OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • Profile of robgnu »
  • Show Posts »
  • Messages
  • Profile Info
    • Summary
    • Show Stats
    • Show Posts...
      • Messages
      • Topics
      • Attachments

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

  • Messages
  • Topics
  • Attachments

Messages - robgnu

Pages: [1] 2 3 ... 9
1
German - Deutsch / Re: IPV6 Vodafone
« on: August 27, 2024, 07:12:15 am »
Guten Morgen,
meines Wissens nach bietet Vodafone DSL derzeit immer noch kein IPv6 an. Bei Vodafone-Kabel und im Mobilfunk ist es verfügbar. Wenn du also über DSL online bist, müsstest du evtl. über einen Providerwechsel nachdenken.

Vodafone selbst hat auf verschiedenen Anfragen von uns und unserer Kunden bisher nicht reagiert oder konnte kein Datum nennen.

Viele Grüße
Robert

2
German - Deutsch / Re: IPV6 DSL Telekom Draytek Vigor 167
« on: February 24, 2024, 10:15:51 am »
Hallo,

unter diesem Link habe ich die Konfiguration erklärt:
https://forum.opnsense.org/index.php?topic=21839.msg103084#msg103084

Gruß
Robert

3
German - Deutsch / Re: Wireguard IPv6-Tunnel
« on: February 10, 2024, 11:10:48 am »
Hallo,

schalte mal unter "Firewall" -> "Advanced" das Häkchen bei "Disable reply-to on WAN rules" ein.
Es muss ohne eine IPv6 Portweiterleitung gehen.

Gruß
Robert

4
German - Deutsch / Re: [Solved] Yet another VoIP Thread.
« on: January 20, 2024, 10:48:31 am »
Hallo inDane,

schön, dass du es lösen konntest. Es wäre schade, deswegen wieder zur pfSense zu wechseln.
Ich nutze die Floating Rules nur, wenn ich mehreren LAN Interfaces die gleichen Regeln zuweisen möchte, sonst halte ich die Regeln lieber beim entsprechenden Interface.

Gruß
Robert

5
German - Deutsch / Re: Yet another VoIP Thread.
« on: January 18, 2024, 05:07:44 pm »
Hallo inDane,

es stimmt, natürlich werden Pakete an 192.168.178.xxx verworfen. Hierfür ist eigentlich STUN da, damit die GO-Box die eigene öffentliche IP-Adresse herausbekommen kann und diese ins Paket schreibt.
Welcher STUN-Server ist denn in der GO-Box eingestellt? Bei 1und1 sollte es wohl stun.1und1.de sein?

Nur noch eine Rückfrage: Aufgrund von 192.168.178.xxx vermute ich eine FRITZ!Box? Was hast du denn da für ein Modem?

Gruß
Robert

6
German - Deutsch / Re: Yet another VoIP Thread.
« on: January 17, 2024, 08:23:55 pm »
Hallo inDane,

schau doch mal, ob du die Ports von der Go-Box auf zufällig stellst. Die NAT Regel dann so konfigurieren, dass alle Pakete von der IP-Adresse der Go-Box auf "STATIC Port" gesetzt sind. Zum Debuggen bitte auch mal alle Ports an die Go-Box weiterleiten. Das muss später aber unbedingt raus.

Und noch etwas: Bitte benutze kein STUN. Bitte STUN in der GO-Box mal komplett abschalten.

Gruß
Robert

7
German - Deutsch / Re: Yet another VoIP Thread.
« on: January 16, 2024, 06:51:44 pm »
Hallo inDane,

ich möchte dir noch zwei Möglichkeiten vorschlagen:

1. Mach doch mal eine Portweiterleitung auf die Go-Box. Die entsprechenden Ports kannst du der Go-Box Oberfläche entnehmen. Wir nutzen bei einigen Kunden ebenfalls die GO-Box. Es gibt eigentlich keine Probleme. Ich würde mir die Optionen auf der Go-Box Config aber auch nochmals ansehen. Evtl. ist da etwas schief.

2. Nimm dir ein Wireshark. Mach mit den OPNsense (oder per SSH-Tunnel) ein dump des traffics. Anschließend schaust du es dir mir Wireshark an. Du kannst bei SIP/RTP sehr gut sehen, wie die Kommunikation läuft. Kleiner Tipp: Mach ein Dump auf der WAN-Seite und auf der LAN-Seite. So kannst du ggf. sehen, welche Pakete nicht durchkommen.

Falls du Linux benutzt, ich mache ein Dump wie folgt:
Code: [Select]
ssh root@OPNsense -p22 "tcpdump -i igb1 -U -w - port not 22" | wireshark -i - -k
Dieser Befehl baut eine SSH-Verbindung zur OPNsense auf und leitet den gesamten Traffic von igb1 direkt an das Wireshark. Ausgenommen ist die SSH-Verbindung selbst.

Gruß
Robert

8
German - Deutsch / Re: Nach Update auf 23.7.8 funktioniert Wireguard Tunnel nicht mehr
« on: November 15, 2023, 05:51:33 am »
Guten Morgen,
neulich bin ich auch darüber "gestolpert" und hatte das Problem auch. Ich musste die MTU in den Tunneleinstellungen auf 1412 setzen, dann ging es wieder. Was sich in der OPNsense konkret geändert hat, ist nicht klar. Jetzt läuft es aber wieder stabil.

Hier der Thread: https://forum.opnsense.org/index.php?topic=36941.0

Gruß
Robert

9
23.7 Legacy Series / Re: Wireguard problems with 23.7.8 (TCP Retransmission, Ping works)
« on: November 11, 2023, 09:21:12 pm »
Hi schmuessla,

thank you for your hint. You are right!
I changed the MTU from (empty) to 1412 and the connection works fine. Thank you very much!

Nevertheless, there must have been a change recently, because other installations work without manual adjustment.

Best regards
Robert

10
23.7 Legacy Series / [SOLVED] Wireguard problems with 23.7.8 (TCP Retransmission, Ping works)
« on: November 11, 2023, 12:35:22 pm »
Hello everyone,

I am aware of some problems with the current stable version of OPNsense. I had a well working Firewall on 23.7.7 but one of our team has some problems with openvpn. So I decided to install Wireguard. The plugin installation forced me to upgrade to 23.7.8 first. (This is not a nice thing. I think it should be possible to install a plugin with a version that is one or two minor releases behind.)

After installation I lost IPv6 connectivity, which could be solved with a command @franco posted here. (Thanks!)

Now the problem: After configuring and connecting via Wireguard, I am able to ping all machines through the tunnel behind the OPNsense. But when I try to connect via SSH or RDP to a machine, this does not work. It makes no difference between IPv4 or IPv6.

You can find a wireguard screenshot at this post:
- Lines 1-8 showing the working ping from the client (192.168.98.2) to a machine behind the firewall (192.168.100.250)
- Lines 9-34 showing the packets when I try to connect via SSH. The connection failed (timeout).

Any ideas what may be the problem here?

Thanks!
Robert

11
German - Deutsch / Re: Wireguard Client unter Windows mit IPv6
« on: September 26, 2023, 10:26:36 am »
Hallo Micneu,

vielen Dank für die Idee. Ich hatte das schon überlegt und ich werde es ausprobieren. Vielleicht kann man ja Windows so zu IPv6 "zwingen".

Update: Es scheint so zu funktionieren. Unter Windows nimmt der WG Client immer IPv4. Bei einem Hostnamen, der nur IPv6 auflöst, funktioniert es auch unter Windows. Der Grund ist mir weiterhin nicht klar.

Gruß
Robert

12
German - Deutsch / Wireguard Client unter Windows mit IPv6
« on: September 26, 2023, 06:49:40 am »
Guten Morgen,

mein Problem bezieht sich nicht direkt auf die OPNsense, jedoch tritt es in Verbindung mit der OPNsense auf und vielleicht hat jemand trotzdem eine Idee.

Ich habe einen Wireguard-Server für externe Arbeitsplätze konfiguriert. Dieser läuft auf der OPNsense 23.7.4 (Dualstack) absolut einwandfrei. Routing, Firewall, Handshake alles perfekt und die externen Arbeitsplätze haben den Zugriff, der benötigt wird.

Als Endpoint steht in der Config ein Domainname, der IPv4 und IPv6 auflöst. Das Problem ist, dass alle Windows-Clients (Wireguard unter Windows von der offiziellen Website) immer die Verbindung per IPv4 aufbauen. Ich hätte jedoch lieber eine IPv6 Verbindung. Alle Linux-Clients verbinden sich über IPv6.

Der Hintergrund: Vor der OPNsense steht ein LANCOM-Router der Telekom (ISDN Wandler), über den ich keine Kontrolle habe. Dieser scheint bei der Menge an NAT/UDP-Verbindungen regelmäßig Probleme zu haben. Auf jeden Fall werden alle paar Tage alle UDP-Pakete blockiert und nur ein Reboot des LANCOMs löst das Problem. Das gleiche Problem hatte ich früher auch bei OpenVPN, allerdings hat sich der OpenVPN Client i.d.R. per IPv6 verbunden und damit die LANCOM-Probleme umgangen.

Hat jemand eine Idee, weswegen sich der Windows-Client von Wireguard bei der Angabe eines FQDN immer mit IPv4 verbindet und ob es hier irgendwie/irgendwo eine Option gibt, das zu steuern?

Gruß
Robert

13
German - Deutsch / Re: Priorisierung von VoIP, korrekt umgesetzt?
« on: September 13, 2023, 07:29:25 am »
Moin,

im Prinzip empfehle ich ebenfalls die Config einfach zu halten. Ich setze den Traffic Shaper nur bei wirklich schwachen WAN-Leitungen ein. Habe da einen Kunden, der nur 6 MBit/s bekommt. Ohne den Shaper brechen die Telefonate ständig ab. Allerdings ist Weight ja keine Angabe in Prozent, sondern eine Gewichtung.

Wenn der Traffic-Shaper zum Einsatz kommt, dann sieht die Gewichtung wie folgt aus: VoIP = 100; Rest = 1.

Du kannst aber über die Pipes auch einfach 1-2 MBit/s fest für VoIP reservieren, dann braucht man keine Queues.

Gruß
Robert

14
23.7 Legacy Series / Re: Can OPNsense delegate an IPv6 prefix to another router/firewall?
« on: September 01, 2023, 08:40:53 am »
Yes, it works very well.

Here are our settings:
- RA set to "Assisted"
- DHCPv6 enabled:
 - Range from :: to ::ffff:ffff:ffff:ffff
 - Prefix Delegation Range from ::d0 to ::f0
 -  Prefix Delegation Size: 60
- Firewall rules on your needs. :-)

Best regards
Rob

15
German - Deutsch / Re: Einstellungen für DNS:NET?
« on: April 14, 2023, 02:41:56 pm »
Hallo Roger,

ich kann das so bestätigen. VLAN37 ist korrekt. Zugagsdaten rein und die Verbindung steht sofort. IPv6 ist bei unserem Kunden noch nicht verfügbar. Wir werden, sobald wir aus dem CG-NAT entlassen werden, einen IPv6 Tunnel aufbauen.

Gruß
Robert

Pages: [1] 2 3 ... 9
OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2