dem Wireguard-Netz nicht mal einen Ping zu dem Client, also als würde die OpnSense das nicht dorthin routen.
Das ganze IPSec-Netz ist nicht erreichbar.

Hab das Gefühl als wäre es weniger etwas mit NAT als überhaupt das Wireguard-Netz weiterleiten zu lassen.
Tracert gibt mir nur als erstes die Opnsense an und danach nur mehr Zeitüberschreitungen.

Kann ich kontrollieren, wo meine aus dem Wireguard-Netz Pakete hingehen?

Hm, habe das versucht nur fehlen mir dort die Angaben zu machen?
Firewall-> One to One NAT ? Wenn ich das versuche kommt bei mir: "External subnet should match internal subnet." bei External Network

Wenn ich ein Wireguard-Netz verwende (also zweite Instanz), das anders ist als das interne Subnetz-IP-Adressen, dann funktioniert es weiterhin nicht. Mit dem Wireguard-Netz was die IP-Adressen nutzt wie das LAN-Netzwerk, dann funktioniert es.

Versteh ich irgendwie weiterhin nicht.

Ich versteh das nicht ganz so wirklich:
Hab das Wireguard-Netzwerk ins LAN-Netzwerk mit den IPs gesetzt:
192.168.123.200/24 und .201/32 der erste Client.

Hat sofort funktioniert.
Auch das Outbound SourceNAT funktioniert sofort.

Nur ganz versteh ichs nicht. per IP-Adressen würd ichs verstehen aber widerstrebt das nicht dem Verständnis unterschiedlicher Netze/Netzwerke in OpnSense? Wieso funktioniert es dann nicht mit einem anderen IP-Netz in Wireguard? Ist da eine Bridge zu setzen oder eine Route?

Hi!
Finde dazu sonst im Forum und im Internet nix und es könnte eine einzigartige Netzwerk-Anforderung sein.

Über einen IPSec-Tunnel gibt es 2 Netzwerke:
Lokales Subnetz: 192.168.123.1/24
Remote-Netzwerk 172.20.20.1/16

Das Remote-Netzwerk hat nur einen Host, der freigeschaltet ist: 172.20.20.100 und der funktioniert nur von der IP 192.168.123.100

Damit das ganze lokale Subnetz Zugriff hat, haben wir die OpnSense auf 192.168.123.100 gesetzt und eine Outbound Source-NAT zu 172.20.20.100 gemacht. So werden alle Anfragen an den Remote-Computer von 192.168.123.100 gesendet und alle haben Zugriff, nicht nur der die eine IP-Adresse.

Das funktioniert auch.

Jetzt will ich zusätzlich externen Clients Zugriff geben und habe Wireguard gemacht mit IPs 10.0.0.1/24.
Die Wireguard-CLients haben aber keinen Zugriff auf 172.20.20.100 0der 172.20.20.1 (Remote-Firewall).
Ich glaube, das deswegen weil in den IPSec-Einstellungen bei Phase2 das Lokale Subnet als lokales Subnetz angegeben ist. Das kann ich auf Wireguard-Netzwerk ändern und schon funktioniert der Zugriff. Und zwar sogar aus beiden Netzen, lokal und per wireguard.

Wird die Opnsense neugestartet, gibts dann aber keinen Zugriff mehr, weder lokal noch per wireguard. Außerdem können Wireguard-CLients gar nicht ins Internet. Das Problem behebe ich immer indem ich eine Wireguard-Firewall Regel die alles erlaubt deaktiviere und aktiviere und schon funktioniert es wieder.

Es sollten ALLE Anfragen an 172.20.20.100 als 192.168.123.100 rausgehen. Lokales Subnetz als auch Wireguard.
Lokal funktioniert es wegen in IPSEC-Einstellungen das lokale Subnetz angegeben wird, aber dann gehts nicht per Wireguard.

Wie löse ich das Problem, sodass ALLE Netze zu 172.20.20.100 zugreifen können und das per Outbound Source-NAT als 192.168.123.100 ?
Ich komme leider nicht auf die Lösung und glaube, das Problem muss trivial einfach sein?

Lg, R

Kann man eigentlich das Legacy UI jetzt schon deaktivieren oder zumindest ausblenden?
Bin vor einem halben Jahr zu Opnsense migriert und direkt alles auf Instances umgesetzt. das Legacy UI ist daher nur störend.... :)

Neuer User in Opnsense anlegen und diese Punkte ausblenden. Danach nur mehr mit dem User mit eingeschränktem Zugriff arbeiten.

Stimmt, hat zuerst nicht funktioniert. Erst mit dem später manuell hinzugefügten Endpoint. Dank deiner Nachricht Endpoint nochmals gelöscht, getestet und funktioniert immer noch.

Thread - solved.
Vielen Dank!

Hi!

Weiß nicht genau ob ich da einen Fehler mache:
im Peer Generator sind alle Daten korrekt hinterlegt. Sobald ich auf  Store and generate next klicke, wird der Eintrag zu den Peers hinzugefügt.

Jedoch im neu hinzugefügten Peer fehlt Endpoint Adress und Endpoint Port im Peer. Der wurde mir korrekt im Generator angezeigt.

Liegt hier in Fehle bei OpnSense vor oder mache ich was falsch?

als Lösung:
Habe OpnSense neu aufgesetzt und Config eingespielt. Funktioniert wieder tadellos. Somit Update damit übergangen und funktioniert wieder.
Ob das wegen dem SGX war ist eine gute Vermutung, werden wir eher nicht erfahren weils schon gelöst wurde und die Option für mich nicht umgestellt werden konnte weil kein Bios-Zugriff möglich war.

Hi,
danke für deine Antwort. Habe mich beim OS verschaut, es ist ein Win2012R2 als Hyper-V.
Da gibts das Feature noch nicht. In den Rollen/Features ist auch derartiges nicht verfügbar.
Es scheint beim Arbeitsspeicher jedoch so eine Ram-Funktion aktiviert zu sein:

0x80200000-0x85F7FFFF   Software Guard Extensions Device   OK

Falls es etwas derartiges sein könnte, wüsste ich nicht bescheid. Ins Bios des Servers kommt ich leider nicht, das Management-Interface wurde damals nicht aufgesetzt/initialisiert bzw. das Login-Pwd wurde mir nicht mitgeteilt. Kommt dank deines Posts auf die Todo-Liste, das hatte ich bisher nicht weiter verfolgt.

Ob es eine Ram-Protection sein könnte?

Unterschied zu anderen Servern: Es wird meinerseits immer nur ein nackter Win-Server aufgesetzt und nach ein paar Updates sofort Hyper-V aktiviert, mit dem dann weiter alles gemacht wird. Insofern gäbe es sonst keine Einstellungen. Auf diesem Server speziell ist noch ein Raid-Controller installiert, jedoch die virtuelle Festplatte liegt nicht auf dem Raid-Controller. Die Opnsense-Vhdx liegt auf einer Samsung-SSD-EVO mit SATA-Anschluss ohne Raid-Option.
Unterschiede dürfte es damit auch keine nennenswerten geben.

Hi!

Die Fragen hier beziehen sich irgendwie auf die Software von OpnSense und weniger auf den Kernel-Fehler, der mit Opnsense ja nix zu tun hat?
Auch die Frage zur Virtualisierung ist deplatziert kommt mir vor - wenn jetzt alles funktioniert und bisher die Updates funktioniert haben, hats doch damit nix zu tun.

Eine Neuinstallation und Einspielen der Konfig hat das Problem gelöst.
Insofern hats irgendwas mit der bestehenden Maschine zu tun. Entweder Festplatte voll oder irgendeine unix-Einstellung nicht richtig oder sonst etwas.

Es ist Generation1, kein Uefi, sondern MBR. Alles low-level und simple. Alles standard installiert, also mit Option1.

Daher war meine Frage eher, ob ich irgendwas überprüfen kann, wenn so ein Kernel-Fehler ist oder irgendwas an der Maschine checken kann, bevor ich das Update mache.
So ein Kernel-Fehler hat ja nix mit Opnsense zu tun als mit dem dahinterliegenden Betriebssystem und da hätt ich keine Ahnung was da los ist. War bisher auch die einzige Opnsense-Maschine von mittlerweile 10 Updates bei 8 unterschiedlichen Kunden.

Schade, dass ich da hilflos bin und nicht weiter weiß und das nicht nur auf mich zutrifft. Ist kein Vorwurf an die anderen, danke für die Rückmeldungen, aber die einzige passende Rückmeldung war dann eher die Neuaufsetzen und Konfig einspielen auch wenn mich die andere Seite zum Rausfinden des Fehlers mehr interessiert hätte.

Thema damit gelöst, Neu-Installation war nötig.
Vielleicht hat jemand sonst dasselbe Problem und dann kann mans rausfinden, aber für mich war mal die Option die Lösung.

Danke dir für die Rückmeldung.
Also ich hab dasselbe bei sehr vielen anderen Kunden, hab dort überall das Update gemacht und überall gehts.

Dass somit der Hypervisor schuld wär oder was damit zu tun hätte, würde ich sehr stark bezweifeln. Dieselbe Konfig ist bei anderen auch. Daher hab ich bei diesem einen Kunden ebenso das Update gemacht nur bei bei diesem einen Kunden happerts und kommt sowas.

Kann man rausfinden, wie ein Kernel-Error oder sowas zustande kommt? Oder hieße das, dass das Update nicht richtig durchläuft? Oder ist das zuviel Aufwand herauszufinden und einfacher, Opnsense neu aufzusetzen und Konfig einspielen?

Ich würde nicht verstehen, was hier anders ist als bei anderen Kunden. Es gibt 1x LAN, 1x WAN und ein paar Nat-Regeln. Aus-Ende, also nix großartiges sondern super simpel.
Mainboard ist ein Supermicro wie bei anderen, Cpu ein Xeon wie bei anderen, Ram ist Ram und Ssd bleibt Ssd. Und die Hardware ist eh nur zweitrangig weil durch Hyper-V bekommt jede Maschine nur eine Hyper-V-Hardware und die ist eigentlich sogut wie auch überall die gleiche.

Mich würde das schon sehr interessieren, was hier los ist. Alle übrigen Hyper-V Maschinen laufen wie immer, alles gut, alles normal.
Sowas wie SFC /SCANNOW gibts in Opnsense vermutlich nicht, aber kann man Integrität oder irgendwie irgendwas prüfen ob mit Opnsense alles OK ist?

Hi!

Du siehst windows hyper-v dort, glaub version 2016. der HV tut aber was er soll, es funktioniert ja wie es soll mit 23.1.
Nur das Update danach bringt ihn in die Knie.

mit 23.7. startet alles normal wie immer, ich bekomm auch das Startbild von Opnsense zu sehen mit dem neuen Logo aber danach, ganz zu schluss schreibt er diese ganzen Zeilen an und startet neu, im Loop-Modus.

Was kann ich da tun, wenn sowas passiert mit Opnsense? Irgendwas anderes booten oder 2 oder 3 auswählen beim Bootvorgang? Safemode wenns einen gibt oder irgendwas?

Oder gibts irgendwelche Pre-Steps bevor ich das Update auf 23.7. mache? Vllt Speicher irgendwas löschen oder Protokolle löschen oder irgendwas?

Hi!
Leider so viel Linux hab ich nicht wirklich drauf, aber zumindest einen Screenshot konnte ich machen.
Update läuft sauber.
Sobald ich das Update von 23.1.1 auf 23.7., also das nächste Update, das mir in der Weboberfläche angezeigt wird, wird das Update brav runtergeladen und installiert und die Neustarts enden dann in einem Endlos-Loop.

Mehr versteh ich nicht, was kann ich dabei tun? Ich hab die Maschine noch im kaputten Zustand und hab mir zwischenzeitlich das Ganze als Backup mit der 23.1.1 wiederhergestellt und die funktioniert. Sobald aber das Update wieder gemacht wird, selbes Verhalten danach.

Was tun? Alles neu aufsetzen und Config von OpnSense einspielen?


search by image on phone

Also scheinbar ist eben eine NAT-Reflection nötig. Die kann bei der NAT-Rule auch eingestellt werden weiter unten in den Einstellungen. Dort steht DEFAULT und default ist eben nicht eingeschaltet, außer das Hackerl ist in den Advanced-Settings gesetzt.
Das Hackerl kann also auch in der NAT-Rule gesetzt werden.

Das was wirklich gefehlt hat, war die Outbound-NAT-Rule und die kann scheinbar mittels dem 3. Hackerl in den Advancved-Settings gesetzt werden wenn mans nicht selbst setzen kann weil mans nicht weiß oder nicht richtig setzt.
Somit: bei mir ist mal nur das dritte Hackerl für Automatic outbound NAT for Reflection gesetzt, die oberen zwei Einstellungen sind nicht aktiviert. Das wird dann pro NAT-Rule aktiviert.

Lg und Ende von mir