Messages

After the last patch, the issue is there...

anyone have an idea?

Hey Brain

Thx for your reply.

I have no VLANS or something, my setup looks as u can see in the attached picture.

and all other VMs are okay (windows) - only the Linux VMs are not working. they get ips, they can communicate in tha LAN segment, but the traffic from them is broken somewhere in opnsense - because the traffic is not seen in opnsense.

if i reload the services, it works - but only, if i dont logout....

hey

i have to shorten my story

- using the sense for month now, but with issues
- im using proxmox - and the sense is working in a VM
- all is fine, working good - no config errors (as i need - i can work with that issues)

- i have many vms (windows and debian linux)

- but, from the start, as im using opnsense, i have to use the option 11 in the console, because, when im starting opnsense, NONE of my linux machines have access to the internet.
- if im using option 11 to reload all services, all linux systems have internet - so this was my fix for that (we tried to find the error here in the forum, but it did not work)

https://forum.opnsense.org/index.php?topic=25571

its german, i hope u can read it anyway. ;)

- after the last update (OPNsense 22.1.2_1-amd64) my "WG working before the patch", is not working anymore

- if im starting opnsense and using option 11, to get all my vms in the internet, wg works
- BUT if im logout from the console, it states that wg0 is changed to down

that must be a bug, or something, because, if im stay logged in, wg works


any ideas?

Chris

Habe kein OpenVPN aktiv. Wireguard, aber über einen anderen Port. WG geht aber nur ins LAN, um die Sense zu confen.

In der Config.xml steht nix drin, was diese IP / Host betrifft. Hostname auflösen bringt mich wieder nur zu dem Hoster, wo die Ziel IP liegt.

Ich verschwende eure Zeit mit meinem Unwissen. Ich habe nix groß konfiguriert, wo dieser Host eine Rolle spielt. Darum war ich ja dabei, rauszufinden, was es ist.

Ich habe die IP jetzt mal aufm WAN blockiert. Wir werden sehen, ob das nun irgendwas disfunktional macht.

die 217.x ist die ziel IP - da gehen die Pakete wohl hin. Die gehört einem Hosting Unternehmen.

Sorry Franco. Ich versuche die Sense zu verstehen - du als Admin weißt sicher schon, was los ist ;)

In den Details zu den Logs kannst du z.b. den Namen auflösen. Sagt dir der Hostname/Hoster was?

Die Frage ist letztlich welche Services aktiviert sind... daraus leitet sich dann ab ob einer dafür konfiguriert ist Daten von der IP zu holen zum Zwecke einer Konfiguration wie Blocklist in Unbound oder Regeln für die Einbruchssicherung.

Ich denke wir kommen nicht weiter wenn wir da nicht mehr von dir hören. Die Situation die du aktuell beschreibst ist letztlich "normal" und das wurde auch schon gesagt. :)


Grüsse
Franco

Hallo Franco

Ich habe alle VMS ausgeschaltet - also kann es ja nur von der Sense selbst kommen. Einbruchssicherung habe ich aktuell nicht aktiv, daher kann die Sense sich da nix holen. Schon gar nicht, alle 10sek.

Selbst wenn ich das LAN komplett tot lege, also alle Clients abschalte, kommen diese Anfragen.

Ich habe hier wohl größere Wissens Defizite als ich angenommen hatte - ich werde mich wohl noch mehr belesen müssen, wenn ihr meint, das wäre normal.

Ich kann / konnte mir halt nicht erklären, warum mein Server https Verbindungen aufbaut, zu Servern, die ich nicht kenne - auch wenn alle Clients im LAN aus sind.

VMs (Clients) sind keine aktiv. Habe alle VMs gestoppt.

Anbei Outbound NAT. Habe ich ja nix eingetragen.

die 217.x ist die ziel IP - da gehen die Pakete wohl hin. Die gehört einem Hosting Unternehmen.

Sorry Franco. Ich versuche die Sense zu verstehen - du als Admin weißt sicher schon, was los ist ;)

Dann ist ja alles normal

Es sind einfach ausgehende https Pakete.


Gesendet von meinem M2012K11AG mit Tapatalk

Aber warum schickt die Sense Pakete da hin? Und warum macht die Sense das zu verschiedenen Hosts? Das war ja nur EIN Beispiel - ich habe einige Hosts - zu denen die Sense das schickt. Und es ist nicht meine eigene öffentliche IP. Die sense ist nur ausm LAN erreichbar. (VPN aufs LAN von meinem PC aus)

die 217.x ist die ziel IP - da gehen die Pakete wohl hin. Die gehört einem Hosting Unternehmen.

Sorry Franco. Ich versuche die Sense zu verstehen - du als Admin weißt sicher schon, was los ist ;)

Die IP der LAN Seite sollte dort eigentlich nicht auftauchen. Hast du OutboundNAT aktiv?

Nein, es ist immer noch der Netzwerkplan, wie in dem Thread. Wo du ja auch versucht hast, mir zu helfen,. ;)
https://forum.opnsense.org/index.php?topic=25571.0

Die IP der LAN Seite sollte dort eigentlich nicht auftauchen. Hast du OutboundNAT aktiv?

Der Zielport ist doch immer der gleiche. Es geht von deiner OPNsense zu der IP 217...:443

Was kann ich denn da checken, warum die Sense das macht?

Das 10.0.0.X Netz ist wo? Bzw. wessen IP ist die 10.0.0.2?

Sieht für mich nach ausgehenden Verbindungen auf dem WAN aus, heißt von der Firewall raus Richtung Internet.

Das ist die LAN Seite der Sense.

Aber was macht diese ausgehenden Verbindungen? HTTPS von mir auf unterschiedliche Zielports aber gleiche IP?

Interessant ist ja, das es scheinbar von einer meiner VMs kommt. ABer diese Verbindung wird auch aufgebaut, wenn diese VM aus ist. Das kann ich mir jetzt gar nicht erklären...

Moin

Als ich heute mal ins Livelog geschaut habe, sah ich eine IP, welche permanent auf Port 443 aufm WAN Interface reinkommt.

Aktuell sieht das in etwa so aus, wie aufm dem angehängten Bild.

Was genau bedeutet das?

Eine IP bekommt von mir Daten auf Port 443 (welcher ja https is) Der Source Port ist immer ein anderer, Zielport immer 443. Einen http Server nutze ich nicht, außer der der Sense. Der ist aber nur im LAN zu erreichen.

Kann mir mal jemand beim deuten helfen, was genau da passiert?

Chris

Gibt noch keine Neuigkeiten. Es funktioniert einfach nicht.

Sobald ich ne neue Vm aufmach, hat die kein Internet. Reloade ich die services auf der sense (option 11) gehts.

Aber so oder so würden mich noch deine Einstellungen unter Outbound NAT Interessieren, oder habe ich die übersehen

Und nimm mal den Haken
"Block private Networks" raus

Dann fehlt dort die Regel

Stell es mal auf hybrid und erstellt die Rule manuell.
Interface -.WAN
Source -.LAN
Map Address - WAN Address


Und ja, da du auf dem WAN eine Adresse aus dem privaten Adressbereich verwendest, muss der Haken raus

Gesendet von meinem M2012K11AG mit Tapatalk

Kann ich mal machen, aber warum sollte ich dies genau machen? die anderen clients funktionieren ja. ich versuchs zu verstehen ;)

Aber so oder so würden mich noch deine Einstellungen unter Outbound NAT Interessieren, oder habe ich die übersehen

Und nimm mal den Haken
"Block private Networks" raus

Outbound NAT ist auf Auto

Code Select Expand

Automatic outbound NAT rule generation
(no manual rules can be used)

Keine Rules angelegt

Block private aus aufm WAN? Aufm LAN ist es ja aus.

Im Livelog taucht der Traffic der clients, die nicht funktionieren nicht auf