Messages

Keiner eine Idee oder ein ähnliches Problem?

[Info:]

Hallo,

seit einiger Zeit (bald zwei Jahre), nutze ich OPNsense in Verbindung mit verschiedenen VLANs.

Ein VLAN macht allerdings seit paar Wochen probleme, das ganze könnte durch ein Update der OPNsense aufgetreten sein.

Info:
VLAN nennt sich IoT, dort ist sowohl ein ioBroker als auch ein FireTV-Stick (und Tasmota-Geräte) mit dem WLAN verbunden.
WLAN-Repeater sind Omada bzw. TP-Link, dort ist auch alles richtig eingestellt weil es immer funktioniert hat bzw. die anderen VLANs auch funktionieren.

Problem:
Sehr sporadisch verliert z.B. der ioBroker oder Fire-Stick die Verbindung ins Internet. (z.B. "ping google.com" = 100% packet loss; der FireTV-Stick sagt "No connection") - Verbunden sind diese mit dem WLAN, in der OPNsense unter Leases sind diese auch eingewählt.

Manuelle Lösung:
Das Problem kann ich sofort beheben, wenn ich unter der Firewall-Rule vom IoT-Netzwerk gehe, eine Regel ausschalte und einfach weider anschalte und übernehme. Auf einmal kann er sich wieder in die Welt raußpingen, als wäre nichts gewesen.


Ich komme nicht auf den Grund warum sich die Geräte in diesem VLAN so verhalten (Wie erwähnt, die VLANs für Gäste-WLAN und Heim-WLAN verhalten sich nicht so). Diese haben nur die Regel, NICHT ins RFC1918 zu funken. (Also in der konstellation darf das IoT-Netzwerk nirgends im Haus funken sondern nur direkt nach draußen)

Hat hier jemand eine sinnvolle Idee warum sich das ganze so verhält?


Liebe Grüße

Thx for the solution!

I had the same question, and I found a solution (more a workaround) by adding a domain override into Unbound.

1. Go to Services: Unbound DNS: Overrides -> Domain Overrides
2. Add a new entry with the following values
    Domain: zip
    IP: 0.0.0.0

This will forward all domain queries for the TLD zip to the nameserver IP 0.0.0.0, and the queries will run into a timeout.
If you experience performance issues due to waiting for the timeout, you can change the IP to an existing internal IP, which refuse (not block!) DNS queries on port 53.

A query forwarding will also work (Services: Unbound DNS: Query Forwarding).

Nur da?

Hey,

ich hab absolute Probleme weil ich lange nichts mehr an der OPNsense gemacht habe.
Es tut mir auch leid für diese dämliche Frage aber ich finde auch hier kein richtigen Thread dazu.


Folgendes, ich möchte sagen wir Port "55555" TCP öffnen.

D.h. PC von außerhalb des Netzwerks -> OPNsense -> PC

Wie zum Teufel kann ich denn ein Port nochmal öffnen und anschließen weiterleiten?


Danke für die Hilfe!
Liebe Grüße

Up

Moin,

ich blicke noch nicht so recht, was Du mit falscher und richtiger v6 meinst.
OPNsense hängt also hinter einem ISP-Router?
Dann sollte eine IP-Testseite die IP vom ISP-Router anzeigen, nicht die vom WAN der Sense.
Und von wo prüfst Du das überhaupt? Wirklich über einen WG Tunnel mit NAT oder aus dem LAN? Aus dem LAN sollte er nämlich die IPv6 des Geräts anzeigen, nicht die der Sense. Wenn der WG Tunnel das WAN-Präfix verwendet, dann sollte die v6 angezeigt werden, die der WG Client erhalten hat.

Dass eine WG Verbindung per v4 (Portweiterleitung zur Sense?) funktioniert und v6 nicht kann daran liegen, dass Du entweder die falsche IPv6 verwendest oder dass der Zugriff über v6 gar nicht (korrekt) freigegeben ist.

Was helfen würde wäre also erstmal:
1.) Aufbau deiner Infrastruktur
2.) Zeige wann und wo welche IPv6 angezeigt wird, die IPs so kaschieren, dass man sie noch relativ zuordnen kann.

Danke für den Tipp, ich werde das alles anfertigen und nochmals besser erklären und den Beitrag hier nochmal editieren.

//Update 2 - 16:00Uhr
Nun habe ich eine Topologie erstellt (zum. das wichtigste), ich hoffe hier wird ersichtlich worum es genau geht.
https://cloud.united-comp.nl/index.php/s/5NQGRd275n2xipP

Danke für die Hilfe!

Huhu,

ich hab eine Frage.

Ich bin Vodafon Kabel-Kunde, habe das Power-Upload-Paket und bekomme deshalb nativ IPv6 sowie IPv4.

(Das ganze Problem ist mir erst mit WireGuard aufgefallen)

Über myip.is bekomme ich eine gültige IPv4 sowie IPv6, vergleiche ich dies mit dem Dashboard sehe ich unter der WAN-Schnittstelle:
IPv4 korrekt.
IPv6 nicht korrekt.

Schaue ich unter Schnittstellen -> Überblick -> WAN
Sehe ich, die IPv6 Adresse ist falsch, aber die IPv6 übertragene Präfix stimmt bist zum ende bzw. der "::" überein.

Also gehe ich davon aus, OPNsense hat die IPv6, möchte sie aber nicht für das Interface aktualisieren, oder wie muss ich das ganze jetzt verstehen?

Ein Force-Reload über die Schnitstelle bringt nichts. Selbe IPv6. Rufe ich die IPv6 auf, komme ich allerdings auf die OPNsense. WireGuard kann aber nicht, aber mit IPv4 schon, warum? :D

Wenn ich spaßeshalber bei WireGuard die IPv4 eintrage funktioniert alles Problemlos. Nutze ich die IPv6, lacht der mich aus und mach nicht mal ein HandShake.

Was stimmt hier nicht mit der IPv6? Was kann ich noch testen?


Danke für eure Hilfe
Liebe Grüße

PS.: Das ganze hat damals funktioniert ohne Problem erst als der "neue" drecks Vorafone-Router kam, seitdem geht nichts mehr richtig! Also stimmen die Firewall-Regeln. Sonst würde das ganze ja normalerweise auch nicht unter IPv4 funktionieren.

Moin,

also erstmal ist ddclient das neue Plugin, das kam glaube ich gegen Anfang letzten Jahres mit rein.
Um die DDNS ranken sich momentan viele Mythen, Fakt ist aber wohl, dass Du auch bei dem legacy Plugin bleiben kannst.
Den Unterschied kann ich Dir im Detail nicht nennen, im Edeffekt verrichten beide ihren Job, nur haben Viele noch Probleme mit ddclient bei manchen DDNS Providern.
Ich nutze zwar beide (ddclient nur testweise), würde produktiv aber vorerst noch beim legacy bleiben.

Ah joa, wenns keinen merklichen Unterschied macht dann passts.
Ich hab aber auch keine Doku zum Backend von OPNsense gefunden.
Aber ich war der Meinung os-ddclient (ist das selbe, nehme ich an) gab es schon ewig und da hatten viele User Probleme, wie ich in Erinnerung hatte.

Hey,

mit irgendeinem Update kam ein neues Backend für Dynamische DNS rein.

Ich habe davor immer ddclient genutzt aber das wird ja nicht mehr gewartet/aktualisiert wie ich mitbekommen habe.

Was ist denn der Unterschied zwischen dem Backend "ddlicnet" und "OPNSense"?

Kann mir das jemand erläutern? Im Internet finde ich nicht wirklich was dazu.


Liebe Grüße

Versuche es unter Linux mal ohne den Networkmanager, direkt auf der Konsole. Hinweise zur Konfig findest du im Netzt. Das funktioniert bei mir tadellos .
Was bei mir partout nicht wollte, war wireguard direkt über WLAN. Da ging gar nichts, was aber an meiner Konfiguration liegen kann. Habe dann mein Android-Telefon über USB-Tethering und DHCP auf dem Laptop genommen, das ging dann auf Anhieb. Schau mal in Netz nach "route". U.U. setzt der Networkmanager die Routingeinträge auf deinem Laptop nicht oder nicht richtig.

Perfekt
Hab alles über die Command-Line gemacht bzw. wg0.conf erstellt, hat funktioniert.
Musste seltsamerweise noch linux-headers installieren bei meinem ArchLinux aber nachdem das ging, war das Problem das er WireGuard nicht kennt, gelöst.

Nun muss ich das ganze noch hinbekommen das er Unbound nutzt bzw. auf meine Host-Überschreibungen zugreift, von sich aus macht er das nämlich nicht.

Hat da noch einer eine Idee?

Huhu,

ich habe auf meiner OPNsense WG installiert und nutze dies mit meinem iPhone, mit der WG-App.
Handshake funktioniert, Ping der IP der OPNsense funktioniert und meine IP wird von der OPNsense genutzt, ich kann nach draußen surfen.

Nun wollte ich das ganze auch mittels meines Laptops (dann über einen HotSpot des iPhones (ohne aktiver VPN-Verbindung) probieren. (Das ganze im Vorfeld mit der Konstellation mit dem iPad getestet (aufgrund eventueller Probleme mit dem iPhone Hot-Spot) funktionier tadellos.

Nun, habe ich in Linux einen neuen Netzwerkpunkt über den eingebauten NetworkManager (davor wireguard-tools installiert) genutzt. Alles so eingestellt wie auf dem iPhone/iPad, Verbindung zur OPNsense besteht, Handshake wird gemacht aber dennoch, ich kann weder mit dem Laptop auf die OPNsense (mittels IP) zugreifen, noch kann ich eine andere Website ansprechen. Einstellung, siehe Bilder (mehr Einstellungen wurden in Linux bzw. im NetworkManager nicht vorgenommen. Die Einstellungen sind auch so korrekt 10.0.3.0/24 ist die Tunneladresse, der Endpunkt ist 10.0.3.2/32, deswegen funktioniert auch der HandShake, nur weiter nichts. Ich denke es ist ein Linux-Problem aber ich will sicher gehen das es auch kein OPNsense-Problem ist. Hängt ja immerhin zusammen.)

Ich weiß nicht woran das liegt, alle Einstellungen sind gesetzt und auf den zwei anderen Endgeräten funktioniert es tadellos, auch der HandShake funktioniert aber sonst nichts, ich kann mir das nicht erklären.

Jemand eine Idee dazu?

Außerdem habe ich noch eine andere Frage, hab auch schon vieles darüber durchgelesen aber so richtig kommt es mir nicht in den Sinn. Ich nutze lokal Unbound um Adressen aufzulösen, wie bekomme ich WireGuard dazu die Adressen auch zu nutzen? sprich z.B. proxmox.homeserver, im LAN führt mich das zu meiner Proxmox-Umgebung, über WireGuard kennt er die Adresse nicht, jemand dazu auch eine Idee?


Danke fürs helfen
Liebe Grüße

[Danke für deine Hilfe und Zeit!]

Jep, ich nutze auch den DynDNS von RaspberryPiCloud.
ddclient nutze ich auch aktuell, funktioniert auch einwandfrei.
Also momentan ist das Internet nicht down gegangen .... die frage ist, geht es nur down wenn Vodafone ein IP-Change ausrollt oder nicht. Ich sehe zumindest das sich meine IP nicht geändert hat. Also muss ich abwarten bis ich eine neue bekomme. Dann schau ich mal ob es daran lag.

Bei mir läuft der ddclient nicht.

Selbst nach einer längeren Offlinezeit der OPNSense und danach neuer IPv4 und neuen IPv6 Prefix hat der ddclient weiterhin behauptet, die IP hätte sich nicht geändert und entsprechend kein Update gemacht.
Erst als ich das Cache-File gelöscht und den ddclient neu gestartet habe, hat er sich zu einem Update durchgerunden. 
Ich würde es vorziehen den alten DynDNS-Client zu nutzen, der funktioniert wenigstens, aber mit meinem Script geht es auch problemlos.

Eigentlich sollte die Verbindung nicht down gehen, wenn sich die IP ändert. Die IPv4 ist bei Kabel ja eh Pseudo-statisch, da muss man seinen Router schon einige Stunden vom Netz nehmen um eine neue zu bekommen, sonst bleibt die Monatelang gleich ( meine Erfahrung )
Beim IPV6 Prefix ist das für mich noch nicht nachvollziehbar, wann der sich ändert. Einige Zeit hatte ich jeden Tag einen neuen Prefix, aktuell ändert der sich auch lange Zeit überhaupt nicht mehr, eben nur jetzt wo meine OPNSense länger offline war.

Vielleicht hat Vodafone ja endlich mal IPv6 verstanden. :-)

Hm, noch funktionierts.
Hast du das Update-Script eventuell auf GitHub oder so damit ich es als cron austesten kann? Würde gerne was nehmen was auch definitiv funktioniert statt selbst zu schreiben und dann Fehlersuche zu betreiben :D - Außerdem bin ich nicht gut mit FreeBSD sondern ehr Debian/Ubuntu/Linux.

Also ich hab tatsächlich immer wieder ein Error vom ddclient:
"unknown dhcp option value 0x64"

Ich hab mal eine Frage... wenn du auf myip.is gehst. Zeigt er dir auch keine IPv6 an? Schaut wie im Anhang aus. (Ich bin mir irgendwie unsicher ob meine OPNsense überhaupt IPV6 nutzt). Wobei bei IPv64 hat er die drinne.


Danke für deine Hilfe und Zeit!

Mich würde noch interessieren, für dein DynDNS, welches Tool nutz du? Bzw. welchen "Updater"/Plugin?

Als DynDNS nutze ich seit kurzem  https://ipv64.net/  ( ist von einem YouTuber ein "Privatprojekt" )

Fürs Updaten nutze ich derzeit ein einfaches Shellscript auf der OPNSense, was per cronjob regelmässig einfach einen CURL-Aufruf der Update-URL mach.
Der "ddclient"  der OPNSense läuft wie ein Sack Muscheln und funktioniert derzeit mehr schlecht als recht, der alte DynDNS-Client ist erheblich besser und funktioniert einwandfrei, ist aber abgekündigt.

Jep, ich nutze auch den DynDNS von RaspberryPiCloud.
ddclient nutze ich auch aktuell, funktioniert auch einwandfrei.
Also momentan ist das Internet nicht down gegangen .... die frage ist, geht es nur down wenn Vodafone ein IP-Change ausrollt oder nicht. Ich sehe zumindest das sich meine IP nicht geändert hat. Also muss ich abwarten bis ich eine neue bekomme. Dann schau ich mal ob es daran lag.

Ändert sich dein Prefix regelmäßig? Eventuell kannst du das abschalten?

Ist bei Vodafone so garkein System drin.
Ich hatte schön Änderungen des Prefix alle 24h, aktuell bleibt der aber seit Wochen stabil, einzig durch einen Totalabsturz meiner OPNSense gestern morgen und mehreren Stunden offline, hab ich gestern wieder einen neuen bekommen.

Ich kann aber das Verhalten vom TE nicht nachvollziehen bei mir, ich nutze auch Wireguard auf der OPNsense mit einem Vodafone DualStack Anschluss und das läuft stabil.
Ich kann aber ehrlich gesagt nicht mal sagen, ob sich mein iPhone per IPv4 oder IPv6 verbindet, da ich für beide DynDNS-Einträge habe und die auch aktualisiert werden.

Ja gut, ich habs über IPv4 sowie 6 getestet, es funktioniert ja bis die OPNsense sagt "nein, möchte keine WAN mehr nutzen"..... ich muss das mal probieren und schauen was in den Fehlerlogs steht. Ich meine da stand was aber das war so allgemein das es mir nicht geholfen hatte weswegen ich den Thread hier damals aufgemacht habe.

Doof ist, ich brauch eine VPN-Verbindung mittels WG bis Ende Dezember damit ich von außen drauf zugreifen kann.


Mich würde noch interessieren, für dein DynDNS, welches Tool nutz du? Bzw. welchen "Updater"/Plugin?