Messages

Wie gesagt nach dem Einspielen von 24.7.12 läuft alles wieder wie gewohnt. Ich kann mich auch nicht erinnern in den letzten 3 Monaten an der Konfiguration etwas geändert zu haben und der Fehler trat ja unmittelbar nach dem Update auf. Unmittelbar davor habe ich definitiv nichts geändert.
Allerdings habe ich mit der 24.7.12 jetzt ein anderes Thema. Es wird mir keine höhere Version zum Update mehr angeboten. Im Änderungsprotokoll sind zwar alle Versionen bis 25.1.8 aufgeführt aber als Update bietet er mir nur das Paket libinotify an, und das als Endlosschleife.

Jetzt hab ich in der OPNsense erst mal die SSD getauscht und mein CloneZilla-Backup der Version 24.7.12 auf die neue SSD wieder eingespielt. Damit läuft im Moment  wieder alles.
Jetzt würde ich das System gerne wieder aktualisieren, aber erst mal nur auf Version 25.1.7. Soweit ich weiß müsste das über die Konsole doch möglich sein? Über die GUI bietet OPNsense ja immer die neuste an. Gibt es eine Beschreibung wie ich die Version in der Konsole selbst wählen kann?

Nur ein gewöhnliches Paket mit gesetztem ACK. Fließen die Pakete auch wirklich in beiden Richtungen durch die Firewall durch? Also hat der Ziel-Host 192.168.234.175 definitiv keine andere Route in das Netzwerk 192.168.10.0/24 an der OPNsense vorbei?

Nein das hat er nicht. Läuft alles über die OPNsense und wie gesagt es lief ja seid Monaten alles stabil bis ich 25.1.8 eingespielt habe. Außer einspielen des Updates wurde auch nichts verändert. Die Probleme haben auch unmittelbar nach dem Update angefangen.

Der Inhalt sieht so aus:
You cannot view this attachment.

Hallo,
vor ein paar Tagen habe ich das Update auf OPNsense 25.1.8 durchgeführt. Seid dem werden meine Firewall-Regeln scheinbar teilweise ignoriert.
Ich habe folgende WAN-Regel angelegt:
You cannot view this attachment.

Trotzdem wird der Verkehr im Logfile über "Default deny / state violation rule" geblockt:
You cannot view this attachment.

Das Alias "Diskstation" sieht so aus und ist auch korrekt:
You cannot view this attachment.

Die Regel habe ich bereits vor Monaten angelegt und bis zum Update auf 25.1.8 hat sie immer problemlos funktioniert. Das Verhalten habe ich auch noch bei anderen WAN-Regeln.

Hat jemand eine Ahnung woran das liegen kann oder ist beim Update evtl. etwas schief gelaufen? Ein Backup habe ich schon erfolglos neu eingepielt.

Vielen Dank.

Nach langem suchen habe ich jetzt die Ursache gefunden.
Der Übeltäter war AdGuardHome. Dort war in den DNS-Einstellungen der Haken bei "IPv6 deaktivieren" gesetzt. Damit konnte es natürlich nicht gehen.
Jetzt läuft alles wie gewünscht.

Vielen Dank für eure Unterstützung.

hallo schmuessla,

nicht ganz. Auch der Wireguard Tunnel lässt sich über IPv6 nicht aufbauen. Andere Wireguard Tunnel an Ziele im IPv4 Bereich gehen. Mir ist das IPv6 Problem nur beim Versuch den Tunnel aufzubauen aufgefallen. Wireguard meldet dann immer "No such host is known".
Der DNS Eintrag in der Config kommt vom Wireguard Server der Fritbox. Die Konfig wurde von dort importiert.

ping 2001:4860:4860:0:0:0:0:8888 funktioniert, die IPv6 Konnektivität scheint also prinzipiell zu funktionieren.

Hallo Schmuessla,

vielen Dank für deine Antwort.

hier die Client Config von Wireguard:
[Interface]
PrivateKey = gelöscht
Address = 192.168.178.201/24
DNS = 192.168.178.1, fritz.box

[Peer]
PublicKey = gelöscht
PresharedKey = gelöscht
AllowedIPs = 192.168.178.0/24
Endpoint = dyndns.myfritz.net:57327
PersistentKeepalive = 25

Der zugehörige Wireguard-Server ist in die Fritzbox integriert.

Das eigentliche Problem ist aber nicht Wireguard. Damit ist es mir nur aufgefallen, weil ich eine Gegenstelle an einem DS Lite DSL Anschluss habe und damit für die VPN Verbindung zwingend IPv6 benötige.
Es werden keine WAN IPv6 Adressen aufgelöst. Auch ein IPv6 Test schlägt mit "keine IPv6 Adresse erkannt" fehl.

Das Setup ist Internet => Fritzbox (192.168.10.0/24) => Opnsense (192.168.234.0/24). Auf der Opnsense läuft auch noch Adguard Home, das hatte ich aber Testweise schon einmal raus genommen.

An einem Rechner der direkt an der Fritzbox im 192.168.10.x Netz hängt funktioniert die IPv6 Namensauflösung wie gewünscht.

Jetzt habe ich mit einem Live-System vom USB-Stick Opnsense Version 23.7 mit einer Grundkonfiguration laufen lassen und da funktioniert die IPv6 Namensauflösung wie gewünscht auch Trace Route funktioniert mit dem Live-System.
Mach ich das gleiche mit dem Produktivsystem erscheint beim Ping nur "Address family for hostname not supported".

Hat niemand eine Idee wo ich nach dem Fehler suchen kann?

Hallo,

ich bin gerade auf ein merkwürdiges Problem gestoßen. Auf meinem Windows Rechner ist ein Wireguard Client mit mehreren Zielen installiert. Die Ziele sind per DynDNS erreichbar. Zu sämtlichen  Zielen, die nur über IPv6 erreichbar sind, kann ich keine Verbindung mehr aufbauen.
Ich kann auch keine Ziele über IPv6 mehrt anpingen. Es kommt immer die Meldung "Ping-Anforderung konnte Host  nicht finden". Verwende ich zum Pingen stattdessen die aktuelle IPv6 Adresse funktioniert alles.

Das gleich passiert auch an anderen Rechner n im Netzwerk.

Mit Version 23.7 von Opnsense hat alles noch funktioniert. Das Problem schein nach dem Update auf 24.1 aufgetreten zu sein.
Hat jemand eine Ahnung wie ich dem Effekt auf die Spur kommen kann? Mir fällt momentan nichts mehr dazu ein.

Die Opnsense sitzt hinter eine Fritzbox an einem Telekom-Anschluss.

Vielen Dank

Hallo cds,

das hatte ich genauso bei mir eingerichtet. Nach dem Update auf 24.1.3_1 lief es dann plötzlich nicht mehr, obwohl die Regeln noch gesetzt waren. Auch ein Neustart von Opnsense hatte nichts gebracht. Ich habe dann bei mir IDS komplett ausgeschaltet und seitdem geht es auch wieder mit eingeschaltetem IDS bzw. IPS. Warum kann ich aber nicht sagen.

Hallo mimugmail,

ich habe IPS wieder aktiviert. Komischerweise gibt es jetzt keine Probleme mehr mit dem Telefonieren, obwohl ich an den Einstellungen nichts geändert habe.

Ok drei von den häufig aktualisierten Firehol-Listen habe ich mir jetzt auch dazu genommen.
AdGuard Home läuft bei mir seid einiger Zeit auch noch zusätzlich.
Danke für die Tipps.

Nachdem mein SIP jetzt wieder funktioniert habe ich gleich den Tipp Patrick aufgegriffen und Crowdsec eingerichtet. Scheint soweit alles zu laufen. Habt ihr dort noch zusätzliche Blocklists eingebunden und wenn ja welche? Im Community Plan kann man ja 3 von den freien Blocklists einbinden, wenn ich es richtig verstehe.

Danke dir für den Hinweis. Das schau ich mir mal näher an.
Bei mir läuft jetzt die SIP Telefonie erst mal wieder und inzwischen sogar mit aktiviertem IPS. Einmal Deaktivieren und wieder aktivieren hat etwas genützt. Der vorherige Neustart von Opnsense hatte nichts gebracht.