Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - yanndecay

#1
sounded like the solution. but unfortunetly it doesn't work.

Right now i have (for sense connection) on port 4 a working setup with Computer->vlan10<->SWITCH<->vlan10->OPNsense but connected to LAN without vlan.

And on Port 1 (my new test) I have from the switch a trunk to the sense (allowed all vlans for now).
Now in the opnsense I have an interface called VLAN10 which is igc0_vlan10 (igc0=port1) and my preferred IP which is in the same subnet like port 4.

I also activated the Parent interface igc0 but gave no IP (interestingly it still shows one in the console view (192.168.1.1./24).

Usually it should work like this, right?

#2
Hey guys,

i am struggeling with putting my default LAN interface in tagged vlan.

Right now it's a playground and I have no router/network at all. My computer is connected to my cisco switch and the switch is connected to Port1 of my OPNsense. Both are in the same vlan (on the switch), but right now there is no vlan of course.

After OPNsense installation I choose option 1 in the (vga) menu to assign interfaces. here I say "y" for the creation of the vlan and create the vlan of my choice. Later when it asks me for the LAN interface i point to that new vlan interface. And like that I have no connection to the GUI. If I point it to the parent interface, the connection works but then the vlan10 is unused in the OPNsense but that's not what I want.

Why is it not working like that? What do I need to do to be able to connect to the GUI on vlan10 only in my scenario?
#3
Perfect, that's what I wanted to hear. Just wanted to make sure before I buy anything. Thank you!
#4
Hello guys,

am I able to do a ZFS mirror installation of OPNsense with disks of different size?

I only have 1x SATA and 1x mSATA on my board available and would like to use one of my solid Intel DC SSDs. Thing is they only have 100GB and I cannot find another mSATA disk with the same size.

Am I able to simply buy a 120/128GB mSATA disk and make it work somehow (like with partitioning before the installation)? I wouldn't mind loosing those 20/28GB. Or doesn't it work cause the OPNsense installer will fully wipe the whole disk anyway and wouldn't proceed cause no mirror can be build with different disk sizes?

If yes, is there anything what I can do to make this work?

Greetings!
Yann
#5
Ahhh, gut zu wissen. Vielen Dank fabian. Dachte das wäre weiterer Faktor für die GUI.
#6
Hallo zusammen,

habe kürzlich auf der Sense ein TLS Server Zertifikat eingerichtet. Das hat auch alles soweit geklappt. Jetzt wollte ich zudem auch Client Zertifikate einrichten.

Dazu habe ich unter System -> Users -> Username ein kurz zuvor erstelltes und signiertes Zertifikat (+private key) importiert. Dies wird auch korrekt übernommen. Kann mich allerdings trotzdem noch mit dem jeweiligen User von einem Browser (ohne importiertes Root-CA Zertifikat) anmelden. Das sollte doch nun aber nicht mehr funktionieren oder habe ich hier einen Denkfehler bzw. ist das für einen anderen Zweck? Habe erwartet das nun der Login aufgrund des fehlenden CA-Zertifikats im Browser nicht mehr funktioniert.

Wenn ich das Zertifikat händisch auslese kann ich soweit auch keinen Fehler entdecken.

Hier mal ein Ausschnitt mit den relevanten Punkten:


        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Cert Type:
                SSL Client, S/MIME
            X509v3 Key Usage: critical
                Digital Signature, Non Repudiation, Key Encipherment
            X509v3 Extended Key Usage:
                TLS Web Client Authentication, E-mail Protection


Hat jemand eine Idee bzw. kann meinen Denkfehler auflösen :) ?
#7
mhh also ich hab link aggreation (LACP-802.ad) eingerichtet und funktioniert trotzdem mit dem parent-interface...
#8
ahhhh das war es!!! alles funktioniert wieder so wie es soll :))

oh man, ich hab die release notes eigentlich gelesen, musste auch nochmal nachlesen da steht:

Media settings are no longer shown for non-parent interfaces and need to be set individually to take effect.  This can introduce unwanted configuration due to previous side effects in the code. If the parent interface was not previously assigned please assign it to reapply the required media settings.

das hab ich irgendwie überlesen bzw. es nicht so gedeutet das es mit vlans im Zusammenhang steht.

Vielen dank pmhausen!

#9
was mir weiter noch auffällt: ich kann nachdem update auf 22.1 auch keine lokalen over-the-air firmware update auf WLAN-iot Geräte (tasmota) einspielen -> anderes vlan. Das dauert normal nur wenige Sekunden der bekommt wohl den upload gar nicht hin. Diese haben ja wiederum gar nichts mit den lxc-containern zu tun. Nachdem Rollback der Sense funktioniert dies aber auch wieder ohne Probleme.

und ich hab gedacht es wären nur die container auf dem hypervisor betroffen. jedenfalls ist mir bisher sonst nichts weiter aufgefallen...
#10
Neue Ekenntnisse:

Ich musste die any-regel nochmal neu anlegen, da sie zuvor beim neu zuweisen rausgeflogen ist.

Jetzt kann ich zumindest das gateway erreichen. Ich kann aus den containern auch public ips pingen... ebenso funktioniert dig.

was nicht funktioniert aber unter 21.7.8 funktioniert hat ist "telnet google.com 80"... irgendwas blockt doch da... aber was? und wieso auf einmal nach dem update?

hier mal ein Auszug eines der Container, zu sehen das ein update nicht funktioniert, ping und dig aber schon:

root@ioBroker:~# apt-get update
0% [Connecting to debian.map.fastlydns.net (2a04:4e42:62::644)] [Connecting to debian.map.fastlydns.net (2a04:4e42:62::644)] [Connecting to deb.nodesource.com (2a02:26f0:^C
root@ioBroker:~# dig debian.net

; <<>> DiG 9.16.22-Debian <<>> debian.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55488
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;debian.net.                    IN      A

;; ANSWER SECTION:
debian.net.             300     IN      A       128.31.0.62
debian.net.             300     IN      A       149.20.4.15
debian.net.             300     IN      A       130.89.148.77

;; Query time: 44 msec
;; SERVER: 10.0.2.1#53(10.0.2.1)
;; WHEN: Thu Apr 21 12:46:36 UTC 2022
;; MSG SIZE  rcvd: 87

root@ioBroker:~# ping debian.net
PING debian.net (128.31.0.62) 56(84) bytes of data.
64 bytes from mirror-csail.debian.org (128.31.0.62): icmp_seq=1 ttl=54 time=111 ms
64 bytes from mirror-csail.debian.org (128.31.0.62): icmp_seq=2 ttl=54 time=111 ms
^C
--- debian.net ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 110.766/110.984/111.203/0.218 ms

#11
Hallo ich habe weiterhin das Problem mit dem Sense Update und habe mich mal wieder versucht aber schaffe es einfach nicht das zum Laufen zu bekommen.

Sobald ich auf von Version 21.7.8 auf 22.1 update besteht das Problem, das ich die Weboberflächen (bspw. NodeRed) meiner LXC container nicht mehr erreiche und das Internet nicht mehr funktioniert.

Das ganze läuft virtualisiert über Proxmox wobei die Container in der container netconfig das vlan tag bekommen.

Ich habe auch mal testweise das vlan interface in der Sense gelöscht und neu angelegt aber brachte keine Verbesserung.

Aus einem anderen vlan kann ich den container noch pingen, kann aber über den container nicht mal mehr das gateway erreichen....

Wie kann ich hier weiter ansetzen?
#12
Hallo Leute,

ich bin etwas ratlos und benötige eure Hilfe. Habe die OPNsense virtualisiert in Proxmox am laufen und klappt soweit alles gut.

Habe nun aber das Update zu 22.1.(1) getätigt und seitdem hab ich Probleme das Webinterface von meinem ioBroker (LXC)  zu erreichen, bzw. nicht nur die Admin Instanz sondern auch andere Instanzen des Brokers wie NodeRed oder VIS. Ping funktioniert aber weiterhin.

Habe daraufhin paar Stunden rum probiert, erneut geupdatet und am Ende sogar auch nochmal die funktionierende  config gesichert und eine neue VM mit aktuellem Build aufgesetzt, Problem besteht aber weiterhin.

Sobald ich ein rollback der Sense auf den letzten Snapshot mache, ist alles wieder wie gewohnt erreichbar.

Was kann ich noch machen bzw wo kann ich ansetzen?
Falls ihr weitere Informationen benötigt lasst es mich wissen.

Gruß Yann

#13
Die Frage die sich mir jetzt stellt ist eigtl, wenn das so wäre und ich jetzt nicht noch Vlan10 zusätzlich auf der Sense erstellen müsste, woher weiß die OPNsense das ihr ,,LAN"-Interface Vlan 10 ist/sein soll?

Normal könnte man das ja bei der Vlan Definition in der Sense einstellen bei Vlan 10. aber dort ,,muss" ich ein Vlan Tag angeben und kann nicht sagen Vlan10 ist einfach mein lan Interface (vtnet0).

Denn sobald ich da dann den Tag10 gebe, muss ich, wie angesprochen ein neues Netz definieren bei dem aber dann ja das Gateway nicht 10.0.0.1 sein darf weil es ja schon verwendet wird.
#14
Hallo liebe OPNsense-Gemeinde, ich habe mich kürzlich entschlossen meine FRITZ!Box abzulösen und die OPNsense virtualisiert über Proxmox zu betreiben.

Dazu bin ich als Neuling auf Logik und Denkfehler meinerseits gestoßen und brauche daher Hilfe von euch.

Mein Vorhaben:

Ich möchte mein Netzwerk segmentieren und besser kontrollieren bzw. regeln können und hätte gerne ein Client-,  IoT-, Gast und Server-Netz, die später teils per AP ausgestrahlt werden sollen. Dazu natürlich später noch ein Management Netz über das ich alles erreichen kann.

Daher ist ja jetzt erstmal mein Ziel das Server Netzwerk sagen wir (10.0.0.0/28) zu verwenden da dort ja später Proxmox und OPNsense liegen sollen. (Kurze Frage: ist das bestpractise? - oder sollten das lieber unterschiedliche Netze sein?)


Kurz zu meiner aktuellen Proxmox-Konfig:

Die net config des proxmox ist wie im Wiki beschrieben (unten, das allerletzte config Beispiel ) https://pve.proxmox.com/wiki/Network_Configuration

ich wollte ja das der Proxmox Host selbst auch in einem bestimmten Vlan ist (vlan10, das servernetz), daher dieser Weg.

Und das klappt auch, habe einen LACP-Trunk mit allen Vlans und kann über einen anderen Vlan10 Access Port auf dem Switch die Proxmox-GUI mit der IP 10.0.0.3 erreichen.

Also Proxmox steckt nun schon mal im Server-Netz aber nun bei der OPNsense hakt es dann komme ich zu nem Logikproblem.

Denn um die OPNsense auch ins VLAN10 zu stecken habe ich der OPNsense VM im Proxmox den Tag10 mitgegeben, da die ja auf den Bond gebridged ist und sonst nicht weiß das sie Vlan 10 sein soll. Damit kann ich die Sense auch erreichen.

Jetzt zu meiner Frage. Ist das Konstrukt so korrekt? Oder muss ich jetzt noch irgendwas umbiegen?

z.B. wegen dem VLAN10...  ist denn meine Annahme richtig das das jetzt das normale LAN der Sense schon mein VLAN10 ist? Ich es somit in vlan10 umbenennen kann? Ich versteh das nicht so ganz weil das Vlan10 wurde ja noch gar nicht richtig definiert eigtl, oder?

Weil wenn ich jetzt in der Sense weitere VLANs erstellen will kann ich weiterhin noch das vlan10 erstellen und eine Range für das Netz definieren. Hab's auch mal versucht auf meine Ziel IP zu stellen, die IP der Sense, die soll ja für dieses Netz auch das Gateway sein. aber da kam logischerweise der Error das die schon belegt ist. Das würde ja auch bedeuten wenn ich ne freie IP nehme habe ich trotzdem ein weiteres VLAN10-Netz geschaffen...

Wo ist mein Denkfehler? Oder hab ich das völlig falsch angefangen und hätte das von hinten aufbauen müssen also nix mit vlans am Switch und Proxmox und erst nach der Definition in der Sense das alles wieder umgestellt?

Danke vorab für euren Input :)
Gruß Yann