Messages

Pingen funktioniert nur eben Browser zeigt jedesmal Zeitüberschreitung an.

Mit Ping lässt sich halt nicht NAT Reflection von HTTPS überprüfen. Und nach den Angaben scheint es wirklich daran zu scheitern.

Verwendest du kein lokales DNS, Unbound oder sonst was?
Da wäre ein Host Override die geeignetere Lösung.

Ob NAT Reflection das macht, was es soll, kannst du sonst nur mit Packet Capture auf den beiden Interfaces überprüfen.

Ich könnte mir ein asymmetrisches Routing noch als Ursache vorstellen. Grund könnte etwa ein Layer 2 Leck an einem Switch sein, wenn beide Subnetze über diesen laufen.

Stimmt, es scheint so, dass HTTPS-Anfragen nicht korrekt übermittelt werden, und ich frage mich echt, woran das liegen könnte. Unbound DNS ist eingerichtet, und ich habe bereits einen Host Override eingetragen. Allerdings hat es beim ersten Versuch nicht funktioniert, habe es jetzt nochmals versucht, leider ohne erfolg.

Es gibt nur einen Switch, und es läuft lediglich ein Subnetz  das des Clients.

Was genau zeigt der Browser?

Der Server befindet sich in der DMZ und dein PC im LAN oder sonst einem anderen Netzwerksegment?
Ist der Zugriff auf den Server (lokale IP) von da auch erlaubt?

Vielen Dank für die Info.

Browser zeigt Netzwerkzeitüberschreitung nach ca. 10 Sekunden.

Der Server befindet sich in der DMZ und PC im Client Netzwerk. 
Jap, ich habe sogar any any regel für alle erstellt, klappt leider auch nicht.
Pingen funktioniert nur eben Browser zeigt jedesmal Zeitüberschreitung an.

Ich bin wirklich am Ende und habe inzwischen alles versucht, was mir eingefallen ist. Leider funktioniert es immer noch nicht.

Ich habe auf meinem PC eine feste IP-Adresse sowie den Google DNS-Server eingetragen. Nslookup funktioniert jetzt und löst die Adresse korrekt auf.


Wenn ich die Seite jedoch im Browser öffnen möchte, klappt es nicht. Ein Ping auf die interne IP funktioniert dagegen problemlos.

Bei der Registrierung per DHCP kann viel schiefgehen - wenn Du da z.B. mal eine VM verschiebst, bekommt sie eine neue MAC und damit eine neue IP und dann hast Du zwei Einträge. Oder Du veränderst einen dynamic lease auf static, das klappt auch nicht, weil dann noch die alte Lease-IP für den DNS-Eintrag gilt.

Im Unbound kann man in /var/unbound/dhcpleases.conf sehen, was für die dynamic leases drinsteht und /var/unbound/host_entries.conf für statische Einträge.

Ich würde für solche Maschinen statische IPs (keine Leases) vergeben, da gibt es weniger Stress. Und dann kann im DNS einen Alias vergeben - im konkreten Fall müsstest Du das ja nicht einmal, weil die im öffentlichen DNS drin sind.

Vielen Dank für die Hilfe.

Das Problem besteht darin, dass etwa die Hälfte der Nutzer über WLAN mit dem Netzwerk verbunden sind. Dies bedeutet, dass die Verwendung statischer IP-Adressen schwierig wird. Wenn die Nutzer ausser Haus sind, verbinden sie sich mit anderen Access Points, die haben dann wiederrum andere IP,Gateway etc.
Ich werde die Configs überprüfen.

Gruss Syosse

Wenn nslookup von intern die Domain nicht auflöst (entweder auf die interne 10er IP oder auf Deine WAN IP), dann kann es ja auch nicht funktionieren. Wenn das sonst funktioniert, ist es offensichtlich so, dass der externe DNS verschattet wird oder nicht erreichbar ist. Hast Du eventuell einen lokalen Alias oder wird per DHCP eine Adresse registriert?

Das hat dann mit NAT Reflection erst einmal nichts zu tun.

Vielen Dank für deine Antwort.

Komisch aber das er alles auflösen kann bis auf die Domain. DNS wird über DHCP vom WAN registriert.
Hab noch ein Test an einem PC durchgeführt: Die DNS Fix eingetragen 8.8.8.8  und es funktioniert einwandfrei.
Ich versuch bei der Firewall mal eine Fixe DNS IP Adresse einzutragen.

Gruss Syosse


Edit: Funktioniert leider immernoch nicht, beim PC habe ich noch Ipconfig/flushdns durchgeführt.

Routenverfolgung zu google.com [142.250.203.110]
über maximal 30 Hops:

  1    <1 ms    <1 ms    <1 ms  10.101.11.1
  2     2 ms     2 ms     2 ms  tzhbic20p-isg003.infra.swisscom.net [213.3.210.XX]
  3     4 ms     3 ms     3 ms  i79zhh-005-ae7x1400.bb.ip-plus.net [193.5.122.80]
  4     2 ms     2 ms     2 ms  i79zhh-005-ae7x1400.bb.ip-plus.net [193.5.122.80]
  5     2 ms     3 ms     2 ms  72.14.202.0
  6     2 ms     3 ms     3 ms  142.251.245.151
  7     2 ms     3 ms     3 ms  142.251.70.185
  8     2 ms     3 ms     2 ms  zrh04s16-in-f14.1e100.net [142.250.203.110]


C:\Users\PC-01>tracert muster.de
Der Zielname muster.de konnte nicht aufgelöst werden.

Hallo Zusammen,

seit einem Monat funktioniert die NAT-Reflexion nicht mehr wie gewohnt, obwohl sie zuvor einwandfrei lief. Muss ich weitere Einstellungen vornehmen? Aktuell läuft meine Nextcloud in der DMZ. Von externem Standort aus kann ich problemlos auf die folgenden Domains zugreifen: nextcloud.muster.de sowie muster.de. Jedoch ist keine Verbindung möglich, wenn ich die Domain intern öffne. Auch das Nslookup löst die Domain nicht auf.

Wisst Ihr, was hier das Problem ist ?





Vielen herzlichen Dank.
Gruss Syosse

Wenn ein SIP User Agent hinter einem NAT betrieben wird, dann sollten SIP Keep Alives gesendet werden.

Das hält den "State" der Firewall offen sodass Verbindungen von außen auf den gleichen (upper) Port initiiert werden können.

Einer der am häufigsten benutzten ist der "STUN" Keepalive, dafür muss in jedem Telefon ein STUN Server hinterlegt sein. https://datatracker.ietf.org/doc/html/rfc5626#section-3.5

Durch die SIP Registrierung und dem STUN Server, sollte der Registrar (TK Anlage im Rechenzentrum) immer den richtigen Socket (öffentliche IP Adresse+Port) haben, um das Telefon zu erreichen.

Am besten wäre es natürlich wenn die Yealink Telefone sowie das Rechenzentrum IPv6 hätten. Wobei viele Yealink Telefone mit IPv6 Probleme haben (hab ich mehrfach getestet).

Super herzlichen Dank für die Infos. Das heisst ich müsste beim Telefonanbieter anfragen ob Sie einen STUN Server anbieten. Die dann beim Yealink eintragen ?

Gruss Syosse

Das heisst ich müsste

Hallo zusammen,

derzeit verwenden wir die OPNsense 21.7.1 und haben 5 Yealink-Telefone im Einsatz (Modelle: T53, T42s, W73H).

Unsere Telefonanlage befindet sich im Rechenzentrum des Telefonanbieters, und wir führen Telefonate über SIP über das Internet.

Nun zum Problem: Wenn externe Personen von außen versuchen, uns anzurufen, erhalten sie die Ansage, dass der Teilnehmer nicht verfügbar ist. Erst wenn ich von einem internen Telefon aus nach außen anrufe, funktioniert es wieder, und externe Anrufe können eingehen.

Es scheint, als ob die Verbindung nach einer bestimmten Zeit blockiert bzw ablauft (Keep Alive).

Ich habe alle Optionen an den Telefonen überprüft, jedoch keine Einstellung gefunden, um einen Keep-Alive-Timer zu setzen. In der Firewall habe ich von der WAN-Seite aus die Ports 5060 sowie 9000–10999 geöffnet, aber ohne Erfolg.

Könnte es sein, dass die Firewall einen anderen Port mit der Gegenstelle austauscht? Es sollte doch zuerst immer über Port 5060 erfolgen und dann erst mit einem anderen Port.

Habt ihr hier vielleicht einen Rat?

Vielen herzlichen Dank.

Grüße,
Syosse

Kann mir jemand einen Revolver organisieren oh man!!
Ich hab mich jedesmal auf den Button Ipsec aktivieren unter Ipsec Tunnel Setting fokussiert und den mehrmals deaktiviert und aktiviert jedoch gibt es noch ein Button unter Verbindungen!!!!!

Es funktioniert nun.

Das wars meine Nerven sind am Ende.
Vielen herzlichen Dank an alle!

Jemand noch ne Idee oder hätte jemand Zeit und lust das bei mir anzuschauen würde auch gerne als gegenleistung was spenden  ;D

Vielen Dank für die Hilfe.

Ja, an beiden Standorten sind Fixe IP hinterlegt. Hab es immer wieder geprüft.
Das Komische ist, beim Externen Standort habe ich Openvpn und Wireguard eingerichtet und beides läuft einwandfrei nur das IPSEC macht nicht mit:(

Gruss Syosse

da mir nicht bekannt ist wie deine beiden standorte aufgebaut sind (du scheinst irgend welche vlans zu haben)
würde mir ein grafischer netzwerkplan von beiden standorten helfen
- kannst du mal genauer beschreiben was funktiniert nicht bedeitet (kommt die verbindung nicht zustande, geht ping nicht)?
- was sagen denn die LOGS?

Vielen Dank für die Hilfe.

Mein Standort :

WWW->Modem->Opnsense->VLANBüro und VLANGuest

Externer Standort: WWW->Modem-> Opnsense-> VLANMGMT und VLANBüro

Mein Standort: OPNsense 23.7.1_3-amd64
Externer Standort: OPNsense 23.7.1_3-amd64

Ich habe die Logs bei IPSEC ausgewertet es zeigt mir 0 Verbindungen an.

Bei IPsec Statusübersicht zeigt es mir einen roten Haken an und ich kann keine Geräte ansprechen beim externen Netz sprich kein Https von Opnsense oder remote etc was bei der 1 IPSEC Verbindung einwandfrei klappt.

Gruss Syosse

Hallo zusammen! :)

Ich stehe gerade vor einer Herausforderung und bin langsam am Ende und versucheseit fast einer Woche daran, meine IPSEC-Verbindung zum Laufen zu bringen. Ich habe jede einzelne Einstellung mehr als 15 Mal überprüft und getestet. Es läuft bereits eine IPSEC-Verbindung zu einem anderen Standort, die ich beim ersten Konfigurieren erfolgreich eingerichtet habe. Nun komme ich nicht weiter, da die zweite IPSEC-Verbindung von meinem Standort zu einem externen Standort einfach nicht funktionieren will. Die Einstellung habe ich auch X Mal von der 1 IPSEC Verbindung kopiert zum neuen natürlich mit den anderen Netz und Schlüssel sowie neue Konfiguriert.

Hier ist, was ich bisher konfiguriert habe:

1.) Mein Standort IPSEC Konfiguration:


2.) Externer Standort IPSEC Konfiguration:


Firewall Rules:


Ich hoffe Ihr könnt mir hier weiterhelfen.
Vielen herzlichen Dank...
Gruss Syosse

In den Tunneleinstellungen in der Übersicht bei Phase 1 gibt es einen blauen Haken. Wenn man den anhakt ändert sich unten die Ansicht für die Phase 2. Vielleicht ist da ausversehen was doppelt.

Das kann doch nicht wahr sein -.- Oh Mann

Vielen herzlichern Dank. Der Haken war es!!

Wenn beide Ortschaften das gleiche interne Netz haben (z.B. Ortschaft A und B haben beide 192.168.1.0/24) dann geht das nicht.

Vielen Dank für die Hilfe.

Nein, beide Entfernte Ortschaften haben unterschiedliche lokale Netze:

Ortschaft A : 192.168.10.0
Ortschaft B 10.100.10.0

Mein Netz: 10.10.10.0

Gruss Syosse