Messages

Danke für die zahlreichen Antworten.

• Der Futro S920 den ich hier einsetze ist die 4 Code 1.5 GHz variante mit AMD GX-415GA CPU. Also die vermeintlich Stabilere variante.
• Die Box hat zwar einen Realtek NIC verbaut, den nutze ich aber nur für's Gästenetzwerk. Dadran hängt auch nur ein Freifunk router, sonst nichts.
• Für LAN und WAN kommt eine Dual-NIC Karte mit Intel® 82576EB chip zum einsatz. AOC-PG-I2+

Als Firewall / Router alleine, ohne PPPoE zu machen, hinter dem Provider-Router läuft die Kiste jetzt seit 15 Tagen Stabil, ohne aussetzer, ohne auffälligkeiten. Was auch immer der Auslöser war...

Ich hatte vormals einen Futro S900 mit 2 Core 1GHz AMD G-T40N CPU. Lief zwar stabil (auch mit PPPoE) aber konnte lediglich 300 Mbit/s schaufeln. Mehr war nicht machbar, selbst bei minimum an Firewall Rules, ohne guestnet, etc.. Daher hatte ich geupgraded und die Hardware in verdacht.

Aber bei sehr hoher Last ... bricht da schon mal der Link zusammen und PPPoE kommt nicht mehr richtig hoch - Erfahrung von früher.

Ein Zusammenbrechen und nicht mehr hochkommen, wie du es beschreibst, sollte doch durch ein Kaltstart (wirklich Stecker raus, 10 mins warten, wieder rein) behoben sein. Was ich komisch fand war, das ich komplett neu konfigurieren musste.

Hallo,

ich habe mit OPNsense jetzt mehrfach Probleme gehabt.

1) IPv6 wollte nicht, obwohl in den Settings alles Richtig war.
2) PPPoE ging auf einmal nicht mehr, obwohl in den Settings alles Richtig war.

Jeweils hat ein einfacher Neustart nichts gebracht. Nur ein komplettes Reset auf "Werkseinstellungen" und alle Einstellungen neu setzen hat geholfen. Letztenendes habe ich den ISP Router wieder ans Modem gehangen und die OPNsense box (ohne PPPoE) dahinter, nur im Arbeitszimmer, damit die anderen Haushaltsmitglieder stabileres Internet haben.

Ich habe jeweils vor und nach werksreset die config xml datei verglichen. Sah jeweils im grossen ganzen identisch aus; Zeitstempel, UUID's und die Self-Signed-Zertifikate mal aussen vor gelassen.

Ich nutze OPNsense nicht so lange, nur etwa 6 Wochen wenn es hochkommt. Dennoch hatte ich 2 major aussetzer. Kann ich annehmen das der Futro S920 auf dem das läuft einen Hardwareschaden hat?
Ist das üblich das dies so instabil läuft?

Im prinzip nutze ich OPNsense eher als Router und weniger als ausgiebige Firewall.

Hallo,

tl;dr -> ping -6 google.com funktioniert auf der opnsense box, nicht im LAN.

long version;
ich habe eine OPNsense box direkt hinter dem Telekom Glasfaser Modem (nur Modem, kein Router).
Das Telekom übliche "PPPoE via VLAN 7" wird von der OPNsense box gemacht.
Die Box hat 3 Hardware NIC / Interfaces.
(igb0 -> lan, igb1.vlan7 -> pppoe telekom, re0 -> unused / future guestnet)
Ansonsten sind auf LAN Seite nur Switches und AP's ohne Router funktion.
Mein Computer ist im ersten Switch mittels Ethernet verbunden (kein wifi).

Code Select Expand


       Internet
            :
            : Deutsche Telekom
            :
      .-----+-----.
      |  Modem  | Pure Modem
      '-----+-----'
            |
        WAN | VLAN7 - PPPoE
            |
            | (igb1)
      .-----+------. 
      |  OPNsense  +------ (re0) unused
      '-----+------' 
            | (igb0)
            |
        LAN | 192.168.41.12 / 21
            |
      .-----+------.
      | LAN-Switch +------ (Computer 192.168.42.100)
      '-----+------'
            |
    ...-----+------... (Other stuff)


Die OPNsense Anleitung auf "Configure IPv6 for generic DSL dialup" habe ich befolgt.
Mein Computer im LAN bekommt auch eine IPv6 mit angemessenem präfix.
DNS6 funktioniert offenbar. "ping -6" löst auf eine IPv6 Adresse auf.

Aber tatsächlich pingen kann ich nicht. (Auch andere IPv6 Verbindungen schlagen fehl)

Code Select Expand


PS C:\Users\user> ping -6 google.com

Pinging google.com [2a00:1450:401b:80e::200e] with 32 bytes of data:
General failure.
General failure.
General failure.
General failure.

Ping statistics for 2a00:1450:401b:80e::200e:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
PS C:\Users\user>


Wenn ich jedoch via ssh mit der OPNsense box verbinde und dort "ping -6" in der Shell absetze dann funktioniert alles wie es soll.

In den Firewall rules sind auf den Interfaces lediglich die "Automatically Generated Rules" und im LAN Interface "Default allow LAN to any rule" und "Default allow LAN IPv6 to any rule". Nichts besonderes.

Was ich bereits versucht habe:
- Auf WAN SLAAC nutzen und dabei in kauf nehmen "nur" ein /64 Netz zu bekommen. Selbes Ergebniss. IP da, DNS auflösung klappt aber keine verbindung.


Was habe ich übersehen ?
Wieso scheint IPv6 zu funktionieren klappt dann aber nicht ?
Braucht ihr mehr info's ?

Meine Gateway einstellungen waren falsch.
Um den http server auf 192.168.100.1 zu erreichen musste ich auch im gateway als IP die 192.168.100.1 eintragen.
In der Liste stand dann erstmal "Misconfigured Gateway IP" aber ich konnte bereits wie gewünscht auf die Settings des Modems zugreifen.
Unter Interfaces musste ich noch die IP auf eine benachbarte wie z.B. 192.168.100.2 einstellen und die Netzmaske auf /24 setzen (war zuvor auf /32).

(Um 192.168.100.1 zu erreichen muss ein Gateway zu 192.168.100.1 gesetzt sein) Mein Fehler war das ich mit anderen IP in dem Subnetz rumversucht habe.

Firewall rules sind keine nötig um Zugriff zu bekommen. LAN -> opt0,opt1,OPTx zugriff funktioniert bei OPNsense immer. Die Firewall rules sind nur zum Einschränken gedacht.

"Dynamic gateway policy" würde vermutlich noch besser passen. Zumal das Zielsystem ja von OPNsense aus direkt ohne weiteres Gateway erreichbar ist. Aber da hänge ich jetzt doch wieder fest. Ich belasse es bei meinem aktuellen setup.

Code Select Expand


                   WAN
                    :
                    :
                .---+---. Glasfasermodem 2
                | GPON  | Deutsche Telekom
                | Modem |
                '---+---'
                    | ETH
       Untagged +---+---+ Vlan7
         Modem  |       | PPPoE
       Diagnose |       |
192.168.100.1/24|       |
                |       |
                |       |re0.vlan7.pppoe
                +---+---+
                    | re0
               .----+-----.   
               | OPNsense |   
               '----+-----'   
                    |   
                LAN | 192.168.40.1/21
                    |
              .-----+------.
              | LAN-Switch |----- + WiFi etc.
              '-----+------'
                    |
            ...-----+-----...
            (Clients/Servers)


Mein Setup ist wie oben. Eher Einfach. Tatsächlich hängt zwischen Modem und OPNsense Appliance nur ein Ethernet kabel. Internetzugang via PPPoE über VLAN7 mit OPNsense funktioniert bereits problemfrei.

Ich würde gerne zusätzlich auch auf das Diagnose Interface des Modems zugreiffen können. Das Modem exposed dafür eine HTTP Seite auf einer festen IP Adresse (nicht konfigurierbar) 192.168.100.1 . Anfragen aus dem gleichen Subnetz 24, z.Bsp. 192.168.100.2 werden beantwortet.

Was muss ich in OPNsense einrichten damit ich von einem beliebigen Client in meinem lokalen Netz darauf zugreifen kann (mit der IP adresse im Browser) ?
Ich bin bischen verwirrt was ich als Gateway, Route, etc. einrichten muss.

Ich habe bereits:
- Unter Interfaces re0 als opt2 mit namen "modemdiag" ein assignment gemacht.
- Unter Gateways "modem-diag-gw" mit IP 192.168.100.3 auf interface "modemdiag" eingerichtet.
- Unter Routes eine static route zu "192.168.100.0/24" mit gateway "modem-diag-gw" eingerichtet.

Wenn ich jetzt aber die IP des Modems 192.168.100.1 eingebe dann erhalte ich im Browser das Web-Interface von OPNsense selber, anstatt die vom Modem. Das finde ich recht verwirrend.

Kann mich da jemand bitte in die richtige Richtung weisen ?

Obviously your VPN client does not forward local addresses through the tunnel.
It is quite impractical to constantly change your home LAN subnet based on the subnet of the remote location you are connecting from. (Imagine travelling, airport, cafe, hotel) You'll get a collision some time.
Also it is a bit over the top to implement IPv6 just for this.

The simple solution is to tell your VPN client to forward all traffic through the VPN tunnel, not just traffic for your home LAN. So even when you are on some 192.168.1.0/24 network (while your home subnet is also 192.168.1.0/24) you will always be able to reach your home appliances with the tunnel.