Messages

Nach langem suchen habe ich jetzt die Ursache gefunden.
Der Übeltäter war AdGuardHome. Dort war in den DNS-Einstellungen der Haken bei "IPv6 deaktivieren" gesetzt. Damit konnte es natürlich nicht gehen.
Jetzt läuft alles wie gewünscht.

Vielen Dank für eure Unterstützung.

hallo schmuessla,

nicht ganz. Auch der Wireguard Tunnel lässt sich über IPv6 nicht aufbauen. Andere Wireguard Tunnel an Ziele im IPv4 Bereich gehen. Mir ist das IPv6 Problem nur beim Versuch den Tunnel aufzubauen aufgefallen. Wireguard meldet dann immer "No such host is known".
Der DNS Eintrag in der Config kommt vom Wireguard Server der Fritbox. Die Konfig wurde von dort importiert.

ping 2001:4860:4860:0:0:0:0:8888 funktioniert, die IPv6 Konnektivität scheint also prinzipiell zu funktionieren.

Hallo Schmuessla,

vielen Dank für deine Antwort.

hier die Client Config von Wireguard:
[Interface]
PrivateKey = gelöscht
Address = 192.168.178.201/24
DNS = 192.168.178.1, fritz.box

[Peer]
PublicKey = gelöscht
PresharedKey = gelöscht
AllowedIPs = 192.168.178.0/24
Endpoint = dyndns.myfritz.net:57327
PersistentKeepalive = 25

Der zugehörige Wireguard-Server ist in die Fritzbox integriert.

Das eigentliche Problem ist aber nicht Wireguard. Damit ist es mir nur aufgefallen, weil ich eine Gegenstelle an einem DS Lite DSL Anschluss habe und damit für die VPN Verbindung zwingend IPv6 benötige.
Es werden keine WAN IPv6 Adressen aufgelöst. Auch ein IPv6 Test schlägt mit "keine IPv6 Adresse erkannt" fehl.

Das Setup ist Internet => Fritzbox (192.168.10.0/24) => Opnsense (192.168.234.0/24). Auf der Opnsense läuft auch noch Adguard Home, das hatte ich aber Testweise schon einmal raus genommen.

An einem Rechner der direkt an der Fritzbox im 192.168.10.x Netz hängt funktioniert die IPv6 Namensauflösung wie gewünscht.

Jetzt habe ich mit einem Live-System vom USB-Stick Opnsense Version 23.7 mit einer Grundkonfiguration laufen lassen und da funktioniert die IPv6 Namensauflösung wie gewünscht auch Trace Route funktioniert mit dem Live-System.
Mach ich das gleiche mit dem Produktivsystem erscheint beim Ping nur "Address family for hostname not supported".

Hat niemand eine Idee wo ich nach dem Fehler suchen kann?

Hallo,

ich bin gerade auf ein merkwürdiges Problem gestoßen. Auf meinem Windows Rechner ist ein Wireguard Client mit mehreren Zielen installiert. Die Ziele sind per DynDNS erreichbar. Zu sämtlichen  Zielen, die nur über IPv6 erreichbar sind, kann ich keine Verbindung mehr aufbauen.
Ich kann auch keine Ziele über IPv6 mehrt anpingen. Es kommt immer die Meldung "Ping-Anforderung konnte Host  nicht finden". Verwende ich zum Pingen stattdessen die aktuelle IPv6 Adresse funktioniert alles.

Das gleich passiert auch an anderen Rechner n im Netzwerk.

Mit Version 23.7 von Opnsense hat alles noch funktioniert. Das Problem schein nach dem Update auf 24.1 aufgetreten zu sein.
Hat jemand eine Ahnung wie ich dem Effekt auf die Spur kommen kann? Mir fällt momentan nichts mehr dazu ein.

Die Opnsense sitzt hinter eine Fritzbox an einem Telekom-Anschluss.

Vielen Dank

Hallo cds,

das hatte ich genauso bei mir eingerichtet. Nach dem Update auf 24.1.3_1 lief es dann plötzlich nicht mehr, obwohl die Regeln noch gesetzt waren. Auch ein Neustart von Opnsense hatte nichts gebracht. Ich habe dann bei mir IDS komplett ausgeschaltet und seitdem geht es auch wieder mit eingeschaltetem IDS bzw. IPS. Warum kann ich aber nicht sagen.

Hallo mimugmail,

ich habe IPS wieder aktiviert. Komischerweise gibt es jetzt keine Probleme mehr mit dem Telefonieren, obwohl ich an den Einstellungen nichts geändert habe.

Ok drei von den häufig aktualisierten Firehol-Listen habe ich mir jetzt auch dazu genommen.
AdGuard Home läuft bei mir seid einiger Zeit auch noch zusätzlich.
Danke für die Tipps.

Nachdem mein SIP jetzt wieder funktioniert habe ich gleich den Tipp Patrick aufgegriffen und Crowdsec eingerichtet. Scheint soweit alles zu laufen. Habt ihr dort noch zusätzliche Blocklists eingebunden und wenn ja welche? Im Community Plan kann man ja 3 von den freien Blocklists einbinden, wenn ich es richtig verstehe.

Danke dir für den Hinweis. Das schau ich mir mal näher an.
Bei mir läuft jetzt die SIP Telefonie erst mal wieder und inzwischen sogar mit aktiviertem IPS. Einmal Deaktivieren und wieder aktivieren hat etwas genützt. Der vorherige Neustart von Opnsense hatte nichts gebracht.

Ja ich weiß IPS ist umstritten. Ist nur merkwürdig, dass es seid 2 Jahren problemlos lief und jetzt nach dem Update Ärger macht.

Super das hat schon mal funktioniert! Vielen Dank!!!
Ich hab jetzt man den IPS Mode deaktiviert und nur IDS angeschaltet. Damit klappt es auch. Jetzt muss ich nur noch rausfinden warum es blockiert wird und wie ich das verhindere.

Hallo,

ich habe heute bei Opnsense ein Update von Version 23.7 auf 24.1.3_1 durchgeführt. Leider funktioniert seit dem mein Softphone am Rechner nicht mehr, da keine  Verbindung zur Fritzbox mehr hergestellt werden kann. Die Konstellation ist folgende:
Internet => Fritzbox => Opnsense => Client.
Die Fritzbox ist bei mir auch die TK-Anlage, der Softphone-Client verbindet sich also mit der Fritzbox über UDP.
Die Firewallregeln scheinen noch da zu sein, trotzdem kommt keine Verbindung zu Stande. Die Regeln habe ich hier kurz angehängt.
Hat jemand eine Idee woran es liegen kann oder wie ich die Ursache herausfined?

Es sieht so aus als läge es an IDS, zumindest im IPS Mode. Seitdem IDS komplett abgeschaltet ist funktioniert Shutdown und Reboot wieder problemlos.
Evtl. habe ich die genaue Ursache gefunden. Ich hatte IPS aktiviert und zwar auch für das VLAN und VPNs. In der Beschreibung steht aber "When enabling IPS, only use physical interfaces here (no vlans etc)." Ich hab es jetzt mal nur für das physikalische LAN Interface aktiviert und sehe ob das etwas ändert. Gleichzeitig ist jetzt der "Promiscuous mode" eingeschaltet.

Leider bin ich mir ziemlich sicher.
Normalerweis dauert das Hoch- und Runter fahren gut 1 Minute. Wenn es nicht funktioniert läuft Opnsense auch nach 30 bis 60 Minuten noch.