"This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
Pages1
#1
German - Deutsch / Re: Tutorial für Hetzner Cloud (?)
June 29, 2024, 12:35:55 PM #2
German - Deutsch / Re: Abbruch Datenübertragung
September 08, 2021, 02:59:55 PM
Zu nächst einmal vielen lieben Dank für die Antworten.
Es gibt in der Tat ein asynchrones Routing. Das war mir schon bewusst. Daher kam ich je auch auf die Idee, den Verbindungszustand zu ignorieren. Was ja zu mindestens teilweise funktioniert hat...
Ich muss lernen ein wenig pragmatischer zu denken. Statt den eigentlichen Fehler zu finden, hätte ich echt lieber zusehen müssen, dass das Routing irgendwie wieder gerade gezogen wird.
Wobei ich schon gerne im Detail verstehen würde was da passiert... ::)
Ich werde nochmal berichten, wenn ich einen Lösung umgesetzt habe. Danke!
Es gibt in der Tat ein asynchrones Routing. Das war mir schon bewusst. Daher kam ich je auch auf die Idee, den Verbindungszustand zu ignorieren. Was ja zu mindestens teilweise funktioniert hat...
Ich muss lernen ein wenig pragmatischer zu denken. Statt den eigentlichen Fehler zu finden, hätte ich echt lieber zusehen müssen, dass das Routing irgendwie wieder gerade gezogen wird.
Wobei ich schon gerne im Detail verstehen würde was da passiert... ::)
Ich werde nochmal berichten, wenn ich einen Lösung umgesetzt habe. Danke!
#3
German - Deutsch / Re: Abbruch Datenübertragung
September 06, 2021, 11:12:26 AM
Vielen Dank, für dein Interesse.
Eine Übersicht des Netzwerkes habe ich angehangen. ACHTUNG: Im Bild ist die Rede von einem 192.168.5.0/24 Netz. richtig wäre 192.168.10.0/24 (Also bei der Cisco2 und dem web-Server)
Die beiden Ciscos machen VPN und werden von einem externen Unternehmen betreut. Daher wirkt das Szenario ein wenig chaotisch. Für das Netz hinter Cisco2 ist in der OPNsense eine Route zur Cisco1 eingetragen.
Im Grunde ist die aber kein ungewöhnliches Szenario.
Da Standartmäßig keep state verwendet wird, brachen SSh Verbidungen zu WWW aus dem internen Netz ab.
Wie schon erwähnt, gehen die Antwortpakete von der Cisco vom Switch direkt zu dem PC.
Daher hatte ich eine Regel erstellt, damit die OPNsense den Zustand nicht trackt.
Aktuell sieht die Regel so aus:
Seitdem funktioniert SSH.
Ich haben 3 Port für die ein VLAN (4) konfiguriert habe. An diesen 3 "VLAN4-Ports" hängen die Switche.
Diese Ports habe ich dann einer Bridge hinzugefügt und außerdem haben eine GROUP zur einfacheren Konfiguration erstellt (GROUP_VLAN4_LAN).
Ich vermute, dass aus einem mir nicht bekannt Grund, bei einer http oder https Verbindung trotz allem keep state verwendet wird. Aber ich sehe keine Regel die da "zuvor kommt".
Lieben Gruß
Eine Übersicht des Netzwerkes habe ich angehangen. ACHTUNG: Im Bild ist die Rede von einem 192.168.5.0/24 Netz. richtig wäre 192.168.10.0/24 (Also bei der Cisco2 und dem web-Server)
Die beiden Ciscos machen VPN und werden von einem externen Unternehmen betreut. Daher wirkt das Szenario ein wenig chaotisch. Für das Netz hinter Cisco2 ist in der OPNsense eine Route zur Cisco1 eingetragen.
Im Grunde ist die aber kein ungewöhnliches Szenario.
Da Standartmäßig keep state verwendet wird, brachen SSh Verbidungen zu WWW aus dem internen Netz ab.
Wie schon erwähnt, gehen die Antwortpakete von der Cisco vom Switch direkt zu dem PC.
Daher hatte ich eine Regel erstellt, damit die OPNsense den Zustand nicht trackt.
Aktuell sieht die Regel so aus:
Code Select
pass in quick on GROUP_VLAN4_LAN inet from any to 192.168.10.0/24 flags S/SA keep state (sloppy) label "f2aed4cd0836e936d44cf05cf0a894b1"Seitdem funktioniert SSH.
Ich haben 3 Port für die ein VLAN (4) konfiguriert habe. An diesen 3 "VLAN4-Ports" hängen die Switche.
Diese Ports habe ich dann einer Bridge hinzugefügt und außerdem haben eine GROUP zur einfacheren Konfiguration erstellt (GROUP_VLAN4_LAN).
Ich vermute, dass aus einem mir nicht bekannt Grund, bei einer http oder https Verbindung trotz allem keep state verwendet wird. Aber ich sehe keine Regel die da "zuvor kommt".
Lieben Gruß
#4
German - Deutsch / Abbruch Datenübertragung
August 31, 2021, 12:09:46 PM
Hallo,
Ich bin auf ein mir unerklärbares Phänomen gestoßen und hoffe nun auf mögliche Unterstützung der Community.
Hier mein Szenario:
Lokales Netz: 192.168.2.0/24
Ich haben eine statische Route für das Netz 192.168.10.0/24 über ein Gateway 192.168.2.252 definiert.
Das Gateway, die OPNsense Appliance und die PC's sind an einem Switch angeschlossen.
In der Firewall musste daher das Tracking des Verbindungszustandes deaktivieren, da ein Antwortpaket aus dem 192.168.10.0/24-Netz für ein PC im lokalen Netz vom Gateway direkt zu dem PC geleitet wird und nicht über die OPNsense(z.B. brach eine SSH-Verbindung nach wenigen Sekunden ab).
Ich hoffe das ist soweit verständlich.
Nun zum Problem:
Im Netz 192.168.10.0 befindet sich ein Webserver. Über den Browser können Dateien hochgeladen werden. Dies funktioniert aber für Dateien die größer als ca. 60kb nicht.
Ein Netzwerkmitschnitt zeigt, dass die OPNsense mitten in der Übertragung plötzlich aufhört Datenpakete weiterzuleiten.
An den MAC-Adressen sieht man schön einmal das ankommende Paket und einmal das ausgehende.
Ich hab das mal gekürzt. Anschließend folgen dann Retransmission (erstmal für Seq 66735, wegen PUSH-Flag ) bis das alles in einen Timout läuft.
Hat jemand eine Idee warum die OPNsense plötzlich dicht macht ?
Ich bin für jeden Hinweis dankbar.
Lieben Gruß
looserouting
Edit:
Es werden keine Blocks protokolliert.
Für den Fall das es relevant ist: Bei "Static route filtering" in den erweiterten Firewalleinstellungen ist ein Haken gesetzt.
Ich bin auf ein mir unerklärbares Phänomen gestoßen und hoffe nun auf mögliche Unterstützung der Community.
Hier mein Szenario:
Lokales Netz: 192.168.2.0/24
Ich haben eine statische Route für das Netz 192.168.10.0/24 über ein Gateway 192.168.2.252 definiert.
Das Gateway, die OPNsense Appliance und die PC's sind an einem Switch angeschlossen.
In der Firewall musste daher das Tracking des Verbindungszustandes deaktivieren, da ein Antwortpaket aus dem 192.168.10.0/24-Netz für ein PC im lokalen Netz vom Gateway direkt zu dem PC geleitet wird und nicht über die OPNsense(z.B. brach eine SSH-Verbindung nach wenigen Sekunden ab).
Ich hoffe das ist soweit verständlich.
Nun zum Problem:
Im Netz 192.168.10.0 befindet sich ein Webserver. Über den Browser können Dateien hochgeladen werden. Dies funktioniert aber für Dateien die größer als ca. 60kb nicht.
Ein Netzwerkmitschnitt zeigt, dass die OPNsense mitten in der Übertragung plötzlich aufhört Datenpakete weiterzuleiten.
Code Select
09:30:39.909330 98:5f:d3:c8:f1:6a > 02:cb:3a:90:9c:00, ethertype IPv4 (0x0800), length 1444: 192.168.2.171.62094 > 192.168.10.11.443: Flags [.], seq 61175:62565, ack 6212, win 512, length 1390
09:30:39.909356 02:cb:3a:90:9c:00 > ec:ce:13:ea:24:f4, ethertype IPv4 (0x0800), length 1444: 192.168.2.171.62094 > 192.168.10.11.443: Flags [.], seq 61175:62565, ack 6212, win 512, length 1390
09:30:39.909370 98:5f:d3:c8:f1:6a > 02:cb:3a:90:9c:00, ethertype IPv4 (0x0800), length 1444: 192.168.2.171.62094 > 192.168.10.11.443: Flags [.], seq 62565:63955, ack 6212, win 512, length 1390
09:30:39.909386 02:cb:3a:90:9c:00 > ec:ce:13:ea:24:f4, ethertype IPv4 (0x0800), length 1444: 192.168.2.171.62094 > 192.168.10.11.443: Flags [.], seq 62565:63955, ack 6212, win 512, length 1390
09:30:39.909647 98:5f:d3:c8:f1:6a > 02:cb:3a:90:9c:00, ethertype IPv4 (0x0800), length 1444: 192.168.2.171.62094 > 192.168.10.11.443: Flags [.], seq 63955:65345, ack 6212, win 512, length 1390
09:30:39.909658 02:cb:3a:90:9c:00 > ec:ce:13:ea:24:f4, ethertype IPv4 (0x0800), length 1444: 192.168.2.171.62094 > 192.168.10.11.443: Flags [.], seq 63955:65345, ack 6212, win 512, length 1390
09:30:39.909664 98:5f:d3:c8:f1:6a > 02:cb:3a:90:9c:00, ethertype IPv4 (0x0800), length 1444: 192.168.2.171.62094 > 192.168.10.11.443: Flags [.], seq 65345:66735, ack 6212, win 512, length 1390
09:30:39.909670 02:cb:3a:90:9c:00 > ec:ce:13:ea:24:f4, ethertype IPv4 (0x0800), length 1444: 192.168.2.171.62094 > 192.168.10.11.443: Flags [.], seq 65345:66735, ack 6212, win 512, length 1390
09:30:39.909754 98:5f:d3:c8:f1:6a > 02:cb:3a:90:9c:00, ethertype IPv4 (0x0800), length 1444: 192.168.2.171.62094 > 192.168.10.11.443: Flags [P.], seq 66735:68125, ack 6212, win 512, length 1390
09:30:39.909761 98:5f:d3:c8:f1:6a > 02:cb:3a:90:9c:00, ethertype IPv4 (0x0800), length 1444: 192.168.2.171.62094 > 192.168.10.11.443: Flags [.], seq 68125:69515, ack 6212, win 512, length 1390
09:30:39.909898 98:5f:d3:c8:f1:6a > 02:cb:3a:90:9c:00, ethertype IPv4 (0x0800), length 1444: 192.168.2.171.62094 > 192.168.10.11.443: Flags [.], seq 69515:70905, ack 6212, win 512, length 1390
09:30:39.909907 98:5f:d3:c8:f1:6a > 02:cb:3a:90:9c:00, ethertype IPv4 (0x0800), length 1444: 192.168.2.171.62094 > 192.168.10.11.443: Flags [.], seq 70905:72295, ack 6212, win 512, length 1390
09:30:39.910028 98:5f:d3:c8:f1:6a > 02:cb:3a:90:9c:00, ethertype IPv4 (0x0800), length 1444: 192.168.2.171.62094 > 192.168.10.11.443: Flags [.], seq 72295:73685, ack 6212, win 512, length 1390
09:30:39.910038 98:5f:d3:c8:f1:6a > 02:cb:3a:90:9c:00, ethertype IPv4 (0x0800), length 1444: 192.168.2.171.62094 > 192.168.10.11.443: Flags [.], seq 73685:75075, ack 6212, win 512, length 1390
09:30:39.910158 98:5f:d3:c8:f1:6a > 02:cb:3a:90:9c:00, ethertype IPv4 (0x0800), length 1444: 192.168.2.171.62094 > 192.168.10.11.443: Flags [.], seq 75075:76465, ack 6212, win 512, length 1390
09:30:39.910167 98:5f:d3:c8:f1:6a > 02:cb:3a:90:9c:00, ethertype IPv4 (0x0800), length 1444: 192.168.2.171.62094 > 192.168.10.11.443: Flags [.], seq 76465:77855, ack 6212, win 512, length 1390An den MAC-Adressen sieht man schön einmal das ankommende Paket und einmal das ausgehende.
Ich hab das mal gekürzt. Anschließend folgen dann Retransmission (erstmal für Seq 66735, wegen PUSH-Flag ) bis das alles in einen Timout läuft.
Hat jemand eine Idee warum die OPNsense plötzlich dicht macht ?
Ich bin für jeden Hinweis dankbar.
Lieben Gruß
looserouting
Edit:
Es werden keine Blocks protokolliert.
Für den Fall das es relevant ist: Bei "Static route filtering" in den erweiterten Firewalleinstellungen ist ein Haken gesetzt.
Pages1
