Messages

Moin,

hab mal im Unraid Forum rumgeschaut und ich meine es so verstanden zu haben, dass die Docker Container keine IPv6 zugewiesen bekommen, wenn man noch eine Local Link (das mit dem fe80) Gateway da stehen hat.

Deswegen vermute ich jetzt mal eine Fehlkonfiguration von IPv6 in meinem Netzwerk...

Ich hab hier mal soweit alles zusammengetragen:

https://1drv.ms/u/s!AjCPxlBgJL6FiawFmE7QHn-zS_2MFw?e=P7hf9Y

Nur mit der 6RD Konfiguration bekommt mein WAN_6RD eine IPv6 zugewiesen. Bei DHCPv6 bekommt er keine...

Erkennt ihr vielleicht einen Fehler? Ich bin mit IPv6 nicht so fit...

Gruß Technix

Moin,

ich würde gerne einen Service von außerhalb erreichbar machen. Da ich am Anschluss nur über IPv6 in mein Netzwerk komme und mein Service bzw. alle Server intern nur IPv4 Adressen haben, brauche ich anscheinend sowas wie einen IPv6 zu IPv4 Reverse Proxy o.ä.

    Mein Service           IPv4                                                 IPv6
+-------------------+                +-------------------------+
| Docker Server     | <====>  | Virtual Server / Proxy |   <===> DMZ
| With IPv4 Only   |                  | with IPv6                  |
+-------------------+                +-------------------------+

Mir wurde schon an anderer stelle gesagt, dass es mit haproxy gehen würde. Ich habe das Plugin hinzugefügt, jedoch sehe ich nicht wie man sowas damit realisieren könnte...

Siehe Anhang, dort hab ich mal versucht was zu erstellen, jedoch bekommt der öffentliche Dienst keine IPv6. Müsste nicht irgendwo eine erstellt werden über diese dann geroutet wird?

Vielleicht hat ja noch jemand eine Idee wie man sowas realisieren könnte?

Gruß Technix

[verbliebene Fragen:]

Moin,

so hab nochmal etwas rumprobiert und ich habe mittlerweile mit DHCPv6 auch IPv6 Adressen zugewiesen bekommen. Mit 6rd ging das zwar auch, wird wohl aber demnächst von DG nicht mehr unterstützt.
Mit 6rd hatte mein Gateway WAN_DHCP6 eine IPv6 zugewiesen bekommen und mit DHCPv6 bekommt jetzt mein WAN und bspw. DMZ Interface IPv6 Adressen.

siehe auch hier: https://1drv.ms/u/s!AjCPxlBgJL6FiaszuuoydU4vE-U5pA?e=anBR0J

Wenn ich die IPv6 Adressen Pinge sehe ich das in der Firewall bei Liveansicht auf der wan Schnittstelle. Soweit scheint das IPv6 also erstmal zu funktionieren / anzukommen.

Was ich noch nicht ganz verstehe ist, dass bei Gateway WAN_DHCP eine andere IP steht als die IPv4 wie ich bei z.B. wieistmeineip.de sehe. Ich vermute mal, dass ich somit keine eigene IPv4 habe (die shared IP) und deswegen auch keine blocks auftauchen, wenn ich diese anpinge o.ä.

verbliebene Fragen:

Kann die Opnsense auch Anfragen die an eine IPv6 gehen an eine IPv4 routen? Wenn der Service keine IPv6 unterstützt müsste man das ja irgendwie umrouten. Quasi ein eigener Tunnel im Netzwerk.

Kann man bei der Ipv6 Prefix ID irgendeine Zahl eintragen? Ich kann auf zwei Interfaces nicht die selbe Zahl benutzen. Was muss man da beachten?

Gruß Technix

mehr passte nicht in den Anhang...

[Lösung]

Moin,

das mit dem VLAN 1 hatte ich umgestellt und hat weiter super funktioniert. Dein Text war sehr hilfreich^^

Das mit den Access Points habe ich mittlerweile hinbekommen, wenn auch nur durch Zufall. Da ich im Internet nichts dazu gefunden habe, hier meine Lösung:

TP-Link AP auf einen Untagged Port für VLan Management am Switch anschließen (angenommen der Controller für die AP hat dort auch seine IP). Dann über den Omada Controller den AP übernehmen.

Einstellungen im Omada Controller:

- Management VLan aktivieren und die ID eintragen
- für die weiteren WLANs die man erstellt können die jeweils anderen VLan IDs eingetragen werden, z.B.:

Wireless Settings -> Add: Dort alles Einstellen und dabei SSID Broadcast enabled, Wireless VLAN enabled und die ID dazu eintragen.

An dem Punkt hat man z.B. SSID "Wlan10" mit Vlan 10 und die APs sind noch im Management VLan 200 (weil der Port noch Untagged ist). Erstellt man ein SSID "Wlan200" im Vlan 200 hat man über diesen Zugang zum Internet, über alle anderen jedoch nicht.

An der Stelle habe ich am Switch den Port vom AP für jeden Vlan als Tagged markiert (also in dem Beispiel Vlan200 und Vlan10 als Tagged). So funktioniert es super!

Vielleicht nicht besonders gut beschrieben, aber vielleicht hilft das irgendwann jemanden...


Soweit so gut... aber ein paar Fragen habe ich noch:

Verbleibendes Problem:

Ich möchte einen Service von außen erreichen (ähnlich wie VPN ins Heimnetzwerk). Da ich einen deutsche Glasfaser Anschluss habe, wurde mir mitgeteilt, dass ich einen Shared IP Anschluss habe und das es trotz dem kein Problem wäre in mein Netzwerk zu kommen. Anleitung von DG im Anhang wie man sowas hinbekommen sollte.

Fragen:

Ich habe meine externe IPv4 (obwohl ich eine IPv6 haben sollte). Wo kommen da die Anfragen an? Bzw. kann ich sehen ob diese überhaupt irgendwo geblockt wurden? Laut Anleitung sollte das nur mit IPv6 gehen...

Reicht es aus den Port im WAN freizuschalten und im Nat eine Portweiterleitung vom WAN ins DMZ Vlan zu erstellen?

Gruß Technix

[Die Lösung war (siehe auch Anhang) :Dienste -> Unbound DNS -> Allgemein -> DNS Abfrage-Weiterleitung (Häckchen setzen) Weiterleitungsmodus aktivieren]

Moin,

ich habe von einem netten Kollegen Hilfe bekommen und dabei hat es sich rausgestellt, dass die Opnsense die Anfragen teilweise lokal auflösen wollte bzw. er dort keine Antwort bekommen hat.

Die Lösung war (siehe auch Anhang) :

Dienste -> Unbound DNS -> Allgemein -> DNS Abfrage-Weiterleitung (Häckchen setzen) Weiterleitungsmodus aktivieren

Jetzt funktioniert nicht nur das auflösen der Anfragen schneller, sondern auch das VOIP und die deutsche Glasfaser Seite ist wieder erreichbar.

^^ die Freischaltungen waren tatsächlich nur zum testen da und der Hinweis mit Vlan 1 war gut, dass musste ich noch ändern :)

und die letzten zwei:

und noch ein paar Anhänge:

Ok, ich habe hier mal meine Opnsense Config hochgeladen:

https://1drv.ms/u/s!AjCPxlBgJL6FiYlLJdsWKlZfI3hidQ?e=P1gwwU

(Name, Passwörter und Secrets wurden entfernt). Hoffe da ist weitestgehend alles drin.

Habe auch den Haken mal entfernt^^, hat aber nichts geändert...

Ansonsten noch die Anhänge:

Ich hatte mal die Google DNS eingetragen, allerdings bin ich mir jetzt nicht mehr sicher ob das richtig war (siehe Anhang).

Allerdings steht bei der WAN Schnittstelle als DNS-Server 185.22.44.50 und 185.22.45.50  (sollte die deutsche Glasfaser DNS sein)...

Die DG hat geschrieben, dass sie eine Störung hatten und jetzt sollte es funktionieren ... tut es nicht. Schätze das muss ein Fehler bei mir sein, allerdings kann ich ihn mir immer noch nicht erklären...

Moin,
hab mal einen Netzwerkplan angehängt.

— läuft die Sense auf Blech oder als vm

Ja, auf einem APU2, OPNsense 19.1.10_1-amd64. Dieser hängt hinter dem NT von DG und die Geräte hängen alle hinter dem Switch. PC und Basisstation mit Lankabel an Untaged Ports VLAN1 (Privat).

— Bilder deiner Konfiguration:
—— wan Interface
—— Firewall regeln die du konfiguriert hast

Bei der Firewall habe ich unter fließende Regeln und WAN keine Regeln (Liste ist leer). Von Privat ist oben ein Anhang, ansonsten nur noch Restriktionen im Guestnetz...
Bild vom Wan Interface im Anhang.

Gruß Technix

Moin,

hier etwas kurioses was ich mir nicht erklären kann:

Mein Internetanbieter ist die deutsche Glasfaser und dort wollte ich eigentlich heute das VoIP einrichten, da ist mir folgendes aufgefallen:

Die Webseite ich nicht erreichbar. Egal welche Seite ich aufrufen möchte (Kundenportal, Startseite), kommt folgende Meldung:
Die Website ist nicht erreichbar
Die Server-IP-Adresse von www.deutsche-glasfaser.de wurde nicht gefunden.
DNS_PROBE_FINISHED_NXDOMAIN

Alle anderen Webdienste (Onedrive, Netflix, YT, Mails, Github, Ebay) funktionieren einwandfrei. Zeitgleich kann ich mit meinem Handy über mobile Daten die Webseite von der DG erreichen!? Wenn ich in mein Wlan wechsel, wieder nicht. Ich habe das mit 4 Geräten im Netzwerk ausprobiert, überall mit dem selben Ergebnis.

Dann habe ich in opnSense Diagnose-> Ping: deutsche-glasfaser.de
und siehe da:
# /sbin/ping -c '3' 'deutsche-glasfaser.de'
PING deutsche-glasfaser.de (185.22.44.179): 56 data bytes
64 bytes from 185.XX.XXX.XXX: icmp_seq=0 ttl=61 time=10.711 ms
64 bytes from 185.XX.XXX.XXX: icmp_seq=1 ttl=61 time=13.019 ms
64 bytes from 185.XX.XXX.XXX: icmp_seq=2 ttl=61 time=9.989 ms

Was kann denn da schief gelaufen sein? Ist das eine Fehlkonfiguration in opnSense? Oder kann das nicht am Router liegen? Kann das auch der Grund sein, weshalb ich mich mit der VoIP Basis nicht beim Provider anmelden kann?

Gruß Technix

[EDIT:Hier hatte ich ein DNS Problem: https://forum.opnsense.org/index.php?topic=18593.0Das hat auch meinen Fehler hier behoben...]

So, jetzt ist die Leitung freigeschaltet und es funktioniert nicht.

Um welches gerät handelt es sich denn wirklich?

Es geht um das Gerät C430A GO, da hab ich mich oben vertan (hab es angepasst).

Ich verstehe allerdings nicht wieso die Anmeldung fehl schlägt. Mittlerweile habe ich auf dem Lan (Privat) mit * alles freigeschaltet oder nicht? (siehe Anhang) Also liegt das Problem vlt an dem NAT? Zumindest komme ich mit den Geräten aus dem zweier Netz auf jedes andere Netzwerk (intern) und auf externe Webseiten/Services (nur halt voip geht noch nicht).

Telefone und Basis sind im 192.168.2.XXX Netz, die Anmeldedaten habe ich richtig angegeben und die Einstellungen der Basis sind immer noch die selben wie oben^^

Eine FW-Regel auf dem entsprechenden LAN Interface ausgehend (UDP) für Port 5060 (to: ANY oder den Servern, die dir dein Provider nennt)

Eine FW-Regel auf dem entsprechenden LAN Interface ausgehend (UDP) für Port 15000-40000 oder was dir dein Provider nennt für die entsprechenden Server.

Dies müsste doch nach meinem Verständnis mit der Einstellung (Anhang) abgedeckt werden, oder?

Edit: Ach ja, Provider ist die deutsche Glasfaser

Gruß
Technix


EDIT:

Hier hatte ich ein DNS Problem: https://forum.opnsense.org/index.php?topic=18593.0
Das hat auch meinen Fehler hier behoben...

[Mein Netzwerk:]

Moin,

Gliederung:
1. Mein Netzwerk
2. Problemdarstellung
3. Eigentliches Ziel & Unklarheiten


Mein Netzwerk:
Ich habe hier im Forum gelesen mann sollte sein Netwerk (nach best practice) wie folgt aufteilen:
https://forum.opnsense.org/index.php?topic=5202.0

PRIVAT_VLAN               ( -> bei mir 192.168.2.1 - 192.168.2.254)
MANAGEMENT_VLAN     ( -> bei mir 192.168.5.1 - 192.168.5.254)
GUESTNET_VLAN          ( -> bei mir 192.168.200.100 - 192.168.200.200)

Da VLAN Konfigurationen mir neu sind habe ich mein LAN Interface auf igb0 gelassen und die VLAN Interfaces wie folgt eingestellt (siehe interfaces.PNG)

Die Firewall hab ich erstmal so konfiguriert, dass ich mit meinem PC vom 192.168.1.1, 192.168.2.1 und  192.168.5.1 Netzwerk auf alles zugreifen kann. Das funktioniert soweit auch (z.B. PC mit 192.168.2.2 greift auf OPNsense 192.168.1.1 zu). DHCP Server sind jeweils auch aktiviert.

Physisch sieht das Netzwerk so aus (siehe Netzwerk.png)

Das GUESTNET Interface habe ich nach dieser Anleitung eingerichtet:
https://docs.opnsense.org/manual/how-tos/guestnet.html?highlight=guest
alle anderen sind analog, nur mit offenen Firewall Regeln und ohne Inet Drosselung usw.

2. Problemdarstellung
Ich habe den Router am Switch Port 1 angeschlossen und die Port wie folgt konfiguriert:
ID      Name          tagged Port              untagged Port
1        default        1                             2 - 5, 7 - 11
5        VLAN 5        1                             6, 12 - 16
10      VLAN 10      1                             

Damit sind die APs und der Controller im 192.168.5.XXX Netz.

Im EAP Controller für die APs habe ich versucht die Wireless Setting-> Edit SSID mit VLAN 1 und VLAN 10 (GUESTNET) zu erstellen (siehe tplinkvlan.png)

Wenn ich nun mit dem Telefon im Netzwerk bin, bekomme ich jedoch kein Internet und die Interne IP 192.168.1.105.
Mit dem Server / NAS kann ich jedoch aus 192.168.5.3 (VLAN 5) mit ping google erreichen.

Ich habe keinen Port als Trunk markiert, da ich nicht wirklich weiß, wann man das brauch, da dieser so weit ich verstanden habe zum verbinden von zwei Switches benutzt werden kann um VLANs auszutauschen.


Eigentliches Ziel & Unklarheiten
Trennung vom Gast-, Privaten- und Management-Netzwerk.
Ich habe versucht in etwa sowas zu erstellen (siehe wantNetwork.png).


Was mir noch nicht ganz klar ist:

- Braucht man noch das Interface LAN? Hab gelesen mann sollte lieber nur VLANs nutzen...

- Wieso erkennt der Switch eigentlich nicht, welche VLANs es gibt, wenn er diese doch anhand der Pakete vom Router erkennen müsste?

- Wenn ein AP im Vlan 5 ist, wie stellt er dann die wireless Netzwerke für VLAN 1 und 10 zur Verfügung: Müssen die Ports an dem der AP Steckt auf Trunk gestellt sein oder reicht es VLAn 1 und 10 als tagged zu markieren?

Leider weiß ich nicht mehr weiter, vielleicht hat hier ja noch jemand eine Idee?

Hier noch mal ein Bild... sollte alles sein was ich eingestellt habe. Hab zwischendurch immer mal neugestartet, hat nix gebracht.

Ach ja, DG erreicht -> Anschluss ist noch nicht freigeschaltet  -.-