Messages

Funktioniert denn dann der Internetzugang von OPNsense selbst aus noch?

Ja, von der Firewall aus geht noch alles. Ein Restart vom Modem bringt keine Änderung, erst nach Restart der Firewall geht es wieder für eine gewisse Zeit.

Hallo Leute,

ich komme heute mal mit einer absoluten Anfängerfrage.

Ich benutze eine Firewall von PC-Engines mit 3 Interfaces, 1x WAN, 1x DMZ und 1x LAN.

Am WAN hängt ein 5G-Modem (Bridge-Mode), was mir theoretische 300MBit/s liefern sollte.
Am DMZ hängt bei mir ein kleiner Server mit ein paar Webservices, welche ich sowohl vom Internet (WAN) als auch vom Intranet (LAN) aus erreichen möchte.
Am LAN hängt unser gesamtes Haus, mit allen Computern, APs, Sensoren usw.

Soweit funktioniert auch alles, aber leider nicht sehr lang. Nach einer gewissen Zeit habe ich keinen Internetzugang mehr. Im LAN funktioniert noch alles einwandfrei, nur ins Internet geht nichts mehr raus.

An Rules habe ich folgende:
* WAN: eingehender Traffic in Richtung Server (DMZ)
* DMZ: eingehender Traffic darf überall hin, ausser ins private Netzwerk (LAN)
* LAN: eingehender Traffic darf überall hin

Mehr habe ich nicht definiert, der Rest sind max. die "automatically generated rules".

Was kann der Grund sein, warum nach geraumer Zeit nichts mehr geht? Im Firewall-Log sehe ich keine Einträge - mir ist das ganze unerklärlich.

Mir ist klar, dass das evtl. zu wenig Infos sind, um mir sinnvollen Input zu geben. Ich will aber jetzt nicht 100e Screenshots, Configs o.ä. hochladen, die am Ende keiner braucht.
Bitte sagt einfach, was Euch an Infos fehlt - vielleicht hat ja jemand für mich einen hilfreichen Tip und leitet mich in die richtige Richtung.

Vielen Dank!

Das mit dem privaten Netzwerk am WAN Interface ist richtig so. Die entsprechenden Settings habe ich natürlich berücksichtigt.

Ich habe jetzt alles nochmals durchgeschaut und bin mir eigentlich sicher, dass beim Setup von OPNsense alles passen muss. Deshalb hab ich den Netzwerk-Admin kontaktiert und nach einigem hin und her ging es dann plötzlich.
Ich vermute also, dass da im "großen" Netz etwas firewall-mäßig geblockt wurde.

Auf jeden Fall vielen Dank für Eure Hilfe!

192.168.50.1 ist nicht die Default-Adresse. Mach eine Default-Installation und probier, ob danach alles geht. Danach kann man schrittweise weiter machen.

Kann ich erst am Montag machen, vorher komme ich nicht mehr dazu.

Aber glaubst Du wirklich, dass die IP daran Schuld sein kann? Ich kann sogar vom PC hinterm Router rauspingen, nur bei allen anderen Requests bekomme ich  nichts zurück.

Mal bitte mal einen Plan mit IP-Adressen ...

Code Select Expand


    **
     ****
        ****                                                                                                       ┌──────────────────────┐
             *                                                                                                     │                      │
             *                                                                                               ┌─────┤ PC1 (192.168.50.100) │
           ***                                                                                               │     │                      │
           **                                                                                                │     └──────────────────────┘
             **                                                                                              │
              **                **          ***                                                              │
                *             **  **      **   **                                                            │
                **            *    *******      *                       ┌────────────┐                       │     ┌──────────────────────┐
                 *          **                   *       192.168.10.238 │            │ 192.168.50.1          │     │                      │
                *───────────      Company-LAN     ──────────────────────┤ OPNsenseRT ├───────────────────────┼─────┤ PC2 (192.168.50.101) │
WAN             **        *                      *                      │            │                       │     │                      │
                  **       **                   **                      └────────────┘                       │     └──────────────────────┘
                    *        ***                  *                                                          │
                   **           *********   *** **                                                           │
                  **                    *****  *                                                             │
                *                                                                                            │     ┌──────────────────────┐
              **                                                                                             │     │                      │
             *                                                                                               └─────┤ PC3 (192.168.50.102) │
            *                                                                                                      │                      │
           **                                                                                                      └──────────────────────┘
  *****  ****
**     ***


Dann muss das ohne weitere Änderungen gehen und so sollte man auch vorgehen. Wenn es nicht funktioniert, ist die einzige Stelle, an der man vorläufig debuggen muss, die WAN-Konfiguration. Alles andere lass wie es ist.

LAN-mäßig läuft alles. Ich komme auf den Router und kann auch alles konfigurieren. Der Router hängt WAN-seitig auch im Netz und ich kann vom Router aus auch auf die IPs/Ports verbinden.

Versuche ich es aus dem LAN oder am Router unter "Interfaces: Diagnostics: Port Probe" mit einer LAN IP, dann geht nichts.

Deshalb meine Vermutung, dass irgendwas mit dem NAT nicht funktioniert...

Das ist doch der Default-Zustand.

Das hätte ich auch gedacht, aber es funktioniert nicht. Ich vermute stark, dass es am evtl. nicht funktionierenden NAT liegen könnte. ...bin echt ratlos!

Hallo Leute,

ich komm mal mit einer absoluten Anfängerfrage. Ich kenne das Problem, finde aber absolut keine passende Lösung bzw. suche ich wohl nach dem falschen...

Und zwar habe ich folgendes Problem:

Ich möchte mein Netz WAN-seitig dicht machen und nur ausgehenden Traffic incl. dessen Antworten zulassen. Eigentlich war ich der Meinung, dass sollte "einfach so" funktionieren - dem scheint wohl nicht so zu sein.
Ich nehme mal an, dass entweder die passende Firewall-Rule fehlt oder/und die NAT-Rule.

Kann mir da vielleicht jemand flott auf die Sprünge helfen, wo es da haken könnte?

Vielen Dank und nochmal Sorry für diese "schwache" Frage!

[netstat -i]

Und kannst du mal ein netstat -i ausführen, nachdem das Setup eine Weile in Betrieb war, und das Ergebnis hier posten? Ein Duplex-Mismatch ist eine gern genommene Ursache für "funktioniert eigentlich, aber laaaahm ..."

Hier mal der Output von netstat nach ca. 1h Testbetrieb:

Code Select Expand


Name    Mtu Network       Address              Ipkts Ierrs Idrop    Opkts Oerrs  Coll
igb0   1500 <Link#1>      00:0d:b9:4f:f6:f4   258642     0     0   583499     0     0
igb0      - 192.168.33.0/ bloxRT                7151     -     -     8694     -     -
igb1*  1500 <Link#2>      00:0d:b9:4f:f6:f5        0     0     0        0     0     0
igb2   1500 <Link#3>      00:0d:b9:4f:f6:f6   588424  3118     0   264384     0     0
igb2      - 176.45.66.208 bloxRT                9382     -     -     9467     -     -
lo0   16384 <Link#4>      lo0                  47475     0     0    47475     0     0
lo0       - localhost     localhost                0     -     -        0     -     -
lo0       - fe80::%lo0/64 fe80::1%lo0              0     -     -        0     -     -
lo0       - your-net      localhost            47475     -     -    47475     -     -
enc0*  1536 <Link#5>      enc0                     0     0     0        0     0     0
pflog 33160 <Link#6>      pflog0                   0     0     0    19270     0     0
pfsyn  1500 <Link#7>      pfsync0                  0     0     0        0     0     0


Hilft das schon weiter?
Werd den Router noch über Nacht angesteckt lassen - hängt aber sonst nicht viel dran, was Traffic verursacht.

Die Fritzbox wird mir wohl auch nicht viel weiterhelfen, da diese keinen WAN-Port hat und das wohl eher was für DSL ist. K.A. warum sie die mitgeben??? Ja klar, für den Betrieb im privaten Netzwerk als AP/Switch würde es reichen - aber so wie bei mir mit durchgereichter öffentlicher IP ist das eher unbrauchbar...

Mit Routing allein sollte das noch knapp gehen. Hast Du die beiden Links im anderen Thread für die Tuneables gesehen?

Ja, werde ich morgen auch mal ausprobieren...

...
Blöde Frage, aber verwendest Du ein anständiges Netzwerkkabel zwischen Modem und OpnSense? Ich habe noch welche zu liegen, die nur 4-adrig beschaltet sind. Und mit Halbduplex gehen nicht mehr als 100 MBit. Den Modems liegen gerne mal ungeschirmte Netzwerkkabel bei. Nicht, das dein Problem aus dieser Ecke kommt.

Ja, das Kabel passt - jedenfalls die letzten 30m. Direkt am Modem ist ein fixes Kabel mit Buchse (weil Outdoor-Modem), ca. 2-3m lang.

Ausserdem funktioniert das ja alles prima im Direktbetrieb mit meinem Laptop (280Mbit/s von möglichen 300Mbit/s). :-)
Nur meine Router stinken alle ab...

[netstat -i]

Du kannst es natürlich mit OpenWRT versuchen - der Support der APU-Boards ist da sicher auch gut.

Ich hab noch eine RouterStation Pro mit letzter Version von OpenWRT zum Testen. Die liefert bessere Ergebnisse als OPNsense, aber auch noch weit entfernt von den Werten, die ich direkt mit meinem Rechner erreiche.

Aber nochmal von vorne: wie stellt das APU denn die Verbindung zu dem Modem her? Einfach Ethernet rein und dann DCHP? Oder doch PPPoE?

Ich hab am Modem eine dynamische externe IP, welche an den Router via DHCP weitergegeben wird. Also nichts mit PPPoE o.ä.

Und kannst du mal ein netstat -i ausführen, nachdem das Setup eine Weile in Betrieb war, und das Ergebnis hier posten? Ein Duplex-Mismatch ist eine gern genommene Ursache für "funktioniert eigentlich, aber laaaahm ..."

Das kann ich morgen machen, derweil hängt die RouterStation Pro dran wegen der "besseren" Performance

Ich werde morgen auch mal die Fritzbox 7530, welche es vom Provider (A1) dazu gab, ausprobieren - mal sehen, ob die Wunder bewirkt. ...meine erste Wahl wäre aber OPNsense auf dem APU-Board...

Derweil soll das Teil einfach mal routen... Ich hätte schon erwartet, dass die Quad-Core-CPU für Gigabit-Routing ausreichend sein sollte - etwa nicht?
Mein Vertrag gibt eh "nur" 300/30Mbit/s her - das sollte mit dem APU-Board via DHCP doch drin sein???

Kann mir kaum vorstellen, dass die Fritzbox 7530 da mehr Power hat?!!

Gibt es vielleicht ein alternatives OS für das Board (linuxbasiert), mit dem ich da weiterkomme?

Hallo Leute,

ich bin neu hier und - welch Wunder - ich habe ein Problem mit meinem OPNsense-Setup.

Zu meinem Setup:
Ich wohne in Österreich und ich habe ein 5G/LTE-Modem von A1 mit "theoretischen" 300/30Mbit/s.

Verbinde ich meinen Laptop direkt mit dem Modem "5G Outdoor Cube Askey RTL 6300" (ohne Router o.ä.), bekomme ich durchschnittlich 250/25Mbit/s.
Hänge ich allerdings mein OPNsense (APU3D4) dazwischen, so bekomme ich davon vielleicht noch 20-30% (50/25Mbit/s) im Download - eher weniger.

Meine Frage:
Gibt es irgendwelche "Magic-Settings", die ich nicht gefunden habe oder muss ich etwas spezielles beachten?

Ich hoffe hier kann mir jemand weiterhelfen - bin schon a verzweifeln...