Messages

Ist zwar schon etwas älter der Beitrag, aber aus aktuellem Anlass meine Erfahrung.

Ich habe die SFP-Module von Flexoptix, in diesem Fall das Modell S.B1612.10.CLDL, ist ein AON-Modul.

Das läßt sich mit der entsprechenden Hardware (Flexbox nennt sich das dann) programmieren. Damit läuft die Deutsche Glasfaser problemlos, auch in einer Sophos XG 430, oder SG 330.

Wenn beider Deutschen Glasfaser noch eine (Glasfaser) Fritz!Box mit dazu gebucht wurde, muss die MAC-Adresse gespooft werden, aber das ist ja kein Thema bei der OPNsense.

In der OpenVPN Server Konfig benötigst du:

Code Select Expand

client-to-client
push "route <Subnet> <Mask>"

Die Variablen sind entsprechend zu ersetzen.

Die Server im lokalen Netzwerk müssen noch Zugriffe von außen erlauben. Da ist ggf. deren Firewall entsprechend einzurichten.

Kurze Nachfrage dazu.

Ich habe jetzt die beiden Netze als "Route" eingetragen, der OPNsense habe ich dann das 10'er Netz in der Firewall eingetragen. Oder in der Firewall das 172.16.2.0 - Netz?

Wobei mit den Einträgen immer noch der gesamte Traffic über die VPN-Verbindung getragen wird.

Direkt ist nicht möglich?

Nein, leider nicht, da ich im OPNsense - Netz nur eine IPv6-Adresse habe und im Wohnmobil nur eine IPv4.

In der OpenVPN Server Konfig benötigst du:

Code Select Expand

client-to-client
push "route <Subnet> <Mask>"

Die Variablen sind entsprechend zu ersetzen.

Die Server im lokalen Netzwerk müssen noch Zugriffe von außen erlauben. Da ist ggf. deren Firewall entsprechend einzurichten.

Werde ich ausprobieren und mich dann melden.

Erlaubt mir diese "wirre" Überschrift...

Guten Abend in die Runde,

ich möchte folgendes Szenario aufbauen:

[Client-VPN] <-> [VPN-Server] <-> [OPNsense-VPN] <-> [Lokales Netzwerk]

Hintergrund:

Häufig arbeite ich im Wohnmobil mit einer Telekom-WWAN-Verbindung. Aus dem Wohnmobil kann ich mit OpenVPN eine VPN-Verbindung zu einem virtuellen Server (bei Ionos platziert) aufbauen. Vom Büro aus kann ich mit OpenVPN auch eine VPN-Verbindung zu dem Server aufbauen.

Beide VPN-Clients bekommen eine eigene IP-Adresse (10.8.0.x), ich bekomme aber vom Wohnmobil keinen Zugriff auf das lokale Netzwerk hinter der OPNsense.

Folgendes habe ich bisher gemacht.

Auf dem Ionos-Server ist OpenVPN installiert und die zwei Clients sind vorhanden. Der Server bekommt die 10.8.0.1, der eine Client die .2 und der andere die .3 - Adresse.

Die Installation auf der OPNsense habe ich über "VPN/OpenVPN/Instances" realisiert. Der Verbindungsaufbau klappt auch soweit.

Jetzt geht aber jeder Traffic über die VPN-Verbindung. Das ist das eine Problem, das andere Problem liegt darin, dass ich keine Verbindung von dem einen Client zum Netzwerk hinter der OPNsense bekomme.

Kann mir da jemand unter die Arme greifen?

Soweit meine Erfahrungen mit Unifi und OPNsense reichen, funktionieren die normalen GBics von Unifi als SFP+ - Variante problemlos. Dazu habe ich dann noch die LWL-Patchkabel mit 50cm Länge. Damit habe ich dann die OPNsense (bei mir allerdings eine Sophos SG330, rev.2) mit 10G mit dem Unifi XG16 verbunden.

Daran sind aber auch einige andere 10G-Geräte angeschlossen. Alle Switche, die kein 10G können, sind mit 2 x 1G SFP Link-Aggregate angebunden.

Einzig die beiden Switche "Büro" und "Solar" sind mit Kupfer angeschlossen.

Ich habe es aber auch schon erlebt, dass die Unifi-Switche erst per Kupfer eingebunden werden möchten und die 10G-SFP+ - Module auf 10G fix eingestellt werden sollen. Warum auch immer, werden die Module nicht immer richtig erkannt...

Du hast schon Recht, Prouktivumgebungen sind am Switch besser aufgehoben.

Mein Ansatz für die Bridge liegt darin, Client wie die IPPBX oder das NVR daran zu hängen. Die laufen dann auch, wenn das lokale Netzwerk mal nicht läuft.

Aber so ist es derzeit die beste Lösung, bis ich mal wieder Zeit finde.

Ok, habe ich wieder gehakt und neu gestartet.

Aber ganz ehrlich. Ich muss leider mit dem Ding mein Geld verdienen, werde die Bridge erst einmal auflösen und den LAN-Port allein verwenden.

So sehr es mich auch reizt, dass abschließend in den Griff zu bekommen, muss ich an's tägliche Geschäft denken. Da meine Router-Hardware noch eine SFP-Port hat, werde ich den mit einem passenden GBic bestücken und darüber mein lokales Netzwerk laufen lassen.

Ich vermute da, derzeit, einen Bug bei OPNSense. Aber wenn ich ihn umschiffen kann, ok, ist auch eine Lösung. OPNSense hat für mich zu viele Vorteile, als dass ich es jetzt in die Ecke schmeiße.

Ich danke Dir von ganzem Herzen, Du hast mir einige Schwächen in meinen Einstellungen gezeigt, was übrigens bei einer Zyxel bisher ohne Probleme ging.

OK, das verbaseln manche, weil das nicht so eindeutig dokumentiert ist wie es könnte.

Naja, irgendwie schon logisch, dass die Ports dann keine Adressierung mehr bekommen, aber egal  8)

Wenn nicht - wenn die beiden Tunables stimmen, dann funktioniert das so. Was mich noch irritiert ist, dass in deinem Screenshot das LAN doch eine IPv6-Adresse hat. Und das ist zu dem Zeitpunkt des Screenshots doch die Bridge, oder?

Ja, richtig, deswegen komm ich ja auch nur darauf, dass es nicht normal sein kann... Zu dem Zeitpunkt hat die LAN-Bridge eine IPv4- und eine IPv6-Adresse. Auch ein Ping6 oder NSLookup (probiert über die Diagnose) funktionierte. Nur die Arbeitsplätze bekommen keine IPv6. Übrigens egal ob WLAN, oder Kabelgebunden, auch egal ob Windows oder Mac.

Noch eine Fehlermöglichkeit: Hardware Offloading ist für alle phys. Interfaces aus, oder? Das ist der Default, also aus.

Ich gehe mal davon aus, dass Du die ersten drei Optionen vom Bild meinst? Ja, die sind aus.

Ich habe mal ein wenig im Netz gestöbert und habe dann gelesen, dass OPNSense in einer früheren Version mal Stress mit dem gleichen (oder selben?) Probleme hatte. Daher kam ich eben auf die Idee, dass es ein Fehler im System ist. Es ist schon komisch, dass IPv6 nur in der Bridge nicht funktioniert, vielleicht auch in Verbindung mit der Deutschen Glasfaser. Aber dann hätte ich weder auf der WAN-Seite eine IPv6 bekommen, noch würde ein Ping auf der Shell durchgehen.

Alles sehr Skuriell...

Edit sagt: Bild vergessen, also nachtragen

Ja, so habe ich es auch verstanden, in dem vorgehenden Posting nur nicht richtig wieder gegeben.

Ich habe eine Bridge, die beinhaltet die Port OPT3, OPT4, OPT5 und OPT8. Die sind in bridge0 zusammengefasst und haben den Namen LAN bekommen.

Dort vergebe ich die gesamte Adressierung.

Eben sie wie Du es beschrieben hast.

Das ist nur ein Teil der Adresse, den Rest hatte ich abgeschnitten.

Die eigentliche Adresse lautet 2a00:6020:4ea0:3400:xxxx:xxxx:xxxx:xxxx So ist sie mir vom "Tracking" übergeben worden.

Ich habe gerade mal die Bridge aufgelöst und prompt bekomme ich auf dem LAN-Port eine IPv6 (in dem Format wie oben) und jeder Client bekommt seine eigene IPv6-Adresse.

Komisch...

Mit Track Interface etc. sollte eigentlich ein Prefix an deinem LAN ankommen.

Nur leider nicht auf dem Bridge-Interface.

Aber ganz lieben Dank für Deine Mühe.

Ok, ich habe jetzt nur noch am WAN (natürlich) und am LAN IPv6 aktiv.

Vergeben wird vom Provider (Deutsche Glasfaser, aber ohne NT, daher mit einem VLAN-Tag 362) ein 56'er Prefix, da sollte also genug Spielraum für mein(e) Netz(e) sein.

Dennoch passiert am Client nichts. Ich habe mal ein Bild vom Dashboard/Interface gemacht und beigefügt. Die vollständige IPv6 ist 2a00:6020:1000:xx::xxxx. Aus der Zyxel-Zeit, also vor vier Tagen, weiss ich, dass die IPv6 auf der WAN-Seite ein 128'er Prefix hat und die lokalen Netze ein 64'er Netz bekommen.

Nur bei der OPNSense passiert das nicht in der Bridge.

Übrigens, unter System/Gateway habe ich nur eine FE80-Adresse...

Da habe ich schon alle Optionen ausprobiert, mit dem Ergebnis, dass nichts gebracht hat, ich habe immer noch diese FD26*-Adresse.

Danke für den Hinweis, musste ich erst nachschauen, aber ja, die beiden Tunable habe ich entsprechend gesetzt.

Sofern Du "net.link.bridge.pfil_bridge" (gesetzt auf "1") und "net.link.bridge.pfil_member" (gesetzt auf "0") meinst... 😇

Gerade die beiden Schnittstellen umbenannt und leider auch kein Erfolg. Nach wie vor keine IPv6auf den Arbeitsplätzen.

Ich bekomme immer nur die "fd26:6707:8de3:42c9:44c:7593:c59a:a6a4" und das dürfte die Link-Local sein...

Bei mir ist der LAN-Port ein reines Management-Netz.

Das eigentlich aktive/dauerhaft Netzwerk ist, eben, auf der Bridge.