Messages

Hi,

Neuer thread mit passendem Betreff?

Gruß
Thomas

Wenn ich mal ausreichend Zeit finde das ordentlich zu dokumentieren dann werde ich nochmal ein neues Thema eröffnen. Für den Moment hat es ausgereicht Surricata (IPS mode zu deaktivieren) und es komplett auszuschalten + ein reboot und schwupss erreiche ich wieder ~1 Gbit/s im DS.

@JeGr
Es handelt sich um die frei verkäufliche FB 6660 Cable und der Bridge Mode existiert eigentlich in allen Kabelboxen ist aber nur ausgeblended. Der/die Ports welche sozusgen nur zum DOCSIS Modem gehen kann man ja frei wählen daher bei mir der LAN5.
Dies ist aber relativ einfach behebar mit dem config edit..siehe https://www.vodafonekabelforum.de/viewtopic.php?p=696684#p696684 ,aber Vorraussetzung ist dann bei MAX CPE: x  mindestens eine 2 zu haben um 2 öffentliche Adressen zu erhalten. (Dies ist laut meiner Erkenntnis im VFKD Gebiet überall der Fall, wo anderes nicht die Regel!)
Dies ist überprüfbar in den erweiterten support Daten aus der Fritte.
Ps. Die Telefonie darf keine extra Internetverbindung benutzen, also den Haken rausnehmen..sonst sind ja alle Adressen verbraucht.


Der Parameter "RFC1918 Block private IPs" ist natürlich nicht angehakt gewesen die ganze Zeit über.
Ich habe in der Zwischenzeit das mit dem Zugriff anders gelöst weil die Subnetze ja gleich waren und somit die lokalen Geräte im LAN immer keinen Host gefunden haben.

Die FB hat jetzt die 172.16.0.1 und die Opnsense FW an dem Interface zur FB ein festes dhcp lease mit 172.16.0.244 bekommen. Somit kann ich ohne weitere NAT Rules (bis auf die automatisch generierten) oder andere statische Routen auf das  Webinterface der Fritzbox zu greifen.
zb. 192.168.1.35 [device] -> 192.168.1.1 [OPNsense] ~ 172.16.0.244 -> 172.16.0.1 [FritzBox]


Ein anderes Problem was mich noch beschäftigt ist das mein Downstream durch irgendwas begrenzt ist auf ca. ~100 Mbs (bei Nutzung des "LAN5" also dem Bridge Port). Diese Verringerung sehe ich mehr oder weniger nur aus dem LAN der FW heraus, speedtest mit dem plugin auf der OPNsense box selbst zeigen höhere Werte.
- An der Hardware kann es nicht liegen die ist unverändert und ich habe schon mal nahezu gigabit im DS erreicht
- das Interface steht auf 1000baseT <full-duplex>
- vor einiger Zeit habe ich die tuneables aus dem ersten Post übernommen (https://forum.opnsense.org/index.php?topic=6590.0)
Jemand eine Idee dazu ?

[einem]

Warum eigentlich "WAN2"? Ist das auch als gateway deklariert?
Hat die FB auf Lan 5 einen anderen IPAdressbereich wie auf den anderen Ports?

Zu deinem Problem:
Route sollte gehen zzgl. Interface Rules.

Aber mal eine Frage. Warum macht man das was du da vorhast?

Der LAN5 Anschluss ist ein sogenannter Bridge Port bei AVM also das heißt direkt nur mit dem DOCIS Modem verbunden..kein interner Router/Firewall/NAT der FB dazwischen.

Ja, ich habe auf dem Interface auch die Fritzbox (192.168.x.1) als Gateway, welche im Normalfall eigentlich nicht genutzt werden soll weil sozusagen als backup wan Verbindung.
Zu meinem Vorhaben..Ich möchte aus dem LAN auf das Webinterface der FB zugreifen um zB die Modemwerte zu sehen usw.

Moin technikte,

Wie ist Deine WAN-Schnittstelle konfiguriert?

Die IP Adresse, die Du genannt hast suggeriert, dass Du diese von Provider per PPPoE bekommen hast.

Bei mir (siehe beigefügter Netzplan) will ich "durch" meine OPNsense vom meinem PC auf des DSL-Modem zugreifen. Mein Konfiguration im Details sieht so aus:

• Das DSL-Modem hat ein feste IP-Adresse: 192.168.A.1
• Auf der OPNsense habe ich ein PPPoE Device eingerichtet, welches die Netzwerkschnittstelle "zum DSL-Modem" (nennen wir diese Schnittstelle igb0, kann auch eth0, em0 oder ähnlich heißen) nutzt. Dort wird die IP-Adresse von meinem ISP per DHCP vergeben, mein öffentliche IP-Adresse
• Zusätzlich habe ich auf dieser Schnittstelle (igb0) eine statische IP-Adresse vergeben: 192.168.A.222
• Damit mein DSL-Modem mit einem Namen ansprechbar ist, habe ich OPNsense auch einen statischen DHCP-Eintrag konfiguriert: 192.168.A.1 -> dsl-modem

Zusammenfassend: Auf dem einem Kabel zwischen DSL-Modem und DSL-Modem laufen zwei Protokolle friedlich nebeneinander: PPPoE und IP

Die WAN Schnittstelle  der opnsense box bekommt per DHCP vom ISP eine öffentliche Adresse + präfix, also zum Glück ohne solche Geschichten wie PPPoE.
Ich bekomme also auch 2 öffentliche v4/v6 Adressen/Präfixe vom ISP, nämlich einmal die Fritzbox selbst per DHCP und die opns Firewall per DHCP.
Die Fritzbox hat auf dem LAN4 eine feste IP + auf dem WAN2 einen festen DHCP lease.


So richtig sehe ich noch nicht durch wie ich das konfigurieren müsste und schon gar nicht mit dem "extra" Interface zur Verbindung.
Kann mir jemand ein Beispiel zeigen wie solch eine Route aussehen müsste damit ich aus dem LAN über WAN2 eine Verbindung bekomme.



EDIT: Ein paar Änderungen.. LAN4 Fritzbox ist erreichbar per 192.168.178.1 und am WAN2 ein  fester DHCP lease mit der IP 192.168.178.244

Ein Ping von der Firewall von WAN2 auf die 192.168.178.1 funktioniert (siehe Screenshot) aber aus dem LAN heraus der eigene Host das Ziel nicht erreichbar ist ? (siehe Screenshot)

Die Verbindung um 192.168.178.1 zu erreichen müsste ja über WAN2 gehen, wie kann man das den Geräten im LAN mitteilen bzw. umbiegen damit das klappt ?

Hallo,
da ich irgendwie auf dem Schlauch stehe, hoffe ich das mir jemand weiterhelfen kann. Ich möchte aus dem LAN meiner OPNSense Firewall auf das Webinterface der davorliegenden FB zugreifen welche über ein seperates Interface angeschlossen ist.

Mir kam zuerst eine statische Route oder so in den Kopf, weiß aber auch nicht wirklich weiter im Moment.

Ein Diagramm ist im Anhang zu finden. Falls etwas nicht genau genug beschrieben ist probiere ich dies nachzubessern.

Vielen Dank im voraus schonmal.  ;)

Update:

Traceroute vom LAN der opnsense firewall.

Code Select Expand

C:\Users\User>tracert -6  2001:4860:0:2001::68

Routenverfolgung zu 2001:4860:0:2001::68 über maximal 30 Hops

  1    <1 ms    <1 ms    <1 ms  thegreatwall.local [2003:xxxx:xxxx:9f6:4262:31ff:fe0b:5314]
  2     3 ms     2 ms     2 ms  p0000000000000900000079FFFEC40BF7.dip0.t-ipconnect.de [2003:xxxx:xxxx:900:5e49:79ff:fec4:bf7]
  3     *        *        *     Zeitüberschreitung der Anforderung.
  4     *        *        *     Zeitüberschreitung der Anforderung.

Traceroute vom LAN der fritzbox, wo die opnsense firewall mit WAN auch hängt.

Code Select Expand

C:\Users\User>tracert -6 2001:4860:0:2001::68

Routenverfolgung zu 2001:4860:0:2001::68 über maximal 30 Hops

  1     2 ms     2 ms     1 ms  fritz.box [2003:xxxx:xxxx:900:5e49:79ff:fec4:bf7]
  2     6 ms     5 ms     5 ms  2003:0:8702:3000::1
  3     *        *        *     Zeitüberschreitung der Anforderung.
  4    16 ms    15 ms    20 ms  2003:0:1304:800f::2

So ganz steige ich gerade nicht mehr durch, woran es nun genau liegt bzw. wie ich es beheben kann.

Die IP zum testen habe ich hier (https://www.heise.de/newsticker/meldung/Google-com-mit-IPv6-190102.html) her.

Hallo,
ich probiere seit Tagen hinter der FritzBox auf dem Lan der Opnsense Box auf Ipv6 Dienste zuzugreifen.
Nun konnte ich mittlerweile festellen dass das default gatway für ipv6 offline ist und das dauferhaft. (siehe Bild1)
Desweiteren sind kein IPv4/6 Routen in Fritte eingetragen.

Code Select Expand

DSL

        +
        |
        |
        |
        | 93.xxx.xxx.133
     WAN| 2003:xxxx:xxxx:14a3:5e49:xxff:fexx:bfb
   +----------+
   | Fritzbox |   2003:xxxx:xxxx:a100::/56
   | 7490     |
   +----------+
     LAN| 192.168.178.1
        | 2003:xxxx:xxxx:a100:5e49:79ff:fec4:bf7
        |
        |
        |
        | 192.168.178.99
        | fe80::4262:xxff:fexx:530f
     WAN| 2003:xxxx:xxxx:a100:4262:xxff:fexx:530f
+----------------+
|                |
|    opnsense    |
|                |
+-------+--------+
   LAN  |
        |
        | 192.168.0.0 /16
        | DHCP WAN Track /64
        |
        +


Code Select Expand

LAN Schnittstelle (lan, igb5)
Status up
MAC-Adresse 40:xx:xx:xx:53:14
MTU 1500
IPv4-Adresse 192.168.1.1 / 16
IPv6-Verbindungslokal fe80::4262:31ff:fe0b:5314 / 64
IPv6 Adresse 2003:d3:xxxx:xxxx:4262:31ff:fe0b:5314 / 64
Media 1000baseT <full-duplex>
Eingehende/Ausgehende Pakete 1605 / 3044 (193 KB / 3.11 MB )
Eingehende/Ausgehende Pakete (erlaubt) 1536 / 3044 (184 KB / 3.11 MB )
Eingehende/Ausgehende Pakete (blockiert) 8674 / 0 (69 bytes / 0 bytes )
Eingehende/ausgehende Fehler 0/0
Kollisionen 0

Code Select Expand

WAN Schnittstelle (wan, igb0)
Status up
DHCP up 
MAC-Adresse 40:xx:xx:xx:53:0f
MTU 1500
IPv4-Adresse 192.168.178.99 / 24
Gateway IPv4 192.168.178.1
IPv6-Verbindungslokal fe80::4262:xxff:fexx:530f / 64
IPv6 Adresse 2003:d3:xxxx:xxxx:4262:xxff:fexx:530f / 64
Gateway IPv6 fe80::5e49:xxff:fexx:bf7
Media 1000baseT <full-duplex>
Eingehende/Ausgehende Pakete 3520 / 3978 (1009 KB / 281 KB )
Eingehende/Ausgehende Pakete (erlaubt) 3305 / 3978 (990 KB / 281 KB )
Eingehende/Ausgehende Pakete (blockiert) 19435 / 0 (215 bytes / 0 bytes )
Eingehende/ausgehende Fehler 0/0
Kollisionen 0

Die Firtzbox hat in ihrem Lan die 192.168.178.1 und die opnsensebox auf der WAN Seite die 192.168.178.99 per DHCP (static lease).
Folgende Optionen sind in der Fritzbox welche als DSL Modem+Router fungiert..

Code Select Expand


o Unique Local Addresses (ULA) zuweisen, solange keine IPv6-Internetverbindung besteht (empfohlen)
X Keine Unique Local Addresses (ULA) zuweisen (nicht empfohlen)
o Unique Local Addresses (ULA) immer zuweisen

o Auch IPv6-Präfixe zulassen, die andere IPv6-Router im Heimnetz bekanntgeben
X Diese FRITZ!Box stellt den Standard-Internetzugang zur Verfügung

X DNSv6-Server auch über Router Advertisement bekanntgeben (RFC 5006)


X DHCPv6-Server in der FRITZ!Box für das Heimnetz aktivieren:

o Nur DNS-Server zuweisen
  FRITZ!Box wird als DNS-Server via DHCPv6 bekannt gegeben.

X DNS-Server und IPv6-Präfix (IA_PD) zuweisen
  FRITZ!Box wird als DNS-Server via DHCPv6 bekannt gegeben. Teile des vom Internetanbieter zugewiesenen
  IPv6-Netzes werden an nachgelagerte Router weitergeben.

o DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen
  FRITZ!Box wird als DNS-Server via DHCPv6 bekannt gegeben. Teile des vom Internetanbieter zugewiesenen   
  IPv6-Netzes werden an nachgelagerte Router weitergegeben. Geräte im Heimnetz bekommen eine IPv6- 
  Adresse via DHCPv6 zugewiesen.

Firewallregeln auf der opnsense Kiste für Ipv4+6 sind von ANY auf ANY vorhanden.

Noch eine weitere Frage..gibt es gratis Dienste bei denen die getrennte Aktualisierung fehlerfrei funkioniert und bei dennen man ein CNAME Record einfach anlegen könnte ?
Dies wäre eine Notlösung bis das Problem in dem opnsense plugin behoben werden kann.

Ja, 2 Einträge hatte ich auch schon aber wie du auch erwähnst hast scheint INWX den fehlenden Parameter dann zu löschen.
Ein Domainanbieter mit DynDns den ich persönlich nutze und mit welchem das Problem auftritt.
https://www.inwx.de

Update-URL:  https://dyndns.inwx.com/nic/update?myip=<ipaddr>&myipv6=<ip6addr>

Hallo,

hat jemand schon eine Möglichkeit INWX dyndns2 per plugin oder script zu nutzen ?

Meine opnsense box hängt hinter einer FritzBox (VDSL) per DHCP. Der Anschluss ist ein FULL DUAL Stack bezüglich IPv4 und 6.

Ein paar Randinfos von der Webseite.

Update-URL:  https://dyndns.inwx.com/nic/update?myip=<ipaddr>&myipv6=<ip6addr>
Wir unterstützen das DynDNS2-Protokoll via HTTPS.
Zum aktualisieren Ihrer Domain müssen Sie in vielen Fällen eine Update-URL in Ihrem Client (z.B. Router) zur Verfügung stellen.
Durch den zusätzlichen "myipv6"-Parameter ist unser DynDNS-Dienst zudem voll IPv6-fähig.

Ich hatte teilweise Erfolge mit custom Eintrag im dyndns plugin aber da scheinbar die IPV4 und IPv6 im gleichen Zug/Request.. aktualisiert werden müssen war das alles nicht 100%.

Als kleines Follow Up..

Ich habe mir auf aliexpress folgende Kiste mehr oder weniger rausgesucht..
DHL Free shipping Latest New 6 Gigabit Lan Mini router with Core I3 I5 I7,Support AES NI,PFsense,Firewall,Qotom Q500G6

Jetzt schwanke ich noch zwischen dem i3-7100U NO WIFI und dem i5-7200U NO WIFI, der größte Unterschied der beiden CPU ist ja das die 7200 bis 3,2 ghz boosten kann. Nun ist meine Frage ob jemand Erfahrung hat ob der Geschwindigkeitsvorsprung durch den Boosttakt bemerkbar bzw. besser wäre ?

Als zweite Frage ob alle die Kiste als Barebone also one RAM/SSD empfehlen würden oder lieber vorkonfiguriert (= höherer Preis..mehr Einfuhrabgaben beim Zoll :/ )

Hallo,
ich wollte mal im Forum mir noch ein paar Ideen holen bezüglich Hardware Anschaffung für opnsense.

Im Moment habe ich als Zugang zur Außenwelt einen 100.000 VDSL Anschlus (100Mb DOWN, 40Mb UP) und benutzte eine Fritte, die ich aber sehr gerne austauschen will.
Als VDSL Modem wollte ich vielleicht eine kleinere andere Fritte im FULL-Bridge Modus hoffentlich verwenden oder ein Vigor Modem. Anregungen oder Ideen bezüglich VDSL Modem nehme ich auch gerne entgegen.
PS. Ich habe einen "Full" Dual Stack also eine dynamische IPv4 Adresse + ein dynamisches IPv6 Präfix von meinem ISP.

Nun zum eigentlich Punkt der Hardware für opnsense Box.
Also die 100Mbit (vll auch 250Mbit) sollte WAN->LAN locker erreicht werden bzw. um für die Zukunft zu planen vll auch 1Gbit WAN->LAN . Desweiteren hätte ich als plugin ein ngnix reserve proxy mit allem drum und dran (also letsencrypt defenitiv) geplant. Bei Thema IPS bin ich mir noch unsicher aber würde es bestimmt in Zunkunft nutzen usw. Ebenfalls würde ich die Box als Endpunkt für VPN Tunnel benutzen wollen (openvpn/wireguard) und auch einen brauchenbaren Durchsatz schaffen wollen. IPv6 wollte ich mit der Neuanschaffung auch mehr nutzen.

Ich habe mir bereits Produkte auf aliexpress angeschaut, bei denen ich mir aber Sorgen um die Wärme mache usw. Produkte von den aufgeführten Partnern habe ich mir auch angeschaut aber teilweise keine Preise gefunden oder mir unsicher welches Produkt das richtige wäre.
Ich würde einfach mal so in den Raum ein Maximalpreis von 300-400€ in den Raum werfen (je nach Ausstattung RAM/SSD auch abweichend).

Ich bedanke mich schon mal für alle Antwortern.  ::)
Lg.