Messages

Ja well...

NAT reflection einschalten war die Lösung.
Hab die Option einfach gekonnt ignoriert.
Dann mal ein zweites 1to1 NAT auf den Adapter der lokalen VM gemacht und siehe da es ging.
Dann hab ich mal geschaut was NAT reflection genau macht und es eingeschaltet...

Danke dir :)

Okay also das Paket verschwindet einfach.
Ich habe jedes Interface aufgezeichnet, das Paket kommt auf dem FW Interface an (von der VM-Lokal).
Danach kommt es nicht mehr vor, auf keinem Loopback, WAN oder sonstigen Interface.
Jeder Adapter hat die Option lokale Netzwerke zu blocken NICHT aktiviert.

Es gibt folgende default route:

Code Select Expand

ipv4 XXX.XXX.68.136 link#1 UH NaN 16384 lo0 Loopback
Ich denke mal das es damit irgendwie zusammen hängt.

Mein Ansatz wäre es diese jetzt mal zu löschen (eine static route habe ich bereits gesetzt gehabt WAN IP auf WAN Adapter, jedoch ohne erfolg meine ich)

Moin,

danke für die Antwort.
Ich setze mich gleich mal an die Interfaces und verfolge die Pakete, damit ich weiß wo was verloren geht.

Bis dahin hab ich mal hier das Netzwerk mal gemalt



VM Local
Subnetz: 10.1.103.0/30 (FW 103.1, VM 103.2)

Code Select Expand

ip route list

Code Select Expand


default via 10.1.103.1 dev eth0 proto dhcp src 10.1.103.2 metric 1024
10.1.103.0/30 dev eth0 proto kernel scope link src 10.1.103.2 metric 1024
10.1.103.1 dev eth0 proto dhcp scope link src 10.1.103.2 metric 1024


VM-WAN
Subnetz: 10.1.104.0/30 (FW 104.1, VM 104.2)

Code Select Expand

ip route list

Code Select Expand


default via 10.1.104.1 dev ens18 proto dhcp src 10.1.104.2 metric 100
10.1.104.0/30 dev ens18 proto kernel scope link src 10.1.104.2 metric 100
10.1.104.1 dev ens18 proto dhcp scope link src 10.1.104.2 metric 100


Die Konfiguration von der FW habe ich unten so gut es geht angehängt, von dem, was ich im Internet gefunden habe, sollte das ganze aber korrekt sein.

Jedes Source NAT, Destination NAT und Static NAT

-> Ich habe nur das BINAT über 1to1 gemacht und auf dem WAN Interface die lokale IP freigegeben, muss ich noch etwas machen?

Alle Default und Static Routes

Aktuell gibt es nur die default routes, die welche die WAN IP betrifft habe ich unten in einen Screenshot gepackt.

Liebe Grüße

Hallo,

ich habe einen Proxmox Server bei Hetzner stehen.
Ich habe einzelne IPs dazu gekauft, welche ich als virtuelle IP und 1to1 NAT auf einen (extra) Adapter weiter gebe.
Am Adapter hängt eine VM.
Die VM hat Internet, SSH über die WAN-IP der VM gehen, auch ohne Probleme.
Jetzt habe ich an einem anderen Adapter ein Lokales-Netz mit wieder eine VM drin.
Diese kann die VM mit WAN-IP nicht erreichen.
Aus Verzweiflung habe ich allow all rules erstellt, aber das Problem scheint irgendwo im routing zu liegen.

Hier erstmal die Konfiguration:
Firewall rules sind wie gesagt kein teil des Problems.





Was mich jetzt fertig macht, ist das, wenn ich intern (egal ob von einer VM oder der FW aus) ein traceroute starte nix dabei herauskommt, also einfach nur ***** er findet nix.
Außerhalb (mein PC sowie Proxmox) macht er die normalen Hops und kommt ans ziel.
Von Proxmox aus macht er zwei, der erste wird die FW sein, wie sie auf das ICMP antwortet, der zweite dann das eigentliche Ziel.

Proxmox hat einfach mit "ip route add" die info das ip 68.136 über vmbr0 geroutet wird.
FW hängt mit der eigenen WAN IP (68.133) auch an vmbr0.
Ebenfalls anzumerken ist das die IPs von Proxmox, VM und FW im gleichen Subnet liegen.

Ich bin mit mein Latein am Ende und brauche dringen Hilfe.

ich bin der meinung das hatten wir hier schon öfter im forum, einfach die forum suche nutzen

Hey, danke für die Antwort.

Das ist soweit richtig, jedoch seh ich nur Umsetzung mit einem ganzen IPv4 Subnetz oder NAT.
Beides möchte ich, wenn möglich, vermeiden. Deswegen die frage.

Hättest du evtl. eine Richtung, in die du mich ,,schubsen" kannst, damit ich meine Antwort finde?

LG Vincent

Moin,

ich habe einen Dedicated Server bei Hetzner, auf diesem läuft Proxmox. Ebenfalls habe ich ein paar zusätzliche IPs aber kein ganzes Subnet (wären zu viele IPs / teuer würde ich gerne vermeiden).
Ich habe ein "Routed" Netzwerk Setup damit ich die IPs ohne eine virtuelle MAC seitens Hetzners nutzen kann.

In einer VM läuft OPNsense, sie hat den vmbr0 also WAN NIC und zwei Interne NICs.
Ich habe in Proxmox eine IP-Route erstellt damit eine zusätzliche IP (X.X.10.147) auf den vmbr0 Adapter geroutet wird.
Als GW auf der OPNsense habe ich die GW IP vom Subnet eingetragen (Proxmox Server ist in einem anderen Subnet als die zusätzlichen IPs) und soweit klappt alles.
Ich kann die FW Pingen, Traceroute läuft sauber durch Promox und dann an die FW alles super.

Jetzt möchte ich eine weitere VM nehmen und mit einer IP (X.X.10.151) erreichbar machen.
Mein Gedanke / Wunsch wäre es das dieser ganze Traffic durch die OPNsense läuft und ich filter etc. erstellen kann.
Gleichzeitig würde ich ungern mit NAT Arbeiten ich weiß aber nicht ob das überhaupt gehen würde.

Geht das ohne NAT quasi nur durch Routing?
Was müsste ich dafür machen, in meinen Gedanken hätte ich einen Adapter für die VM genommen, FW und VM mit dem Adapter verbunden und quasi ein Next-HOP gemacht aber ich glaube das klappt nicht so wie ich es mir vorstelle.

Hat jemand evtl. auch Verbesserungs Vorschläge oder andere Ansätze?

Vielen Dank
Vincent

Absolut lächerlich, ich weiß nicht welchen CIDR Calculator ich verwendet habe aber irgendwo bin ich oder die website mit den Nullern durcheinander gekommen.

28c::/62 ist mein Subnet.
Ich habe 28c0 als mein erstes /64 Subnet Konfiguriert.
Jedoch gehören mir 28c::,28d::,28e::,28f:: /64
Weiß nicht wie das nicht aufgefallen ist aber es geht, alles klappt.

Vielen Dank für eure Hilfe und Erklärungen :)

Am Rande: Managed DNS mit ::1 wird nicht wirklich funktionieren, außer, jeder Client kann seine DNS-Anfragen selbst beantworten... ;-)

-> Dumme frage aber mein Interface hat die ::1, UnboundDNS hört auf alle interfaces und laut NSLookup antwortet auch die IPv6 von Unbound, was genau ist falsch?

[tcpdump -i wan proto ICMP -n]

Der Standardgateway ist korrekt. Es sollte die Link Local IPv6 Adresse der Firewall des jeweiligen Interfaces sein in dem der Client ist der die Anfrage macht. fe80:: sind die Link Local Adressen.

Das %15 bedeutet, weil Link Local Adressen "LOCAL" sind und nur im Realm eines Interfaces existieren, die LAN Verbindung 15 bei Microsoft Windows.

Wenn es noch nicht funktioniert hat der ISP über das Transportnetz wohl keine Route auf die IPv6 WAN Adresse der Firewall gesetzt, um dein /62 Netz auch wirklich dort hin zu Routen.

Oder es besteht noch Nachholbedarf bei den Firewall Regeln, sodass IPv6 Zugelassen wird.

Ich würde ein Packet capture auf dem WAN interface machen:

tcpdump -i wan proto ICMP -n

Dann nochmal pingen und schauen ob die Pakete aus dem WAN Interface raus zum Provider gehen. Wenn ja, liegt das Problem beim ISP.

Meine IPv6 (28c0:c262:7c61:b300:b614), Ziel ist IPv6 von heise.de
Sieht für mich so aus als würden die Pakete ohne Probleme rausgehen.

Wer ist denn dein "ISP"?

Mein ISP ist sehr regional, solange es nicht nötig ist würde ich das gerne für mich behalten.

Danke euch :)

Ich kann mich nur wiederholen, vielen Dank für die Hilfe!

Also mein aktueller Stand:

Ein /64 Netz auf einem Adapter mit static IPv6 konfiguriert, Gateway auf Auto. (XXXX:XXX:X:28c0::)
DHCPv6 konfiguriert, von ::2 bis ffff.
RA konfiguriert, Managed mit DNS auf ::1 (Also Unbound DNS von der FW)) und als fallback Cloudflare, (ansonsten habe ich bei RA nichts gemacht, denke das ist richtig so?)

Default Route besteht und ist korrekt.


Firewall an sich kann IPv6 und die traceroute nutzt auch das GW vom ISP etc.



Mein PC bekommt eine IPv6 und auch den DNS Server über RA

Code Select Expand


Ethernet-Adapter Ethernet:
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   IPv6-Adresse. . . . . . . . . . . : XXXX:XXX:X:28c0:cX6X:XcX1:bXX0:X6X4(Bevorzugt)
   Verbindungslokale IPv6-Adresse  . : fe80::60b6:10c8:17a5:ee35%15(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 172.XX.XX.XXX(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.XXX.0
   Standardgateway . . . . . . . . . : fe80::f690:eaff:fe00:69f4%15
                                       172.XX.XX.1
   DHCP-Server . . . . . . . . . . . : 172.XX.XX.1
   DNS-Server  . . . . . . . . . . . : XXXX:XXX:X:28c0::1
                                       172.XX.XX.1


Traceroute von meinen PC


NSLookup funktioniert auch, zumindest antwortet mir die FW über IPv6


Mir kommt das Standardgateway fe80::f690:eaff:fe00:69f4%15, komisch vor.
Weiß aber auch nicht wie ich jetzt ab den Punkt weiter vorgehe.

LG Vincent

Okay also ich konfiguriere gleich mein Interface vom vlan mit einer static IPv6. Upstream Gateway lass ich einfach auf Auto?

Dann stell ich RA ein und alles sollte funktioniert?

Erstmal vielen Dank für die ganzen Antworten und Hilfe!

Ich würde bei meinen ISP mal nach einem größeren Prefix fragen weil ich bräuchte bzw. möchte stand jetzt 7 Subnets für 7 VLANs.

Bis dahin würde ich das ganze einfach mal anhand einem /64 ausprobieren.

Code Select Expand


1. /64er Subnetze definieren, wie @Monviech schrieb, damit SLAAC geht
2. Das Gateway in den Subnetzen auf die jeweiligen Interface-IPv6s der OpnSense legen
3. SLAAC / RA auf den lokalen Interfaces aktivieren ("Track Interface")
4. Die Firewall-Regeln checken/einstellen


Ich bin etwas mit dem "Plan" überfordert. Ich definiere jetzt für mich (also ich mache nirgendwo eine Einstellung dafür?) das mein Subnetz für mein VLAN 20 die XXXX:XXXX:XXXX:28c0::/64 ist.
Jetzt muss ich meine Adapter anpassen und was genau einstellen?

Erste Gedanke war Subnetz interface -> IPv6 auf Trackinterface. Jetzt ist der dropdown für IPv6 Interface komplett leer und ich weiß nicht weiter.

Danke nochmal :)

OPNsense 23.7.7_3-amd64
FreeBSD 13.2-RELEASE-p3
OpenSSL 1.1.1w 11 Sep 2023


Hallo,

ich verwenden eine DEC3850 und möchten IPv6 einrichten.

Unser Anbieter gibt uns zwei statische IPv6 Netze. Ein /124 für das WAN Interface (Kommunikation zwischen uns und dem ISP) und ein /62 Subnet zur freien Verwendung. Soweit ich weiß wird SLAAC nicht untersützt.

Bei dem WAN Interface ist mit static IPv6 die Verbindung zum Anbieter konfiguriert und das klappt soweit auch.


Jetzt wollte ich das /62 Netzwerk mehrere /66 Netze unterteilen. Dafür habe ich mein erstes Netz so konfiguriert / gedacht:

Code Select Expand


Ausgang: XXXX:XXX:X:28c:: /62

Subnet-1:
XXXX:XXXX:X:28c0::/66
Gateway: XXX:XXX:X:28c0::1
DHCP Anfang: XXXX:XXX:0:28c0::4
DHCP Ende: XXXX:XXXX:0000:28c0:3fff:ffff:ffff:ffff


Wie oben beschrieben habe ich dem Adapter von dem Subnetz die IP XXX:XXX:X:28c0::1 gegeben und die DHCP range gesetzt.
Ich erhalte eine IPv6, jedoch funktioniert z.B. ipv6-test.com nicht.

Ich bin etwas ratlos was genau ich nicht verstehe / falsch mache.
Ein Gedanke war das Gateway vom Anbieter als Gateway für die static IPv6 des Subnetz Adapters einzutragen.
Dabei erhalte ich aber die Meldung das mein Gateway nicht im Subnetz liegt, was an sich auch richtig ist.

Hat jemand Ideen was ich falsch mache / was ich nicht verstehe?

LG Vincent

//Edit
Bzgl. Firewall Rules, ich habe alle Rules vom Interface und WAN auf IPv6 und IPv4 geändert, sehe in der Live View beim Ping / Traceroute auch kein Block

Danke für eure Hilfe, ist gelöst.

Nun ja, am Notebook klappts. Auf der FW ggf. nicht.
Darf die FW denn ins Internet ?
Geh mal via SSH auf die FW und teste, ob DNS dort aufgelöst wird bzw. ob das Routing passt.
Wohin laufen die Pakete, ist IPv6 eingeschaltet ? etc.

Ich stelle nur doofe Fragen. ;-)

IPv6 Nein
Wie geschrieben, die Firewall konnte ohne Probleme alles pingen, DNS anfragen stellen und auch die traceroutes sahen ,,normal" aus.

Als ich das über SSH nochmal getestet habe, ist mir aufgefallen das man mit der 11 alle Dienste neu starten kann, hab ich dann gemacht und ganz am Ende kamen diese Fehlermeldungen:

Code Select Expand

/etc/rc.conf: 1: Syntax error: "(" unexpected
/etc/rc.conf: 1: Syntax error: "(" unexpected

Zeitgleich kam dann der Beitrag von pmhausen.
Mit der Anleitung: https://www.thomas-krenn.com/de/wiki/OPNsense_installieren
Habe ich mir ein USB-Stick mit serial Image fertig gemacht (entpackt und physdiskwrite), davon gebootet.
Komischerweise ging bei mir der Autoboot nicht. Deswegen musste ich im BIOS unter "Boot from File" den USB-Stick auswählen / die Datei auf dem USB-Stick.
Sobald die Firewall von dem USB-Stick live gebootet hat, kann man mit installer@IP über SSH sich verbinden und dem Setup folgen.

Danke für eure Hilfe
LG Vincent

Für DNS hab ich an meinen Laptop Cloudflare, Google und die Firewall an sich probiert.
An sich hänge ich direkt an der FW wie sie in der Grundkonfiguration ist, sprich viel Routing kann da doch eigentlich nicht falsch sein?

Ich habe eine DEC 3850, diese habe ich zurückgesetzt, um eine neue Konfiguration zu beginnen.
Ab diesem Zurücksetzen gibt es Teile des Webinterfaces, die extrem lange brauchen, um zu laden oder Aktionen auszuführen. Z.B. das Laden der Informationen auf der Hauptseite, das Speichern von Interfaces oder Administrations-Einstellungen (SSH Aktivieren).

Mit lange meine ich 20-30 Sekunden für sachen die davor eigentlich keine lade / reaktions Zeit hatten.

Wenn ich unter Firmware auf Status gehe, lädt das unendlich lange, nichts passiert, wenn ich auf Updates drücke passiert ebenfalls nichts in der Konsole in der sonst dann immer die Paketserver abgefragt werden.

Ich (verbunden über LAN an den ersten Port) habe Internet, auch die Firewall kann DNS anfragen stellen sowie Pings ausführen.
Ansonsten ist ein Switch über SFP+ sowie 2x RJ45 WAN Anschlüsse angeschlossen, es gibt keine loops.

Die Probleme bestehen ebenfalls in einem anderen Browser sowie im Inkognito-Modus.
Seit dem initialen Problem habe ich die Firewall 2 mal zurückgesetzt (einmal per Konsolen Port)

Die Logs zeigen nur "loading" an, jedoch passiert nichts weiter (habe 5 Minuten gewartet)

Bei dem Reset wurden die von mir installieren Plugins nicht gelöscht, sie sind noch installiert, soll das so sein?

Hat jemand eine Idee was da los ist / was ich machen kann?

Hier ist ein GIF wo man die Wartezeit nochmal ganz gut sieht:
https://cloud.taktischerspeck.me/s/P4LRDzGD5Mz2A9n

Danke
Vincent