Messages

Danke für die Tipps. Ich habe mir das mal Durchgelesen und bis auf Punkt 8 alles umgesetzt. Wären die Flags jetzt richtig?

You cannot view this attachment.

Balloning habe ich jetzt auch deaktiviert
You cannot view this attachment.

Das multicast snooping habe ich noch nicht deaktiviert, weil ich schauen will, ob ich das über eine Einstellung ändern kann, oder es in der Datei anpassen muss. Ich verwende (noch) kein IPv6 und daher ist es noch nicht so kritisch.

Das "Internet hängt" meine ich, dass Musik beim hören für paar Sekunden unterbrochen wird. Beim Hochladen von Anhängen z.B. hier, hatte ich einige mal Probleme. Gestern habe ich mit einer App Sport gemacht und diese hat mehrfach gemeldet, dass sie offline wäre. Kurz danach ging es wieder. Die Fälle sind jetzt extrem, weil es häufige Verbindungsabbrüche sind, aber in der Vergangenheit war das Internet manchmal langsamer. Hohe Latenz. Webseite reagierte manchmal etwas verzögert etc. Hatte AdGuard mal deaktiviert (ist als DNS konfiguriert), aber das hat nicht geholfen. Es könnte noch mein Hardware von unifi sei, oder opnsense. Da der Speicher bei opnsense immer voll lief, dachte ich, dass Problem könnte hier irgendwo liegen. Liegt wohl am balloning und zumindest bin ich auf dein HowTo aufmerksam geworden.

OK, dass bedeutet der Speicherverbrauch wächst immer bis zum Maximum und ich kann es auf 8GB limitieren. So sieht es aktuell aus:

You cannot view this attachment.

Die Frage ist dann aber wieso ich Verbindungsabbrüche mit dem Internet habe. Klar, es kann jetzt an vielen liegen. Gibt es eine Möglichkeit opnsense auszuschließen?

Ich hatte anfangs auch weniger RAM zugeteilt. Ich hatte dann immer erweitert, als es ausgelastet war bis ich irgendwann skeptisch wurde. Habe das Plugin installiert, aber proxmox zeigt ca. 5GB nach dem Neustart an und opnsense 0,7GB. Es hilft auch nicht, wenn ich opnsense neu starte. Ich muss wirklich die vm in proxmox neustarten, damit der Speicher frei wird.

Hey Zusammen,

ich hab in der Vergangenheit ab und zu den Fall, dass das Internet hängt und aussetzer hat. Nach einem Neustart der opnsense vm in proxmox ging wieder alles reibungslos. Ein reiner Neustart in proxmox löst nicht das Speicherproblem. Nach einem Neustart verbaucht die opnsense ca. 5GB RAM. Jetzt ist es wieder soweit und laut proxmox ist der Speicher zu 95% belegt

You cannot view this attachment.

In opnsense sieht es hingegen so aus. Mit etwas Recherche bin ich auf unbound gestoßen...

You cannot view this attachment.
You cannot view this attachment.

Wie kann ich das Problem beheben? Braucht ihr weitere Infos? Ich nutze auch PPPoE.

Hallo Zusammen,

ich bin noch relativ neu im Thema opnsense, aber soweit läuft mein PPPoE und meine einzelnen DHCP Services und Regeln. Was mich nur wundert ist, dass mein proxmox server die IP Adresse manuell gesetzt bekommt. Ich habe auch die FW als DNS gesetzt. Siehe Screenshots.

Proxmox konnte die Adressen nicht auflösen, weil Port 53 immer geblockt wurde. Ich habe diesen Freigegeben und danach ging es, aber mich wundert es, dass die Clients, welche per DHCP die Infos bekommen, dass nicht machen müssen.

Eventuell nutzen sie den zweiten DNS Server der per DHCP mitgeliefert wird und die DNS Einstellung sind falsch. Kann sein, dass mit der Umstellung auf PPPoE beim DNS noch das Gateway ausgewählt werden muss, aber das würde ja nicht erklären, wieso ich Port 53 freigeben musste. Irgendwas stimmt da nicht...

Hey, Danke für die Hilfe.

Das vlan konnte ich nur dem vnet0 zuweisen, was das pppoe ist. pppoe konnte ich da gar nicht erst auswählen. Aber ich mach es jetzt über proxmox und dann passt es ja.

Das eine Gateway war noch nicht als Upstream. Hab es noch eingestellt. Danke nochmals! :-)

Hey Zusammen,

seit einigen Minuten funktioniert mein PPPoE, aber ich habe einige Fragen zur Konfiguration und hoffe, dass mir hier jemand das ein oder andere erklären kann.

Ich habe unter Interfaces WAN folgendes konfiguriert (die delegation size ist 56):


Dann habe ich noch für das Telekom Glasfaser ein vlan mit dem tag 7 angelegt:


Ich hatte vorher ein Speedport dazwischen, weshalb ich noch das Gateway deaktiviert hatte. Ich habe noch zwei Gateways hinzugefügt, bin mir aber nicht sicher, ob ich diese wirklich brauche und wenn ja, wieso.

Übersicht:

WAN GW (deaktiviert)	WAN DHVPv4	WAN DHCPv6

Ich musste dann in proxmox in den VM Einstellungen ein vlan tag definieren und danach ging es:


Ist das aktuelle Dashboard von opnsense


Es sind aktuell keine FW Regeln für WAN definiert. Nur die automatischen.


Meine Fragen sind
1. Brauche ich die Gateways und wieso?
2. Kann ich das vlan in opnsense deaktivieren, weil es in proxmox gesetzt wird?
3. Wieso muss ich in proxmox das vlan tag setzen? Das steht in keiner Anleitung etc.
4. Muss ich noch etwas einstellen, oder passen die Einstellungen so? Ich bin noch neu in opnsense und möchte nicht durch Unerfahrenheit eine wichtige Konfiguration vergessen, oder gar dadurch ein Sicherheitsproblem entstehen lassen.

Super, vielen lieben Dank, dass du noch einmal drüber geschaut hast.

Beim Glasfaser ging es mir eher darum, ob die Regeln der Firewall richtig sind. In den ganzen Anleitungen etc. wird darauf nicht eingegangen und ich will nicht durch eine falsche Config, dass mein Netzwerk ungewollt irgendwie im Netz erreichbar. Solange ich aber keine Regel im WAN Interaceanlege, sollte das ja nicht der Fall sein.

Danke für die Erläuterung! Ich habe mich am WE etwas damit mehr auseinandergesetzt und verstehe es jetzt besser. Deine Regel erlaubt Zugriff auf alle Adressen, außer der Adressen, die für private Netzwerke reserviert sind. Daher erlaube ich damit den Zugriff auf das Internet, aber eben nicht auf die anderen Clients in meinem Netzwerk.
Die Regel muss ich aber für jedes Interface anlegen, welches ins Internet muss. Richtig? Ich frage hier nur, weil ich es aktuell für meine OUTDOOR Interface nicht eingerichtet habe, aber die Wallbox scheinbar ins Internet kommt. Wenn ich auf die Update Seite der Wallbox gehe, zeigt sie mir die im Internet verfügbare Version an. Eigentlich sollte das ja nicht gehen. Es könnte aber auch nur ein zwischengespeicherter Wert sein.

Ansonsten müssten  meine Regel jetzt final sein. Ich könnte den Zugriff auf das ADMIN net (proxmox, opnsense, mqtt, homeassistant, etc.) noch weiter einschränken, in dem ich nur die IPs mit Ports freigebe, aber ich glaube das wäre etwas overengineered.

Aktuell hängt am WAN ein Speedport der Telekom. Ich würde diesen jedoch gern wegnehmen und opnsense die Verbindung ins Internet direkt über das Glasfasermodem aufbauen lassen. Wäre die FW hierfür richtig konfiguriert, oder sollte ich noch etwas beachten?

OUTDOOR	LAN	ADMIN	WAN

Hm, ich dachte man kann innerhalb eines Netzwerks uneingeschränkt kommunizieren, ich aber einzelne Verbindungen unterbinden kann. Sprich wenn PC1 nicht auf den Drucker zugreifen soll, dass ich das mit einem Deny festlegen kann. Aber ja, die FW regelt nur den Traffic zwischen den Netzwerken. Ich müsste dann mit weiteren vlan ids arbeiten.

Ich hätte aber noch zwei Fragen :)

1. Soll ich wirklich 192.168.0.0/16 nehmen, oder könnte ich nicht auch 192.168.3.0/24 nehmen?
2. Wo ist der Unterschied zur folgenden Regel?

Hey Monviech,

Danke für die Hilfe. Ich hab noch paar Fragen und ich glaube es hilft, wenn ich noch paar Infos teile:

192.168.1.0/24 ADMIN (proxmox, opnsense, homeassistant, etc.)
192.168.2.0/29 OUTDOOR (wallboxen)
192.168.3.0/24 LAN (Clients, Drucker, etc.)

Wenn ich nun das Alias so anlege, würde ich mein LAN sehr stark beschneiden und müsste viel konfigurieren. Ziel ist es, dass das LAN standardmäßig untereinander kommunizieren darf, aber nicht zu ADMIN und OUTDOOR. Nur gezielte Clients aus LAN sollen auf ADMIN und OUTDOOR zugreifen können. OUTDOOR soll ausschließlich ins Internet und da am besten auch nur bestimmte IPs. ADMIN dar nur gezielt untereinander und gezielt in die anderen Netzwerke.

Wenn ich es richtig verstanden habe, würde ich jetzt ein Alias für ADMIN und OUTDOOR anlegen. Anschließend über "Direction in" Regeln definieren welcher Service mit wem kommunizieren darf. Richtig?

Hallo Zusammen,

ich habe mehrere Interfaces und zwei davon sind LAN und OUTDOOR (Wallboxen). Ich würde jetzt gern die Firewall so konfigurieren, dass OUTDOOR ausschließlich auf das Internet wegen Updates zugreifen kann und auf die Wallboxen nur ausgewählte Geräte aus LAN zugreifen können.

Ich wollte erst einmal den Zugriff komplett Blocken und dann die Freigaben erstellen, aber es funktioniert nicht so wie es erwarte. Obwohl ich den gesamten incomming Traffic blocke, habe ich weiterhin Zugriff auf die Wallboxen und diese auch ins Netz. Erst wenn ich den outbound Traffic sperre, komme ich nicht mehr auf die die Wallboxen.
Die states habe ich alle gelöscht.

Liegt es ggf. daran, dass ich bei LAN alles erlaubt habe, oder muss ich hier mit outbound direction arbeiten? Hatte nur gelesen, dass man diese eigentlich nicht verwendet.

OUTDOOR


LAN

Mach mal folgendes.

DHCP auf Speed port an.
Wan Verbindung Proxmox direkt in den Speedport. Wan Opensense auf DHCP.

Hätte ich dann nicht zwei DHCP auf einem Netz? Ich habe den Speedport direkt an den WAN Port vom Server angeschlossen und in Linux Bridge ist auch keine IP beim WAN vergeben und auch keine vlans. Hat leider nicht geklappt.

Ich habe gestern die VM gelöscht und opnsense von Grund auf neu Installiert. Jetzt läuft es. Auf den ubiquiti sind alle Port per vlan gesichert und kabelgebundene Clients kommen ins Internet und sehen sich auch gegenseitig (fw ist für Tests komplett offen).

Ich habe nur noch ein Problem mit dem WLAN. Die Clients verbinden sich nicht mit den APs. Laut opnsense wird ein dhcp lease ausgeliefert und der unifi controller meldet, dass das Gerät eine IP bekommen hat, aber das Gerät scheint diese entweder zu verwerfen, oder nicht richtig zu bekommen. In opnsense ist auch kein lease aufgeführt.
Gebe ich meinem Handy bspw. eine statische IP, bleibt die WLAN Verbindung bestehen, aber ich habe trotzdem kein Internet. Ich würde jetzt die opnsense ausschließen, da sie komplett neu ist. Was hab ich nur letzten Freitag angestellt, dass es all meine Services so zerschossen hat.

EDIT: Es geht jetzt wieder. Ich hatte die Port am Switch wo die APs hängen ebenfalls ins "LAN" vlan gepackt. Hab die Port jetzt wieder auf "Default", aber das Netzwerk der APs überschrieben und auf "LAN" gestellt. Jetzt geht es.

Gute Idee. Habe es eben ausprobiert, wobei ich es nicht direkt anschließen konnte, sondern über einen kleinen Switch. Hat leider auch nicht geholfen. Gestern hatte ich auch mal meinen PC, den Server und den Speedport an den Switch gehängt, um den Switch auszuschließen. Das hat leider auch nicht funktioniert.

Ich hatte mal überlegt, ob es am DNS liegen könnte, aber das würde ja nicht erklären, wieso ich den Speedport nicht pingen kann. Wieso wird dann das Gateway in der opnsense als online angezeigt. Oh man...

Danke aber auf alle Fälle für die Hilfe!

Die Firewall ist in proxmox ist datacenter ebene per default zwar deaktiviert, jedoch auf node ebene standardmaäßig aktiv und auch bei den bridges. Ich habe hier auch nie etwas angepasst.

Der LAN-Bereich geht von 10-245 und die statische IP ist 254. Ich hatte den Screenshot da blöderweise abgeschnitten.