Messages

Hi, I have an OPNSense running fine with mimugmails AdGuard@Home.
When moving to a different PC (Fujitsu S920 AMD 4x1,5 + Intel NIC) and booting, then OPNSense is working fine. But Adguard@Home is not starting.

Where can/should I look for issues?

Never mind, the config in /usr/local/AdGuardHome/AdGuardHome.yaml was empty - crazy ;) I copied over the existing one from agh-backup to make it work again.

Das sieht so aus, als ob der Client den Server nicht erreicht, bzw. am Server nichts ankommt. Ich hatte das als ich in einem Fritzbox-Gastnetz per WLAN verbunden war und von dort aus konnte ich meinen Server auch nicht erreichen. Per Hotspot vom Handy ging es aber. D.h. vielleicht kommt dein Client mit dem gewählten Port nicht raus. Oder aber du kommst nicht über den WAN/Router an deinen OPN-Server, wie im vorigen Post erwähnt.

Da das Ganze ja irgendwie nicht mit Logik zu erklären ist, habe ich, bevor ich pfSense installiere, den Laptop mit Ubuntu gebootet. Und nun reagiert er auf den Ping.  :o

Es ist also tatsächlich Windows mit eingeschalteter lokaler FW, das nicht auf den Ping antwortet, wenn der Ping nicht aus dem selben Subnetz kommt. Auf den Ping von der PFSense antwortet er ja. Krasser Sch€1$$.  :-X

Mit vollständig deaktivierter Windows-Firewall funktioniert der Ping ebenfalls.  :-\

Tja, so einfach kann es sein. Und großes Danke an @Gauss23, dem Windows direkt suspekt war. Wieder etwas gelernt. Und einen Tag weggeschmissen  :-[

***
Hier kann zu.
***

Netzwerkkarte(n) getauscht: 4xGLAN raus, 2 x 1GLAN rein. Neu konfiguriert.
Gleiches Ergebnis. Geht nicht: Internet OK, aber kein Zugriff von LAN auf OPT1 oder OPT1 auf LAN.

Nächster Schritt: pfSense

Hardware ist ein ASrock Board mit HP/Intel 4x GLAN.

Code Select Expand

CPU Type Intel(R) Core(TM) i3-3220 CPU @ 3.30GHz (4 cores)

Originalinstallation war aktuell, also 20.7.3-amd64. Allerdings oft geupdated über mehrere Versionen.

Zur Zeit läuft eine neue nano-Version via USB-Stick:

Code Select Expand

System Information
Name OPNsense.workgroup
Versions OPNsense 20.7.3-amd64
FreeBSD 12.1-RELEASE-p10-HBSD
OpenSSL 1.1.1g 21 Apr 2020

Hilft aber auch nichts, geht auch nicht. Oder ich konfiguriere immer etwas gleich falsch. Kann ich mir aber nicht vorstellen.

Bzgl. Laptop:
Ich kann doch den Laptop 192.168.20.100 in OPT1 von der OPNSense aus anpingen. Wenn es ein Problem mit der lokalen Windowsfirewall gäbe, dann ginge das doch auch nicht:

Code Select Expand

login as: root
Keyboard-interactive authentication prompts from server:
| Password:
End of keyboard-interactive prompts from server
----------------------------------------------
|      Hello, this is OPNsense 20.7          |         @@@@@@@@@@@@@@@
|                                            |        @@@@         @@@@
| Website:      https://opnsense.org/        |         @@@\\\   ///@@@
| Handbook:     https://docs.opnsense.org/   |       ))))))))   ((((((((
| Forums:       https://forum.opnsense.org/  |         @@@///   \\\@@@
| Lists:        https://lists.opnsense.org/  |        @@@@         @@@@
| Code:         https://github.com/opnsense  |         @@@@@@@@@@@@@@@
----------------------------------------------

*** OPNsense.workgroup: OPNsense 20.7.3 (amd64/OpenSSL) ***

LAN (em0)       -> v4: 192.168.10.2/24
OPT1 (em1)      -> v4: 192.168.20.2/24
OPT2 (em2)      -> v4: 192.168.30.2/24
OPT3 (re0)      -> v4: 192.168.40.2/24
WAN (em3)       -> v4: 192.168.8.101/24

  0) Logout                              7) Ping host
  1) Assign interfaces                   8) Shell
  2) Set interface IP address            9) pfTop
  3) Reset the root password            10) Firewall log
  4) Reset to factory defaults          11) Reload all services
  5) Power off system                   12) Update from console
  6) Reboot system                      13) Restore a backup

Enter an option: 7


Enter a host name or IP address: 192.168.20.100

PING 192.168.20.100 (192.168.20.100): 56 data bytes
64 bytes from 192.168.20.100: icmp_seq=0 ttl=128 time=0.864 ms
64 bytes from 192.168.20.100: icmp_seq=1 ttl=128 time=0.513 ms
64 bytes from 192.168.20.100: icmp_seq=2 ttl=128 time=0.505 ms

--- 192.168.20.100 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.505/0.627/0.864/0.167 ms

Press ENTER to continue.


Von LAN aus geht es nicht. Ich verstehe es nicht und bin ratlos.

[nicht]

Situation mit OPT3 ist die Gleiche.
In OPT3 funktioniert der Internetzugriff mit ALLOW ALL rule, der Zugriff/Ping auf LAN aber nicht.
Ebenso kein Zugriff/Ping von LAN auf OPT3.

Sonst noch jemand eine Idee was hier noch fehlt? Z.B. für den Zugriff von LAN auf OPT3?

a) Siehst Du denn die Pakete in der Live View an der OPNsense? Dazu musst Du die entsprechenden Regeln für das Logging aktivieren.

b) Ist der Client im OPT1 per WLAN oder direkt per LAN im Netz?
c) Wenn per WLAN was für ein Access Point ist das?

d) Hast Du in den Interface-Einstellungen die Option "Block private networks" aktiviert?

a) muss ich schauen: Was muss ich aktivieren? Gibts da einen Link zum Manual?
b) Momentan Direktverbindung Netzwerkkabel
c) tut momentan nix zur Sache, da Netzwerkkabel
d) Nein, nicht aktiviert. Auf keinem Interface, auch nicht auf WAN, da dies ja nicht das echte WAN ist, sondern das lokale Netz der Fritzbox.

Ich probiere später mal alternativ OPT3, das ist die Onboard Karte, der Rest ist eine 4Port Intel/HP. Kann mir aber nicht vorstellen, dass es daran liegt.

[Es hat sich nichts geändert.]

So, OPNSense zurückgesetzt und die Interfaces in der Konfig getauscht und die Verkabelung umgesteckt, sieht jetzt so aus:

Code Select Expand


*** OPNsense.workgroup: OPNsense 20.7.3 (amd64/OpenSSL) ***

LAN (em0)       -> v4: 192.168.10.2/24          <--- LAN
OPT1 (em1)      -> v4: 192.168.20.2/24          <--- WLAN
OPT2 (em2)      -> v4: 192.168.30.2/24
OPT3 (re0)      -> v4: 192.168.40.2/24
WAN (em3)       -> v4: 192.168.8.101/24         <--- WAN mit Fritzbox 192.168.8.1


LAN funktioniert mit PC/WS 192.168.10.178 und PC/Server 192.168.10.23.
Internetzugriff automatisch vorhanden nach der Installation aus LAN.

Firewallrules LAN:
      IPv4 *    LAN net    *    *    *    *    *    Default allow LAN to any rule    
      IPv6 *    LAN net    *    *    *    *    *    Default allow LAN IPv6 to any rule

Ping von OPNSense via SSH gegen den Laptop auf OPT1 funktioniert:

Code Select Expand


Enter a host name or IP address: 192.168.20.100

PING 192.168.20.100 (192.168.20.100): 56 data bytes
64 bytes from 192.168.20.100: icmp_seq=0 ttl=128 time=0.534 ms
64 bytes from 192.168.20.100: icmp_seq=1 ttl=128 time=0.504 ms
64 bytes from 192.168.20.100: icmp_seq=2 ttl=128 time=0.498 ms

--- 192.168.20.100 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.498/0.512/0.534/0.016 ms

Press ENTER to continue.


Tja, was soll ich sagen, wie vermutet: Es hat sich nichts geändert.

@192.168.10.178: PING 192.168.20.100 liefert NIX:

Code Select Expand

C:\Users\Donnie>ping 192.168.20.100

Ping wird ausgeführt für 192.168.20.100 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

Ping-Statistik für 192.168.20.100:
    Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4
    (100% Verlust),

@192.168.10.178: PING 192.168.20.2 also gegen das OPT1 Interface funktioniert aber:

Code Select Expand

C:\Users\Donnie>ping 192.168.20.2

Ping wird ausgeführt für 192.168.20.2 mit 32 Bytes Daten:
Antwort von 192.168.20.2: Bytes=32 Zeit=4ms TTL=64
Antwort von 192.168.20.2: Bytes=32 Zeit=4ms TTL=64
Antwort von 192.168.20.2: Bytes=32 Zeit=4ms TTL=64
Antwort von 192.168.20.2: Bytes=32 Zeit=4ms TTL=64

Ping-Statistik für 192.168.20.2:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
    (0% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 4ms, Maximum = 4ms, Mittelwert = 4ms

@192.168.10.178: ipconfig /all liefert auf ethernet:

Code Select Expand

Ethernet-Adapter Ethernet:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Intel(R) Ethernet Connection (2) I218-V
   Physische Adresse . . . . . . . . : D0-50-99-45-FE-11
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   IPv4-Adresse  . . . . . . . . . . : 192.168.10.178(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : 192.168.10.2
   DNS-Server  . . . . . . . . . . . : 192.168.10.2
   NetBIOS über TCP/IP . . . . . . . : Aktiviert


@192.168.20.100: Ping gegen die Schnittstelle 192.168.20.2 liefert per default auch NIX, das ist aber klar, denn es ist keine FW Rule definiert. Das soll auch gar nicht funktionieren. Woanders hin natürlich auch nicht.

Füge ich die ALLOW ALL rule auf OPT1 hinzu,

Code Select Expand

Protocol Source Port Destination Port Gateway Schedule Description
Automatically generated rules
IPv4 * * * * * * * OPT1/WLAN allow ALL

dann:
@192.168.20.100: PING 192.168.20.2 gegen das lokale Interface funktioniert.
@192.168.20.100: PING 192.168.8.1 gegen die Fritzbox funktioniert.
@192.168.20.100: PING 8.8.8.8 gegen WAN funktioniert.
@192.168.20.100: PING 192.168.10.23 gegen LAN/Server funktioniert NICHT

Somit zurück zu meiner ursprünglichen Frage:
Was fehlt hier? Bzw. was mache ich falsch?

Tatsächlich war das was drin, habe ich dann deaktiviert, ändert aber auch nichts.

Bevor ich jetzt weitersuche, mache ich besser mal ein

Code Select Expand

4) Reset to factory defaults   

Irgendwas ist hier nicht geheuer mit dem Ding.

Der Laptop ist nicht die Ursache. Habe gerade den Laptop an BLUE angeschlossen (.20.100) und ihn von der OPNSense aus der Shell angepingt: Funktioniert einwandfrei.

Es ist ja auch von BLUE=>GREEN das Gleiche wie von GREEN=>BLUE:
Das Interface im anderen Netz ist bei aktiver FW Rule pingbar, aber die Netzwerkgeräte sind es nicht.

Code Select Expand

64 bytes from 192.168.20.100: icmp_seq=63 ttl=128 time=0.582 ms
64 bytes from 192.168.20.100: icmp_seq=64 ttl=128 time=0.481 ms
^C
--- 192.168.20.100 ping statistics ---
65 packets transmitted, 65 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.440/0.535/0.603/0.040 ms
root@OPNsense:~ # ping 192.168.20.100
PING 192.168.20.100 (192.168.20.100): 56 data bytes
64 bytes from 192.168.20.100: icmp_seq=0 ttl=128 time=0.578 ms
64 bytes from 192.168.20.100: icmp_seq=1 ttl=128 time=0.511 ms
64 bytes from 192.168.20.100: icmp_seq=2 ttl=128 time=0.490 ms
^C
--- 192.168.20.100 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.490/0.526/0.578/0.037 ms
root@OPNsense:~ #


Ja, der Laptop ist pingbar, wenn ich ihn z.B. an der Fritzbox verbinde. Dort bekommt er die *.8.135, diese kann ich von meinem PC/Workstation *.10.178 in GREEN pingen. Deaktiviere ich die Verbindung des Laptops zur Fritzbox, dann geht der Ping nicht mehr. Also ist es der Laptop, der auf den Ping antwortet, und kein anderes Gerät.

Die gleiche ALLOW ANY Rule wie auf GREEN habe ich dann auch auf BLUE erstellt, und es ist dort das gleiche: Ich kann den PC/Server in GREEN (.10.23) nicht anpingen, das Interface aber schon (.10.2).
Deaktiviere ich die ALLOW ANY Rule in BLUE, dann kann ich von BLUE aus auch das Interface (.10.2) nicht mehr anpingen.

Anbei der Liveview mit einem Ping von GREEN PC .10.178 auf BLUE Laptop .20.100. Das sieht für mich so aus, als ob alles ok ist. Trotzdem funktioniert der Ping nicht.

Ich bin ratlos.

Genau das verstehe ich nicht. Auf GREEN gibt es die automatisch erstellte "Default allow LAN to any rule". Damit sollte ich laut deiner Aussage bzw. dem Grundprinzip der Firewalls doch überall hin kommen, einschliesslich BLUE, oder? Funktioniert aber nicht. Und das war die Frage.

Anbei die Rules auf GREEN. Reicht das aus, um auf ein Gerät in BLUE zu kommen?

- RED = WAN
- GREEN = LAN
- BLUE = WLAN

Zur Zeit ist WLAN an der Firtzbox aktiv und das möchte ich ändern.
Wenn der Zugriff funktioniert, nur bestimmte WLAN Geräte auf das LAN zugreifen lassen.

Hallo zusammen, bin Anfänger und habe bereits vor einiger Zeit eine OPNSense installiert.

Diese hängt hinter einer Fritzbox (192.168.8.1/24) für den Internetzugang via DSL und funktioniert soweit problemlos mit GREEN (192.168.10.1/24), RED (192.168.8.101) und der Fritzbox (192.168.8.1) als Gateway.

Ich habe nun das Interface BLUE aktiviert und ein Gerät (Laptop) angeschlossen.
Eine IP Adresse habe ich via DHCP bekommen (192.168.20.100). Internet hat nicht automatisch funktioniert. Gelöst habe ich dies momentan durch eine ALLOW ALL Rule auf BLUE (analog zu GREEN). Internet funktioniert, soweit ok.

Allerdings:
Von BLUE auf GREEN funktioniert der Ping nur auf das Interface, nicht auf einen PC aus GREEN, d.h. von 192.168.20.100: PING 192.168.10.2 funktioniert, PING 192.168.10.23 (PC) funktioniert NICHT.
Von GREEN auf BLUE ist es ebenso, von 192.168.10.23: PING 192.168.20.2 funktioniert, PING 192.168.20.100 (Laptop) funktioniert NICHT.

Was fehlt da?

Viele Grüße
Dirk

Code Select Expand


Netzwerke:
RED   192.168. 8.0/24 OPNSense-IF:192.168. 8.101
GREEN 192.168.10.0/24 OPNSense-IF:192.168.10.2
BLUE  192.168.20.0/24 OPNSense-IF:192.168.20.2


Code Select Expand


Übersicht Netzwerk:
                  :
                  : DSL
                  :
            .-----+------.
            |  FritzBox  |------------+- WLAN Clients 192.168.8.0/24 via Fritzbox
            '-----+------'            |
                  | 192.168.8.1       +- DHCP via Fritzbox
                  | WANGW on OPNSense
              WAN |
        RED (em0) |
    192.168.8.101 |
            .-----:----------.
            |  OPNSense      +------- ORANGE (em1) inaktiv
            |  4 x LAN       |
            |  + LAN Onboard +------- OPT3   (re0) inaktiv
            '-----:------:---'
  192.168.10.2/24 |      | 192.168.20.2/24   
      GREEN (em3) |      | BLUE   (em2)   
              LAN |      | (WLAN 
                  |      |
   ...-----+------+      +-----+------...
      LAN Clients    Clients
192.168.10.23 etc.        192.168.20.100 etc.