Messages

Ich konnte das Problem nicht wirklich lösen. Ich habe nun die Hardware getauscht und seit dem läuft es deutlich besser. Vorher war eine APU2 installiert, jetzt ist es ein Low-Power-PC mit Intel Celeron N5105.
Meine Vermutung ist, dass es sich hier um ein Timing-Problem handeln könnte. Vielleicht ist die Ursache wirklich die lahme APU2.

Guten Morgen,

beide Varianten haben gute Argumente. Wir nutzen bei unseren Kunden, je nach Einsatzzweck, beide Möglichkeiten.

Wenn du dich für die Box vor der OPNsense entscheiden solltest, kannst du das doppelte-NAT vermeiden. Hierfür trägst du die IPv4-Netze zu deinen Netzwerken hinter der OPNsense als IPv4 Routen in die FRITZ!Box ein. Dann kannst du das NAT in der OPNsense ausschalten. Das funktioniert sehr zuverlässig.
IPv6 selbst ist für Prefeix-Delegation ausgelegt und die FRITZ!Box kann das. D.h. du kannst ein paar IPv6 Netze an die OPNsense delegieren, die diese dann wiederum ihren LANs zur Verfügung stellt. Bleibt noch das Argument mit der Telefonie. Das kann schon manchmal schwierig sein und bei manchen Setups ist es sinnvoller, der FRITZ!Box die Telefonie zu überlassen. In kleinen Unternehmen und Privathaushalten sollte meiner Meinung nach, die FRITZ!Box vor die OPNsense.

In etwas komplexeren Netzen mit mehreren VLANs und einer eigenen TK-Anlage, bzw. Cloud-Telefonie, kann die FRITZ!Box komplett weg. Hier sollte die OPNsense sich dann um die Verbindung kümmern.

Gruß
Robert

Hallo,

hast du die Möglichkeit, den Traffic eines Telefonats mitzuschneiden? Ich mache das gerne per SSH und Wireshark. Mit den richtigen Filtern kannst du dir den traffic genau ansehen und ggf. schauen, ob UDP-Pakete verlorengehen.

Ein zweiter Ansatz wäre der VoIP-Provider. Vielleicht gibt es da ja einen Support, mit dem man etwas debuggen kann. Wichtig wären ein paar Testanrufe, bei denen man Quellnummer, Zielnummer Uhrzeit und Abbruchzeitpunkt genau dokumentiert.

Zur SSH/Wireshark Verbindung: Ich rufe das mit meinem Linux-Client wie folgt auf. SSH mit OPNsense herstellen, dort tcpdump starten und auf dem VLAN21 (unser TK-LAN) alles mitloggen (außer Port 22). Die Ausgabe direkt an den lokalen Wireshark senden. Ggf. lohnt es sich, auch auf anderen Interfaces zu lauschen (z.B. am WAN-Port).

Code Select Expand

ssh root@opnsense-host -p22 "tcpdump -i igb0_vlan21 -U -w - port not 22" | wireshark -i - -k

Gruß
Robert

Hall Zusammen,

ich habe seit einigen Wochen ein paar Probleme mit einer OPNsense. Es stellt sich wie folgt dar:
Zunächst "bricht" die Internetverbindung weg und nach kurzer Zeit kommt die Verbindung zurück. Allerdings ist die "Load average" anschließend nicht mehr bei 0.xx sondern konstant über 3, teilweise sogar über 5. Im LAN ist das Arbeiten quasi nicht mehr möglich und es hilft nur der Reboot der OPNsense. Ich suche schon eine Weile nach der Ursache, komme aber nicht wirklich weiter.
Zur Konfiguration:
- APU2 mit OPNsense 25.1.7_4
- Dual WAN:
 - Interface WAN: vorgelagerte FRITZ!Box Cable von Vodafone
 - Interface VDSL: Vigor Modem mit Telekom VDSL
 - Die Gateway-Group ist auf "Fallback" gestellt, Telekom-VDSL ist primär.

Die OPNsense taggt auf VLAN7 und stellt die Verbindung absolut zuverlässig her - inkl. IPv6 und /56 Prefix Delegation. Die gleiche VDSL-Konfiguration benutze ich bei anderen OPNsense Installationen auch.

Inzwischen habe ich sogar ein paar Logs. Gestern lief die OPNsense einwandfrei, heute früh war die Load wieder hoch. Und zwar genau seit 5:57 Uhr. Das steht in den Logs:

Code Select Expand

2025-06-08T05:57:48 Notice opnsense /usr/local/etc/rc.syshook.d/monitor/20-recover: plugins_configure monitor (execute task : dpinger_configure_do(1,[]))
2025-06-08T05:57:48 Notice opnsense /usr/local/etc/rc.syshook.d/monitor/20-recover: plugins_configure monitor (1,[])
2025-06-08T05:57:48 Notice opnsense /usr/local/etc/rc.routing_configure: ROUTING: keeping inet6 default route to fe80::200:ff:fe00:0%pppoe0
2025-06-08T05:57:48 Notice opnsense /usr/local/etc/rc.routing_configure: ROUTING: configuring inet6 default gateway on opt3
2025-06-08T05:57:48 Notice opnsense /usr/local/etc/rc.routing_configure: ROUTING: keeping inet default route to 62.156.244.21
2025-06-08T05:57:48 Notice opnsense /usr/local/etc/rc.routing_configure: ROUTING: configuring inet default gateway on opt3
2025-06-08T05:57:48 Notice opnsense /usr/local/etc/rc.routing_configure: ROUTING: treating '62.156.244.21' as far gateway for '217.91.11.220/32'
2025-06-08T05:57:47 Notice opnsense /usr/local/etc/rc.routing_configure: ROUTING: entering configure using defaults
2025-06-08T05:57:31 Notice opnsense /usr/local/etc/rc.syshook.d/monitor/20-recover: plugins_configure monitor (execute task : dpinger_configure_do(1,[]))
2025-06-08T05:57:31 Notice opnsense /usr/local/etc/rc.syshook.d/monitor/20-recover: plugins_configure monitor (1,[])
2025-06-08T05:57:30 Notice opnsense /usr/local/etc/rc.routing_configure: ROUTING: keeping inet6 default route to fe80::200:ff:fe00:0%pppoe0
2025-06-08T05:57:30 Notice opnsense /usr/local/etc/rc.routing_configure: ROUTING: configuring inet6 default gateway on opt3
2025-06-08T05:57:30 Notice opnsense /usr/local/etc/rc.routing_configure: ROUTING: keeping inet default route to 62.156.244.21
2025-06-08T05:57:30 Notice opnsense /usr/local/etc/rc.routing_configure: ROUTING: configuring inet default gateway on opt3
2025-06-08T05:57:30 Notice opnsense /usr/local/etc/rc.routing_configure: ROUTING: treating '62.156.244.21' as far gateway for '217.91.11.220/32'
2025-06-08T05:57:30 Notice opnsense /usr/local/etc/rc.routing_configure: ROUTING: entering configure using defaults

Die Load lag bei >3 Anschließend habe ich versucht über Interfaces -> Overview die VDSL-Verbindung vom VDSL-Interface neu aufzubauen. Dadurch ist die Verbindung komplett unterbrochen. Die Load stieg auf >5 und VDSL blieb offline. Hier das Log dazu:

Code Select Expand

2025-06-08T07:12:09 Warning opnsense /usr/local/etc/rc.syshook.d/monitor/20-recover: The required VDSL_PPPOE IPv4 interface address could not be found, skipping.
2025-06-08T07:12:09 Warning opnsense /usr/local/etc/rc.syshook.d/monitor/20-recover: Skipping gateway VDSL_PPPOE due to empty 'gateway' property.
2025-06-08T07:12:09 Notice opnsense /usr/local/etc/rc.syshook.d/monitor/20-recover: plugins_configure monitor (execute task : dpinger_configure_do(1,[VDSL_PPPOE]))
2025-06-08T07:12:09 Notice opnsense /usr/local/etc/rc.syshook.d/monitor/20-recover: plugins_configure monitor (1,[VDSL_PPPOE])
2025-06-08T07:12:09 Error opnsense /usr/local/etc/rc.routing_configure: ROUTING: refusing to set inet6 gateway on addressless opt3(pppoe0)
2025-06-08T07:12:09 Notice opnsense /usr/local/etc/rc.routing_configure: ROUTING: keeping inet default route to 192.168.178.1
2025-06-08T07:12:09 Notice opnsense /usr/local/etc/rc.routing_configure: ROUTING: configuring inet default gateway on wan
2025-06-08T07:12:09 Notice opnsense /usr/local/etc/rc.routing_configure: ROUTING: ignoring down gateways: VDSL_PPPOE
2025-06-08T07:12:09 Warning opnsense /usr/local/etc/rc.routing_configure: ROUTING: refusing to set interface route on addressless opt3(pppoe0)
2025-06-08T07:12:08 Notice opnsense /usr/local/etc/rc.routing_configure: ROUTING: entering configure using defaults
2025-06-08T07:11:54 Error opnsense /usr/local/etc/rc.newwanipv6: The command '/sbin/route add -host -'inet6' '2606:4700:4700::1001' 'fe80::200:ff:fe00:0%pppoe0'' returned exit code '71', the output was 'route: fe80::200:ff:fe00:0%pppoe0: Name does not resolve'
2025-06-08T07:11:53 Notice opnsense /usr/local/etc/rc.syshook.d/monitor/20-recover: plugins_configure monitor (execute task : dpinger_configure_do(1,[]))
2025-06-08T07:11:53 Notice opnsense /usr/local/etc/rc.syshook.d/monitor/20-recover: plugins_configure monitor (1,[])
2025-06-08T07:11:52 Error opnsense /usr/local/etc/rc.routing_configure: ROUTING: refusing to set inet6 gateway on addressless opt3(pppoe0)
2025-06-08T07:11:52 Notice opnsense /usr/local/etc/rc.routing_configure: ROUTING: setting inet default route to 192.168.178.1
2025-06-08T07:11:52 Notice opnsense /usr/local/etc/rc.routing_configure: ROUTING: configuring inet default gateway on wan
2025-06-08T07:11:52 Warning opnsense /usr/local/etc/rc.routing_configure: ROUTING: refusing to set interface route on addressless opt3(pppoe0)
2025-06-08T07:11:52 Notice opnsense /usr/local/etc/rc.routing_configure: ROUTING: entering configure using defaults
2025-06-08T07:11:45 Notice ppp [opt3] Bundle: Shutdown
2025-06-08T07:11:44 Notice opnsense /usr/local/etc/rc.newwanip: Failed to detect IP for interface opt3
2025-06-08T07:11:44 Error opnsense /usr/local/etc/rc.newwanip: The command '/sbin/route add -host -'inet6' '2606:4700:4700::1001' 'fe80::200:ff:fe00:0%pppoe0'' returned exit code '1', the output was 'add host 2606:4700:4700::1001: gateway fe80::200:ff:fe00:0%pppoe0 fib 0: Invalid argument'
2025-06-08T07:11:43 Notice ppp [opt3_link0] LCP: state change Closing --> Initial
2025-06-08T07:11:43 Notice ppp [opt3_link0] LCP: LayerFinish
2025-06-08T07:11:43 Notice ppp [opt3_link0] LCP: Down event
2025-06-08T07:11:43 Notice ppp [opt3_link0] LCP: LayerDown
2025-06-08T07:11:43 Notice ppp [opt3_link0] LCP: SendTerminateReq #2
2025-06-08T07:11:43 Notice ppp [opt3] IPV6CP: state change Closing --> Initial
2025-06-08T07:11:43 Notice ppp [opt3] Bundle: No NCPs left. Closing links...
2025-06-08T07:11:43 Notice ppp [opt3] IPV6CP: LayerFinish
2025-06-08T07:11:43 Notice ppp [opt3] IPV6CP: Down event
2025-06-08T07:11:43 Notice ppp [opt3] IPCP: state change Closed --> Initial
2025-06-08T07:11:43 Notice ppp [opt3] IPCP: Down event
2025-06-08T07:11:43 Notice ppp [opt3] IPV6CP: Close event
2025-06-08T07:11:43 Notice ppp [opt3] IPCP: Close event
2025-06-08T07:11:43 Notice ppp [opt3] Bundle: Status update: up 0 links, total bandwidth 9600 bps
2025-06-08T07:11:43 Notice ppp [opt3_link0] Link: Leave bundle "opt3"
2025-06-08T07:11:43 Notice ppp [opt3_link0] LCP: state change Opened --> Closing
2025-06-08T07:11:43 Notice ppp [opt3_link0] LCP: Close event
2025-06-08T07:11:43 Notice ppp [opt3_link0] Link: giving up after 0 reconnection attempts
2025-06-08T07:11:43 Notice ppp [opt3_link0] Link: DOWN event
2025-06-08T07:11:43 Notice ppp [opt3_link0] can't remove hook mpd17093-0 from node "[11]:": No such file or directory
2025-06-08T07:11:43 Notice ppp [opt3_link0] PPPoE: connection closed
2025-06-08T07:11:43 Notice ppp [opt3] IPCP: LayerFinish
2025-06-08T07:11:43 Notice ppp [opt3] IPCP: state change Closing --> Closed
2025-06-08T07:11:43 Notice ppp [opt3] IPCP: rec'd Terminate Ack #4 (Closing)
2025-06-08T07:11:43 Notice ppp [opt3] IFACE: Rename interface pppoe0 to pppoe0
2025-06-08T07:11:43 Notice ppp [opt3] IFACE: Down event
2025-06-08T07:11:43 Notice ppp ppp-linkdown: executing on pppoe0 for inet6
2025-06-08T07:11:43 Notice ppp [opt3] IPV6CP: LayerDown
2025-06-08T07:11:43 Notice ppp [opt3] IPV6CP: SendTerminateReq #2
2025-06-08T07:11:43 Notice ppp [opt3] IPV6CP: state change Opened --> Closing
2025-06-08T07:11:43 Notice ppp [opt3] IPV6CP: Close event
2025-06-08T07:11:43 Notice ppp [opt3] IFACE: Removing IPv4 address from pppoe0 failed: Can't assign requested address
2025-06-08T07:11:42 Notice ppp ppp-linkdown: executing on pppoe0 for inet
2025-06-08T07:11:42 Notice ppp [opt3] IPCP: LayerDown
2025-06-08T07:11:42 Notice ppp [opt3] IPCP: SendTerminateReq #4
2025-06-08T07:11:42 Notice ppp [opt3] IPCP: state change Opened --> Closing
2025-06-08T07:11:42 Notice ppp [opt3] IPCP: Close event
2025-06-08T07:11:42 Notice ppp [opt3] IFACE: Close event
2025-06-08T07:11:42 Notice ppp caught fatal signal TERM

Anschließend blieb mir nichts weiter übrig, als die OPNsense neu zu starten. Jetzt läuft alles wieder normal. Ob das jetzt eine Stunde gut geht oder 1-2 Tage stabil läuft, ist nicht vorherzusagen.

Hat jemand eine Idee was ich noch probieren kann? Ich bin kurz davor, die Hardware und das VDSL-Modem zu tauschen.

Gruß
Robert

Hallo,

bei dem "FreeBSD by Zabbix agent" Template gibt es leider nicht die Möglichkeit, Dienste zu konfigurieren oder zu hinterlegen. Grundsätzlich mag das möglich sein, denn beim Überwachen von Windows-Systemen gibt es dieses Feature in den Templates.

Um sich dem Thema zu nähern würde ich vorschlagen, die Dienste über ihren Port anzusprechen. Es gibt ja verschiedene Templates für TCP/UDP/DNS/SSH/Web/SSL usw. Wenn man solch ein Template konfiguiert und ins OPNsense Template aufnimmt, hat man nicht nur den entsprechenden Dienst geprüft, sondern auch die Verfügbarkeit/Erreichbarkeit.

Gruß
Robert

Hallo Shoux,
wir haben bei uns in der Firma rund 50 OPNsense Installationen unserer Kunden in aktiver Überwachung mit Zabbix. Bei uns geht es in erster Linie um Zuverlässigkeit und Konnektivität. Wir nutzen, wie du auch, den Zabbix-Client.

Auf dem Zabbix-Server haben wir dazu ein Template angelegt, welches andere Templates kombiniert:
- "FreeBSD by Zabbix agent" - Dieses Template bietet die meisten Informationen, u.a. auch Traffic pro Interface etc. Es ist in Zabbix integriert.
- "ICMP Ping" - Wir prüfen die externe Erreichbarkeit um einen Internetausfall, z.B. Telekom o.ä. zu dokumentieren. Es sollte auch in Zabbix integriert sein.

Ich hoffe, das hat dir zunächst geholfen?

Gruß
Robert

Hallo,
für die, die sich mit IPv6 auseinandersetzen möchten, empfehle ich zum Start folgende Podcastfolge:
https://requestforcomments.de/archives/412

Ich kann es nur empfehlen, sich damit zu beschäftigen. Wer als ITler heute ohne IPv6 ankommt, wird an so vielen Dingen scheitern.

Gruß
Robert

Guten Morgen,
meines Wissens nach bietet Vodafone DSL derzeit immer noch kein IPv6 an. Bei Vodafone-Kabel und im Mobilfunk ist es verfügbar. Wenn du also über DSL online bist, müsstest du evtl. über einen Providerwechsel nachdenken.

Vodafone selbst hat auf verschiedenen Anfragen von uns und unserer Kunden bisher nicht reagiert oder konnte kein Datum nennen.

Viele Grüße
Robert

Hallo,

unter diesem Link habe ich die Konfiguration erklärt:
https://forum.opnsense.org/index.php?topic=21839.msg103084#msg103084

Gruß
Robert

Hallo,

schalte mal unter "Firewall" -> "Advanced" das Häkchen bei "Disable reply-to on WAN rules" ein.
Es muss ohne eine IPv6 Portweiterleitung gehen.

Gruß
Robert

Hallo inDane,

schön, dass du es lösen konntest. Es wäre schade, deswegen wieder zur pfSense zu wechseln.
Ich nutze die Floating Rules nur, wenn ich mehreren LAN Interfaces die gleichen Regeln zuweisen möchte, sonst halte ich die Regeln lieber beim entsprechenden Interface.

Gruß
Robert

Hallo inDane,

es stimmt, natürlich werden Pakete an 192.168.178.xxx verworfen. Hierfür ist eigentlich STUN da, damit die GO-Box die eigene öffentliche IP-Adresse herausbekommen kann und diese ins Paket schreibt.
Welcher STUN-Server ist denn in der GO-Box eingestellt? Bei 1und1 sollte es wohl stun.1und1.de sein?

Nur noch eine Rückfrage: Aufgrund von 192.168.178.xxx vermute ich eine FRITZ!Box? Was hast du denn da für ein Modem?

Gruß
Robert

Hallo inDane,

schau doch mal, ob du die Ports von der Go-Box auf zufällig stellst. Die NAT Regel dann so konfigurieren, dass alle Pakete von der IP-Adresse der Go-Box auf "STATIC Port" gesetzt sind. Zum Debuggen bitte auch mal alle Ports an die Go-Box weiterleiten. Das muss später aber unbedingt raus.

Und noch etwas: Bitte benutze kein STUN. Bitte STUN in der GO-Box mal komplett abschalten.

Gruß
Robert

Hallo inDane,

ich möchte dir noch zwei Möglichkeiten vorschlagen:

1. Mach doch mal eine Portweiterleitung auf die Go-Box. Die entsprechenden Ports kannst du der Go-Box Oberfläche entnehmen. Wir nutzen bei einigen Kunden ebenfalls die GO-Box. Es gibt eigentlich keine Probleme. Ich würde mir die Optionen auf der Go-Box Config aber auch nochmals ansehen. Evtl. ist da etwas schief.

2. Nimm dir ein Wireshark. Mach mit den OPNsense (oder per SSH-Tunnel) ein dump des traffics. Anschließend schaust du es dir mir Wireshark an. Du kannst bei SIP/RTP sehr gut sehen, wie die Kommunikation läuft. Kleiner Tipp: Mach ein Dump auf der WAN-Seite und auf der LAN-Seite. So kannst du ggf. sehen, welche Pakete nicht durchkommen.

Falls du Linux benutzt, ich mache ein Dump wie folgt:

Code Select Expand

ssh root@OPNsense -p22 "tcpdump -i igb1 -U -w - port not 22" | wireshark -i - -k

Dieser Befehl baut eine SSH-Verbindung zur OPNsense auf und leitet den gesamten Traffic von igb1 direkt an das Wireshark. Ausgenommen ist die SSH-Verbindung selbst.

Gruß
Robert

Guten Morgen,
neulich bin ich auch darüber "gestolpert" und hatte das Problem auch. Ich musste die MTU in den Tunneleinstellungen auf 1412 setzen, dann ging es wieder. Was sich in der OPNsense konkret geändert hat, ist nicht klar. Jetzt läuft es aber wieder stabil.

Hier der Thread: https://forum.opnsense.org/index.php?topic=36941.0

Gruß
Robert