Messages

Mein Handy hat als DNS 8.8.8.8 und 8.8.4.4 eingetragen. Bei dem "anderen Mobiltelefon" ist 192.168.1.1 und 8.8.4.4 eingetragen.
Mir ist in meinem yweiten post bei der "nslookup www.heise.de" auf dem Mobiltelefon ein Fehler unterlaufen. Ich habe "dnslookup" getippt gehabt, statt "nslookup". Hier die Koorektur (allerdings habe ich seit dem ja Äanderungen an den DNS-Einstellungen von OPnsense durchgeführt:)
 

Code Select Expand

nslookup www.heise.de
Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
Name:   www.heise.de
Address: 193.99.144.85
Name:   www.heise.de
Address: 2a02:2e0:3fe:1001:7777:772e:2:85
Now


Die meisten meiner Rechner sind Linux basiert.

Acces-points: hier habe ich 3 Stück. Meine SSID ist einzigartig.
TP-Link Archer C7 v2

• openwrt
• Kernel Version: 6.6.86
• Protocol: Static address
• Address: 192.168.1.3/24
• Gateway: 192.168.1.1
• DNS: 192.168.1.1
• DHCP-leases: 0
• Wifi-Einstellungen: siehe Screenshot

MikroTic
RouterOS v6.49.18

• http://192.168.1.186
• Wifi Einstellungen siehe Screenshot

Unter IP => DHCP-Server => DHCP-Server finde ich folgende Einstellung:
Name: defconf
Interface: Bridge
Address-pool: dhcp


Unter IP => DHCP-Server => Networks finde ich folgende Einstellung:
Adress: 192.168.88.0/24   
Gateway: 192.168.88.1
Netmask: 0
Kommentar: defconf

Unter IP => DNS steht 192.168.1.1 eingetragen.


Beim Zyxel Router habe ich leider das PW verlegt. Die Infos dazu reiche ich nach.


Mein ISP ist auf beiden Seiten lyse.no, mit Glasfaser direkt ins Gebäude. Zu Hause habe ich den Router des ISP in den bridge-modus gestellt, da ich ja meinen eigenen Router betreibe.


Von meinem Linux Mint laptop aus, nur mit Ethernet-kabel (1000Mbit), DNS: 192.168.1.1:

Code Select Expand

ping 192.168.1.1 #home opnsense
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=0.773 ms
64 bytes from 192.168.1.1: icmp_seq=2 ttl=64 time=0.814 ms
64 bytes from 192.168.1.1: icmp_seq=3 ttl=64 time=0.938 ms
64 bytes from 192.168.1.1: icmp_seq=4 ttl=64 time=1.05 ms
64 bytes from 192.168.1.1: icmp_seq=5 ttl=64 time=0.966 ms
64 bytes from 192.168.1.1: icmp_seq=6 ttl=64 time=0.869 ms
64 bytes from 192.168.1.1: icmp_seq=7 ttl=64 time=1.00 ms
64 bytes from 192.168.1.1: icmp_seq=8 ttl=64 time=1.65 ms

Code Select Expand

ping 192.168.3.1
PING 192.168.3.1 (192.168.3.1) 56(84) bytes of data.
64 bytes from 192.168.3.1: icmp_seq=1 ttl=63 time=2.58 ms
64 bytes from 192.168.3.1: icmp_seq=2 ttl=63 time=2.24 ms
64 bytes from 192.168.3.1: icmp_seq=3 ttl=63 time=2.58 ms
64 bytes from 192.168.3.1: icmp_seq=4 ttl=63 time=2.25 ms
64 bytes from 192.168.3.1: icmp_seq=5 ttl=63 time=2.09 ms
64 bytes from 192.168.3.1: icmp_seq=6 ttl=63 time=2.38 ms
64 bytes from 192.168.3.1: icmp_seq=7 ttl=63 time=2.50 ms


Code Select Expand

ping www.heise.de
PING www.heise.de (193.99.144.85) 56(84) bytes of data.
64 bytes from www.heise.de (193.99.144.85): icmp_seq=1 ttl=242 time=31.3 ms
64 bytes from www.heise.de (193.99.144.85): icmp_seq=2 ttl=242 time=31.1 ms
64 bytes from www.heise.de (193.99.144.85): icmp_seq=3 ttl=242 time=31.1 ms
64 bytes from www.heise.de (193.99.144.85): icmp_seq=4 ttl=242 time=31.6 ms
64 bytes from www.heise.de (193.99.144.85): icmp_seq=5 ttl=242 time=32.0 ms

Code Select Expand

nslookup www.heise.de
Server: 127.0.0.53
Address: 127.0.0.53#53

Non-authoritative answer:
Name: www.heise.de
Address: 193.99.144.85
Name: www.heise.de
Address: 2a02:2e0:3fe:1001:7777:772e:2:85


Ich habe jetzt in Opnsense "unbound DNS" aktiviert, und weitere DNS-features deaktiviert.

Mal schauen, ob die neuen Einstellungen eine Änderung bewirken.

Ein anderes Mobiltelefon hat soeben das WiFi-Problem "Verbunden ohne Internet". Wieder mittels Termux:

Code Select Expand

dnslookup www.heise.de
dnslookup v1.11.1
2025/08/27 19:56:34 [fatal] Cannot make the DNS request: exchanging with 127.0.0.1:53 over udp: read udp 127.0.0.1:43432->127.0.0.1:53: read: connection refused
~ $ ping 192.168.1.1   #home opnsense
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=73.1 ms
64 bytes from 192.168.1.1: icmp_seq=2 ttl=64 time=10.3 ms
64 bytes from 192.168.1.1: icmp_seq=3 ttl=64 time=55.2 ms
64 bytes from 192.168.1.1: icmp_seq=4 ttl=64 time=5.78 ms
^C
--- 192.168.1.1 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3007ms
rtt min/avg/max/mdev = 5.781/36.129/73.190/28.829 ms
~ $ ping 192.168.3.1    #Office opnsense, also über wireguard
PING 192.168.3.1 (192.168.3.1) 56(84) bytes of data.
64 bytes from 192.168.3.1: icmp_seq=1 ttl=63 time=52.9 ms
64 bytes from 192.168.3.1: icmp_seq=2 ttl=63 time=11.5 ms
64 bytes from 192.168.3.1: icmp_seq=3 ttl=63 time=55.6 ms
^C
--- 192.168.3.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2005ms
rtt min/avg/max/mdev = 11.520/40.064/55.698/20.216 ms

Danke für Deinen Post.
Ich sollte vielleicht nochmal klarstellen, dass meine Symptome nicht konsequent auftreten. Bspw. verbindet ich das Mobiltelefon nach mehrmaligen ein- und ausschalten des Wifi dann doch meist mit dem WLAN, und so ähnlich ist es auch mit dem streaming. Aber es ist eben sehr oft sehr nervig.

Von meinem Laptop (home), mit WiFi verbunden:

Code Select Expand

ping 192.168.1.1 #home opnsense
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=9.76 ms

ping 192.168.3.1   #office opnsense, also über wg tunnel
PING 192.168.3.1 (192.168.3.1) 56(84) bytes of data.
64 bytes from 192.168.3.1: icmp_seq=1 ttl=63 time=7.07 ms

ping 192.168.1.131 #home medienplayer
PING 192.168.1.131 (192.168.1.131) 56(84) bytes of data.
64 bytes from 192.168.1.131: icmp_seq=1 ttl=64 time=3.38 ms

ping heise.de
PING heise.de (193.99.144.80) 56(84) bytes of data.
64 bytes from redirector.heise.de (193.99.144.80): icmp_seq=1 ttl=242 time=54.0 ms


Code Select Expand

nslookup www.heise.de
Server: 127.0.0.53
Address: 127.0.0.53#53

Non-authoritative answer:
Name: www.heise.de
Address: 193.99.144.85
Name: www.heise.de
Address: 2a02:2e0:3fe:1001:7777:772e:2:85
Mein Mobiltelefon (Termux) erzählt mir gerade etwas interessantes:

Code Select Expand

dnslookup www.heise.de
dnslookup v1.11.1
2025/08/27 19:33:17 [fatal] Cannot make the DNS request: exchanging with 127.0.0.1:53 over udp: read udp 127.0.0.1:42255->127.0.0.1:53: read: connection refused
Now
 

Nutzt Du auf der opnsense @home den unbound zur Namensauflösung?

Ubound habe ich tatsächlich @home aktiviert gehabt. Ich habe das jetzt deaktiviert.

• "Services: Unbound DNS: DNS over TLS" => habe jetzt deaktiviert.
• "Services: Unbound DNS: Overrides" => habe  jetzt die lokalen Einträge deaktiviert.
• "Services: Unbound DNS: Advanced Rebind protection networks" => Ich sehe eine Reihe von IP-Adressen eingetragen. Das muss aber automatisch eingetragen worden sein.
• Services: Dnsmasq DNS & DHCP => bei "Default" steht "enabled".
• Services: C-ICAP: Configuration => habe ich jetzt disabled.

Im Anhang ein screenshot der log-Einträge des DNS Ubound.

An dem dnslookup-test ändert sich nichts, und auch der erste Versuch von Spotify (Mobilelefon) etwas auf einen Mediaplayer zu streamen schlägt fehl. Die web-GUI des medien-Players ("moode" auf einem Raspi, mit Ethernet angeschlossen) erreiche ich übrigens immer zuverlässig.

Hast Du da ACLs und/oder Blocklisten aktiv?

Wo genau finde ich die? Adguard habe ich eben deaktiviert, aber ich denke nicht, dass der wirklich etwas gefilter hat.

Hallo,

ich habe mein Heimnetzwerk und mein Firmennetzwerk über einen WireGuard Site-to-Site-Tunnel verbunden. Auf beiden Seiten nutze ich OPNsense. Zu Hause habe ich aktuell die Version 25.7-amd64 und im Büro die Version 25.1.12-amd64. Beide Instanzen sind virtualisiert in Proxmox. Auf beiden Seiten läuft das WireGuard-Plugin von OPNsense. Die Subnetze sind 192.168.1.0/24 zu Hause und 192.168.3.0/24 im Büro. Die Verbindung funktioniert zuverlässig. Ich nutze Routing.

Das Problem:
Wenn der Tunnel aktiv ist, habe ich innerhalb meines Heimnetzes Probleme, speziell mit mobilen Geräten, die WLAN nutzen. Die Geräte verlieren häufig
die Verbindung. Auf Mobiltelefonen und Tablets erscheinen Meldungen wie ,,Verbindung fehlgeschlagen" oder ,,Verbunden, ohne Internet". Außerdem habe ich
Schwierigkeiten, Mediengeräte wie meinen Audio-Receiver oder andere Media-Player zu entdecken oder Streams zu senden, auch wenn ich mit WLAN verbunden bin. Wenn ich über WLAN telefoniere, wechselt die Verbindung oft zu 5G, sobald der Tunnel aktiv wird. Ich füge die in meinem Heimnetzwerk konfigurierten Routes und Rules bei, die aktuell auf meiner Heim-OPNsense-Instanz eingerichtet sind.


Könnt ihr mir bitte bei der Fehlersuche helfen?
Danke und viele Grüße!

Right, will do! Actually, for my TrueNAS-VM as well :-)

I totally agree with Ricardo: we should document your input somehow, so it's easier to find. I'd be happy to contribute, if you instruct me.

Hi.

The only alternative I have to i440fx is q35, which is even older. So I stick to i440fx for now.

I changed the network adapter to VMware vmxnet3 and will monitor if this helps. If the network is more reliable now, we know for sure what caused it. I will report back to you.

Thanks again!

I really appreciate that you spend so much time on this.

See the screenshot attched.
The em1 has a cat5e cable with rj45-connector (1000Mbit), to a router from my ISP, switching to fiber there:

Code Select Expand

Status up
DHCP
up   
MAC address
MTU 1500
IPv4 address
IPv4 gateway
IPv6 link-local
DNS servers 109.247.114.4
92.220.228.70
Media 1000baseT <full-duplex>
In/out packets 156306529 / 156761362 (206.97 GB / 27.24 GB)
In/out packets (pass) 156101589 / 156761362 (206.96 GB / 27.24 GB)
In/out packets (block) 3403990 / 0 (200 KB / 0 bytes)
In/out errors 0 / 0
Collisions 0
Interrupts
irq device total rate
irq11 em1:irq0++ 147233016 877 

Code Select Expand

root@OPNsense:~ # vmstat -i
interrupt                          total       rate
irq1: atkbd0                         199          0
irq10: em0:irq0                126321288        743
irq11: em1:irq0++              147666702        869
irq14: ata0                     72743347        428
cpu0:timer                       9987002         59
cpu1:timer                       7230780         43
cpu2:timer                      10365342         61
cpu3:timer                       6961074         41
Total                          381275734       2243


The underlying physical storage... unsure what you want to know... a local SSD, SCSI controller

Second image...

Find 2 screenshots below. The first one is with netflow disabled, the second has netflow enabled.

Is this system pushing a lot of traffic?

I've been uploading 100Gb to Nextcloud yesterday (using Nextclouds web-interface), from a PC outside the LAN. Other than that, It was mostly just browsing or streaming some music. I am unexperienced when it comes to network, but I don't believe that this cause a higher CPU load. It's a home network with very limited amount of users.

Please see the screenshot below.
Of course, now that the doctor is here, the pain vannishes: CPU is down to 25%. I am not aware of any changes in my network that could cause this. I will keep an eye on it a run the command again, when the CPU-load rises again.

Adding a screenshot of system resources, including CPU-load...

Hi all!

I am worried about the CPU loadin OPNsense, which is in average about 60%. Even if there is little traffic going on.
"top" tells me, that two sqlite3-processes use about 50% of my CPU. Shouldn't be like that, should it?

I would be very grateful if someone could help me troubleshooting this. Thanks in advance.

dejhost
---

My  Setup:

• OPNsense v. 21.1.5-amd64, FreeBSD 12.1-RELEASE-p16-HBSD, OpenSSL 1.1.1k 25 Mar 2021.
• OPNsense is a VM within Proxmox, PVE Manager Version pve-manager/6.4-4/337d6701.
• Hardware: Lenovo Thinkserver (https://support.lenovo.com/cy/en/solutions/pd014761), with CPU(s) 8 x Intel(R) Xeon(R) CPU E3-1240 V2 @ 3.40GHz.
• The OPNsense-VM has 2Gb of RAM, 4 Cores Type Sandybridge. The last 4 CPU-flags in Proxmox are disabled - please see image attached.