Messages

Thank you,
solved

ok that is fine. i have one ... i just do not want to recover the config. so how can i do it on my opnsense on the command line?

is it possible to decrypt an encrypted config file without using opnsense, i.e. recovery?
i ask because i want to look up something in an old config i created.
(and yes i still have the corresponding password)

thank you so much

Danke soweit. Es klappt jedoch nicht.
Im Flugzeugmodus und WLAN an kann ich super surfen etc ... möchte ich allerdings jemanden anrufen kommt:
"Keine Netzwerkverbindung - Stelle eine Verbindung mit dem WLAN her oder deaktiviere den Flugmodus, um telefonieren zu können."
Was mach ich noch falsch bzw. kann ich noch ausprobieren?

Um das DNS-basierte Geoblocking von Vodafone zu umgehen sollte es ausreichen, in Unbound einen Domain Override für epc.drz1.vodafone-ip.de einzurichten (auf einen DNS-Server in Deutschland weiterleiten).

[Edit]
Ggfs. auch epc.mnc002.mcc262.pub.3gppnetwork.org umleiten.
[/Edit]

Ich bin auch bei Vodafone und möchte gerne Wifi-Calling nutzen.
Mein Setup: OPNsense als Router und pihole (ohne unbound) als DNS-Server mit cloudflare als upstream-server.

Ich hätte da jetzt noch 3 Fragen:
1. Nochmal zu dem Override. In meinem pihole kann ich sehen, dass mein iPhone DNS Anfragen für "epdg.epc.mnc002.mcc262.pub.3gppnetwork.org" und "epdg.epc.drz1.vodafone-ip.de" stellt. Wenn ich dein dig auf meinem mac für diese fqdns machen bekomme ich die ips: 139.7.117.168 und 139.7.117.169. Ist das richtig?
Was sollte da als antwort kommen? Wann ist ein Override denn nötig? Was muss mein DNS-Server auflösen bzw. als Antwort geben? Kann mir das einer nochmal genauer erklären?

2. Muss ich jetzt Port 500 und 4500 freigeben/forwarden oder nicht? Wie ist das mit mehr als einem iPhone im Netzwerk?

3. Wie kann ich definitiv prüfen ob das Wifi-Calling dann auch geht? Ich bin mir immernoch unsicher ob es geht oder nicht.

Danke

Das Problem ist, dass die beiden IPv6 Netze nicht zusammengehörig sind, d.h. sie sind kein Bestandteil eines /56 Netzes

Schon verstanden, spielt keine Rolle.

Als Gateway des 2. Netzes kann ich nicht die Adresse des 1. Netzes nehmen, da OPNsense dann sagt, dass die IP nicht im gleichen Netz liegt.

Sollst du ja auch nicht.

Nehmen wir an
1. IPv6 Netz: 2a03:0000:0001::/64
-> deine WAN IP, die du dir selbst vergibst: 2a03:0000:0001::1 /64
-> von Netcup vergebenes GW: 2a03:0000:0001::affe /64

2. IPv6 Netz: 2a03:ffff:fff2::/64
-> deine LAN IP, die du dir selbst vergibst: 2a03:ffff:fff2::1/64
-> von Netcup vergebenes GW: 2a03:ffff:fff2::eb6d /64

Dein Server bekommt dann:
2a03:ffff:fff2::2/64 und als GW die 2a03:ffff:fff2::1 (LAN IP deiner OPNsense)

OPNsense routet dann weiter zum Default GW, welches ja 2a03:0000:0001::affe ist.
Das GW des 2. Netzes (2a03:ffff:fff2::eb6d) sollte in diesem Szenario keine Anwendung finden.

Oder übersehe ich hier etwas?

[Sobald DHCPv6 aktiviert ist, bekommen die Clients kein GW mehr, warum?]

Hi,
ich muss einfach nochmal ein Thread zum Thema IPv6 aufmachen, da ich so vieles noch nicht verstehe und auch nicht wirklich etwas dazu finde.

Zum Thema IPv6 und was bei mir funktioniert ist:
- bekomme dynamisches Präfix vom Provider
- DHCPv6 ist deaktiviert
- RA steht auf "Stateless", mit Hacken bei "Use the DNS configuration of the DHCPv6 server"
- Clients bekommen IPv6 Adressen incl. GW (fe80) per SLAAC und DNSv6 welche im DHCPv6 eingestellt sind
-> alles läuft super, sehr stabiles setup. keine probleme

Jetzt habe ich einwenig rumgespielt und bin dabei auf ein paar Fragen gestoßen:

Zum DHCPv6:
Wenn ich meinem LAN Interface eine Virtuelle Statische ULA vergebe (fd00) und den Hacken bei "Deny service binding" entfernt lasse, dann bekommen meine Clients sowohl GUA als auch ULA Adressen bei aktiviertem DHCPv6.
Vorausgesetzt ich setze bei der Range, wie im Hinweis erläutert, nur für den Hostanteil (::1234:0:0:0 bis ::1234:ffff:ffff:ffff). Denn anderenfalls kann ich mir ja nur für eine Range entscheiden, richtig?
Es gibt keine Möglichkeit 2 verschiedene, getrennte Ranges zu definieren, einmal für ULA und einmal für GUA, oder?

Ich könnte aber auch den DHCPv6 auf ULA stellen (fd00:: bis fd00::ffff:ffff:ffff:ffff) und Clients sollen sich per SLAAC eine GUA holen. Ist das die gängige Praxis? Welche Einstellung brauche ich da bei den RAs? Assisted?

Zu den Router Advertisements:
Sobald DHCPv6 aktiviert ist, bekommen die Clients kein GW mehr, warum?
RA stelle ich dann auf Assisted / Router Priority: Normal / Advertise Default Gateway Yes / Minimum Interval 30 / Maximum Interval 60 / AdvDefaultLifetime 300
Ist das so korrekt?

Warum kann eigentlich nirgends ein GW direkt angegeben werden? Wiederspricht das dem RA Gedanken?

Was trägt man üblicherweise bei "Advertise Routes" ein? Frei lassen, wenn "Advertise Default GW" gesetzt? oder kann ich da alle GUAs eintragen? (2001:: /4 oder noch größer 20:: /2)

Ich möchte das Clients dann letztendlich per SLAAC oder DHCPv6 eine GUA Adresse, per DHCPv6 eine ULA und ein  GW (GUA oder LLA) bekommen.

Danke für ein paar Kommentare zum Thema
und von Leuten, die das so oder so ähnlich bereits am Laufen haben.

Verstehe ich dein Setup so richtig?
Internet <-- 1. IPv6 Netz --> WAN-IF <-- OPSsense --> LAN-IF <-- 2. IPv6 Netz --> Server

Und nur dein WAN-IF zeigt richtung Internet?

Müssten deine Server dann nicht als GW die IP deiner OPNsense bekommen und die müsste als Default GW dann das GW des 1. IPv6 Netzes bekommen, welches ja funktioniert?
Das GW des 2. IPv6 Netzes ist ja dann mit diesem Setup auch nicht erreichbar bzw. sollte nicht erreichbar sein.
Falls das LAN-IF das GW von Netcup erreichen würde, wäre der FW Gedanke ja obsolet, da alle Server die Firewall garnicht beachten müssten um ins Internet zu kommen.

Grüße

OK verstehe, danke!

Ich muss dann wahrscheinlich auf der Gegenseite noch die NAT-Regel anpassen/hinzufügen, sodass die, per statischer Route, geroutete IP Adresse der PS5 dann auch ins Internet ge-NAT-et wird, richtig?

Ich probiere das die Tage mal aus. Bin leider noch nicht dazu gekommen.

Ein Problem hätte ich noch. Das S2S VPN will bei mir nicht mit ner dyndns Adresse. Es funktioniert nur wenn ich die Öffentlichen IPs der Gegenseite in die Endpoints eintrage.
Gibt es dafür noch Lösungen oder soll ich doch mal über OpenVPN nachdenken anstatt Wireguard zu nutzen, wenn da die Namensauflösung so problematisch ist?

Wie ist das mit nem S2S VPN.
wenn ich jetzt beide LANs miteinander verbunden habe ... ich habe noch nichts in richtung Selective Routing unternommen ... Wann und Warum entscheidet OPNsense ich route jetzt Traffic eines Clients durch den VPN Tunnel anstatt weiter ins Internet?
Durch ein angelegtes GW welches eine höhere Prio (niedrigerer Wert) hat? oder durch eine Floating Regel?

Ich muss gestehen so schön ausführlich die Dokumentation auch ist ... mir fehlt da ein Schaubild incl. eines Beispiels um es zu verstehen  ???

Warum brauchst du an deiner VPC einen dyndns?
- hat dein VPC keine FESTE ip vom Provider?
- welcher Provider/Produkt?
- wir haben z. B. bei AWS einigen VPCs feste IPs verpasst
- wenn du eine eigene domain hast kannst du ja auch die Feste IP vom Provider einfach da eingeben.

FRAGE: bist du beruflich im IT bereich tätig?

Es handelt sich hier um 2 rein private Internet-Anschlüsse von 2 privaten Haushalten.
Provider ist 1und1 auf beiden Seiten (VDSL2 35b 250/40 und VDSL2 17a 100/40).
Nein diese haben keine feste IP.

Mein VPS welchen ich mal in Erwägung gezogen hatte, hätte eine feste IPv4 und 6. Dieser hat natürlich auch eine eigene Domain. Aber den VPS zu nutzen habe ich bereits verworfen.

Ja ich war Beruflich in der IT tätig. Bin aber privat technischer unterwegs als es Beruflich der Fall war.

Ja ich habe einen VPS im Internet und könnte den DNS nutzen. Ich verstehe nicht in wiefern das was ändern würde?
Auch dort muss die dynamische Öffentliche IP der jeweiligen Sites ja per Skript irgendwie täglich eingetragen werden?!
Und in wiefern ist das was anderes als die dyndns Adresse selbst zu verwenden?
Auch dann trage ich ja einen hostnamen in den Endpoint ein.

Nein, es werden BEIDE dyndns Plugins verschwinden. So ist die letzte Ansage von Franco.

OK das ist mir neu. d.h. es wird bald keinen support mehr für dyndns adressen geben?
Krass!

Das ist auch so nicht korrekt, man kann auf beiden Seiten in den jeweiligen Endpoint die dyndns-Adresse der jeweiligen remote-sense eintragen. Das funktioniert einwandfrei.

Wie gesagt bei mir funktioniert das nicht.
Es muss einen Fehler in der Config auf Site B geben wobei ich den nicht finden kann. Anders kann ich es mir nicht erklären.
Der einzige unterschied ist, das Site B zwei WG Schnittstellen hat und Site A nur eine. Sonst sind die Configs identisch.
Gleiche OPNsense Version, gleicher dyndns Provider (duckdns), gleiche Config.

//EDIT: habs oben auch kommentiert. Fehler war ein Tippfehler im DNS Namen.

Ich nutze ddclient und nicht dyndns, da ich bereits gelesen habe, dass dieses plugin deprecated ist und bald wegfällt. Meine Namensauflösung damit funktioniert tadellos auf beiden Seiten mit duckdns.org.
ddclient wird aber langfristig bleiben oder?

Was ich nicht verstehe:
Ich habe auf beiden Seiten eine Lokale Config und den jeweiligen Endpoint von Gegenüber.
Wenn ich auf Site A bei dem Endpoint als Endpoint-Address site-b.duckdns.org eingebe und auf Site B beim Endpoint die Endpoint-Address leer lasse funktioniert alles.
So kann aber immer nur Site A den Tunnel triggern, da nur Site A die Gegenseite kennt, richtig?
Sobald ich auf Site B beim Endpoint auch eine Endpoint-Address (site-a.duckdns.org) eingebe kommt ein Tunnel nicht mehr zustande, da das Interface auf Site B down bleibt.
Warum ist das so?
Ich mein, es ist ja faktisch egal, da mit einem Keepalive von 25 auf beiden Seiten der Tunnel eh nie down geht und es auch reicht wenn eine Seite ihn am Leben hält bzw. immer wieder aufbaut. Verstehe ich trotzdem nicht.

Das mit dem selective routing muss ich mir nochmal näher anschauen.
Danke soweit

//EDIT:
Fehler gefunden  ::)
Tippfehler im DDNS Namen ... peinlich

Ich möchte eigentlich nicht über den Sinn diskutieren, aber ich möchte folgendes Problem mittels VPN beheben: https://telekomhilft.telekom.de/t5/Telefonie-Internet/Apex-Legends-Packet-loss-Packetverlust/td-p/5146004

Was ich nun bereits geschafft habe ist ein Site2Site VPN einzurichten.
Sprich ich kann sowohl zwischen beiden LAN IPs als auch WireGuard IPs pingen, zugreifen, etc ...

Mir fehlt nun nur noch der letzte Step:
Wie bekomme ich den Traffic einzelner oder mehrerer LAN IPs (am besten über Alias) dazu über den VPN Tunnel samt Rückroute geleitet zu werden? Sodass sie quasi auf der gegenseite ins Internet gehen?

EDIT:
kleine Zwischenfrage: mein S2S VPN klappt nur wenn ich beide Öffentliche IPs in die Endpoints eintrage. Mittels duckdns.org adresse klappt es nicht. Wie erreiche ich das dort eine ddns adresse funktioniert? Weil ich ja sonst jeden Tag meine öffentlichen IPs neu eintragen müsste?

naja,
ein vpn-provider kostet wieder geld welches ich mir mit meinem eigenen vpn sparen kann.