Messages

> Was ich auch nicht verstehe ist, wenn ich die Gateway überwachung ausschalte, dann komme ich von intern nicht mehr raus, soll das so sein?

Das klingt doch schon irgendwie nach ARP oder NDP Problemen die bis zum ISP reichen könnten.

Geht das Monitoring nun immer nicht oder nur nach einer Weile? Und der Neustart funktioniert auch nicht? Das Monitoring macht ja keine Verbindung zum ISP sondern es nutzt diese nur...

Im Zweifel mal folgendes probieren:

Firewall: Settings: Advanced: "Disable force gateway" Checkbox einschalten.


Grüsse
Franco

Hi Franco,

ne die Gateway Überwachung will immer nocht nicht.


""Disable force gateway" Checkbox einschalten."

Das habe ich gemacht, hat leider nichts gebracht.

Ich verstehe nicht, dass ich meine Öffentliche IP (PPPoE Interface) von meinem Client aus und auch von draußen anpingen kann, aber nicht von der FireWall seblst !?

Ich hatte eigentlich nichts an den Firewall Regeln geändert, das letzte Update hat hier irgendwas verstellt, evtl...?


Auf der OPT2 == PPPoE wäre jetzt nichts, was diese Probleme verursachen könnten, hat sich eigentlich nichts geändert.

You cannot view this attachment.


Grüße
Nambis

...
Grüsse
Franco

Ich bin es nochmal, sorry das ich nerve, aber ich komme irgendwie nicht weiter.

Die Gateway Überwachung scheint immer noch nicht zu funktionieren, habe heraus gefunden, dass ich meine öffentliche IP von der Sense aus nicht anpingen kann. Vom Internen Netzwerk aber schon. Von den Rulesets der FW hat sich eigentlich nichts geändert. Habe mal testweise auf der PPPoE Schnittstelle icmp zugelassen Quelle: FW und Ziel: any  ... Hat nichts geändert?!

In der Liveansicht mal geschaut, da stand, als ich den ping von der Sense auf die PPPoE Schnittstelle gemacht hat, zugelassen als "let out anything ..", also irgendwie werde ich gerade nicht schlau daraus.

Kann mir hier nochmal jemand weiterhelfen? @Franco liegt es an mir oder der aktuellen Version?


Was ich auch nicht verstehe ist, wenn ich die Gateway überwachung ausschalte, dann komme ich von intern nicht mehr raus, soll das so sein?


Grüße
Nambis

Bei PPPoE muss ich immer annehmen IPv6 geht nicht. Sorry :)

Also, Suricata/Netmap macht schon mal einen harten Reset auf den Link. Auch scheint Suricata auf PPPoE zu hören. Ich würde das direkt aus dem WAN heraustrennen, oder zumindest den IPS Modus testweise abschalten.

Eine weitere Trennung sehe ich nicht. Nur Unbound scheint immer wieder neu gestartet zu werden. Der Grund ist aus dem Log nicht wirklich ersichtlich.


Grüsse
Franco

Hi Franco,

danke dir, das Problem mit dem Verbindungsabbruch (oder IPS Block) trat komischerweise auch nur an dem einen Tag auf, seit dem Restart keine weiteren Probleme damit gehabt, ich würde es im Auge behalten.

Unbound starte ich von Zeit zu Zeit neu, ich bekomme da des öffteren Time-Outs bei einen meiner Windows Clients. Da bin ich noch an der Fehleranalyse.

Wie sieht es mit der fehlerhaften Gateway Überwachung aus, hast du dies bgzl. schon das Problem lokalisieren können?

Grüße
Nambis

Hi Nambis,

Bitte das Debug Logging im DHCPv6 aktivieren (Interfaces: Settings) und neu starten.

Wenn das Problem auftritt brauche ich nur die System General Logs aus de Zeitraum des Problems.


Danke
Franco

Hi Franco,

ähm, IPv6 ist bei mir standardmäßig deaktiviert, so auch das DHCPv6, macht es dann Sinn DHCPv6 dennoch zu loggen?

An dem Tag, als die Opnsense die Verbindung verloren hat, das war am 06.12.24 zwischen ca. 19:00 und 20:00 Uhr. Falls es dir ohne dem DHCPv6 Log etwas bringt, kann ich dir das Log bereits zur Verfügung stellen.

Mit dem Neustart warte ich noch, bis du grünes Licht gibst.

Grüße
Nambis

> Möglicherweise ein Bug?

Ja. Jetzt kommt der schwierigere Part mit den Details dazu.


Grüsse
Franco

Ein weiteres Problem, welches bei mir heute aufgetaucht ist, meine OpenSense hat einfach die Verbindung zum Internet verloren. Erst ein Neustart konnte das Problem beheben und die Verbindung war wieder wie gewohnt aufgebaut!?

In den Firewall Logs war nichts Verdächtiges zu sehen, also kein Blocking oder so, vielleicht hängt der Verbindungsabbruch ja auch mit der Gateway Überwachung zusammen?

Würde mich sehr über eine Analyse des Problems freuen, falls du Logs benötigst, helfe ich gern, müsste nur wissen, welche Logs ich wo kopieren soll.


Viele Grüße
Nambis

Probier mal den entsprechenden Gateway Monitor neu zu starten.


Grüsse
Franco

Hi Franco,

das hab ich bereits versucht, das Problem besteht weiterhin.

Möglicherweise ein Bug?

Grüße
Nambis

Moin

PPPoE funktioniert zwar, allerdings wird mir dies nicht korrekt angezeigt?!

Hat vor dem Update ausgezeichnet funktioniert.


Cheers!

Ich hatte dann einfach eine Allow_Hosts Aliase erstellt und die IPs und Domains von Github manuell eingetragen, siehe Bild, seit dem keine Probleme mehr gehabt. Ist zwar vielleicht nicht die eleganteste Lösung, aber es funktioniert. (Siehe Anhang)

Ich hatte das mit dem sehr guten und hier auch hilfreichen PhonerLite ausprobiert (größerer Bruder wäre Phoner), bei dem man die Diagnose aktivieren und so die Kommunikation zwischen VPN Client und Telefonanlage mitlesen kann.

In diesen Headern war der Client lt. Status der Telefonanlage nicht mit seiner IP, sondern der der FW angemeldet;
Frage ist dann natürlich, wie die Telefonanlage wissen wollte, auf welchem der x Clients sie Anfragen zustellen soll, zumindest wenn die UDP Session TTL zu groß ist
Dazu gab es hier schon Fragen/Lösung:
Man muss die FW irgendwo in den Fiirewall Advanced Settings auf "Moderate" states setzen, damit die UDP TTL länger ist.

Hallo,

danke schön für die Infos, ich werde das Testen und mir diese Konfiguration anschauen. Mittels Firewallregel kann dies nicht gelöst werden?

[Folgendes Szenario:]

Moin,

ich habe ein kleines Problem mit einer Telefonanlage und einem Softphone (Client Telefonsoftware), wenn ich mich per VPN einwähle. Sporadisch scheint es zu funktionieren, aber dann gibt es immer wieder Verbindungsabbrüche, laut Hersteller Diagnose, wurde beim Support mitgeteilt, dass Datenpakete nicht korrekt am Client ankommen.

Folgendes Szenario:

Im lokalen Netzwerk selbst funktioniert alles so weit, allerdings über das VPN kommt es noch zu Problemen.

Netze:

Opnsense:

192.168.0.1
192.168.1.1
192.168.100.1

Telefonanlage:

192.168.1.100 (Standart-Gateway 192.168.1.10)
192.168.0.100

FritzBox:

192.168.1.10

VPN-Netz:

192.168.100.0




Firewall Konfiguration:

Ich habe eine NAT Regel erstellt, von Host 192.168.100.20 (VPN-Client) auf das Netz 192.168.1.0, die Software scheint sich damit mit der Anlage verbinden zu können. Allerdings vermute ich, dass die Telefonanalage stateless ebenfalls mit dem VPN Client kommunizieren möchte?

Nun meine Frage, sollte ich für die Telefonanlage (Ansitel) eine Route ins 100 er Netz geben oder reicht eine einfache FW- oder NAT-Regel dafür? Möglicherweise sollte die Verbindung von Telefonanlage zu Client Stateless sein?

Hoffe es könnte mir jemand einen Tipp geben, Danke im Voraus!

Gleiches Problem habe ich auch, seit dem letzten Update vom Mittwoch scheint es da wohl ein Problem zu geben?

Edit: Halt-Stop ... jetzt läuft der Dienst wieder, konnte Suricata wieder startet, indem ich bei Dienste einfach auf "Anwenden" unter Suricata gedrückt habe... Ist jetzt wieder die Version 7 ... ich hoffe das es dieses mal keine größeren Probleme damit geben wird...

Moin,

ich habe derzeit das Problem, dass sich meine Opnsense nicht mehr via PPPoE einwählt, wenn das Modem einen Verbindungsabbruch kurzzeitigen erhält.

Ist eine Telekom Business GF Leitung, letztens gab es bei einem Verteiler in unserer Nähe ein größeres Problem. Dieses Problem wurde zwar behoben, allerdings gibt es da alle paar Tage noch kleinere Aussetzer, ich vermute, das sind noch Nachwehen von der Großstörung.

Jetzt wollte ich mal Nachfragen, ist das ein Bug von Opensense, dass sich diese nicht automatisch wieder neu connected, oder habe ich da etwas falsch konfiguriert?

Ich muss halt immer einen Neustart machen, damit es wieder läuft, das kann es doch nicht sein?

Würde mich freuen, wenn sich der Sache jemand annehmen könnte, oder mir zumindest sagt, ob ich der Problemverursacher bin, durch eine falsche Config?


Nachtrag:

Das scheint tatsächlich ein Problem bei der Telekom zu sein, wenn ich manuell das Modem abstecke und wieder anstecke, tritt dieser Fehler nicht auf und Opensense macht die Einwahl, so wie es sein sollte.

Hatte von Euch schon jemand dasselbe Problem?

Ist nicht geplant und unwahrscheinlicher als zeek (ehemals bro) integration, was selbst schon relativ unwahrscheinlich ist.


Grüsse
Franco

Schade, darf ich fragen, warum ihr euch dagegen entschieden habt?

Ja, liegt an Suricata 7. Wir gehen morgen zurück auf die 6. In der Zwischenzeit: IPS aus!

Grüsse
Franco

Danke nochmals, scheint jetzt bei mir wieder zu laufen wie gewohnt mit Version 6....


@Franco

Wäre es möglich, noch snort ins Pakete-Programm mit aufzunehmen?

Ja, liegt an Suricata 7. Wir gehen morgen zurück auf die 6. In der Zwischenzeit: IPS aus!


Grüsse
Franco

Top, danke!