Messages

OK, I  will give this a try adn downgrade firmware.

Danke für die MTU Tipps! Werde Deine 2 Punkte auch mal testen. Lerne jeden tag dazu ;-)

[I. Prefix Wechsel --> NPTv6 merkt nichts]

Endlich habe ich MuliWAN (bisher ohne Probleme) für IPV4/IPV6 laufen.

WAN1 - pppoe0 ist Telekom DSL
WAN2 - pppoe1 ist Lokale Glasfaser über Fibertwist

Ich habe alles nach dieser externen Anleitung (https://telekomhilft.telekom.de/conversations/festnetz-internet/ipv6-multiwan-l%C3%B6sungsansatz/66bbaf45389f9f597b09866f?commentId=66bbafbf389f9f597b0d8283) konfiguriert.

Diese Anleitung ist für statische IPV6-Prefixe gemacht, also musste ich etwas optimieren und es fehlten zwei Punkte.

I. Prefix Wechsel --> NPTv6 merkt nichts

Dazu als root auf die bash der OPNSense per ssh.

a) Prefix-Wechsel mitbekommen
Hierzu die Datei für eure zwei WAN-Schnittstellen anpassen --> $wan_interfaces = ['pppoe0', 'pppoe1'];

Diese Datei unter /usr/local/opnsense/scripts/ ablegen und mit chmod +x update_nptv6_cron.php Ausführungsrechte geben.


b) CRON Job zum aktualisieren NPTV6

Hierzu nutze ich ein Skript und eine Cron-Job, da NPTv6 keinen Wechsel des IPV6-Prefix der Anbieter mitbekommt und NPTv6 aktualisieren lässt.

Dort im Verzeichnis /usr/local/opnsense/service/conf/actions.d die Datei actions_nptv6_refresh.conf ablegen.

c) CRON Job in GUI anlegen

Ggfs. OPNSense einmal Neustarten, dann ist unter System->Settings->Cron die Möglichkeit einen Cron-Job anzulegen
You cannot view this attachment.
Hiermit wird das prüfen alle 5 Minuten ausgeführt.

II. Firewall - LAN to Any anpassen

Damit MultiWAN genutzt wird, muss das Gateway für ausgehende Verbindungen (z.B. LAN-to-Any) noch auf eure Gateway-Gruppe gesetzt werden. Vermutlich wie bei mir für jeweils IPV4 und IPV6.

You cannot view this attachment.

Die gilt natürlich auch bei Bedarf für andere Regeln.

III. MTU Probleme

Nach Punkt I und II lief eigentlich schon alles recht gut. Jedoch merket ich das einige Webseiten nicht erreichbar waren. Ich hab mehre Tage LOG-Dateien gelesen, Firewall Regeln angepasst. Alles ohne Erfolg. Dann bin ich auf Probleme mit "curl" in anderer Foren gestossen, die von Problemen mit MTU Werten berichteten.

Im OPNSense Forum wurde ich dann auch fündig: [GELÖST]bestimmte Website lädt nicht - IPv4 OK, Dual-Stack n. OK

Danach an WAN1, WAN2 und LAN den MTU Wert auf 1492 gesetzt und meine Probleme mit MultiWAN waren passé.

Das gleich Verhalten hatte ich auch bei PFSense. Ändere zum Test mal deinen MTU Wert vom LAN Interface auf den gleichen Wert wie du ihn unter dem WAN Interface eingetragen hast. Normalerweise bleibt dieses Feld frei und damit hat das LAN den Standard MTU Wert von 1500.

Oh, nach ganz viel Fehlersuche löste dies mein Multiwan IPV6 Problem.
Danke.

Ich habe heute durch Wartung einen Reboot gemacht. Dabei hängt OPNSENSE auf einer Sophos XG135 beim boot (siehe Bild).

Auch kernel.old tritt dieses Problem auf. Vorher lief die OPNSENSE wochenlang ohne Probleme?

BIOS geprüft, neu gespeichert. Nach mehrfachen Neustart bootet wieder ...


Ich beobachte.

Topic gern schließen

Hallo in die Runde,

ich möchte gern länderspezifische Webseiten über eigene externe SQUID-Proxys erreichen.

Code Select Expand

LAN  <----> OPNSense <-----> Internet <------> Proxy BE
                                 |
|<----------> Proxy FR
Reichen hier Ziel (Destination)-Regeln (Rules) aus?

LAN --> Destination z.B. www.amazon.fr --> Proxy FR
LAN --> Destination GeoIP BE --> Proxy BE

Möglichst IPV6 und IPV4 Unterstützung.
Für Tipps vielen Dank.

JayTee75

Is the SFP only shown when a fibre cable is connected?

Thats the Idea. I don't want make external fiber to copper sind use it directly as WAN in opnsense.

I have a i210 port with ZYXEL SFP GPON

Code Select Expand

igb4: <Intel(R) I210 (Fiber)> port 0x8000-0x801f mem 0xdc200000-0xdc2fffff,0xdc300000-0xdc303fff at device 0.0 on pci10
igb4: EEPROM V3.16-0 eTrack 0x800004b4

Code Select Expand

igb4@pci0:10:0:0:       class=0x020000 rev=0x03 hdr=0x00 vendor=0x8086 device=0x1536 subvendor=0xffff subdevice=0x0000
    vendor     = 'Intel Corporation'
    device     = 'I210 Gigabit Fiber Network Connection'
    class      = network
    subclass   = ethernet

But I can't see the SFP Modul...

Code Select Expand

igb4: flags=28943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST,PPROMISC> metric 0 mtu 1500
        description: WAN_SFP (opt4)
        options=4800028<VLAN_MTU,JUMBO_MTU,HWSTATS,MEXTPG>
        ether 7c:5a:1c:7d:02:0d
        inet 10.10.1.2 netmask 0xffffff00 broadcast 10.10.1.255
        inet6 fe80::7e5a:1cff:fe7d:20d%igb4 prefixlen 64 scopeid 0x5
        media: Ethernet 1000baseSX <full-duplex> (autoselect)
        status: no carrier
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>

Any idea to get the SFP work?

@Patrick M. Hausen: Das macht dann auch keinen Unterschied, wenn es nicht geht...  :'(

Danke für den Link. Somit geht es in FreeBSD 13.2 nicht, also kann ich die Sophos verkaufen.

:(

Hallo,

ich habe testweise auf eine Sophos XG135 rev3 mit OPNsense installiert und die Config von meiner produktiven OPNSense (SG 125 rev3) importiert.

Die LAN-Ports wurden angepasst und die Sophos XG135 rev. 3 läuft scheinbar recht gut.

Es wurden vier igb-LAN-Ports erkannt und vier ix-Ports (Intel X553).

Auf den ix-Ports (X553) funktionieren die Status-LEDs für Link und Activity am Port nicht. Der Port an sich läuft wohl.

Weiß jemand wie diese Port-LEDs und auch Front-LEDs für den X553 genutzt werden können? Treiber Problem?

Für ein paar Infos, besten Dank.
JayTee

[IPV6:]

Endlich läuft meine Umstellung von Sophos UTM9 auf OPNsense einigermaßen. Um es dem nächsten Umsteiger einfacher zu machen, hier meine bisherigen Probleme und Lösungen:

IPV6:
Ich konnte keine IPV6 Adresse im LAN bekommen. Ich hatte eine Bridge konfiguriert, um das LAN an mehrern Ports nutzen zu können. IPV4 lief alles perfekt. Ein kleiner Haken löste das Problem:

Link Local Adress war vorher nicht an.

nginx:
nginx läuft als Reverse Proxy. Zugriff auf Nextcloud etc. war aus Browser möglich. Jedoch konnte ich vom Handy
mit DAVX5 nicht synchronisieren. Ein Quervesuch mit Caddy verlief positiv, daher musst es ein Konfigurationsproblem sein. Auch hier ein Haken zu wenig:

Dies war etwas schwerer zu finden: Edit HTTP Server --> advanced mode --> Disable Bot Protection

Multi VPN Verbindung
Ich habe eine Site2Site-Wireguard Verbindung und eine OpenVPN-User-Verbindung zur Wartung im Netzwerk erfolgreich laufen. Bisher schaffte ich es nicht als OVPN-User auf das Site2Site-Netzwerk zuzugreifen. Nach einigen experiementieren habe nun eine funktionieren Outbound NAT Regel als SNAT probiert:


Somit auch diese Problem im Griff.

Jetzt noch lernen welche "Rules" für IPS sinnvoll sind und wie es korrekt konfiguriert wird.
:-)

Danke für schnelle Rückmeldung - ich hatte es befürchtet mit dem Alias anlegen...

:-(

Doppelte Arbeit. War zu sehr Sophos UTM9 verwöhnt :-D

Kann in einer Firewall-Regel für einzelne Netzwerkkomponente nur eine IP oder ein Alias angegeben werden?
Bei Eingabe eines vorhanden hostname erhalte ich "XXX ist keine gültige Quell-IP-Adresse oder Alias."

Oder gibt es einen Trick einen hostname zu verwenden?
???

Für eine kurze Anfängerhilfe, besten Dank.
JayTee75