Messages

Hi, I'm sure this is a stupid error on my end, but I struggle to find it:

I have one maching (192.168.5.57), which cannot access the internet. For debugging purposes, I've turned on packet capture on opnsense (LAN interface). This is how an access to https://www.google.com from that machine looks like:

Code Select Expand

LAN
igc0 2025-04-19
18:48:23.259179 90:e9:5e:19:bb:8d 64:62:66:2f:15:d6 ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 63, id 31521, offset 0, flags [DF], proto TCP (6), length 60)
    192.168.5.57.39284 > 142.251.36.228.443: Flags [S], cksum 0xb126 (correct), seq 2244134618, win 64240, options [mss 1460,sackOK,TS val 1390339964 ecr 0,nop,wscale 7], length 0
LAN
igc0 2025-04-19
18:48:23.511877 90:e9:5e:19:bb:8d
Cisco Systems, Inc
64:62:66:2f:15:d6 ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 63, id 24830, offset 0, flags [DF], proto TCP (6), length 60)
    192.168.5.57.52394 > 142.251.36.228.443: Flags [S], cksum 0x4fda (correct), seq 3763509603, win 64240, options [mss 1460,sackOK,TS val 1390340217 ecr 0,nop,wscale 7], length 0
LAN
igc0 2025-04-19
18:48:24.268413 90:e9:5e:19:bb:8d 64:62:66:2f:15:d6
IEEE Registration Authority
ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 63, id 31522, offset 0, flags [DF], proto TCP (6), length 60)
    192.168.5.57.39284 > 142.251.36.228.443: Flags [S], cksum 0xad34 (correct), seq 2244134618, win 64240, options [mss 1460,sackOK,TS val 1390340974 ecr 0,nop,wscale 7], length 0
LAN
igc0 2025-04-19
18:48:24.528358 90:e9:5e:19:bb:8d 64:62:66:2f:15:d6 ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 63, id 24831, offset 0, flags [DF], proto TCP (6), length 60)
    192.168.5.57.52394 > 142.251.36.228.443: Flags [S], cksum 0x4be1 (correct), seq 3763509603, win 64240, options [mss 1460,sackOK,TS val 1390341234 ecr 0,nop,wscale 7], length 0
LAN
igc0 2025-04-19
18:48:26.284309 90:e9:5e:19:bb:8d 64:62:66:2f:15:d6 ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 63, id 31523, offset 0, flags [DF], proto TCP (6), length 60)
    192.168.5.57.39284 > 142.251.36.228.443: Flags [S], cksum 0xa554 (correct), seq 2244134618, win 64240, options [mss 1460,sackOK,TS val 1390342990 ecr 0,nop,wscale 7], length 0
LAN
igc0 2025-04-19
18:48:26.540341 90:e9:5e:19:bb:8d 64:62:66:2f:15:d6 ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 63, id 24832, offset 0, flags [DF], proto TCP (6), length 60)
    192.168.5.57.52394 > 142.251.36.228.443: Flags [S], cksum 0x4405 (correct), seq 3763509603, win 64240, options [mss 1460,sackOK,TS val 1390343246 ecr 0,nop,wscale 7], length 0
LAN
igc0 2025-04-19
18:48:30.540340 90:e9:5e:19:bb:8d 64:62:66:2f:15:d6 ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 63, id 31524, offset 0, flags [DF], proto TCP (6), length 60)
    192.168.5.57.39284 > 142.251.36.228.443: Flags [S], cksum 0x94b4 (correct), seq 2244134618, win 64240, options [mss 1460,sackOK,TS val 1390347246 ecr 0,nop,wscale 7], length 0
LAN
igc0 2025-04-19
18:48:30.796349 90:e9:5e:19:bb:8d 64:62:66:2f:15:d6 ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 63, id 24833, offset 0, flags [DF], proto TCP (6), length 60)
    192.168.5.57.52394 > 142.251.36.228.443: Flags [S], cksum 0x3365 (correct), seq 3763509603, win 64240, options [mss 1460,sackOK,TS val 1390347502 ecr 0,nop,wscale 7], length 0

There is just outgoing traffic on LAN. No traffic back in (which is why 192.168.5.57 shows a timeout).
If I use some other machine (e.g., 192.168.5.232) for https to www.google.com, packet capture shows traffic back and forth on the interface.

I've checked firewall rules. There is no deny-rule that should apply to 192.168.5.57, all deny-rules have logging enabled, and there is a catch-all-permit rule at the bottom. There are no entries in the firewall log for 192.168.5.57.

Please, where else could I look to find out what is happening?

Thanks!

Great, thanks!

Hi, I had a script run berserk and trigger the ssh block (actually, the issue was that the ssh key copied OPNsense didn't survive a reboot - but I'll look into this separately one SSH access works again). Further login attempts are now just giving a timeout.

I searched for how to unblock, and (only) found this: This old forum entry
It says that ssh access is blocked via pf tables and should be unblocked via Firewall -> Diagnostics -> pf tables

This menu entry doesn't exist for me in today's (24.7.12) UI. I searched the UI, but can't find something that looks like a match. Could you please help with a pointer to where I can unblock SSH access again?

Thanks!

Danke, XS finde ich auf der Seite nicht. Und der S hat regelmäßige Kosten für Daten. 🤷�♂️

Danke, wäre interessant, wie der Tarif heißt. Ich habe geschaut, aber bei der Telekom nichts Passendes (keine Kosten außer bei Bedarf, dann aber Nutzung ohne manuellen Eingriff möglich) gefunden.

In der Hoffnung, dass das hier nicht offtopic ist: Was ist denn ein brauchbarer Datentarif für eine mobile Fallback-Lösung?

Das Ganze

• wird nur selten gebraucht, sollte also idealerweise nur bei Nutzung Kosten verursachen
• braucht bei Bedarf aber schon einiges an Daten
• sollte automatisch funktionieren, also nicht erst die manuelle Buchung einer Dayflat erfordern

Gefunden habe ich auf die Schnelle nur GigaCube Flex von Vodafone (nur abrechnen, wenn eingebucht - aber deren Hardware will ich nicht unbedingt nutzen) und Jahres-Prepaid-Tarife, mit denen im Jahr x GB für alle Bedarfsfälle insgesamt zur Verfügung stehen.

Gibts Besseres/anderes?

Keine Ahnung, was bei Dir das Problem ist. Hier musste das Problem für jeden User separat dadurch gelöst werden, dass in die (jede! - also die Config jeweils auf beiden Seiten des Tunnels) Wireguard-Config im [Interface]-Abschnitt "MTU = 1500" eingetragen wurde.

Insofern könnte es schon sein, dass User-spezifische Probleme durch MTU verursacht werden. Je nachdem, wie die Netzwerkkonfiguration ansonsten so aussieht.

Ich hatte mal ähnliche Probleme, ausgelöst durch MTU 1500 vs 1492. Da fehlen für Handshakes essentielle Bytes.

Örks.

Die NAT Outbound-Regel war als zweites in der Liste, gleich nach der Regel, zu der ich hier eine Frage gestellt hatte. Leider hat dabei diese andere Regel, die globaler war, immer gegriffen und damit die NAT-Outbound-Regel für die Fritzbox nie zur Anwendung kommen lassen.

Regeln umgestellt, schon geht es. Port-Forwarding scheint dann auch nicht mehr erforderlich zu sein - habe die Regel komplett deaktiviert.

Die Welt wäre so einfach, wenn man sich nicht immer selbst unbewusst ein Bein stellen würde. Ich danke ganz herzlich fürs Mitdenken und die Geduld.

Ich habe oben einen Edit eingefügt - keine Ahnung, ob das hilft.

Wg. der NAT-Regel habe ich jetzt mal das eingefügt:

You cannot view this attachment.

Damit verschwinden die Blocks aus dem Live-View, aber das Telefonat funktioniert trotzdem nicht, selbe Symptome.

Die Fritzbox läuft mit FritzOS 7.30. Gibt nichts Aktuelleres für die 7580. Die Config-Einstellungen der Fritzbox für das Telefonieren sehen wie anhängend aus.

You cannot view this attachment.

Nachdem ich weitere Stunden ergebnislos ähnliche Probleme gegoogelt habe: Der Live-View der Firewall zeigt Unmengen solcher anhängender Block-Einträge, wenn das Telefonat laufen sollte. Offenbar fehlt irgendwo noch eine entscheidende Regel...

You cannot view this attachment.

Edit: Ich habe ein Packet-Capture davon und mir das mit Wireguard angeschaut. Aber daraus werde ich auch nicht wirklich schlau.

Code Select Expand

No. Time Source       Destination  Protocol Length Info
110     1.339712 X.X.X.X      217.0.171.50 UDP     214    48782 → 30164 Len=182
111     1.346143 217.0.171.50 X.X.X.X    UDP     214    30164 → 14969 Len=182
112     1.359745 X.X.X.X      217.0.171.50 UDP     214    48782 → 30164 Len=182
113     1.366167 217.0.171.50 X.X.X.X    UDP     214    30164 → 14969 Len=182

Ja, sorry, das war ein Screenshot der falschen Regel. Neuer Versuch anhängend.

Danke, habe ich beides versucht - sicherheitshalber samt Neustart der Box. Funktioniert leider nach wie vor nicht mit demselben Verhalten (10s ohne Tonübertragung, dann Abbruch).

Hab das jetzt dreimal abgeglichen und mich nicht vertippt, denke ich (sicherheitshalber nochmal angehängt).

Wie kann ich denn bitte herausfinden, was das Problem ist?

Da dachte ich, das Thema sei so alt und ausgelutscht, dass es keine Probleme geben sollte. Aber ich bekomme trotz Googlen - sehr zum Frust der besten Ehefrau von allen - das Festnetztelefon nicht zum Laufen. Es klingelt, wenn man anruft, aber es erfolgt keinerlei Audio-Übertragung in irgendeine Richtung. Nach 10s bricht das Gespräch zusammen.

Das Setup hier ist: Draytek Vigor 130 (mit VLAN7 konfiguriert) -> OPNsense -> Cisco-Switch (Router) -> Fritzbox.

Ich habe es (entsprechend Post #3 hier ohne zusätzliche Regeln versucht sowie, nach weiterem Googlen, mit einer Outbound-NAT-Regel (wie anhängend - Hybrid Outbound NAT ist aktiviert).

Das scheint es noch nicht ganz gewesen zu sein. Für eine kurze Google-Hilfe (ich bin mir sicher, die Lösung steht irgendwo) bin ich dankbar!

Super, danke Euch beiden. Und ja, die weiteren Subnetze liegen hinter internen Routern.

Dann bastel ich mal weiter. :-)