Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - Swtrse

Pages1
#1
General Discussion / Re: Unbound DNS not working anymore
May 28, 2024, 11:38:57 PM
I nailed down the problem to a dependency with the DHCP service. When giving out new leases. The DHCP service seams to restart UnboundDNS to register the server's name for DNS resolve. Sometimes this seems to fail.

The solution that would work best in my opinion is some UnboundDNS API that could register and unregister names on the fly so that service restarts are not needed.
Or not so elegant to solve the service restart problem.

Oh and if UnboundDNS fails the Intrusion Detection fails too.

The error I get for UnboundDNS if it fails is in the general system protocolls.
Code Select
/usr/local/sbin/pluginctl: The command '/bin/kill -'TERM' '37665''(pid:/var/run/unbound.pid) returned exit code '1', the output was 'kill: 37665: No such process'
I do not see realy more than that.
#2
24.1, 24.4 Legacy Series / Re: DHCP static mapping for changing MAC-addresses
May 05, 2024, 12:25:25 AM
Quote from: Greg_E on March 12, 2024, 03:30:10 PM
The MAC should not change, I'm not seeing this on my XCP-NG systems. if it did I have one application that would fail because it is "licensed" against the MAC address.

On my lab system I've moved one win 10 eval all over the place and the mac (and dhcp) did not move.
Just to be complete. Here is the forum link where even the devs will tell you that MAC address will change if you do a VM restore or a vm copy operation or a vm move operation. https://xcp-ng.org/forum/topic/5535/preventing-new-network-detection-on-different-xcp-ng-hosts
#3
German - Deutsch / Firewallregel trifft nur manchmal
March 21, 2024, 01:55:38 PM
Ich verstehe etwas nicht:
In meinem Subnetz DMZ habe ich eine Regel aktiv die jeglichen Netzwerkverkehr nach außen erlaubt.
Trotzdem sehe ich im log immer wieder Abgelehnte Pakete.

Sehr verwirrend ist allerdings das es nicht Konsistent ist. Hin und wieder werden Pakete angenommen und hin und wieder nicht.
Die Regel ist definiert als Eingehend
Protokoll: IPv4+6 *
Quelle: DMZ Netzwerk
Quellport, Ziel, Zielport Gateway Zeitplan: *

Keine Ahnung warum.
#4
German - Deutsch / Re: A1 PPPoE mit zusätzlichen IP Adressen
March 14, 2024, 05:31:55 AM
Nach einer Nacht voll Kaffee und herumprobieren habe ich es geschafft  ;D

Ich habe die Zusätzlichen Adressen als Virtuelle IPs angelegt und den Gateway den PPPoE ermittelt als Gateway eingetragen.

Ich kann die IPs von außen pingen und ein source ping von innen heraus funktioniert auch mit den IPs.
Eine Verbindung ist also da, wenn jetzt noch etwas nicht funktioniert kann es nur an den NATs liegen aber die habe ich jetzt noch nicht ausprobiert und dazu bin ich jetzt auch zu müde.
Ich könnte auch schwören ich hab genau dieses Setup schon zig mal versucht ohne Erfolg.

Einzig eines ist mir eingefallen. Der Gateway der von PPPoE gemeldet wird. Ich weiß nicht ob dieser immer der selbe ist oder ob der ev. wechseln könnte. Gibt es eine Möglichkeit der Virtuellen IP zu sagen das sie immer den eingerichteten Gateway aus System->Gateways zu nehmen.
Den Namen kann man leider nicht angeben da eine IP Adresse erwartet wird.

#5
German - Deutsch / A1 PPPoE mit zusätzlichen IP Adressen
March 12, 2024, 05:15:55 PM
Hallo,

Ich bins wieder mit einem ganz spezifischen Problem.
Ich sitze hier in Österreich hinter einem A1 Business Internetanschluss.
Technisch ist das ganze so aufgebaut das die Leitung zu mir in Haus kommt.
Dort ist ein Splitter von dem das Internet dann zum A1 Router geht, der das dann im Haus verteilt.
Da ich den A1 Router nicht mag und ich auch keine IP Adressen verschwenden will habe ich den A1 Router kurzerhand abgebaut und statt dessen eine OPNsense angehängt.
Dann habe ich PPPoE konfiguriert was auch einwandfrei funktioniert. Die OPNsense wählt sich ein bekommt eine IP und ich habe internet.

Die IP die ich bekommen ist a.b.c.d/32 was ok ist.
Das ist auch die 1. IP-Adresse laut provider. Mit der kann ich mich ins Internet verbinden.
OPNSense meldet mir dann auch eine GatewayIP die per pppoe bezogen wird, funktioniert alles fein.

ABER

Ich habe als Zusatzpaket noch weitere IP-Adressen w.x.y.z/29.
Egal was ich versuche ich bekomme diese IP-Adressen nicht zum laufen.
Ich habe schon Virtuelle IPs versucht.
Ich habe 1:1 NATs mit meinem TestPC versucht
Ich habe ausgehendes NAT mit meinem Internen Netzwerk versucht.
Aber wenn ich eine myip abfrage mache. Zeigt er entweder meine a.b.c.d IP an oder der Internetzugang geht gar nicht.
Das ganze ist mir deshalb wichtig weil ich mehrere VLANs betreibe.
VLAN 1: Soll genattet werden über a.b.c.d -> Funktioniert soweit
VLAN 2: Soll genattet werden über w.x.y.z1
VLAN 2 Server1: Soll 1:1 genattet werden über w.x.y.z2
Da ich mir sicher bin das der Fehler bei mir liegt wollte ich wissen, ob jemand ein ähnliches Setup hat und weiß, wie man das löst.

#6
German - Deutsch / Re: DHCP statische IP Zuweisung bei wechselnden MAC Adressen
March 12, 2024, 05:01:05 PM
1. Das ist meine Heimfirewall und meine Spielwiese. Also nichts mit Produktiv  :P
2. Weil OPNsense ausdrücklich ISC als deprecated eingestuft hat.
3. Ich habe mir gedacht OPNsense kenne ich noch nicht und wenn ich es schon ausprobiere dann auch bitte die neuesten features.  8)
#7
24.1, 24.4 Legacy Series / Re: DHCP static mapping for changing MAC-addresses
March 12, 2024, 04:58:00 PM
Ok, I found the solution.

I was too focused on Kea.

As I found out ISC is perfectly capable of linking the lease mapping with the DUID and not relying on the MAC Address.

So it looks like Kea is not capable of that yet, and ISC is the way to go. At least for the moment.
#8
German - Deutsch / Re: DHCP statische IP Zuweisung bei wechselnden MAC Adressen
March 12, 2024, 04:54:52 PM
Ja, danke das wars.
Leider muss ich mich dazu von Kea verabschieden und wieder ISC benutzen.
Kea kann es nämlich im Moment noch nicht. Zumindest von der GUI aus
#9
24.1, 24.4 Legacy Series / Re: DHCP static mapping for changing MAC-addresses
March 12, 2024, 04:50:20 PM
@Greg_E I see this for example every time I restore a Snapshot or the VM is moved to an other host in the same pool, or the vm is stopped and started again. This does not work well with my DHCP-Server where I give static leases to some of the vms based on the MAC address.

The server are in there own subnet with static IP so no problem there.
However, the DEV Environments where VMs are created, restored, started, stopped as needed depend on DHCP.
#10
24.1, 24.4 Legacy Series / DHCP static mapping for changing MAC-addresses
March 12, 2024, 12:14:23 PM
Hello,

I am moving from openWrt firewall to OPNsense.

I am struggling to copy the DHCP settings.

My problem is, I run a XCP-ng hypervisor with 3 hosts in a pool. Every time a VM is restarted or (automatically) moved to a other host in the pool the MAC-Address of this VMs network card is changing. This behavior can not be turned off and I suspect it is the same on XenServer.

On openWrt I could register the static mappings based on the DUID (or if everything else fails on the hostname). I did not find a way to do that on OPNsense.
Did I miss anything?
#11
German - Deutsch / DHCP statische IP Zuweisung bei wechselnden MAC Adressen
March 12, 2024, 12:00:13 PM
Hallo,

Ich ersetze gerade meine OpenWrt Firewall durch OPNsense.
Ein Feature, von dem ich Gebrauch machen "musste", war die Möglichkeit statische IP-Zuweisungen des DHCP servers nicht an der MAC-Adresse, sondern an der DUID bzw. in extremen Fällen nur am Host Namen (wobei ich das eher vermeide).

Ich habe bei OPNsense weder bei ISC noch bei KEA etwas in der Richtung gefunden.
Mein Problem ist das in meinem Netzwerk XCP-ng mit einem Pool in dem 3 Hosts vorhanden sind läuft. VMs werden je nach Bedarf (auch automatisch) zwischen den 3 Hosts herumgeschoben. XCP-ng vergibt jedes Mal wenn eine VM so verschoben wird, oder die VM neu gestartet wird eine neue MAC Adresse an der Netzwerkschnittstelle. Dieses verhalten ist XCP-ng auch nicht abzugewöhnen und dürfte tief im Kern vergraben sein. Ich gehe davon aus das es dann bei XenServer genauso sein wird.

Jedenfalls suche ich die Möglichkeit einen statischen DHCP lease an etwas festzumachen was sich nicht ändert.
Hat hier jemand Erfahrungen damit?
Pages1