Messages

Hello, guys.

Today, I started using an Omada AP and wanted to set up ppsk with dynamic VLAN assignment.
That's when I came across this topic.
I installed the patch and can see the selection in the web UI, but the PPSK is not being applied to the configuration.
Is there something else I need to consider, or is the patch incompatible with version 25.7?

kannst du mir erklären, WARUM jeder den Haken bei "Request prefix only" setzt ?

Ich kann der meine Sicht noch erklären.

Habe an diesem Tag das erste Mal einen DG Anschluss in Betrieb genommen und das mit Opnsense und ich habe keinerlei Vorkenntnisse mit Glasfaseranschlüssen.
Bei uns im Saarland ist das noch nicht so weit verbreitet. Und dann kommt da noch Ipv6 mit seinen Eigenheiten.
Um nicht das Rad neu zu erfinden und nicht unnötig in der Weltgeschichte (Bei einer Fehlkonfiguration) rumzufahren, habe ich mich an Settings gehalten, die im Internet dokumentiert wurden und da hinterfrage ich nicht jeden Haken.
Sollte ich mal einen eigenen Glasfaseranschluss bekommen, ist das was anderes. Dann kann ich mit den Settings spielen.
Wenn da mal der Anschluss nicht mehr funktioniert, komme ich immer noch auf den Router/Firewall.

So Problem ist gelöst.

Nachdem ich Zuhause nochmal alles überprüft hatte und nicht wirklich einen Designfehler festellen konnte, habe ich noch etwas recherchiert.
Dabei habe ich gelesen, dass man bei einem Routerwechsel warten muss (bis zu 60 Minuten), erst dann erkennt DGf, dass ein neuer Router vorhanden ist und ich bekomme ne IP.

Gesagt getan, bin ins Auto gesprungen, 50min zu dem Internetanschluss gefahren und hab die Sense wieder in Betrieb genommen. Diesmal ohne die Mac Adresse der Fritzbox zu klonen.

Dabei ist die Sense wie erwartet wieder bei der WAN Konfiguration während des Bootens hängen geblieben. Kurz den Stecker gezogen, weiter ging es.
Danach habe ich den DHCP Prozess wieder neugestartet und habe gewartet. Nach ca. 10min, ich konnte es kaum glauben, kam endlich die IPv4 Adresse.
Und jetzt klappt auch der Reboot der Sense ohne dass das Teil hängen bleibt.

Schönes Restwochenende.

Hallo,

ich wollte gestern eine Opnsense an einem DGf Anschluss in Betrieb nehmen, was leider in die Hose ging.

Hier erstmal die Fakten....

Hardware:
N100 CWWK Appliance
512 Gb NVMe
16Gb DDR5 RAM

Software:
Proxmox 8.4.5 (Host)
Opnsense 25.7 (VM)

WAN Interface enp0s0 (mapped via PCI Passthrough)

Soweit so gut.

Ich hatte die Kiste Zuhause vorbereitet und dafür gesorgt, dass ein Wireguard Tunnel aufgebaut wird, sobald das Internet vorhanden ist.
Das hat Zuhause wunderbar funktioniert. Ich hatte via DHCP eine IPv4 Adresse bekommen und der Tunnel hat sich aufgebaut und ich konnte auf die Kiste remote darauf zugreifen.

Als ich gestern die alte Fritzbox ausbaute, die Sense an das Glasfaser-Modem angeschlossen (Mac Adresse der FB hatte ich übernommen um der Reaktivierung aus dem Weg zu gehen) hatte und die Kiste bootete, bekam ich das erste Problem.
Der Bootvorgang blieb an er Konfiguration des WAN Ports hängen und lief nicht weiter. Ich gehe mal davon aus, dass es mit dem eigentlichen Problem zusammenhängt.
Die Kiste wartete einfach auf eine IPv4 Adresse, die sie nicht bekam und blieb hängen. Ich musste erst den WAN Port ziehen, damit es weiter ging.

Nach dem Bootvorgang schaltete ich noch am WAN Port dhcpv6 ein, setzte das Prefix auf /56, setzte die Haken bei "Nur Präfix anfordern" und "Präfix-Hinweis senden", soweit so gut.

Ich bekam zwar eine lokal IPv6 Adresse, was dem Punkt "Nur Präfix anfordern" geschuldet war, aber trotzdem keine IPv4 und kein Internet.
Danach setzte ich noch im Lan Interface die IPv6 Konfiguration auf Tracking, was dazu führte, dass mein Rechner eine IPv6 Adresse bekam und ich kam dann auch ins Internet. Aber nur via IPv6, da ich nach wie vor keine IPv4 Adresse hatte. Im Übrigen hat sich der Wireguard Tunnel direkt aufgebaut, als IPv6 lief.

Ok dachte ich mir, Reboot tut gut und rebootete die Sense. Leider blieb die Kiste wieder beim Booten am WAN Port hängen und nix ging mehr, bis ich den Port entstöpselte.

Nach ca. 3Std. mit wilden Versuchen die Sense dazu zu bewegen eine IPv4 Adresse zu bekommen, gab ich schließlich auf und habe die Fritzbox wieder eingebaut, die dann direkt eine (CGNAT) Ipv4 Adresse bekam :/

Heute morgen, habe ich die Sense wieder bei mir im LAN angeschlossen und hab direkt eine IPv4 Adresse bekommen.

Ich bin quasi mit meinem Latein am Ende und weiß nicht mehr weiter. Habe ich noch irgendwas vergessen? Muss ich ein Vlan für DGf nutzen, oder gibt es noch einen anderen Trick?

Hi,

läuft denn der Dienst?

Hast du ins Protokoll geschaut?

Darüber hinaus, bedenke noch bei der Umstellung auf Kea, dass die dynamische DNS Registrierung der Clients (noch) nicht funktioniert.
Falls es relevant für dich ist. D.h. du kannst keine Clients mit dem Namen ansprechen, wenn sie sich eine dynamische IP via DHCP gezogen haben.

In naher Zukunft, soll DHCP in DNSmasq aktivierbar sein, inklusive dynamische DNS Registrierung.

https://forum.opnsense.org/index.php?topic=46381.0

VG
Rubinho.

Erstmal danke für die Info.

Ich hab mich gestern für den (vermeintlich) leichten Weg entschieden und die PFsense-Konfig meiner statischen DHCP Einträge und manuellen DNS Einträgen in die Opnsense Konfig mittels Notepad++ konvertiert. Hat mich 15min gekostet und meine Einträge waren drüben.

Da die investierte Zeit überschaubar und die neue Lösung ja noch nicht ogfiziell released ist, kann ich es verkraften, wenn ich in der nächsten Zeit nochmal Hand anlegen muss.

Ich werde mir mal eine DEV Version installieren und mir die neuen DNSmasq Optionen anschauen.

VG
Rubinho

Moin Leute,

ich bin gerade dabei meine letzten beiden Pfsensen auf Opnsense zu migrieren.
Da ich nicht viel von der Pfsense Konfig übernehmen kann/will, werde ich die Opnsense quasi manuell einrichten.

Jetzt stehe ich aber wieder vor der Entscheidung, ISC oder Kea,bzw. Unbound, oder DNSMasq.

Da ich in den Pfsensen isc und unbound nutze, wäre der einfachste Weg, auch wieder auf diese Kombi zu setzen.
Allerdings möchte ich in einem Jahr (Spekulation) nicht alle statischen DHCP Einträge nochmal in KEA eintragen, weil ISC nun entgültig ausgedient hat.

Was mich an Kea momentan noch stört, ist die fehlende dynamische DNS Registration. Statische scheinen ja schon zu funktionieren. Allerdings nicht mit DNSMasq. (So meine Erfahrung)

Das Problem war 2023, als ich mit meiner primären Pfsense gewechselt bin, auch schon, allerdings war Kea da noch relativ frisch am Start und dachte es dauert noch ne Weile bis ISC ausgedient hat. Nun haben wir 2025 und das Thema ist leider immer noch nicht entschieden.

Von daher bin ich mir momentan nicht sicher, was der beste Weg ist.
Grundsätzlich kann ich aber sagen, dass es mir egal ist, welcher Dienst sich durchsetzt und ich am besten einsetzen soll. Es muss DNS Registrion funktionieren + die Standard Funktionen funktionieren.

Gibts da Empfehlungen, oder soll ich weiter auf die Kombi ISC/Unbound setzen?

VG
Rubinho

Kurzes Zwischenupdate:

Mit meiner alten Hardware (Supermicro a2sdi-4c-hln4f) und Opnsense gab es keine Auffälligkeiten.
Kein langsamer Speedtest und keine Paketverluste.

Darauf hin habe ich nochmal meine N100 Chinabox genommen und erstmal Proxmox installiert und dann Opnsense als VM mit zwei direkt durchgereichten Netzwerkinterfaces.
Momentan läuft die Kiste bereits 4 Tage ohne Probleme.
Aber ich traue dem Braten nocht nicht so ganz und warte lieber noch ab.

Da ich die Interfaces direkt durchgereicht habe, sollten doch die gleichen Netzwerktreiber genutzt werden, als würde ich Opnsense nativ benutzen. Also kann ich die Treiber doch ausschließen, oder?

Hat keiner einen Tip für mich?
Heute musste schon wieder Hand anlegen, nachdem die Kiste 1 Woche halbwegs lief.

Ich werde die Tage mal noch auf meine altes Supermicro Board umsteigen um die Hardware auszuschließen.
Damit lief alles bestens (zumindest mit der PFsense).

Soo, nachdem ich gestern die Firmware des VDSL Modems und die Software der Opnsense auf den neuesten Stand gebracht habe und folgedessen auch beide Geräte rebootet hatte, sind heute Morgen die ersten Symtome (Geschwindigkeitsverlust beim Speedtest) wieder aufgetraucht.

Den Transparentmode von Squid hatte ich gestern noch deaktiviert.

Der Speedtest ergab heute Morgen ca. 80Mbit und nachdem ich die MTU Size geändert hatte, waren wieder ca. 230Mbit zu Verfügung.

Irgendwas schaukelt sich da hoch  :(

Hallo chemlud,

ja das Offload Gedöhns ist angehakt, sprich deaktiviert.
Suricata hatte ich auch in Verdacht und hatte es beim ersten Vorfall bereits deaktiviert und seitdem nicht mehr eingeschaltet.
Einzig Squid habe ich noch am Laufen, auch als Transparent, aber nur http.

Aber weder Paketverlusttest noch der Speedtest gehen über den Proxy (laut Log), von daher würde ich das schonmal fast ausschließen. Ich werde aber den Transparentmode erstmal ausschalten.

 

Hallo Community,

ich bin vor kurzem von Pfsense auf Opnsense gewechselt und habe seitdem ein leidiges Problem, dass vorallem meine Kinder merken.  ;D

Es begann quasi mit der vollständigen Umstellung auf Opnsense.

Nachdem die Sense ca. eine Woche problemlos lief, kam es auf einmal zu Paketverlusten und ein Speedtest hatte nicht mehr als 60mbit erreichen können.
Ein reconnecten der PPPoE Verbindung löste das Problem erstmal nicht, auch nicht das Deaktivieren des WAN Interface (Egal ob das PPPoE Interface, oder das Physikalische, oder beides.)
Einzig das Ändern der MTU Size auf einen beliebigen anderen Wert löste wohl irgendwas aus, dass das Problem löste, wenn auch nur für ca. 24Std. Dabei glaube ich jetzt nicht, dass die MTU Size was damit zutun hat, sondern dass der Änderungsprozess irgendwas am Interface resettet hat, wodurch das Problem temporär behoben hat.

Ich habe mein Vigor 165 VDSL Modem heute morgen mal auf den neusten Firmwarestand gebracht und auch die Opnsense aktualisiert. Allerdings glaube ich nicht, dass das Problem auf Dauer verschwunden ist.

Mein ISP ist Fonial
Mein VDSL Anschluss ist 250/40mbit
Meine Hardware: Topton N100 Chinabüchse mit i226 Adapter und 16Gig DDR5 RAM.

Hat jemand eine Idee?
Läuft da irgendein Cache, oder Puffer des Interfaces über, hat die Chinabüchse ein bekanntes Problem, oder was könnte das Problem sein?

Ich weiß es ist ein stückweit Glaskugellesen, wenn ich noch Infos beisteuern soll, fragt einfach.

VG
Rubinho

Ok, das war der Trick.
Muss wohl doch wieder die Grundlagen von OSPF auffrischen.

Was mir allerdings bei OSPF nicht gelingt, ist eine Nachbarschaft über einen Wireguard Tunnel aufzubauen und das ohne Area Angabe in den Interfaces.

Wenn ich die Area unter Interfaces angebe, wird eine Nachbarschaft zur gegenüberliegenden Opnsense aufgebaut. Aber dann kann ich kein manuelles Netzwerk anlegen.

Zur Vervollständigung, ich habe noch eine Sense in der Hetzner Cloud, die hällt auch einige Tunnel und die wollte ich in den dynamischen Prozess mit einbinden.

Mit BGP klappt das alles, aber wenn es mit OSPF auch gehen würde, wäre das der favorisierte Weg, da weniger Einstellmöglichkeiten (Weniger was man kaputt machen kann :) )

VG
Rubinho

Ich habe das Problem vorerst mit BGP umgangen.

Die statische Route in Richtung Wireguard Tunnel Interface wird bei BGP zwar auch nicht erkannt (Ist womöglich ein darüber gelagerter Prozess für beide Routing Protokolle), aber bei BGP funktioniert zumindest der Network Eintrag und ich kann wie mimugmail vorgeschlagen hat, das Netzwerk manuell hinzufügen.

Ich kenne zwar keine Details um das Plugin FFR, aber meiner Meinung nach ist es schon etwas buggy.
Wenn man auf dynamisches Routing angewiesen ist, macht das bestimmt keinen Spaß.

Aber egal, ich hab erstmal eine funktionierende Lösung, sollte einer die Erleuchtung haben, darf er (oder sie) sich gerne melden. :)

Schönes WE.
VG
Rubinho

Gut, hier eine schematische Zeichnung (Grober Auszug) meines Aufbaus.
Darunter die aktuelle Konfig.

Was mich aber irritiert, ist dein Vorschlag mit dem Aufbau von Prefixlisten. Die dienen in der Regel als Filter.
Es werden nur die Netze übermittelt, die auch mit dem Filter übereinstimmen.
Ich glaube unter Network könnte man Netze einbinden, aber da bekomme ich Fehlermeldungen. (Im Log)
Den klassischen Network Spruch bekomme ich momentan nicht implementiert.

Achso, nur zur Info.
Den ganzen Aufbau mache ich, um meine alte PFsense abzulösen, so sanft wie möglich, in dem ich ein Netz nach dem anderen umziehe.

Code Select Expand

            Tunnel X                                                                       
          |                                                                               
Internet  |                                                                               
          |                                                                               
      ^   |    Tunnel Y                                                                   
      |   |  |                                                                             
      |   |  |                                                                             
      |   |  |                                                                             
      |   |  |                                                                             
+-----+---+--+----+               +---------------------+           +---------------------+
| Pfsense (legacy)|               |   Opnsense (new)    |           |      Fritzbox       |
|                 |   Transfernet |                     | Wireguard |                     |
|                 +---------------+                     +-----------+  Network            |
|                 |       OSPF    |                     |    Tunnel |  192.168.115.0/24   |
|                 |               |                     |           |                     |
|                 |               |                     |           +---------------------+
+-+---------------+               +---+----+--+---------+                                 
  |                                   |    |  |                                           
  |                                   |    |  |                                           
  |                                   |    |    LAN                                       
  |                                   |    |                                               
  |                                   |                                                   
  |                                   |  Testlab1 192.168.155.0/28                         
                                                                                           
  Lan                                                                                     
                                    Testlab2 172.21.35.0/24 

Code Select Expand

Building configuration...

Current configuration:
!
frr version 8.5.4
frr defaults traditional
hostname fw.illtalnet.de
log syslog
!
interface igc3
ip ospf area 0.0.0.0
ip ospf network point-to-point
exit
!
router ospf
ospf router-id 100.64.65.2
redistribute kernel route-map Redistrimap
redistribute connected route-map Redistrimap
redistribute static route-map Redistrimap
exit
!
ip prefix-list Test seq 10 permit 192.168.115.0/24
ip prefix-list Test seq 11 permit 172.21.35.0/24
ip prefix-list Test seq 12 permit 192.168.155.0/28
ip prefix-list Test seq 13 permit 10.11.11.0/28
!
route-map Redistrimap permit 10
match ip address prefix-list Test
exit
!
end


-- Update --

Mit dem Problem des Network Spruchs bin ich nicht alleine....
z.B. hier .. https://forum.opnsense.org/index.php?topic=30032.0
oder hier ... https://forum.opnsense.org/index.php?topic=17629.0