Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - roli.ko

Pages1
#1
General Discussion / Re: Adguard Home + unbound DNS -> Problems updating Home Assistant
June 22, 2021, 06:38:42 AM
Hello,

I installed Version 0.106.3 and changed the settings as proposed. The only difference is the port. It is 53530 because 5353 is used by mDNS.

Everything I tested is possible, except update of homeassistant
#2
General Discussion / Re: Adguard Home + unbound DNS -> Problems updating Home Assistant
June 21, 2021, 08:06:22 PM
thanks. will test it. before i have to check how to update to version 0.106.3. I used os-adguardhome-maxit, so I have to switch to manual installation I think.
#3
General Discussion / Adguard Home + unbound DNS -> Problems updating Home Assistant
June 21, 2021, 09:52:26 AM
Hello,
I´m relativly new in opnsense and at the moment nearly everything is working great. My actual issue is, that I can not update my Home Assistant installation when Adguard is running.

Used Versions

  • Versions   OPNsense 21.1.7_1-amd64
  • FreeBSD 12.1-RELEASE-p18-HBSD
  • OpenSSL 1.1.1k 25 Mar 2021
  • os-adguardhome-maxit / 1.5 / AdGuardHome 0.106.1


Adguard

  • Same Machine
  • Port: 53
  • Upstream-DNS Server: 127.0.0.1:53530
  • Bootstrap DNS-Server: 127.0.0.1:53530

Unbound DNS
General

  • Listen Port: 53530
  • Network Interfaces: ALL
  • DNSSEC: Enabled
  • DHCP Registration: enabled
  • DHCP Static Mappings: enabled
  • IPv6 Link-loal: enabled

Miscellaneous
DNS over TLS Server:

  • 1.1.1.1@853
  • 1.0.0.1@853
  • 2606:4700:4700::1111@853
  • 2606:4700:4700::1001@853

Problem: Update of Home Assistant including Add Ons not possible.
Tested cases

  • Adguard enabled + Unbound DNS: NOK
  • Adguard enabled (all lists disabled) + Unbound DNS: NOK
  • Adguard disabled + Unbound DNS: NOK
  • Adguard stopped / Unbound DNS alone: OK


Error Description e.g. when updating esphome:

QuoteCan't install esphome/esphome-hassio-aarch64:1.19.2: 500 Server Error for http+docker://localhost/v1.41/images/create?tag=1.19.2&fromImage=esphome%2Fesphome-hassio-aarch64: Internal Server Error ("Get "https://registry-1.docker.io/v2/": context deadline exceeded (Client.Timeout exceeded while awaiting headers)")

Logfile of such a situation:

Code Select
2021-06-21T09:29:59 unbound[74010] [74010:2] info: 127.0.0.1 registry-1.docker.io. A IN
2021-06-21T09:29:59 unbound[74010] [74010:3] info: 127.0.0.1 registry-1.docker.io. AAAA IN
2021-06-21T09:29:58 unbound[74010] [74010:1] debug: cache memory msg=174111 rrset=204987 infra=11364 val=148360
2021-06-21T09:29:58 unbound[74010] [74010:1] info: validation success version.home-assistant.io. AAAA IN
2021-06-21T09:29:58 unbound[74010] [74010:1] info: validate(positive): sec_status_secure
2021-06-21T09:29:58 unbound[74010] [74010:1] info: validator operate: query version.home-assistant.io. AAAA IN
2021-06-21T09:29:58 unbound[74010] [74010:1] debug: validator[module 0] operate: extstate:module_wait_module event:module_event_moddone
2021-06-21T09:29:58 unbound[74010] [74010:1] info: finishing processing for version.home-assistant.io. AAAA IN
2021-06-21T09:29:58 unbound[74010] [74010:1] info: query response was ANSWER
2021-06-21T09:29:58 unbound[74010] [74010:1] info: reply from <.> 1.0.0.1#853
2021-06-21T09:29:58 unbound[74010] [74010:1] info: response for version.home-assistant.io. AAAA IN
2021-06-21T09:29:58 unbound[74010] [74010:1] info: iterator operate: query version.home-assistant.io. AAAA IN
2021-06-21T09:29:58 unbound[74010] [74010:1] debug: iterator[module 1] operate: extstate:module_wait_reply event:module_event_reply
2021-06-21T09:29:58 unbound[74010] [74010:1] debug: cache memory msg=174111 rrset=204987 infra=11364 val=148360
2021-06-21T09:29:58 unbound[74010] [74010:1] debug: sending to target: <.> 1.0.0.1#853
2021-06-21T09:29:58 unbound[74010] [74010:1] info: sending query: version.home-assistant.io. AAAA IN
2021-06-21T09:29:58 unbound[74010] [74010:1] info: processQueryTargets: version.home-assistant.io. AAAA IN
2021-06-21T09:29:58 unbound[74010] [74010:1] info: error sending query to auth server 2606:4700:4700::1111 port 853
2021-06-21T09:29:58 unbound[74010] [74010:1] debug: sending to target: <.> 2606:4700:4700::1111#853
2021-06-21T09:29:58 unbound[74010] [74010:1] info: sending query: version.home-assistant.io. AAAA IN
2021-06-21T09:29:58 unbound[74010] [74010:1] info: processQueryTargets: version.home-assistant.io. AAAA IN
2021-06-21T09:29:58 unbound[74010] [74010:1] info: error sending query to auth server 2606:4700:4700::1111 port 853
2021-06-21T09:29:58 unbound[74010] [74010:1] debug: sending to target: <.> 2606:4700:4700::1111#853
2021-06-21T09:29:58 unbound[74010] [74010:1] info: sending query: version.home-assistant.io. AAAA IN
2021-06-21T09:29:58 unbound[74010] [74010:1] info: processQueryTargets: version.home-assistant.io. AAAA IN
2021-06-21T09:29:58 unbound[74010] [74010:1] info: error sending query to auth server 2606:4700:4700::1001 port 853
2021-06-21T09:29:58 unbound[74010] [74010:1] debug: sending to target: <.> 2606:4700:4700::1001#853
2021-06-21T09:29:58 unbound[74010] [74010:1] info: sending query: version.home-assistant.io. AAAA IN
2021-06-21T09:29:58 unbound[74010] [74010:1] info: processQueryTargets: version.home-assistant.io. AAAA IN
2021-06-21T09:29:58 unbound[74010] [74010:1] info: resolving version.home-assistant.io. AAAA IN
2021-06-21T09:29:58 unbound[74010] [74010:1] debug: iterator[module 1] operate: extstate:module_state_initial event:module_event_pass
2021-06-21T09:29:58 unbound[74010] [74010:1] info: validator operate: query version.home-assistant.io. AAAA IN
2021-06-21T09:29:58 unbound[74010] [74010:1] debug: validator[module 0] operate: extstate:module_state_initial event:module_event_new
2021-06-21T09:29:58 unbound[74010] [74010:1] info: 127.0.0.1 version.home-assistant.io. AAAA IN
2021-06-21T09:29:53 unbound[74010] [74010:3] debug: outnettcp got tcp error -1
2021-06-21T09:29:53 unbound[74010] [74010:1] info: 127.0.0.1 registry-1.docker.io. AAAA IN
2021-06-21T09:29:48 unbound[74010] [74010:0] info: 127.0.0.1 registry-1.docker.io. AAAA IN
2021-06-21T09:29:43 unbound[74010] [74010:3] debug: cache memory msg=174111 rrset=204987 infra=11364 val=148360


Does anybody know this behaviour and is there a solution which can be shared?
Thanks in advanced
Roland
#4
German - Deutsch / [SOLVED] Re: OPNsense - Unifi / Zugriff auf LAN aus OPT nicht möglich.
June 09, 2021, 09:28:29 PM
ich habe heute nochmals alles genau durchgeschaut was sonst noch so herumkugelt und bin draufgekommen, dass ich, vermutlich, versehentlich das Captive Portal auch auf LAN gelegt habe.

Deaktiviert und 1 x  Apply und auf einmal geht alles.

Danke für die Schupser in Richtung sauberer Plan und so. Jetzt läufts es mal.
Roland
#5
German - Deutsch / Re: OPNsense - Unifi / Zugriff auf LAN aus OPT nicht möglich.
June 09, 2021, 12:03:37 AM
Ich habe die Struktur nochmals neu gezeichnet, zusammengeräumt (Gruppe gelöscht) und die Screenshots mit allen Regeln erstellt. Ich hoffe die Details sind jetzt ausreichender.

https://imgur.com/a/GKthlhe

Die Gruppe habe ich angelegt um Einträge zu sparen. Verwendet wurde sie, damit ich DNS Anfragen, die direkt nach aussen gehen local umgeleitet werden.

Mein Zielzustand is folgender:
- über eine Firewallregel will ich dem Rechner mit HomeAssistant (VLAN 100 / IoT100) den Zugriff auf gewisse Ports bei der Archivstation (LAN) erlauben
- über eine Firewallregel will ich dem Netzwerk Media200 (VLAN 200) den Zugriff auf gewisse Ports bei der Archivstation (LAN) erlauben

Mein erster Versuch war, dass ich die Regeln so gestalte, dass ich vollen Zugriff zwischen den Netzwerken habe und mal die verschiedensten Rechner anpinge. Danach limitiere ich auch einzelnen IPs und Ports.

Das Problem vor dem ich jetzt stehe dass mit den vorhanden Regeln vom LAN ins MEDIA200 ohne Problem zugreifen kann. Von MEDIA200 aufn LAN ist es jedoch nicht möglich.

Selbiges Verhalten bei IoT100.

Was ich beobachtet habe ist, dass wenn ich die OPNsense reboote der Ping von MEDIA200 auf LAN möglich ist. Nachdem die OPNSense wieder vollständig gestartet ist, wird der Ping geblockt.

#6
German - Deutsch / Re: OPNsense - Unifi / Zugriff auf LAN aus OPT nicht möglich.
June 07, 2021, 08:23:33 PM
Folgende Struktur

Code Select

      WAN / Internet
            :
            : Cable-Provider
            :
      .-----+-----.
      |  Gateway  |  CableModem
      '-----+-----'
            |
        WAN | IP v4
            |
      .-----+------.
      |  OPNsense  |
      '-----+------'
            |
        LAN | 192.168.1.1/24     
        OPT1| 192.168.100.1/24  - IoT
        OPT2| 192.168.110.1/24  - NoT
        OPT3| 192.168.200.1/24  - Media
        OPT4| 192.168.050.1/24  - Guest
            |
      .-----+----------------.
      |     LAN-Switch       | (192.168.1.20)
      '-+--+--+--+--+--+--+--.
        |  |  |  |  |  |  |
        |  |  |  |  |  |  .--... WLAN AP (LAN/OPT1/OPT2/OPT3/OPT4) - 192.168.1.22
        |  |  |  |  |  .-----... Backup NAS (LAN)
        |  |  |  |  .--------... NAS (LAN / 192.168.1.5)
        |  |  |  .-----------... HASSIO (OPT1 / 192.168.100.3)
        |  |  .--------------...
        |  .-----------------... Schreibtisch (LAN/OPT1/OPT2/OPT3/OPT4)
        .--------------------... Uplink Wohnzimmer (LAN/OPT1/OPT2/OPT3/OPT4)
     


Screenshots der Settings sind hier https://imgur.com/a/nDVqVWH zu finden

Versionsinfo:
OPNsense 21.1.6-amd64
FreeBSD 12.1-RELEASE-p16-HBSD
OpenSSL 1.1.1k 25 Mar 2021
#7
German - Deutsch / Re: OPNsense - Unifi / Zugriff auf LAN aus OPT nicht möglich.
June 07, 2021, 04:12:00 PM
Alles klar. Folgt heute Abend.
#8
German - Deutsch / [SOLVED] OPNsense - Unifi / Zugriff auf LAN aus OPT nicht möglich.
June 07, 2021, 10:39:37 AM
Ich bin relativ neu bei OPNsense und stelle gerade mein Netzwerk von USG2 auf OPNsense um.

Folgende Struktur auf OPNsense angelegt. Im Unifi Controller übernommen. LAN wurde automatisch vom Controller als Corporate Network angelegt. Alle anderen wurden als VLAN only angelegt. Auch die Firewall Rules sind entsprechend angelegt.


  • LAN - Trusted / IP 192.168.1.x/24 - hier sind die IPs der Switches / AP und auch der verschiedenen NAS
  • OPT1 (MEDIA) - VLAN 200 / IP 192.168.200.x/24
  • OPT2 (IoT) - VLAN 100 / IP 192.168.100.x/24 - Alle IOT Device, welche ins Internet dürfen. Auch der Homeassistant server
  • OPT3 (NoT) - VLAN 110 / IP 192.168.110.x/24 - Alle IOT Device, welche NICHT ins Internet dürfen.

Was funktioniert:

  • OPT3 device dürfen auf OPT2/HomeAssistant zugreifen
  • OPT2 darf auf OPT3 zugreifen
  • OPT1 darf auf OPT2/HomeAssistant zugreifen
  • Ping auf 192.168.1.1 / .200.1 / .100.1 funktioniert von LAN, OPT1, OPT2 aus. PING aus OPT3 blockiert
  • Wlan

Was nicht funktioniert:

  • Ping auf 192.168.1.5 (z.B. NAS)
  • Zugriff auf 192.168.1.5 diverse Ports geplant, jedoch aktuell die gesamte IP freigegeben. Zugriff aktuell nicht möglich.
  • Ping allgemein auf 192.168.1.2 bis 192.168.1.xxx nicht möglich (auf 192.168.1.1 jedoch möglich)

Verwendete Unifi Systeme:

  • 2 x US-8-60W
  • 1 x UAP-nanoHD

Beobachtetes Verhalten

  • Ping von Wired Device OPTx auf Wired device in LAN nicht möglich
  • Ping von WLAN Device in OPT1 (MEDIA) auf WLAN Device in LAN  möglich
  • PING von WLAN Deivce in OPT1 (MEDIA) auf Wired Device in LAN nicht möglich

Fragen:

  • Kennt jemand dieses Verhalten?
  • Ist jemanden eine Lösung oder ein Lösungsansatz bekannt der mir weiterhilft?

Danke
Roland
Pages1