Messages

Das Problem hatte sich neulich mit Hilfe des Hetzner-Supports gelöst. Offensichtlich hatte sich meine Hetzner-Firewall verschluckt. Nach einem Reset hat alles wieder sauber und flott funktioniert. Danke an alle, die mir geholfen haben. Immerhin war's nicht ganz umsonst – wieder mal ne Menge dabei gelernt.

hw.vtnet.csum_disable=1 ?

Ist schon so gesetzt.

Steht doch da: "no route to host". Der Default Gateway fehlt oder ist falsch konfiguriert.

Dann hätten die Pings und Webseiten im LAN aber auch nicht funktioniert.

Danke, meyergru. Deinen Post hatte ich auch schon mal durchgearbeitet. Allerdings hab ich nicht mehr im Kopf, was ich davon alles getestet habe. Hab keine Range, sondern nur eine zweite IP. Da wäre natürlich die 32 ausreichend. Ja, die OPNsense hat dann diese zweite IP. Die MACs sind zugeordnet und in der Schnittstelle der VM auch eingetragen.

Hab die interfaces-Datei jetzt grad mal nach Deinem Setup aus'm Post angepasst. Ändert aber nix. Gleiches Verhalten. Er bricht beim Update entweder mit Timeouts oder dem hier ab:

Code Select Expand

pkg-static: https://pkg.opnsense.org/FreeBSD:14:amd64/25.1/latest/packagesite.txz: No route to host
Es ist im Übrigen so, dass eine Linux-VM (Debian z.B.) tadellos läuft, wenn ich sie statt der OPNsense betreibe an der vmbr0. Daher meine Vermutung, dass es eher an der OPNsense liegt. Fühlt sich an, als ob er an einem Verbindungs-TTL oder sowas scheitert. Denn DNS-Anfragen gehen zackig raus.

Oje, das Drama mit den LANCOMs kenne ich auch. Ich kann nicht wirklich viel dazu beitragen, aber meine Erfahrungen: Es hat mit FQDN eigentlich bei mir nie funktioniert. Aber mit FQUN, solange das eine Mail-Adresse darstellt. Diese muss natürlich nicht existieren. Den Wizard habe ich nur zum Anlegen der Basics genutzt und dann die Knowledgebase-Artikel von der LANCOM-Webseite für das jeweilige Szenario. Ich hab dann die folgende Reihenfolge der Bedingungen gecheckt: 1. (Falls eingestellt) Prüfung des Peers. 2. Prüfung der Phase1-Algorithmen. (SHA256, SHA512 etc.) 3. Prüfung der FQUNs. 4. Prüfung der Phase2-Algorithmen. In der Reihenfolge scheitert's dann i.d.R. auch. Sobald Phase1 mal erfolgreich ist, sollte der Rest auch klappen. Leider ist der LANCOM-Support alles andere als brauchbar. Bei https://www.lancom-forum.de/ sitzen aber ein paar sehr schlaue Leute, die mir oft schon geholfen haben – falls es also nicht an der OPNsense liegen sollte.

Hi,

seit einer Woche beisse ich mir die Zähne aus. Ich hab zwei dedicated Server beim Hetzner, die sind exakt identisch eingerichtet und haben auch fast die selbe Ausstattung (unterschiedlich große HDDs). Der eine Server rennt wie eine Eins. Beim anderen habe ich nur Probleme.

Ich hab den nun zum x. Mal neu aufgesetzt: Im Rescue Modus Proxmox Bookworm drauf, /etc/network/interfaces angepasst, OPNsense ISO geladen und bei der Installation nur "Assign Interfaces" durchgeführt. vtnet0 ist WAN und bekommt per DHCP alles vom Hetzner. vtnet1 ist LAN und bleibt erst mal auf den Defaults. Anschliessend muss man ja die Hetzner DNS-Server eintragen und als System-Vorwarder in Unbound aktivieren. Zurück in der Console teste ich Pings auf "8.8.8.8" und auf "google.com". Beides klappt.

Aber mit der 12 (Update from Console) braucht es eeeewig, bis der mal anfängt und dann bricht er nach etlichen Paket-Downloads mit einem Timeout ab. Ich kann also nicht updaten. Andere VMs kann ich ins LAN der OPNsense verbinden und sie sind online. Aber auch da bekomme ich of Timeouts bei Webseiten, Updates etc. Es gibt keine übermässige Ressourcenlast. IPv6 ist komplett deaktiviert. Über tcpdump am Proxmox-Host sehe ich, dass die Verbindungen der OPNsense auch stattfinden, aber nur mässig Traffic da ist. Die Hetzner-Firewall kann's nicht sein, denn wenn ich sie deaktiviere, sieht's auch nicht anders aus. Wo kann ich noch nach der Ursache suchen? Bin am Ende mit meinem Latein und echt dankbar für jeden Tipp.

Hier noch die /etc/network/interfaces:

Code Select Expand

source /etc/network/interfaces.d/*

auto lo
iface lo inet loopback
iface lo inet6 loopback
iface eth0 inet manual
iface eno1 inet manual

auto vmbr0
iface vmbr0 inet static
address hier.die.erste.ip/26
gateway hier.ist.das.gateway
bridge-ports eno1
bridge-stp off
bridge-fd 1
pointopoint hier.ist.das.gateway
bridge_hello 2
bridge_maxage 12
#OPNSense WAN + Intranet

auto vmbr1
iface vmbr1 inet manual
bridge-ports none
bridge-stp off
bridge-fd 0
#OPNSense LAN


Danke. Hat jetzt geklappt. War wohl schon auf dem richtigen Weg. Hatte vorher nur noch n Pi-Hole dazwischen, deswegen ging mein erster Versuch nicht.

Liebes Forum,

bin noch relativ neu mit OPNsense. Mit Netzwerk und Linux bin ich recht fit. Ich möchte hier ein Webhosting mit mehreren TLD-Domains simulieren, um gefahrlos einen uralten Strato-VServer zu aktualisieren, auf dem diese Webseiten derzeit laufen. Diesen VServer hab ich erfolgreich in eine lokale VM geklont. Die läuft nun unter 192.168.1.135 hinter der OPNsense. Was muss ich wo in der OPNsense nun einstellen, damit ich dessen Websites lokal aufrufen kann? Sie laufen unter www.meineseite1.de, www.meineseite2.de etc. Ich will also nicht die Seiten auf dem Strato-VServer aufrufen, sondern die von meiner VM. (Ändere ich auf meinem Laptop die /etc/hosts entsprechend ab, funktioniert das auch schon wunderbar. Aber ich möchte das natürlich hier netzwerkweit.)

Danke schon mal.

Habe mir nun ein Netz aus OPNsense und Fritzbox mit zwei FritzRepeatern gebaut. Auf einem alten Mac Mini mit Thunderbolt-Ethernet-Adapter läuft OPNsense sehr gut. Am Adapter hängt das Glasfaser-Modem (Zugangsdaten per PPPoE), am normalen Ethernet-Anschluss hängt ein Switch. Am Switch hängen dann die AVM-Produkte. Die Fritzbox ist als IP-Client eingerichtet. Sie kann WLAN wie gehabt inkl. Mesh. Und es hängen natürlich noch andere Clients dran (Server, Drucker etc.). Was natürlich nicht mehr geht sind der MyFritz-Zugang zur Box und VPN. Aber VPN soll ja nun auch OPNSense machen. Alles in allem eine schöne Lösung. Ich hatte mit deutlich mehr Einschränkungen bei der Fritz gerechnet.

Mein Beispiel war exemplarisch gemeint für Fälle, in denen man das Modem der Fritzbox nutzen muss/möchte. Hätte auch eine "Glasfaser-Fritzbox" sein können.

Ja, da ist wohl mein Denkfehler. Sobald ein Client dann die Fritzbox entdeckt und sie für WAN-Routing selbst nutzt, ist die OPNsense für die Katz...

Super erklärt. Vielen Dank. Eine Idee hätte ich noch: ich habe Glasfaser, also ein Glasfasermodem. Nehmen wir an, ich hänge die Frizbox dort dran mit ihrem WAN-Port, deaktiviere DHCP und gebe ihr eine IP aus dem Intranet der OPNsense. In der OPNsense stelle ich dann eine Route ein, dass Internet über die IP der Fritzbox hinaus geroutet werden soll. So müssten doch alle Funktionen der Fritzbox (ausser DHCP und NAT) noch gehen? Und die OPNsense sollte wie gewünscht für die anderen Clients funktionieren? Oder mache ich da einen Denkfehler?

Weiß denn eigentlich jemand, wie die Fritzboxen die Trennung des Gast-WLANs erzeugen, wenn Fritz-Repeater standardmäßig (also ohne OPNsense) in deren Netz hängen? Wenn dazu kein VLAN genutzt wird, könnte wohl Packet Sniffing zwischen den Netzen betrieben werden?

Thanks Maurice. I did a first test with tcpdump in a simple demo setup and two switches. Seems to be okay. Will test it with real traffic. I wish, I could have done it all within the gateway router, a Fritzbox. One could connect its WAN directly to its LAN and connect that to a managed switch. But no info anywhere about the internal VLAN handling of a Fritzbox.

Seems like you need to set up firewall rules allowing this.

Hello,

my hardware has only one ethernet port. Is it save to use the same ethernet cable for LAN and WAN, when WAN is via PPPoE with VLAN tag 7 and LAN is untagged? On the other side the VLAN gets separated by a managed switch, so LAN goes to the rest of the intranet and VLAN 7 goes to the modem. Could an attacker from the WAN side be sniffing packets from the LAN?

Thanks for any hints.

Sorry, wrong place. Please delete.