Messages

Hey guys,

I installed on my new OPNsense the Nextcloud backup plugin and tried to configure it. The backup failed.

Following error messages are in General logs:

Code Select Expand


2023-08-21T20:48:27 Error php-cgi{"url":"https:\/\/cloud.xyz\/remote.php\/dav\/files\/opnsense\/","content_type":null,"http_code":0,"header_size":0,"request_size":0,"filetime":-1,"ssl_verify_result":0,"redirect_count":0,"total_time":60.023131,"namelookup_time":10.073269,"connect_time":0,"pretransfer_time":0,"size_upload":0,"size_download":0,"speed_download":0,"speed_upload":0,"download_content_length":-1,"upload_content_length":-1,"starttransfer_time":0,"redirect_time":0,"redirect_url":"","primary_ip":"","certinfo":[],"primary_port":0,"local_ip":"","local_port":0,"http_version":0,"protocol":0,"ssl_verifyresult":0,"scheme":"","appconnect_time_us":0,"connect_time_us":0,"namelookup_time_us":10073269,"pretransfer_time_us":0,"redirect_time_us":0,"starttransfer_time_us":0,"total_time_us":60023131,"effective_method":"PROPFIND"}

2023-08-21T20:48:27 Error php-cgi Error while fetching filelist from Nextcloud '/.' path

2023-08-21T20:47:27 Error php-cgi {"url":"https:\/\/cloud.xyz\/ocs\/v1.php\/cloud\/user","content_type":null,"http_code":0,"header_size":0,"request_size":0,"filetime":-1,"ssl_verify_result":0,"redirect_count":0,"total_time":60.025292,"namelookup_time":10.192918,"connect_time":0,"pretransfer_time":0,"size_upload":0,"size_download":0,"speed_download":0,"speed_upload":0,"download_content_length":-1,"upload_content_length":-1,"starttransfer_time":0,"redirect_time":0,"redirect_url":"","primary_ip":"","certinfo":[],"primary_port":0,"local_ip":"","local_port":0,"http_version":0,"protocol":0,"ssl_verifyresult":0,"scheme":"","appconnect_time_us":0,"connect_time_us":0,"namelookup_time_us":10192918,"pretransfer_time_us":0,"redirect_time_us":0,"starttransfer_time_us":0,"total_time_us":60025292,"effective_method":"GET"}

2023-08-21T20:47:27 Error php-cgi Cannot get real username


The nextcloud instance is behind a reverse proxy in my home lab that is reachable over the WAN IP address, port 443. The reverse proxy has a trusted letsencrypt certificate for the Nextcloud instance.

Port forwarding and NAT reflection are enabled, clients are able to communicate with Nextcloud and all other services behind reverse proxy.

The OPNsense is unable to ping the Nextcloud domain. nslookup works with dnsmasq and Unbound DNS. Traceroute without result, no hops. Same problem with my other public services behind the reverse proxy. All other websites of the internet are reachable, firmware updates are no problem for example.

In my opinion it must be a routing problem. Maybe because destination IP is same to the IP of WAN interface?

I would be very happy to get some tips or solutions for my problem.

Best regards
Pascal

Ich hatte ein völliges Brett vorm Kopf. Wenn ich die OPNsense GUI über lagg0 erreichbar mache, dann kann ich die GUI über 192.168.0.1 und 192.168.1.1 aufrufen. Das war mir irgendwie nicht so richtig klar.

Ich habe nun igc3 mit LAN abgeschaltet und werde die Tage das WAN Failover konfigurieren. Danke für die Hilfe @tiermutter

Also, GUI und SSH sind momentan über igc3 und lagg0 erreichbar. Insofern ist tatsächlich igc3 ein Fallback, da ich normalerweise über ein Client auf die GUI zugreife, der aus lagg0 kommt.

An sich reicht es mir aus, wenn ich die OPNsense über lagg0 erreichen kann. Muss dann halt aufpassen, dass ich es mir nicht zerschieße.

Inwieweit ich nur über eine einzelne Rechner den Zugriff ermöglichen will, muss ich mir noch überlegen. Derzeit ist der Zugriff noch über Clients aus allen VLANs und dem lagg0-Netz möglich...

Mir stellt sich im Prinzip die Frage, ob es das LAN-Netz bzw. die IP-Adresse (192.168.1.1) der OPNsense in irgendeiner Art und Weise berührt, wenn ich es vom igc3 "loslöse".

Danke für deine Rückmeldung, ich versuche nochmal mein Aufbau/Anliegen etwas klarer zu kommunizieren.

Mein LAN ist 192.168.1.0/24 und unter "Interfaces: Assignments" der Schnittstelle "igc3" zugewiesen. Die OPNsense hat die IP-Adresse 192.168.1.1. Ansonsten befinden sich in diesem LAN keine anderen Geräte.

Das nachträglich konfigurierte LAGG (lagg0) hat die IP 192.168.0.0 mit den Schnittstellen igc1+igc2. Hierin befinden sich alle Clients und Proxmox-Dienste etc.pp. Auch alle vorhandenen VLANs haben lagg0 als parent interface.

Wenn ich nun igc3 neu belege (WAN-LTE), dann gehe ich davon aus, dass die OPNsense nicht mehr erreichbar sein wird, weil das LAN keinem Interface mehr zugewiesen ist. Und hierfür suche ich einen Workaround.

Code Select Expand


      WAN / Internet
             :
             :
             :
      .-----+-----.
      |  Gateway  |  (FritzBox)
      '-----+-----'
              |
      WAN | public IP via PPPoE
              |
      .-----+------.           LAGG, vlan10, vlan20, vlan40, vlan50, vlan99            .------------.
      |  OPNsense  +---------------------------------------------------------------------+| Switch |
      '-----+------'                            192.168.0.1 (lagg0)                    '------------'
              |                                 192.168.10.1 (vlan10)                          |
              |                                 192.168.20.1 (vlan20)                          |
              |                                 192.168.40.1 (vlan40)                          |
              |                                 192.168.50.1 (vlan50)                          |
              |                                 192.168.99.1 (vlan99)                          |
              |                                                                            .------------------------.
              |                                                                            | APs, Clients, Server |
              |                                                                            .------------------------.
       LAN | 192.168.1.1/24



Hi Leute,

Kurz zu meinem Setup:
ig0: WAN DSL (public IP)
igc1-igc2: LAGG LACP (192.168.0.0/24) -> Das ist DIE Schnittstelle an der alle APs, Switches usw. angeschlossen sind.
igc3: LAN (192.168.1.0/24) -> Notfallzugang, falls ich LAGG aus Versehen abschieße. :D

IP-Adresse der OPNsense: 192.168.1.1

Ziel: Ich möchte gern ein WAN Failover mittels zusätzlichem LTE-Router/Modul realisieren.

Problem: Aufgrund von Ethernet-Schnittstellenmangel dachte ich ursprünglich an ein LTE-Modul (M.2). Leider musste ich feststellen, dass es aufgrund mangelnden Supports durch FreeBSD vielleicht doch keine so gute Idee ist. Nun bin ich wieder bei LTE-Routern gelandet, wo ich keine Treiberprobleme bekomme. Allerdings müsste ich dafür das LAN auf igc3 abschalten, somit wäre die OPNsense über die interne IP-Adresse nicht mehr erreichbar. Mir wäre es eh am liebsten, wenn die OPNsense im 192.168.0.0er Netz wäre. Kann ich die IP der OPNsense einfach zu 192.168.0.1 ändern und dann igc3 umbelegen (WAN-LTE)?

Ich freue mich sehr über eure Ratschläge und Ideen.

Viele Grüße
Pascal

Guten Morgen,

folgende Ausgangslage: Meine OPNsense hat insg. vier Ports. Eins ist das WAN, eins LAN (192.168.178.0) und zwei weitere bilden ein LAGG (192.168.0.0). Per Link Aggregation ist ein Managed Switch verbunden (192.168.0.2).

Nun habe ich VLANs angelegt und wollte für die VLANs gern das lagg() Interface als parent definieren. In der Theorie klappt das auch, allerdings ist keine VLAN-Kommunikation möglich, trotz zusätzlichem Eintrag unter "Assignments".

Ich vermute, dass das daran liegt, dass ich eine IP-Adresse für LAGG konfiguriert habe. Liege ich in meiner Annahme richtig?

Wenn dem so sein sollte, wie bekomme ich den Switch "zum Laufen", der per Link Aggregation verbunden ist und bisher aus dem 192.168.0.0 Netz brav seine IP-Adresse per DHCP erhalten hat?

Meine Herangehensweise wäre wie folgt: DHCP Server für VLAN konfigurieren, das lagg() als parent hat. Die beiden lagg-Ports am Switch mit der entsprechenden VLAN-ID taggen und diese ID auch unter "PVID" der beiden Ports hinterlegen. Dann sollte der Switch eine IP-Adresse aus dem konfigurierten VLAN erhalten.

Ich würde mich freuen, wenn ihr mir sagen könntet, ob ich mit meinen Annahmen (oben) richtig liege und meine Herangehensweise funktionieren sollte. Eigentlich wäre mein Wunsch, dass neben der VLAN-Kommunikation auch das lagg() Interface selbst ein eigenes Netz hätte. Wenn das nicht geht, dann finde ich bestimmt trotzdem ein Weg daran vorbei. :)

LG Pascal

@Mks: Ich habe insg. vier Interfaces an meiner OPNsense. Eins davon ist WAN, also habe ich drei für (V/W)-LAN .
Allerdings werde ich wohl nun wirklich die Finger davon lassen. Über meinen Switch geht es allemal. Der ist im Moment nur gut ausgelastet ...

Hab ich gemacht... Will trotzdem nicht. :(

@pmhausen: Danke! Das mit der bridge hat schon mal gut funktioniert.

Ich habe auch den DHCP-Service für das VLAN eingerichtet und innerhalb des VLANs können die Geräte interface-übergreifend kommunizieren.

Allerdings komme ich aus dem VLAN nicht "raus". Also ping auf LAN-Adresse der OPNsense nicht möglich. Auch Internet etc. funktioniert nicht. Habe testweise in den Firewall-Regeln alles für die vlan-bridge freigegeben. Trotzdem keine Kommunikation nach draußen möglich. Gibt's irgendeinen "Kniff", den ich übersehen habe?

Ja, das war auch mein Gedanke (bridge als parent interface). Ist allerdings leider nicht möglich, das bridge-Interface erscheint nicht im Dropdown-Menü des VLANs.

Jedes VLAN drei Mal anlegen ist bestimmt möglich, wird aber unübersichtlich und macht (je nach Anzahl der VLANs) ganz schön Arbeit.

Hallo zusammen,

ich habe bereits recherchiert, aber leider keine wirkliche Anleitung für mein Problem gefunden.

Folgende Ausgangslage:
- OPNsense mit vier Ports (igc0 bis igc3).
- TP-Link Omada AP (igc2)
- Proxmox-Server (igc1)
- LAN bridge mit igc1, igc2 und igc3 als member (192.168.178.0/24).


Ich habe ein VLAN (tag 20, 192.168.20.0/24) erstellt. Dieses VLAN ist igc2 zugeordnet. Dies hat zur Folge, dass alle über das WLAN (Omada AP) eingewählte Geräte eine IP-Adresse aus dem 20er Netz per DHCP erhalten. Die VM in Proxmox erhält keine IP-Adresse. Ordne ich das VLAN igc1 um, ist es genau umgekehrt.

Ich schließe daraus, dass das daran liegt, dass das VLAN immer nur einer Schnittstelle zugewiesen ist.

Frage: Wie kann ich ein VLAN (tag 20, 192.168.20.0/24) mehreren physikalischen Schnittstellen (hier: igc1 und igc2 wünschenswert) zuweisen?

Fun fact: Ich hatte schon probiert die VLANs meiner erstellen bridge zuzuordnen. Das ist gepflegt in die Hose gegangen und dazu geführt, dass ich mich ausgesperrt habe. :D

Für Unterstützung wäre ich euch sehr dankbar!

LG Pascal

Ganz lieben Dank! Ich bin jetzt gefühlt schon eine ganze Ecke schlauer und weiß, dass ich in neue APs investieren werde.

Neben UniFi ist mir hier auch TP-Link Omada aufgefallen. Sah auf den ersten Blick ganz gut aus. Beherrscht VLAN und Multi SSID. Ansonsten habe ich noch einen TL-SG108E Switch in meiner Grabbelkiste gefunden. Das Teil ist managed und beherrscht wohl auf VLAN. Meine IP-Kameras (sollen auch ein eigenes VLAN erhalten) sind bereits mit einem PoE-Switch (TL-SG108PE) verbunden.

Das scheinen schonmal ganz gute Voraussetzungen zu sein. Zumindest für die kabelgebundenen Geräte.

Worüber ich gerade gestolpert bin: Netzwerkcontroller (@Tuxtom007).
Welche Aufgaben soll der Controller übernehmen? In meiner Vorstellung konnte ich direkt auf der Weboberfläche des APs die verschiedenen SSIDs generieren und den entsprechenden VLANs zuordnen, die ich in der OPNsense konfiguriert und dem Interface (eth1) zugewiesen habe, an dem der AP angeschlossen ist.
Gerade erschließt sich mir nicht, welche Aufgabe der zusätzliche Netzwerkcontroller übernehmen soll... Kannst du mir hier auf die Sprünge helfen?

[Smart Home Geräte]

Hallo zusammen,

vorab: ich bin ganz frisch hier im Forum und möchte mich daher kurz vorstellen. Pascal, 28J, Einsteiger im OPNsense-Bereich. Bisher habe ich eher Erfahrungen im Proxmox-Bereich gesammelt. OPNsense ist für mich wirklich Neuland. Ich freue mich hier sein zu dürfen. :-)


Nun zu meinem Anliegen.

Ausgangssituation:
Fritzbox 5590 Fiber als Modem, OPNsense stellt auf eth0 eine PPPoE-Verbindung zum Provider her. Auf eth1 befindet sich mein LAN Interface. An eth1 ist ein 8-Port-Switch unmanaged angeschlossen. Hierüber ist u.a. mein Proxmox Node angeschlossen sowie ein Fritzbox 1200 WiFi Repeater. Das WLAN der Fritzbox 5590 ist deaktiviert.

Der Datenverkehr aller per Kabel und WLAN verbundenen Geräte läuft vollständig über die OPNsense.

Mein LAN (eth1) ist 192.168.178.0. DHCPv4 ist aktiviert. Sämtliche Geräte ohne statisch konfigurierte IP-Adresse erhalten eine IP-Adresse aus der range 192.168.178.50 bis 192.168.178.245.

Ziel/Wunsch:
Ich möchte mit dem Fritzbox AP verbundene Smart Home Geräte (Rollladensteuerung, Lichter, Steckdosen, Gartenbewässerung etc.) komplett von den anderen Geräten des LANs abkoppeln.

Problem:
Alle WLAN-Geräte verbinden sich bisher über den Fritzbox 1200 WLAN AP über dieselbe SSID. Das führt unweigerlich dazu, dass alle Geräte im 192.168.178.0 landen. Bisher habe ich keine Möglichkeit gefunden, wie ich Geräte, z.B. anhand der MAC-Adresse, einem anderen VLAN zuordnen könnte.
Insbesondere die Smart Home Geräte lassen sich teilweise nicht mit statischer IP-Adresse konfigurieren. Somit kann ich diese nicht von vornherein auf ein anderes Subnetz/VLAN (192.168.179.0) konfigurieren.

Lösungsvarianten:
Variante 1: Ich könnte ein komplett separates WLAN-Mesh-Netzwerk mit eigener SSID aufspannen, in dem sich die Smart Home Geräte befinden. Die Nachteile sind zusätzliche Investitionskosten und zum anderen ein weiteres WLAN in der Nachbarschaft.  ::)
Variante 2: Alle Geräte, die nicht in die Kategorie des Smart Homes fallen, werden händisch mit statischer IP-Adresse, z.B. aus dem 192.168.179.0 Netz, konfiguriert und die smart devices bleiben im 178er Netz. Nachteil: Manueller Aufwand, der immer wieder auftritt. Insbesondere dann, wenn neue Geräte dazukommen.
Variante 3: Ich aktiviere das Gastnetz des Fritzbox AP. Hier habe ich es bisher nicht geschafft, dass sich im Gastnetz befindliche Geräte eine IP-Adresse aus dem 192.168.179.0 Netz vom DHCP-Server der OPNsense ziehen.

Die Lösungsvarianten 1 und 2 stellen mich nicht wirklich zufrieden. Variante 3 finde ich charmant, aber ich finde einfach keine Lösung, wie ich über dasselbe (eth1) Interface aus zwei verschiedenen Subnetzen/VLANs IP-Adressen verteilen kann.


Ich hoffe, dass ich mein Anliegen verständlich beschrieben. Vielleicht habt ihr ja Tipps und Hinweise für mich, wie ich zum Ziel kommen könnte. Sollte etwas offen geblieben sein, dann fragt gern nach.



Viele Grüße
Pascal