Messages

I was able to identify the issue. Contrary to the recommendations in the documentation - which I was not yet aware of at the time - I had mixed tagged and untagged VLANs on the switch port. All VLANs are now tagged, and the problem no longer occurs.

EDIT:
Too early, the problem unfortunately still occurs.

Any ideas or similar problems?

Hello everyone,

I'm currently experiencing an issue when uploading photos from my iPhone (iOS 26.1 - App - PhotoSync) to an SMB share. The iPhone is located in the Home VLAN, while OMV (OpenMediaVault) with the SMB share is located in the Server VLAN.

There is an any-any rule in place for the iPhone between the VLANs. The connection to the share can be established without any problems, but the file transfer stops after a few images. There is no recognizable pattern: sometimes it happens after the second image, sometimes after the 25th. I have repeatedly tested with the same set of images, and the error occurs every time.

Hardware/Setup:
I'm using a Dell Wyse 5070 Extended with a dual-NIC network card (Fujitsu Ethernet Controller 2x1GB DualLan-Card S26361-D3035-A100). OPNsense is up to date and installed directly on the thin client. Intrusion Detection is not enabled. I have Zenarmor installed, but even if I disable it, the same issue occurs.
Previously, I ran Proxmox on the device with a virtualized Sophos XG Home and this setup did not have the issue.

Question:
How can I further narrow down the root cause? Unfortunately, I can't really identify anything helpful in the firewall logs.

It's done. It does not translate the IP address with the host, but creates new entries that I did not see in my top 10.

For my better understanding. I have now created a firewall alias of type - Hosts(s) with the corresponding IP as content.
The option "Use OPNsenes Host aliases for DNS enrichment" is active. However, I still see the IP address in the report. Do I need to update anything else?

Thank you very much. I am using the free version. So it is a limitation of my license.

Does anyone have any hints?

[but this does not happen in the report.]

Hello,

even if it's an old post, I'll ask my question here.
I am using Zenarmor (1.16.4 - Mar 8, 2024 3:30 PM) and I have the problem that the IP addresses of the local systems are not resolved in the report.

I use AdGuard home on a RaspberryPI as DNS server and have set up UnboundDNS in OPNsense.

If I perform an nslookup on an IP address from the report via my PC, for example, the IP address is resolved, but this does not happen in the report.

The following options are activated:
Zenamor - Settings - DNS Enrichment for Reports
The Adguard IP was added
System - Settings - Administration - DNS Reping Check (disabled)

At first I thought it was a premium function that is not available in the free version. But when I read through the article here, it should also work in the free version or am I wrong?
As an alternative I could put OPNsense Host aliases, they will be resolved, but if possible I would like to avoid that.

Best regards
Anthony

Hallo,

ich wollte auch nochmal von meinem Teilerfolg berichten.
Folgende VLANs sind vorhanden:

• LAN
• IoT

Die Sonos Geräte befinden sich im IoT-VLAN und mein iPhone im Home-VLAN. Mit folgender Konfiguration kann ich ohne Probleme von meinem iPhone die Sonos-Speaker mit Hilfe der Sonos-App bedienen.

Für alle Sonos-Speaker und mein iPhone habe ich statische DHCP-Leases eingerichtet, damit sich die IP-Adresse nicht verändert.

Im Anschluss habe ich vier Aliases eingerichtet:

• SonosSpeaker - IPs aller Sonos-Speaker
• SonosController - IPs meines iPhones
• Sonos_TCP - 1400,3400,3401,3500,4070
• Sonos_UDP - 1900,1901,5353,6969

Mit diesen Aliasen habe ich zwei Firewall-Regeln für das IoT-VLAN gebaut.
Allow SonosSpeaker => Controller für TCP und UDP
Der mDNS Repeater wurde für LAN und IoT aktiviert.

Mit dieser Konfiguration kann ich nun, nachdem ich das iPhone einmal mit dem IoT-VLAN verbunden und dort die Sonos-App geöffnet hatte, die Sonos-Speaker aus meinem anderen VLAN steuern.

Was ich leider nicht hinbekommen habe, ist die Steuerung der Sonos-Speaker über meinem PC. Ich habe mal testweise die IP-Adresse meines PCs zum Alias SonosController hinzugefügt, leider kann trotzdem keine Verbindung hergestellt werden.
Eventuell habt ihr dazu eine Idee?

Grüße
AnthonyStark

Kannst du mit der von dir beschriebenen Regeln die Sonos-App nutzen? Ist da nicht noch ein Broadcast oder ähnliches notwendig?

Die Anfrage hat sich mittlerweile erledigt. Ich habe nochmal alles zurückgesetzt und erneut konfiguriert. Der einzige Unterschied ist, dass ich das default VLAN1 untagged und nicht tagged auf den Ports konfiguriert habe, auf denen ich es benötige. Die Separierung klappt jetzt wie gewünscht.

Danke für Eure Bemühungen.

Die Regeln wurden automatisch angelegt, diese sieht man auch nur, wenn man diese auf der rechten Seite ausklappt. Am Symbol links, dem Zauberstab, wird es auch ersichtlich.

Die Einstellungen von IoT befinden sich im 1. Post und die Einstellungen von LAN habe ich noch hinzugefügt.

Das Problem tritt auch mit Geräten auf, die direkt am Switch hängen. Mein AndroidTV ist per Kabel verbunden und der dazugehörige Port war im VLAN 2 für (IoT). Das Gerät hat keine IP bekommen, manuelle IP hat auch nicht geklappt. Als temporäre Lösung habe ich den Switch-Port auf Vlan 1 untagged konfiguriert und schon hat alles geklappt.

Die Access Points habe ich mit der Omada Controller Software auf einem RaspberryPi konfiguriert.
Die beiden Access Points hängen an einem Switch-Port, da die Access Points in Reihe geschalten sind.

Warum es direkt auf dem LAN-Port nicht klappt ist mit ein Rätsel.

[Nun zu meinem Problem:]

Guten Morgen,

seit dieser Woche habe ich eine OPNsense Firewall im Einsatz.
Ich verwende folgende Hardware:

• OPNsense Hardware mit zwei zusätzlichen NICs (PCIe)
• VDSL-Modem
• Netgear Switch (VLAN-fähig)
• TP-Link Omada-Acces Point

Das beschriebene Setup lief vorher mit einem OpenWrt Router (Pi4). Da der Pi4 nur eine NIC hat, als "Router on a Stick". Diese Konstellation hat problemlos funktioniert. Diese möchte ich im ersten Moment wieder mit der OPNSense abbilden als Ausgangsbasis.

Code Select Expand


                                            +-------------------------+
                                            |                         |
                                            |          MODEM          | Digitalisierungs Box Basic - OPNSense übernimmt die Einwahl (PPPoe)
                                            |          Router         |
                                            |                         |
                                            +------------+------------+
                                                         |
                                            +------------+------------+
                                            |                         |  igb0 - LAN
                                            |        OPNSENSE         |  igb1 - WAN
                                            |        Firewall         |
                                            |                         |  Interfaces: LAN (VLAN1) - 192.168.0.1/24 ; IoT (VLAN2) - 192.168.102.1/24; GUEST (VLAN 3) - 192.168.103.1/24
                                            +------+-----------+------+
                                                         |       
                                                         |           
                                                 +----------------+
                                                 |                | Port 1: Trunk - VLAN1, VLAN2, VLAN3 - tagged => OPNsense
                                                 +     SWITCH     |
                                                 |      LAN       | Port 2: TrunK - VLAN1, VLAN2, VLAN3 - tagged => AccessPoints
                                                 +-------+--------+
                                                         |
                                                         |
                                                +--------+---------+ 
                                                |    AccessPoint   |  SSIDs: HOME (VLAN1); IoT (VLAN2); GUEST (VLAN3)
                                                |                  |   
                                                +------------------+ 


Sieht ihr grundsätzlich ein Problem bei diesem Aufbau? Habe ich etwas übersehen?

Nun zu meinem Problem:
Wenn ich Geräte in das IoT bzw. GUEST Wlan packe, erhalten diese keine IP-Adresse. Die Netzwerkeinstellungen manuell setzen, hilft auch nicht.
Es funktioniert nur mit HOME (VLAN1).

Wie das IoT-Interface, die Firewall (Any-any zu Testzwecken) und DHCP konfiguriert sind, findet ihr im Anhang.

Was habe ich übersehen? Warum klappt meine Netzsegmentierung nicht?

Grüße