Messages

Ehrlich gesagt bin ich unschlüsslig.
Einerseits ist der Dienst QuickConnect schon gut, aber eigene Domain gefällt mir besser.
Evtl. muss ich es mal mit ner CNAME Umleitung versuchen sodass nas.meinstrato.de auf die QuickConnect ID weiterleitet.
Wenn ich "router.meinedomain.de" aufrufe komme ich auf die OPNsence aber ohne Website, da ist alles bis auf die VPN Ports blockiert.

Ich habe halt bei dem TEilen des Links festgestllt, dass kein definierter Port sondern irgendwelche Random Ports verwendet werden. Habe bisher nicht rausgefunden wie und ob ich diese Fixen könnte.
Wenn ich die nicht fixe, kann ich ja nur das Ganze NAS ins Netz stellen und das fände ich jetzt auch nicht so geil.

Hi, auf dem NAS läuft ein Dienst von Synology "Photos" und dieser stellt über über einen https Link der folgenden String-Strukutr hat, die Bilder zur verfügung
https://nas.meinstrato.de/photo/individuellercode

Und genau dieser Link funktioniert, wenn ich aber den STring "nas.meinstato.de" durch "quickconnect.to/meinsynoaccout" ändere klappt der zugriff.

Ja für Photo-Sharing bzw. Dateisharing. Die "älteren Leute" sind nicht in der Lage VPN auf ihren Handys oder gar PCs vorher einzuschalten.
Also "kontrolliere" Löcher für eben Fotos vom letzten Urlaub über einen Link für eine gewisse Zeit freigeben.

Noch ein Nachtrag: über den Synology-DYN-DNS "QuickConnect" funktioniert es lustiger weise. Ich nehme an da wird eigentlich kein unterschied sein ob Synology Dienst oder direkter DYN DNS, daher fällt ziemlich sicher eine Firewall raus oder?

Hallo in die Runde,

ich bin nicht ganz Sicher ob es ein 100% OPNsence Thema ist, aber ich frage dennoch mal nach.
Ich habe eine Sence als Router und dahinter ein Synology NAS.
Mein Internet Anschluss läuft über Vodafone und ich bekommen natürlich nur eine öffentliche, dynamische, IP Adresse.
Ich habe zwei DynDNS Domains bei Strato, besser gesagt, zwei SUB-Domanins:
router.meinstrato.de
nas.meinstrato.de

Wie die Namen schon sagen soll router.meinstrato.de auf die Opnsense für VPN Dienste zugreifen, und nas.meinstrato.de auf das Snyology NAS.

Die Verbindung zu router.meinstrato.de klapt hervorragend, allerdings komme ich nicht auf nas.meinstrato.de!
Der DynDNS ist aber registriert und wird auf beiden Seiten als aktiv angezeigt.
Wenn ich aber von außen auf das NAS möchte kommt immer "Connection timed out".

Im Grunde zeigen ja beide DynDNS Einträge auf die selbe öffentliche IP. Was muss ich tun, damit die Weiterleitung durch die Sence als Router an das NAS erfolgt?
Oder habe ich da einen Denkfehler und das geht sowieso und ich müsste noch irgendwas an den Firewall Regeln anpassen?
Ich sehe im Logfile viele wechselnde Ports, die kann ich doch nicht einfach alle freigeben?

Mir fehlt die Initiale Grundidee wie ich hier verfahren muss.

Danke für eure hilfe.

nein, geht leider auch nicht (so einfach), da der auf einer Anderen Etage steht, darum sind so viele Switche dazwischen.
Ich versuche mal vor den PC das alte APU Board zu hängen, dann ist der Rechner nicht mehr direkt hinter der Sence.
Aber es muss irgendwas mit der Sence zu tun haben, ich hab nur keine Anhnung wo ich suchen soll.
Eher DHCP, eher Firewall oder ganz wo anders?


UPDATE: Nachdem ich das APU-Board vor den PC geschalten habe, hab ich zumindest 78/33Mbit/s. Also für Doppel-NAT ganz in Ordnung.

Nachdem bei Speedtests der Upload so massiv einbricht, was könnte die Ursache sein?

Hier mein eine Grobe übersicht:

OpnSence           Raspi
   |                   |
  Netgear GS724T (24 Port)
  |
  Netgear GS105Ev2
  |
  Netgear GS108T
   |                 |
PC Main        PC 2

PC Main hat das Problem, PC 2 hat kein Problem.
Wie gesagt, IPERF von PC Main zu Raspi geht ohne Probleme, IPERF von PC Main zu OpnSence hat schon probleme.

Die FritzBox ist in einem Separaten netzwerk und als Bridge vor der Sence.

Ja den Switchport am letzten Switch (GS108T) habe ich schon getauscht.

Hallo Forum,

ich habe diese Woche mein APU Board gegen einen Intel-Mini PC (N3700) getauscht.
Nach aufspielen des Backups der APU lief auch alles wieder einwandfrei bis auf meinen Haupt PC.

Alle Geräte in allen Netzwerken (LAN, WLAN, usw.) bekommen den vollen Speed bei Speedtest (250/50) nur der PC (Win10, AMD Board, Ryzen 7) bekommt nur noch ca. 33/0.8Mbit/s.
Ich habe auch diverse iperf tests gemacht.

PC zu Raspi in LAN: 950Mbit in beide Richtungen
PC zu Opnsence: 570Mbit/s
Sence zu PC: 750Mbit/s

Habe auch Online Iperf tests gemacht, der PC hat nie mehr als 50Mbit, die anderen Geräte meist 3fach so viel.

Nach dem Hardware wechsel hat auch der PC als einziges Gerät ein neues Netzwerk erkannt und wurde von der Sence auf per DHCP auf die letzte IP verschoben (vorher 192.168.178.38, jetzt 192.168.178.99 (99 ist letzte DHCP-IP, rest ist für Statisch reserviert).

DNSflush und ARP-Cage am PC habe ich bereits bereinigt.
Drops an der Firewall sind auch nicht zu sehen.

Hat hier jemand eine Idee woran es liegen kann?

ja ich hab die Route  in der Fritzbox gesetzt (hatte ich auch schon vorher).
Wie gesagt, der Stream wird auch Angefordert aber geht am am Input der OpnSence verloren und wird nicht ins LAN-Netzwerk geroutet (kein Output)

So, ich war länger nicht aktiv, und habe es auch immer noch nicht zum laufen bekommen.

Ich habe jetzt aber folgendes Festgestellt:
Anfrage PC (LAN-Netz) geht direkt an FritzBox Port 554 --> PASS
Antwort von FritzBox an OPnSense Port 5001 --> PASS
OpnSense an PC Port xxxx (Random) --> PASS

Ich sehe auch, dass am Eingang der OpnSense Traffic aus dem FirtzBoxNetzwerk eingeht. ABER: es gibt keinen Ausgehenden Traffic aus der OpnSense in das LAN-Netzwerk wo es eigentlich hin geroutet werden müsste.

VLC Player gibt die Fehlermeldung, dass er "rtsp://fitzbox:554" nicht öffnen kann.

Kann es sein, dass das Routing das Problem ist, da der PC nicht die Ports 554/5001/5000 usw. verwendet, und daher die OpnSence nicht weißt, wohin sie die eingehenden Pakete versenden soll?

Da ich keine DROPs im Logfile habe, wird es nicht am Ruleset sondern am Routing liegen. ABer woran, fällt mir schwer zu erkennen.

Kommst du mit ausgeschaltetem Outbound NAT auf die Weboberfläche der Fritz!Box?

Ja das geht weiterhin.

Hast du die Route in der OPNsense manuell angelegt? Die OPNsense legt die automatisch an.

Gruß
KH

Ja hab ich um in beide Richtungen zu kommen. Schaden sollte es nicht, auch wenn es eigentlich Automatisch geschehen sollte.

Ich komme irgendwie nicht weiter.... Komischer BUG.

Hi KH,

ich hatte keine Internetprobleme, da ich die Gateways anders Priorisiert habe.
Der Exposed host war dazu da, um ggf. irgendwelche Firewallpunkte der Fritzbox zu verhindern.
Hab ihn jetzt abgeschalten, keine Veränderung.

Ich habe jetzt das FB-Gateway abgeschalten und eine Outbound NAT auf das FB-Netzwerk eingerichtet.
Die Fritzbox erreiche ich wieder, der Stream baut sich dennoch nicht auf.
In dem Moment wo ich die Outbound NAT abschalte wird kein Stream mehr auf der FritzBox angefordert.

Wenn Outbound NAT an ist, wird der Stream auf der FB angefordert, er Traffic ist auf der Sense Schnittstelle zu sehen (5 - 7 MBit für SD) aber auf der LAN-Seite wird nichts ausgegeben.

Die Routen auf der FB und der Sense sind in beide Richtungen angelegt.

Hallo leute,
ich hab mir den Thread hier genau durchgelesen, komme aber leider nicht zum Ziel.

Mein Setup ist wie folgt:

WAN
Cable - FB 6660 - Bride LAN 2 -- OPNSense - ibg02

FB-LAN
OPNSense - ibg04 -- FB 6660 - LAN 4 (FB = DHCP 192.168.0.1/24)

LAN
OPNSense - ibg01 -- Netzwerkswitch (Sense = DHCP 192.168.178.1/24)

Im FW-Log sehe ich keine Blocks, alle Ports werden durchgelassen. Ich sehe auch wie hier beschrieben die Porst 554, 5000 und 5001
Auch habe ich die Sense auf der FB als Exposed Host hinterlegt.

Auf der Sense habe ich daher zwei Gateways, 1x WAN (Bridge) und 1x FB-LAN. Das FB-LAN Gateway benötige ich um auf die FB zugreifen zu können. Wenn ich NAT abstelle, Gateway ausschalte usw, komme ich nicht mehr auf die FB, da dies die einzige Verbindung ist.

Dennoch baut sich der Stream im LAN-Netzwerk nicht auf. Interessant ist aber, dass auf der FB angezeigt wird, dass die Sense (als Client) einen DVB-C Stream gestartet hat.
Aber auf der Sense an Port ibg02 sehe ich keinen Traffic (also schon nicht eingehend in die Sence, daher vermutlich auch nicht ausgehend aus der FB.

Was kann ich noch versuchen?

Okay, ich konnte mein Problem lösen, auch wenn ich nicht sicher bin woran es genau lag.

Um den Fehler einzugrenzen, hatte ich alle Plugins abgeschalten (suricata, ntopng, netflow).
Das brachte keine verbesserung.
Daraufhin habe ich die große Menge an ICMPv6 auf WAN bemerkt und das vermutet.
Leider lässt sich das NICHT abschalten.
Die Einträge werden immer geloggt, da entweder v6 disabeld --> dann kommt eine automatische floating rule mit log über alle v6 Blocks; oder v6 enabled --> dann kommt eine automatschische floating rule, die ICMPv6 loggt.

Nach einigem googeln habe ich das .php Script gefunden, wo die auto-rules erzeugt werden (/usr/local/etc/inc/filter.lib.inc) und habe die entsprechenden bereiche raus komentiert.

Siehe da, die ICMPv6 Rule ist weg.

Aber immernoch das Speedpoblem + neu: die automatische bolean v6 Rule auf WAN loggt jetzt  >:(

Aber jetzt nochmals alle Plugins abgeschalten und siehe da: jetzt ist suricata der Übeltäter.
Mit suricata bekomme ich zw. 60-70Mbit/s ohne 207Mbit/s.

Somit lasse ich jetzt die default ICMP rules weg, und suricata aus.

Viele Grüße --> GELÖST

hey guys,

ISP says this is normal.
Do you think so?
(see Pictures)

Das mit der Bridge war ein fehler, die habe ich inzwischen wieder raus genommen (Wollte port-mirror bauen).

Deine Idee mit den Rules klingt gut, aber leider kann ich ICMPv6 nich blocken, da es eine Automatische Rule ist, die ich nicht überschreiben kann (siehe Bild).

Ich habe über ntopng jetzt mal die packte zählen lassen.
Das waren in 13 Stunden über 2Mio Packete mit 160Mbit.

Ich glaube auch nicht, dass es die Mbit sondern die Menge der Packete sind (wie bei DDos Atacke).