Messages

So if anybody facing the same Problem with fritzbox PD (opnsense behind fritzbox), my solution is ULA Adresses. Then you just need to set a static Route in your Fritzbox to the ULA network you definded in OPNsense with the ipv6 gateway of your opnsense wan.

But if there is a solution for a stable PD Delegation from the Fritzbox i would be interested as well (just mentioning that the PD of my ISP is always the same, so this is not the problem here).

If you want to get IPv6 going, see this. Of course, you can do anything you like, but I have tried a lot with IPv6 and that is what works best (for me).

Thank you for mentioning this. My Problem is i have a fritzbox infront of my OPnsense and the PD crash after a while. Works in the beginning, but after a while my router decide to delegate new PD so my setup crashes. When i restart my ISC DHCPv6 Lan Client in opnsense i get the PD that works again, but after a while Fritzbox delegate again a new one. So i wanted to try a setup with ULA's so i have stable IPv6 Adresses, without changing the PD setup, which is working when fritzbox won't delegate new PD after a while.

So i try to get as comfortable with opnsense to set this directly to the internet access, but at the moment i'm learning. So i guess for me the best solution is drop PD and use ULA adresses then. I guess a ULA only setup is not the worst option, but the most to configure. Or is there an Option to get the fritzbox to no delegate new PD after a while?

Hi,

i would like to know if it is possible to set, for a lan network in Opnsense, an ULA IPv6 Network and an PD (Präfix Delegation) IPv6 Network at the same time and if it is possible how to reach this.

Best reagards 

Dann ist OpnSense Dein natürlicher Feind... ;-)

Soweit würde ich jetzt nicht gehen aber meine Wunschvorstellung wäre natürlich Einfachheit :D.

Normalerweise nicht, aber: Da Dein Provider Dir aber nur CG-NAT liefert, wird wohl keine von außen kommende IPv4 eine Verbindung zu Dir versuchen. Und eine IPv6 auch eher nicht, es sei denn, Du machst sie irgendwie bekannt. Bei 2^128 möglichen IPv6 macht sich kein Hacker die Mühe, Dich zu finden.

Es gibt zwar Pakete, deren Quelladresse im Internet liegt, das sind aber nur Antworten auf Pakete, die Du zuerst ausgesendet hast. Und wenn die ausgehende Richtung erlaubt ist, sind die Antworten darauf automatisch ebenfalls erlaubt, werden also nicht in einem Protokoll als geblockt auftauchen.

Ertsmal Danke dafür. Ich glaube grob zu verstehen was du mir sagen möchtest, mit den Quelladressen wundert mich aber immer noch ein wenig. Aber learning by doing. Vllt versteh ich hier irgendwann noch wieso weshalb. Mich wundert dann auch warum die Einträge überhaupt im Log erscheinen, aber ich hoffe das klärt sich in meinem Kopf auch noch irgendwie.

Immer nur alle Regeln "in" machen, weil das bedeutet hier, in die Firewall rein gehen. Und da entscheidet sich dann, was erlaubt oder verboten ist.
Und einen Alias RFC1918 machen, mit allen privaten IP-Blöcken. Damit kannst du dann dein LAN blockieren und mit einer zweiten Regel alles, also quasi den Rest, erlauben.

Danke für den Hinweis, ist eingebaut :).

Das kommt darauf an, was genau du willst. Was willst du denn? Du wirst es auch nicht schaffen, z.B. alle IP-Adressen von Facebook Tiktok aufzulisten, um diese zu sperren. Die ändern sich dauernd.

Für so etwas brauchst du mindestens DNS-Blocklisten zusammen mit Unbound oder AdGuard Home oder evtl. auch so etwas wie Zenarmor.

Was ich will ist es so einfach wie möglich halten :D. Also in dem Fall wollte ich erstmal nur das ich quasi aus einem lan auf das Internet zugreifen kann ohne auf die anderen lan´s zuzugreifen, quasi um internen Verkehr zu kontrollieren/unterbinden. In Vorbereitung auf eine DMZ bzw. ein Admin Lan Segment. Was ich auch noch nicht so ganz verstehe ist das in and out. Also grundsätzlich kapier ich das, aber was mich verwirrt ist wenn ich die Protokollierung aktivieren und dann nach in Filter, die Quelle Interne IP´s sind und das gleiche auch bei Out passiert. Also Quelle immer meine internen IP-Adressen. Aber ist vermutlich so durch die Opnsense definiert das Quellen immer intern sind?

Das war ja nur ein Beispiel mit dem 8.8.8.8. Jeder Webserver im Internet ist "any" und nicht "WAN net". Es sei denn, du willst alles, was deine internen Clients jemals aufrufen dürfen, ausdrücklich auflisten. Dann kannst du mit Destination arbeiten. Musst halt eine Liste von allen Zielsystemen bauen ;-)

Danke :). Hab das nur nochmal erwähnt weil ich nicht wusste ob es irgendwie wichtig ist. Dann lag bei mir wohl ein Verständnis Fehler vor. Ich dachte wenn er das Gateway hat kann er ins Internet kommunizieren und da dann wie er will. Also muss ich quasi immer über any arbeiten und dann alles blockieren was ich nicht will wenn ich das jetzt richtig verstehe?!. 

Also wenn ich alle internen Netze blocke, komme ich dem nahe was ich möchte, um granulare Zugriffsrechte zu erstellen. Aber ist es denn nicht irgendwie möglich über die Destination das zu machen ohne weitere Block Regeln erstellen zu müssen? Ich vermute das das geht nur check ich nicht wie :D. Wie gesagt Hilfe ist immer willkommen

Relevant ist die Ziel-Adresse, die erreicht werden soll. Nur mal als Beispiel 8.8.8.8, damit man Googles DNS-Server erreicht. Diese ist nicht "WAN net". Diese ist "any". "WAN net" ist nur das Netz zwischen OPNsense und Fritzbox, typisch 192.168.178.0/24.

Also mein DNS Server ist auch im WAN also gleicher IP-Adressbereich wie WAN net. Nutze keinen öffentliche sondern Pi-Hole mit unbound.Hab auch schon probiert explizit die IP-Adressen meines DNS Server freizugeben, aber mit dem selben Ergebnis

WAN_net ist niemals das Internet und müsste in deinem Falle das LAN der Fritzbox sein.

Aber das Gateway ist ja die Fritzbox, und wenn diese im WAN ist und die opnsense Zugriff auf dieses Netzwerk hat müsste es doch eigentlich gehen?!

Hi,

also mein Setup ist das meine Opnsense hinter einer Fritzbox hängt und ich durch meinen ISP nur eine öffentliche IPv6 habe. Hab auch eine IPv4 von meinem ISP aber das ist aus einem IP Bereich der wohl nicht zugänglich ist über das Internet (kenne mich da aber nicht wirklich aus). Präfix für ipv6 habe ich delegiert und funktioniert auch alles. In meiner Fritzbox habe ich für Heimnetz und IPv6 einen eigenen IPv6 ULA-Präfix manuell festgelegt. Weiterhin hab ich in meiner Fritzbox sämtlichen Traffic für UDP und TCP auf port 53 für alle Geräte blockiert außer für meinen DNS Server.

Wenn ich nun in einem Lan Bereich der OPNSense die Standardregeln für ipv4 und ipv6 nutze funktioniert alles einwandfrei (Also Erlauben, Quelle LAn, Ziel any, alle ports ...). Da ich aber ein bisschen mit spezielleren Zugriffsregeln experimentieren möchte will ich diese Regeln spezifischer machen. Wenn ich bspw. hier für Ziel any Ziel WAN net eingebe kann ich bspw noch chatgpt nutzen aber ich bekomme keine webiste mehr aufgelöst. Wenn ich einen nslookup mit Ziel Wan net machen sehe ich die IPv6 Adresse meines DNS Servers, aber bekommen auch DNS request timed out. timeout was 2 seconds. Anpingen kann ich die IPv6 Adresse des DNS Servers ebenfalls. Ich hab hier schon ein paar sachen ausprobiert bekomme es aber nicht zum laufen und verstehe nicht wo das Problem liegt, wenn ich Ziel auf WAN net stelle. Rein logisch müsste es aus meiner Sicht funktionieren. Wie gesagt Chatgpt kann ich dann auch nutzen aber eben keine anderen Websites aufrufen sodass ich vermute DNS spielt hier mit rein.

Ich weiß gerade nicht mehr weiter und bin über neue Impulse dankbar. Da ich UDP und TCP für port 53 in der Fritzbox für alle Geräte außer DNS gesperrt habe könnte vllt ein Problem sein, weswegen ich es mit angegeben habe. Ich hoffe jemand kann mir weiterhelfen. Falls weitere Informationen benötigt werden lasst es mich wissen.

LG und danke im vorraus.

Hi,

meine OPNSense läuft hinter einer Fritzbox. IPv6 habe ich nach
https://docs.opnsense.org/manual/how-tos/ipv6_fb.html
eingerichtet. Funktioniert auch soweit.

Dann habe ich für meine Schnitstellen "Manuelle Konfiguration    Ermöglichen Sie die manuelle Anpassung von DHCPv6- und Router-Ankündigungen" aktiviert um im Router Advertisements meine IPv6 DNS Adresse einzutragen. Hat er auch übernommen. Allerdings nutzt er hier nun 2 IPv6 DNS Server. Einmal wird mir meine IP angezeigt und dann noch eine IPv6 zu dem DNS meines ISP. Ich möchte aber das nur mein DNS Server genutzt wird. Wenn ich traceroute für eine IPv6 Domain mache, nutzt er immer den DNS Server vom ISP. Wie kann ich einstellen das er nur meinen nutzt?

In der Fritzbox habe ich auch nur meinen DNS Server eingetragen und eigentlich auch UDP und TCP Port 53 für alle Anwendungen gesperrt nur eben nicht für meinen DNS Server. Eigentlich sollte die Auflösung eigentlich auch gar nicht funktionieren, oder mein Fritzbox Knowledge ist hier ausbaufähig.

Ich hoffe jemand kann mir weiterhelfen.

LG

Hi,

Danke für die Antworten. Hab jetzt einfach nen Switch zwischengehängt, DHCP von OPNSense verwendet und es funktioniert. Zum testen erstmal ausreichend. Die Quelladresse hab ich gesetzt, weil ich 2 Netzwerkkarten verbaut habe und sichergehen wollte das er über diese Schnittstelle pingt.

LG

Vermutlich ist die Lösung super simpel aber ich verzweifele weiterhin :D.

Mittlerweile kann ich über die OPNsense meinen Windows PC über das LAN anpingen.
Umgekehrt allerdings nicht. Dort erhalte ich einen "Allgemeinen Fehler". (siehe Anhänge)

Und wenn ich versuche über die IP auf die GUI zuzugreifen erhalte ich "deine Internetverbindung ist gesperrt". Das Netzwerk (LAN) habe ich auf privat gesetzt.   

Als Netzwerk, unter Windows, bekomme ich auch mittlerweile ein Netzwerk angezeigt und nicht mehr "nicht identifiziertes Netzwerk".

Noch eine Idee wo hier das Problem liegt, bzw. wo ich ansetzen kann?

Hi,

In Proxmox habe ich nur 2 Netzwerkkarten, diese auch geprüft, welche welche ist und ebenfalls zugeordnet. Ich werde aber nochmal alles durchgehen falls ich was übersehen haben sollte.

Bevor ich Opnsense installiert habe, habe ich mit iperf die Geschwindigkeiten der Netzwerkkarten, also die Verbindung die ich auch jetzt als LAN nutzen will getestet, was auch funktioniert hat. Auch konnte ich dort Problemlos pingen. Was mich noch ratloser zurücklässt. Ich vermute den Fehler auch in proxmox, aber ich habe derzeit keine Ahnung wo der sein soll. Oder die Windows Firewall könnte Probleme machen, wobei ich die auch schonmal deaktiviert hatte.

Den Tipp mit der Linux VM werde ich ausprobieren, danke schon einmal für die Antwort :).

LG

Hi,

ich bin ziemlich neu in der Thematik und Blick bei vielem noch nicht wirklich durch, ich bitte um Nachsicht :D.

Ich hab mir OPNSense auf einem Proxmox Server installiert um ein paar Dinge auszuprobieren und um zu schauen was man so machen kann und was ich hinbekommen. Mein Proxmox server ist über meinen Router mit dem Internet verbunden. Über diesen Weg habe ich auch das Wan konfiguriert. Das LAN will ich direkt vom Proxmox Server mit einem Windows PC verbinden. Also ohne Switch oder dergleichen dazwischen. Mein Windows PC hat ebenfalls 2 Netzwerkkarten. Eine für den alltäglichen Gebrauch und eine um eben OPNSense und Lan zu testen.

Derzeit kann ich auf die GUI nur über das WAN zugreifen und das auch nur wenn ich in der Proxmox Konsole mich in OPNSense einlogge, mit 8 in die Shell gehe und pfctl -d eingebe. Ich habe in Opnsense für LAN eine statische IPv4 Adresse vergeben (192.168.1.1). In meinem Windows PC habe ich ebenfalls für die Netzwerkkarte die direkt mit dem Proxmoxserver bzw. der OPNSense verbunden ist die IP 192.168.1.2 vergeben.

Unter Windows wird mir die Verbindung angezeigt aber als "nicht identifiziertes Netzwerk". Ich habe auch versucht die IP 192.168.1.1 über die Schnittstelle 192.168.1.2 anzupingen (ping 192.168.1.1 -S 192.168.1.2).
Wenn ich das mache erhalte ich Allgemeiner Fehler.

Über die Wan kann ich ganz normal anpingen solange ich das pfctl -d Ding gemacht habe. Mein Lan und mein WAN liegen auch in unterschiedlichen IP Bereichen. Ich hab schon ein paar Dinge ausprobiert, auch in proxmox direkt für die Schnittstelle die IP 192.168.1.1 vergeben alles jedoch ohne Erfolg.

Ich hoffe ich konnte mein Problem einigermaßen verständlich darlegen. Sollten weitere Informationen benötigt werden bin ich gerne bereit diese zu teilen.

Schon einmal danke an jeden der mir helfen kann, oder einen Tipp zur Lösung des Problems hat.

LG