Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Messages - effe

Pages: [1]

German - Deutsch / Re: nach Update auf 22.x Internet für Proxmox-VLAN-VMs stark eingeschränkt

« on: April 05, 2022, 03:59:52 pm »

Also du bist der Held des Tages und ich krieg die Krise...!!!

Mal probehalber das Parent-IF erstellt und siehe da - es läuft...!

Also wenn ich im Nachhinein drüber nachdenke, dann macht das schon Sinn, dass ein Parent-IF vorhanden ist.
Fragt sich nur, warum das bis zur 21.7 auch ohne funktionierte!?!

Hab grad noch ein bissl getestet...
Parent-IF disabled und sogar wieder gelöscht - die Kommunikation läuft dennoch perfekt weiter...
...Bis zum nächsten Neustart der Sense...

Nun gut - ich bin erstmal glücklich! Danke!

German - Deutsch / nach Update auf 22.x Internet für Proxmox-VLAN-VMs stark eingeschränkt

« on: April 05, 2022, 02:42:46 am »

Hallo,

ich habe nach dem Update auf 22.1 Probleme mit der Kommunikation von Proxmox-internen VMs über VLAN.
Geräte von außerhalb Proxmox funktionieren weiter perfekt.

Von der PVE-internen VM funktionieren DNS, tracerroute, ping problemlos, http/s funktioniert nicht.
Ich habe unter frischen PVE 6.x/7.x getestet - kein Unterschied.

Ich habe OPNSense 21.7 und 22.1 zum Test frisch installiert und konfiguriert. Die erzeugten Konfigurationsdateien ergeben im Vergleich keine relevanten Unterschiede.
Leider funktionieren sie unterschiedlich...

Für mich ist das momentan alles sehr unverständlich...

Meine Konfig als Bild gibts im Anhang.

/etc/network/interfaces:

Code: [Select]

auto lo
iface lo inet loopback

auto enp2s0
iface enp2s0 inet manual

auto enp1s0
iface enp1s0 inet manual
        ovs_type OVSPort
        ovs_bridge vmbr1

auto vlan010
iface vlan010 inet static
        address 10.185.10.1/24
        gateway 10.185.10.254
        ovs_type OVSIntPort
        ovs_bridge vmbr1
        ovs_options tag=10

auto vlan150
iface vlan150 inet static
        address 10.185.150.1/24
        ovs_type OVSIntPort
        ovs_bridge vmbr1
        ovs_options tag=150

auto vmbr0
iface vmbr0 inet dhcp
        bridge-ports enp2s0
        bridge-stp off
        bridge-fd 0
#red

auto vmbr1
iface vmbr1 inet manual
        ovs_type OVSBridge
        ovs_ports enp1s0 vlan010 vlan150 
#green,VLANs

OPNSense:
- alles Standard - keine besonderen Einstellungen
- nur 3 IF angelegt (Bild Anhang)

Ergebnis OPNSense 21.7:

Code: [Select]

root@s-otc-01-185:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1400 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 3a:c0:68:93:80:d6 brd ff:ff:ff:ff:ff:ff
    inet 10.185.150.201/24 brd 10.185.150.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::38c0:68ff:fe93:80d6/64 scope link
       valid_lft forever preferred_lft forever

root@s-otc-01-185:~# traceroute dns.google.
traceroute to dns.google. (8.8.4.4), 30 hops max, 60 byte packets
 1  OPNsense.localdomain (10.185.150.254)  0.254 ms  0.236 ms  0.266 ms
 2  192.168.254.254 (192.168.254.254)  0.844 ms  0.820 ms  0.795 ms
 3  loopback1.0003.acln.01.ber.de.net.telefonica.de (62.52.201.186)  11.432 ms  11.844 ms  11.811 ms
 4  bundle-ether17.0003.dbrx.01.ber.de.net.telefonica.de (62.53.2.110)  12.340 ms bundle-ether17.0004.dbrx.01.ber.de.net.telefonica.de (62.53.2.114)  12.283 ms bundle-ether17.0003.dbrx.01.ber.de.net.telefonica.de (62.53.2.110)  12.286 ms
 5  ae11-0.0002.corx.02.ber.de.net.telefonica.de (62.53.25.245)  13.358 ms  13.466 ms  14.388 ms
 6  ae20-0.0002.dbrx.02.ber.de.net.telefonica.de (62.53.0.91)  13.103 ms ae21-0.0002.dbrx.02.ber.de.net.telefonica.de (62.53.0.101)  12.320 ms ae20-0.0002.dbrx.02.ber.de.net.telefonica.de (62.53.0.91)  12.156 ms
 7  ae1-0.0001.prrx.02.ber.de.net.telefonica.de (62.53.4.155)  12.396 ms  11.829 ms  11.791 ms
 8  as15169.berlin.megaport.com (194.9.117.34)  30.656 ms  30.135 ms  30.198 ms
 9  108.170.241.193 (108.170.241.193)  33.566 ms 108.170.241.161 (108.170.241.161)  29.922 ms 108.170.241.129 (108.170.241.129)  29.996 ms
10  142.251.66.239 (142.251.66.239)  32.728 ms 142.251.48.175 (142.251.48.175)  29.199 ms 209.85.252.245 (209.85.252.245)  33.740 ms
11  dns.google (8.8.4.4)  31.886 ms  31.863 ms  31.994 ms

root@s-otc-01-185:~# wget http://adac.de
URL transformed to HTTPS due to an HSTS policy
--2022-04-05 00:12:05--  https://adac.de/
Resolving adac.de (adac.de)... 193.30.38.230
Connecting to adac.de (adac.de)|193.30.38.230|:443... connected.
HTTP request sent, awaiting response... 301 Moved Permanently
Location: https://www.adac.de/ [following]
--2022-04-05 00:12:05--  https://www.adac.de/
Resolving www.adac.de (www.adac.de)... 193.30.38.230
Connecting to www.adac.de (www.adac.de)|193.30.38.230|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 334316 (326K) [text/html]
Saving to: ‘index.html’

index.html                              100%[============================================================================>] 326.48K  --.-KB/s    in 0.1s

2022-04-05 00:12:05 (2.86 MB/s) - ‘index.html’ saved [334316/334316]

root@s-otc-01-185:~#

Ergebnis OPNSense 22.1:

Code: [Select]

root@s-otc-01-185:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1400 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 3a:c0:68:93:80:d6 brd ff:ff:ff:ff:ff:ff
    inet 10.185.150.201/24 brd 10.185.150.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::38c0:68ff:fe93:80d6/64 scope link
       valid_lft forever preferred_lft forever

root@s-otc-01-185:~# traceroute dns.google.
traceroute to dns.google. (8.8.4.4), 30 hops max, 60 byte packets
 1  OPNsense.localdomain (10.185.150.254)  0.328 ms  0.460 ms  1.058 ms
 2  192.168.254.254 (192.168.254.254)  1.055 ms  1.119 ms  1.144 ms
 3  loopback1.0003.acln.01.ber.de.net.telefonica.de (62.52.201.186)  12.325 ms  12.326 ms  12.466 ms
 4  bundle-ether17.0004.dbrx.01.ber.de.net.telefonica.de (62.53.2.114)  12.268 ms  12.410 ms bundle-ether17.0003.dbrx.01.ber.de.net.telefonica.de (62.53.2.110)  13.478 ms
 5  ae10-0.0002.corx.01.ber.de.net.telefonica.de (62.53.25.239)  13.668 ms ae11-0.0002.corx.01.ber.de.net.telefonica.de (62.53.25.241)  13.420 ms ae11-0.0002.corx.02.ber.de.net.telefonica.de (62.53.25.245)  13.723 ms
 6  ae21-0.0001.dbrx.02.ber.de.net.telefonica.de (62.53.0.99)  13.322 ms ae21-0.0002.dbrx.02.ber.de.net.telefonica.de (62.53.0.101)  11.831 ms ae20-0.0002.dbrx.02.ber.de.net.telefonica.de (62.53.0.91)  11.586 ms
 7  ae0-0.0001.prrx.02.ber.de.net.telefonica.de (62.53.4.153)  11.283 ms ae1-0.0001.prrx.02.ber.de.net.telefonica.de (62.53.4.155)  11.689 ms  11.647 ms
 8  as15169.berlin.megaport.com (194.9.117.34)  31.341 ms  30.266 ms  30.236 ms
 9  108.170.241.225 (108.170.241.225)  30.707 ms 108.170.241.161 (108.170.241.161)  29.817 ms  29.883 ms
10  209.85.252.245 (209.85.252.245)  34.387 ms 216.239.49.13 (216.239.49.13)  34.361 ms 142.251.48.175 (142.251.48.175)  30.163 ms
11  dns.google (8.8.4.4)  33.264 ms  33.237 ms  33.209 ms

root@s-otc-01-185:~# wget http://adac.de
URL transformed to HTTPS due to an HSTS policy
--2022-04-05 00:07:10--  https://adac.de/
Resolving adac.de (adac.de)... 193.30.38.230
Connecting to adac.de (adac.de)|193.30.38.230|:443... failed: Connection timed out.
Retrying.

--2022-04-05 00:09:22--  (try: 2)  https://adac.de/
Connecting to adac.de (adac.de)|193.30.38.230|:443...

Ich habe noch PacketCaptures von beiden Sensen angefügt.

Für Hilfe wäre ich sehr dankbar! $:-\$

Grüße
Effe

German - Deutsch / Re: eigenes Let´s encrypt Automation script

« on: February 02, 2020, 05:27:30 pm »

So, endlich gelöst...
Beim Copy&Paste in den vi werden die ersten Zeichen nicht mitkopiert, das hatte ich nicht bemerkt.
Das Log hat den Fehler offenbart...

German - Deutsch / Re: eigenes Let´s encrypt Automation script

« on: January 31, 2020, 02:25:32 pm »

als Ergänzung:
selbige action müsste doch auch unter Cron - Edit job -command sichtbar sein...
Warum ist es nicht da???

German - Deutsch / eigenes Let´s encrypt Automation script

« on: January 31, 2020, 03:28:48 am »

Moin,

ich versuche seit Tagen in "Services - Let´s Encrypt - Automation - Run command System or Plugin Command" ein eigenes script einzutragen...

Ich habe ein funktionierendes script unter /usr/local/opnsense/scripts/nextcloud/nc-upload-certs.sh.
Meine /usr/local/opnsense/service/conf/actions.d/actions_nextcloud.conf sieht so aus:

Code: [Select]

[nc-upload-certs]
command:/usr/local/opnsense/scripts/nextcloud/nc-upload-certs.sh
parameters:
type:script
message:copy certificates to NC-Server
description:Cloud-Server - Update Certificates

Theoretisch sollte nun nach "service configd restart" der Eintrag "Cloud-Server - Update Certificates" im o.g. Auswahlmenü erscheinen - tut er aber nicht...

Hat jemand einen entscheidenden Hinweis?
Danke schon vorab!

German - Deutsch / Re: Route für Telekom-SIP-Trunk

« on: November 13, 2019, 01:14:20 pm »

Quote

INOFFIZIELL:

217.0.128.0/21
217.0.0.0/19

Das ist schon mal super...

Quote

Besser wäre es für Telefone ein eigenes Netz oder Bereich zu verwenden, dann kannst du per Quell Adresse über die DTAG Leitung.

Die Telefonie ist ja grundsätzlich schon mal abgekoppelt vom Restnetz. Problem ist eben, dass 2 SIP-Provider vom 3CX-Server senden und jeweils unterschiedliche Gateways nutzen sollen. D.h. die Quelladresse ist immer gleich. Ich müsste also routen anhand von Quelle "ISO-Schicht SIP-Provider".

BTW, wie konfiguriere ich Routen per Quelladresse?

Wie lösen das andere? Ich bin doch sicher nicht der einzige mit Multi-WAN und Multi-SIP...

Evtl. über kaskadierende 3CX-Server? Also 2 SIP-Gateway-Server und hintendran den Haupt-3CX?

Fragen über Fragen...

German - Deutsch / Route für Telekom-SIP-Trunk

« on: November 13, 2019, 02:16:16 am »

Hallo,

ich habe keine Idee, wie ich den Telekom-SIP-Trunk-Traffic auf die separate Telekom-DSL-Leitung routen soll.
Hintergrund: DIESER Telekom-SIP-Trunk funktioniert nur auf der Telekom-Leitung.

Die Telekom stellt folgendes zur Verfügung:
Registrar: sip-trunk.telekom.de
Outboundproxy: reg.sip-trunk.telekom.de

Es geht schon mit der Namensauflösung los (mit Absicht mal den Google-DNS gewählt):

Code: [Select]

C:\Users\frank>nslookup reg.sip-trunk.telekom.de 8.8.8.8
Server:  dns.google
Address:  8.8.8.8

Name:    reg.sip-trunk.telekom.de

C:\Users\frank>nslookup -querytype=SRV reg.sip-trunk.telekom.de 8.8.8.8
Server:  dns.google
Address:  8.8.8.8

sip-trunk.telekom.de
        primary name server = dns00.dns.t-ipnet.de
        responsible mail addr = hostmaster.t-ipnet.net
        serial  = 2019110600
        refresh = 1800 (30 mins)
        retry   = 900 (15 mins)
        expire  = 7257600 (84 days)
        default TTL = 3600 (1 hour)

C:\Users\frank>nslookup -querytype=SRV _sip._tcp.reg.sip-trunk.telekom.de
Server:  vggr2-fw-11.wbm.int
Address:  10.15.10.240

Nicht autorisierende Antwort:
_sip._tcp.reg.sip-trunk.telekom.de      SRV service location:
          priority       = 10
          weight         = 5
          port           = 5060
          svr hostname   = d-ipr-a01.sip-trunk.telekom.de
_sip._tcp.reg.sip-trunk.telekom.de      SRV service location:
          priority       = 0
          weight         = 5
          port           = 5060
          svr hostname   = n-ipr-a01.sip-trunk.telekom.de
_sip._tcp.reg.sip-trunk.telekom.de      SRV service location:
          priority       = 1
          weight         = 5
          port           = 5060
          svr hostname   = n-ipr-a02.sip-trunk.telekom.de

C:\Users\frank>nslookup d-ipr-a01.sip-trunk.telekom.de 8.8.8.8
Server:  dns.google
Address:  8.8.8.8

Nicht autorisierende Antwort:
Name:    d-ipr-a01.sip-trunk.telekom.de
Address:  217.0.26.131


C:\Users\frank>nslookup n-ipr-a01.sip-trunk.telekom.de 8.8.8.8
Server:  dns.google
Address:  8.8.8.8

Nicht autorisierende Antwort:
Name:    n-ipr-a01.sip-trunk.telekom.de
Address:  217.0.26.67


C:\Users\frank>nslookup n-ipr-a02.sip-trunk.telekom.de 8.8.8.8
Server:  dns.google
Address:  8.8.8.8

Nicht autorisierende Antwort:
Name:    n-ipr-a02.sip-trunk.telekom.de
Address:  217.0.26.69

An der Stelle nun mal mein Netzwerk (vereinfacht):

Code: [Select]

       WAN Hauptleitung                   WAN Telekom                                                                                                                         
       10/10                              ADSL2+ 16/1 BNG                                                                                                                     
                |                         GW: 63.1.1.1 (Bsp.)                                                                                                                 
                |                                 |                                                                                                                           
                |                                 |                                                                                                                           
                |                                 |                                                                                                                           
                |                                 |                                                                                                                           
                |                                 |                                                                                                                           
       +--------|--------+               +--------|--------+                                                                                                                  
       | Router xxx      |               | DSL-Modem       |                                                                                                                  
       |                 |               | D-Link 321b     |                                                                                                                  
       |                 |               |                 |                                                                                                                  
       +-------------|---+               +--|--------------+                                                                                                                  
       GW: 93.1.1.65 |                      |                                                                                                                                 
                     |                      |                                                                                                                                 
                     |                      |                                                                                                                                 
                     |                      |                                                                                                                                 
                     |                      |                                                                                                                                 
                     |                      | PPPoe feste IP                                                                                                                  
       93.1.1.64/29  |                      | 83.1.1.1 (Bsp.)                                                                                                                 
+--------------------|----------------------|-----------------------------+                                                                                                   
|                    |                      |                             |                                                                                                   
|                    |                      |                 -           |                                                                                                   
|                    |                      |                             |                                                                                                   
|                    |                      | Telekom-Traffic             |                                                                                                   
|                    |                      ---------------------         |                                                                                                   
|                    |                                          |         |                                                                                                   
|                    |                                          |         |                                                                                                   
|                    |  Easybell-Traffic                        |         |                                                                                                   
|                    |------------------------------            |         |                                                                                                   
|                       Normal-Traffic              \           |         |                                                                                                   
|                                                    \          |         |                                                                                                   
|                                                     \         |         |                                                                                                   
+---------------++---------------++---------------++---\--------|---+     |                                                                                                   
|   VLAN10      ||  VLAN20       || VLAN30        || VLAN200        |     |                                                                                                   
|10.10.10.254/24||10.10.20.254/24||10.10.30.254/24||10.10.200.254/24|     |                                                                                                   
|               ||               ||               ||                |     |                                                                                                   
+-----|---------++---------------++---------------++--------|-------+-----+                                                                                                   
      |                                                     |                                                                                                                 
      |                                                     |                                                                                                                 
      |                                                     |                                                                                                                 
      |                                                     |                                                                                                                 
      |                                                     |                                                                                                                 
 +----|---------------+            +-----------------------------------------------+                                                                                          
 |  10.10.10.1/24     |            |                10.10.200.200/24               |                                                                                          
 |                    |            |                                               |                                                                                          
 |                    |            |  SIP-Trunk                SIP-Trunk           |                                                                                          
 |                    |            |  Easybell                 Telekom             |                                                                                          
 |                    |            |                                               |                                                                                          
 |                    |            |                                               |                                                                                          
 |   PC (Bsp.)        |            |                    3CX-TKA                    |                                                                                          
 |                    |            |                                               |                                                                                          
 +--------------------+            +-----------------------------------------------+

Nochmal in Worten: der Standard-Traffic geht immer auf das Gateway 93.1.1.65.
Was muss ich konfigurieren, dass nur der Telekom-Traffic auf die Telekom-PPPoe-Verbindung geht?

Im Moment habe ich mir so beholfen, dass ich eine statische Route für 217.0.0.0/16 (in der Hoffnung, dass dies das Telekom-Netz ist) auf das PPPoE-Gateway gesetzt habe.

Code: [Select]

# netstat -r
Routing tables

Internet:
Destination        Gateway            Flags		Netif Expire
default            93.1.1.65	      UGS    	em0_vlan
...
217.0.0.0/16       62.156.244.22      UGS     	pppoe0
k-lb-a01.isp.t-ipn 62.156.244.22      UGHS    	pppoe0
do-lb-a01.isp.t-ip 62.156.244.22      UGHS    	pppoe0

Über ein wenig Hilfe würde ich mich freuen...

Grüße

German - Deutsch / Re: DHCP Option 66 für 3CX / Yealink

« on: October 16, 2019, 03:22:44 pm »

So, es scheint nun alles super...
Es reicht
"TFTP Server - Set TFTP hostname: http://10.15.200.200:5000/provisioning/y2b2idjuzc0a"
zu setzen.
Aber auch
Set TFTP hostname:http://10.15.200.200:5000
Set Bootfile:/provisioning/y2b2idjuzc0a
scheint zu funktionieren.
Die Variante über "Additional Options" habe ich nicht weiter verfolgt.

Ansonsten musste ich erstens dem Telefon "genügend" Zeit geben und zweitens in der 3CX-config die MAC-Adresse bekanntgeben. Von ganz allein erscheint das Telefon dort nicht...

Trotzdem danke, hbc!

German - Deutsch / DHCP Option 66 für 3CX / Yealink

« on: October 16, 2019, 03:41:44 am »

Moin,

vielleicht kann jemand helfen...

Ich habe zwischen Site A und B ein super funktionierendes Wireguard-VPN.
An Site A läuft der 3CX-Server, an Site B sollen nun noch ein paar Yealink T46S dran.
Laut 3CX-Doku https://www.3cx.com/sip-phones/dhcp-option-66/ muss die DHCP-Option 66 konfiguriert werden. Es soll "http://10.15.200.200:5000/provisioning/y2b2idjuzc0a" eingetragen werden.
Ich habe folgende zwei Varianten versucht auf der entsprechenden DHCP-Schnittstelle einzutragen:
"TFTP Server - Set TFTP hostname: http://10.15.200.200:5000/provisioning/y2b2idjuzc0a"
"Additional Options: 66 / Text / http://10.15.200.200:5000/provisioning/y2b2idjuzc0a"
Beides brachte leider nichts.

Kann jemand helfen?
Grüße
Frank

Pages: [1]