Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - tifiedle

#1
Hallo Franco,

vielen Dank für die Info. Hatte ich tatsächlich nicht gesehen.

Frage mich nur, warum es nur das eine Interface war, welches nicht funktionierte.
Naja, habe jetzt alle Parent Interfaces einmal mit konfiguriert und es scheint erst einmal wieder zu funktionieren.

Werden dann heute Abend mal den schwenk zurück machen.

Gruß
Tim
#2
Hallo zusammen,

wir haben aktuell ein Problem, sobald wir unsere Business Edition auf 22.4 upgraden.

Nach dem Neustart der Firewall läuft erst einmal alles gut, nur nach ca. 3-5 Minuten gehen dann die Gateways down.
Ab diesem Zeitpunkt ist das genutzte WAN-Interface völlig ohne Funktion (kein Ping, kann ARP, nichts).
Dieses Problem tritt dazu genau so bei dem virtuellen HA-Partner auf.

Hier einmal das Setup:

                WAN                      WAN
                 :                        :
                 : DSL-Provider 1         : DSL-Provider 2
                 :                        :
             .---+--------.            .--+--------.
             | DSL-Router |           | DSL-Router |
             '---+--------'            '--+--------'
192.168.20.1/24  |                        | 192.168.20.3/24
+------------+-----------+
                              |
                        .-----+------.
                        | LAN-Switch | TRANSFER 192.168.20.0/24 (VLAN 100)
                        '-----+------'
      |
                 +------------+-----------+
| CARP   |
192.168.20.251/24| 192.168.20.250   | 192.168.20.252/24
            .----+------.              .--+--------.
            | OPNsense1 | Firewall HA  | OPNsense2 |
            '----+------'              '--+--------'
| CARP   |
192.168.31.251/24|      192.168.31.250    | 192.168.31.252/24
                 |      .------------.    |
                 +------| LAN-Switch |----+
'----+-------'
                             |
                         LAN | 192.168.31.0/24 (VLAN 200)
                             |



Es handelt sich bei allen Interfaces um VLAN-Interfaces.
Es gibt noch weitere interne VLAN-Interfaces. Diese sind grundsätzlich alle identisch konfiguriert und auf die verschiedenen physikalischen Interfaces verteilt.

Das interessante hier ist tatsächlich, dass das Problem des "toten" Interfaces ausschließlich bei dem WAN-Interface auftritt. Alle weiteren Interfaces funktionieren fehlerfrei.

Nach einen kurzfristigen Downgrade zurück auf 21.10.3 der virtuellen Firewall (Neuinstallation und Config-Restore) funktioniert diese wieder problemlos wie vorher auch.

Hat jemand eine Idee oder kann sagen, was hier durch das Upgrade geändert wird/wurde?
#3
Hallo in die Runde,

der Fehler ist gefunden.

Es lag tatsächlich an einer Konfiguration von Virtual IPs.

Was genau jetzt hier zum Fehler führte, kann ich mir nicht erklären, da alles andere funktionierte.
Aber jetzt funktioniert alles inkl. unbound so wie erwartet.
#4
Hier noch einmal die aktuell gesamte Access-List als Screenshot.

An der Firewall scheint es nicht zu liegen, da ich genau das gleiche verhalten seitens unbound habe, wenn ich die Option "Disable all packet filtering" aktiviere und damit die gesamte Firewall-Funktionalität ausschalte.

Zudem logged die Firewall auch keinerlei DROP, was sie bei einer ähnlichen Problematik mit NTP getan hat.
Dort konnte dann auch durch eine entsprechende Rule Abhilfe geschaffen werden.
#5
Hallo zusammen,

also Unbound ist wie folgt konfiguriert:
Listen Port: 53
Network Interfaces: All (recommended)
Outgoing Network Interfaces: All (recommended)

Die Access-List habe ich zum testen jetzt global auf "10.0.0.0/8 allow" stehen (siehe Screenshot).
In diesem Bereich befinden sich alle Netze, bis auf WAN natürlich.

Das Loglevel habe ich einmal auf 3 gestellt mit dem Ergebnis im Anhang.
Auch bei einem höheren Loglevel kommt leider nicht mehr Info bei raus, bis auf dass man sehen kann, wie welche DNS-Server abgefragt werden bis die finale IP-Adresse ermittelt ist und am Ende ausschließlich der response in Richtung Client stecken bleibt.
#6
Hallo zusammen,

hat denn niemand eine Idee?

Ich habe jetzt auch so ziemlich alles durch. Doch selbst das komplette deaktivieren der Firewall-Regeln etc. hat nichts gebracht.

Aufgrund dessen habe ich aktuell den Verdacht, dass Unbound meine Acces-Lists nicht akzeptiert.
Habe dazu bereits alle Möglichkeiten ausprobiert. WebUI, Config-File (wie in https://docs.opnsense.org/manual/unbound.html beschrieben), doch nichts führt zum Erfolg.
Auch das LogLevel 5 von Unbound liefert keine brauchbaren Hinweise.

Meine aktuell im Einsatz befindlichen Versionen:
OPNsense 21.1.7_1-amd64
unbound 1.13.1

Vielleicht hat ja noch irgendjemand eine Idee...


Gruß
Tim
#7
Hallo in die Runde,

ich habe ein Problem mit Unbound DNS.

Ich möchte gerne OPNsense als resolver für die internen Netze nutzen.
Das funktioniert auch soweit, dass unbound den query entgegen nimmt und diesen nach extern auflöst.

Allerdings sendet unbound keinen response zum Client.

Im log findet man nur folgendes:
notice: sendto failed: Permission denied
notice: remote address is 10.20.0.201 port 32861

Die Firewall blockiert hier nichts, zumindest wird hier nichts protokolliert und auch im tcpdump sieht man ausschließlich die Incoming DNS-Packete, aber keinerlei response.

Auch über die access-control habe ich noch einmal explizit die internen Netze eingetragen. Jedoch alles ohne Erfolg.

Nun hoffe ich, dass hier noch jemand eine Idee hat.

PS: das gleiche Verhalten habe ich auch, wenn ich anstatt Unbound auf Dnsmasq umstelle!


Danke und Gruß
Tim