Messages

Danke. Das denke ich auch. Ich hab mir ein Tutorial zur Umstellung angeschaut. Das sollte kein Problem sein.

Hi. Hier im Netz haben manche IPs einen falschen Hostnamen, meist von Geräten, die diese IP vorher mal hatten, aber nicht mehr existieren. Ich sehe die am PC und Laptop, wenn ich einen Netzwerk-Scan mache. Die ARP Tables am PC/Laptop hab ich bereits gelöscht. Nun frage ich mich, ob das vielleicht auch von der OPNsense kommen könnte? Dort macht ISC DHCPv4 seinen Dienst. Bei den Leases ist aber nichts von den Leichen zu finden. Bin also dankbar für Tipps, wo ich noch suchen könnte.

Inzwischen bin ich zu einer ähnlichen Erkenntnis gekommen. Es ist viel zu aufwändig für ein temporäres Szenario. Ich werde mir die Mühe machen und die vorhandene Wordpress-VM so weit kastrieren, dass sie von meinem Reverse Proxy angesteuert werden kann. Aber dennoch danke für Euren Input. Hab viel dazugelernt. Sollte mir noch ein Lichtlein aufgehen, werde ich es natürlich hier posten.

@meyergru: Ja, manchmal ist der Schlauch auf dem man steht auch eine Art Traffic Shaper... Danke. Hab die Schnittstelle für die VM jetzt angelegt, MAC eingetragen, aber keine Änderung.

@JeGr: Versuche es mal so – Beim Hetzner sind es drei IPs (Proxmox, WAN1, WAN2) und deren Firewall, die alles zu WAN1/2 durchlässt. In Proxmox gibt es vmbr0 = OPNsense LAN und vmbr1 = OPNsense WAN, siehe Screenshot. Die OPNsense VM hat drei Netzwerkkarten (LAN, WAN1 mit MAC1, WAN2 mit MAC2). Naja, und eine der anderen VMs ist der Reverse Proxy, der die WAN IP 2 bedienen soll, während die Wordpress VM die WAN IP 1 bedient. Wie würdest Du das sonst lösen?

Inzwischen hab ich mit tcpdump in der Proxmox Shell gesehen, dass die Pings auf die WAN IP 2 ankommen. Aber nur auf enp0s31f6, nicht auf der vmbr1. Somit sieht die OPNsense VM die gar nicht. Der Hund liegt also im Networking von Proxmox. Hier mal meine aktuelle /etc/network/interfaces:

Code Select Expand

source /etc/network/interfaces.d/*

auto lo
iface lo inet loopback
iface lo inet6 loopback

auto enp0s31f6
iface enp0s31f6 inet manual

auto vmbr1
iface vmbr1 inet static
        address x.x.x.91/27
        gateway x.x.x.65
        pointopoint x.x.x.65
        bridge-ports enp0s31f6
        bridge-stp off
        bridge-fd 0
        post-up echo 1 > /proc/sys/net/ipv4/ip_forward
        post-up echo 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arp
        post-up echo 1 > /proc/sys/net/ipv6/conf/eth0/forwarding
#OPNsense WAN

auto vmbr0
iface vmbr0 inet manual
        bridge-ports none
        bridge-stp off
        bridge-fd 0
#OPNsense LAN
Zu den IPs: Proxmox = .91, IP1 = .88, IP2= .78, GW = .65

P.S.: Im Screenshot ist noch eine alte Netzmaske drin mit /24.

Super, danke für Eure rege Unterstützung zu später Stunde.

@meyergru: Beide WAN IPs kommen über einen Ethernet-Port rein. Ich hab auch nur den. Da kann ich dann keine weitere der Bridge hinzufügen. Und ich würde gerne alles über die eine OPNSense-Instanz laufen lassen.

@JeGr: Das Ziel ist, ein total vermurkstes WordPress-Hosting zu umgehen. Der Kollege hat da über Jahre innerhalb einer einzigen VM (die ich hierher migrieren musste) WordPress, CRM, ERP und noch ein paar andere Sachen installiert. Ich möchte das nun einmal sauber neu aufziehen (also getrennter Reverse Proxy, eigene LAMP VMs für WordPress etc.) und eine Seite nach der anderen über eine zweite WAN IP wieder zugänglich machen. (Natürlich im laufenden Betrieb. Sonst wär's ja einfach...) Die Websites der alten VM sind also über die erste WAN IP erreichbar und wenn die DNS Records dann umgestellt werden, sind sie unter ihren neuen VMs dann über die zweite IP erreichbar.

So ganz versteh ich es noch nicht, wie ich in der OPNsense die zweite WAN-Schnittstelle reinkrieg. Wo genau kommt die zweite MAC in der OPNsense rein? Hab ja derzeit nur zwei Schnittstellen WAN und LAN.

Ja, sorry –  das hatte ich vergessen zu erwähnen. Proxmox im Bridged Setup beim Hetzner. Es ist bei weitem nicht meine erste Installation dieser Art, nur eben nicht mit einer zweiten IP. Der Hetzner-Support hat mir bestätigt, dass die IPs korrekt geroutet werden auf seiner Seite. Die Pings kämen also bei meinem Dedicated an, aber eben nicht durch die OPNsense. Mein Setup entspricht dem, was meyergru im ersten erwähnten Thread beschreibt.

Wenn ich im Hetzner Robot für die zweite IP eine MAC erstelle, müsste ich doch in der OPNSense VM eine zweite WAN-Schnittstelle haben, um dort die MAC eintragen zu können? Da stehe ich grade auf dem Schlauch, wie man beide MAC-Adressen hinterlegt, wenn die OPNsense nur eine WAN-Schnittstelle hat. Der Traffic beider IPs geht doch über's Gateway?

Es mag nicht klappen. Die virtuelle IP ist richtig gesetzt. Ich habe den Eindruck, dass der Traffic der zweiten WAN IP gar nicht ankommt. Allerdings gibt es beim Provider (Hetzner, dedicated) nichts, was dafür spricht. Die Firewall vom Hetzner lässt alles rein/raus unter beiden WAN IPs. In OPNsense habe ich nun Ping auf WAN erlaubt. Die erste WAN IP reagiert, die Neue nicht.

Danke für die Erklärung. Es sieht jetzt so aus, wie in den Screenshots, aber klappt noch nicht in Bezug auf die 2. WAN IP. Ich hätte gedacht, dass diese als "Source" eingetragen werden muss, da sie ja Quelle der Anfrage ist. Oder liege ich da falsch? Wird das Alias als Host oder als Network angelegt?

Hi. Mein Hosting-Setup ist bisher recht klassisch: OPNsense mit einer WAN- und einer LAN-Schnittstelle, dahinter diverse VMs mit Portweiterleitungen dorthin. Läuft perfekt. Auf die WAN-Schnittstelle kommt nun eine zweite IPv4 (um vorübergehend einen zweiten Webserver darüber erreichbar zu machen).

Die Doku ist nicht sehr hilfreich. Sie spricht da nur von Load Balancing etc. Das brauche ich nicht. Ich habe aus den anderen Posts hier rausgelesen, dass man die neue IP als virtuelle IP der vorhandenen WAN-Schnittstelle zuweist. Danach muss eine Outbound-Regel (Source = LAN IP des Webservers, Translation Target = neue WAN IP) und entsprechend eine Portweiterleitung anlegen. Aber es mag nicht klappen.

Wo sage ich der OPNsense, dass Port 80 von der neuen WAN IP (und nicht von der Bisherigen!) auf den Webserver geht? Müssen die alten Portweiterleitungen angepasst werden, um weiterhin korrekt die alte WAN IP wie bisher zu bedienen?

Danke schon mal.

Das Problem hatte sich neulich mit Hilfe des Hetzner-Supports gelöst. Offensichtlich hatte sich meine Hetzner-Firewall verschluckt. Nach einem Reset hat alles wieder sauber und flott funktioniert. Danke an alle, die mir geholfen haben. Immerhin war's nicht ganz umsonst – wieder mal ne Menge dabei gelernt.

hw.vtnet.csum_disable=1 ?

Ist schon so gesetzt.

Steht doch da: "no route to host". Der Default Gateway fehlt oder ist falsch konfiguriert.

Dann hätten die Pings und Webseiten im LAN aber auch nicht funktioniert.

Danke, meyergru. Deinen Post hatte ich auch schon mal durchgearbeitet. Allerdings hab ich nicht mehr im Kopf, was ich davon alles getestet habe. Hab keine Range, sondern nur eine zweite IP. Da wäre natürlich die 32 ausreichend. Ja, die OPNsense hat dann diese zweite IP. Die MACs sind zugeordnet und in der Schnittstelle der VM auch eingetragen.

Hab die interfaces-Datei jetzt grad mal nach Deinem Setup aus'm Post angepasst. Ändert aber nix. Gleiches Verhalten. Er bricht beim Update entweder mit Timeouts oder dem hier ab:

Code Select Expand

pkg-static: https://pkg.opnsense.org/FreeBSD:14:amd64/25.1/latest/packagesite.txz: No route to host
Es ist im Übrigen so, dass eine Linux-VM (Debian z.B.) tadellos läuft, wenn ich sie statt der OPNsense betreibe an der vmbr0. Daher meine Vermutung, dass es eher an der OPNsense liegt. Fühlt sich an, als ob er an einem Verbindungs-TTL oder sowas scheitert. Denn DNS-Anfragen gehen zackig raus.

Oje, das Drama mit den LANCOMs kenne ich auch. Ich kann nicht wirklich viel dazu beitragen, aber meine Erfahrungen: Es hat mit FQDN eigentlich bei mir nie funktioniert. Aber mit FQUN, solange das eine Mail-Adresse darstellt. Diese muss natürlich nicht existieren. Den Wizard habe ich nur zum Anlegen der Basics genutzt und dann die Knowledgebase-Artikel von der LANCOM-Webseite für das jeweilige Szenario. Ich hab dann die folgende Reihenfolge der Bedingungen gecheckt: 1. (Falls eingestellt) Prüfung des Peers. 2. Prüfung der Phase1-Algorithmen. (SHA256, SHA512 etc.) 3. Prüfung der FQUNs. 4. Prüfung der Phase2-Algorithmen. In der Reihenfolge scheitert's dann i.d.R. auch. Sobald Phase1 mal erfolgreich ist, sollte der Rest auch klappen. Leider ist der LANCOM-Support alles andere als brauchbar. Bei https://www.lancom-forum.de/ sitzen aber ein paar sehr schlaue Leute, die mir oft schon geholfen haben – falls es also nicht an der OPNsense liegen sollte.

Hi,

seit einer Woche beisse ich mir die Zähne aus. Ich hab zwei dedicated Server beim Hetzner, die sind exakt identisch eingerichtet und haben auch fast die selbe Ausstattung (unterschiedlich große HDDs). Der eine Server rennt wie eine Eins. Beim anderen habe ich nur Probleme.

Ich hab den nun zum x. Mal neu aufgesetzt: Im Rescue Modus Proxmox Bookworm drauf, /etc/network/interfaces angepasst, OPNsense ISO geladen und bei der Installation nur "Assign Interfaces" durchgeführt. vtnet0 ist WAN und bekommt per DHCP alles vom Hetzner. vtnet1 ist LAN und bleibt erst mal auf den Defaults. Anschliessend muss man ja die Hetzner DNS-Server eintragen und als System-Vorwarder in Unbound aktivieren. Zurück in der Console teste ich Pings auf "8.8.8.8" und auf "google.com". Beides klappt.

Aber mit der 12 (Update from Console) braucht es eeeewig, bis der mal anfängt und dann bricht er nach etlichen Paket-Downloads mit einem Timeout ab. Ich kann also nicht updaten. Andere VMs kann ich ins LAN der OPNsense verbinden und sie sind online. Aber auch da bekomme ich of Timeouts bei Webseiten, Updates etc. Es gibt keine übermässige Ressourcenlast. IPv6 ist komplett deaktiviert. Über tcpdump am Proxmox-Host sehe ich, dass die Verbindungen der OPNsense auch stattfinden, aber nur mässig Traffic da ist. Die Hetzner-Firewall kann's nicht sein, denn wenn ich sie deaktiviere, sieht's auch nicht anders aus. Wo kann ich noch nach der Ursache suchen? Bin am Ende mit meinem Latein und echt dankbar für jeden Tipp.

Hier noch die /etc/network/interfaces:

Code Select Expand

source /etc/network/interfaces.d/*

auto lo
iface lo inet loopback
iface lo inet6 loopback
iface eth0 inet manual
iface eno1 inet manual

auto vmbr0
iface vmbr0 inet static
address hier.die.erste.ip/26
gateway hier.ist.das.gateway
bridge-ports eno1
bridge-stp off
bridge-fd 1
pointopoint hier.ist.das.gateway
bridge_hello 2
bridge_maxage 12
#OPNSense WAN + Intranet

auto vmbr1
iface vmbr1 inet manual
bridge-ports none
bridge-stp off
bridge-fd 0
#OPNSense LAN