OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • Profile of rantwolf »
  • Show Posts »
  • Topics
  • Profile Info
    • Summary
    • Show Stats
    • Show Posts...
      • Messages
      • Topics
      • Attachments

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

  • Messages
  • Topics
  • Attachments

Topics - rantwolf

Pages: [1] 2
1
German - Deutsch / IPv6 Probleme
« on: August 08, 2024, 06:05:14 pm »
Moin.

Ich hatte vor einiger Zeit mal IPv6 bei mir eingerichtet.
Das Ganze hat aber nicht so richtig funkioniert, da die Leasetime immer abgelaufen war und nicht so recht erneuert wurde.

Nach diesen Fehlschlägen hab ich das Ganze erstmal deaktiviert und nur mit IPv4 weiter gemacht.
Jetzt mit OPNsense 24.7.x wollte ich noch mal nen Versuch starten, aber jetzt geht irgendwie gar nichts mehr.

Selbst wenn alles was mit IPv6 zu tun hat, deaktiviert ist, haben meine Rechner hier ne ganz komische IPv6 Adresse: "::9cdb:xxxx:xxxx:f8c4", sowie ein Gateway mit: "fe80::2ec8:xxxx:xxxx:fc0c"
In der OPnsense hat das LAN Interface auch eine solche Adresse: "::cda:42ff:xxxx:xxa7/64".
Das Gateway kann ich auch anpingen, weiß aber nicht welches Gerät das ist.

Wo kommt das denn her? Steckt da noch irgendwas in einer alten Konfiguration drin? Kann ich das irgendwie löschen/entfernen?

2
German - Deutsch / IPv6 Probleme
« on: November 17, 2023, 06:50:19 pm »
Moin.
Ich versuche auch gerade meine IPv6 Konfiguration zum Laufen zu bekommen.
Mein ISP macht seit kurzem DualStack, aber so richtig geht es noch nicht.

Meine OPNsense ist bei Version: 23.7.8_1

Hab einmal beim Einrichten, den Haken bei 'send ipv6 prefix hint gesetzt'
Daher wußte ich dann, prefix ist: /60 (leider aber kein /56)

Dann aufm LAN 'track interface' gesetzt und die Clients bekommen eine IPv6 mit /64 zugewiesen.
Folglich auch auf den internen Interfaces überall 'track interface' aktiviert und die 'ipv6 prefix id' hochgezählt (16 Subnetze, also 0-15 sollte ja möglich sein).
Nun haben auch fast alle Geräte auf den anderen Interfaces eine IPv6 Adresse.
Router Advertisements (unmanaged), DNS und Firewall Regeln dann auch noch angepaßt.
Bis dahin läuft alles einwandfrei.


Jetzt kommt das Kuriose....
Nach etwa 4 Stunden haben die Clients zwar noch ne IPv6 Adresse, aber es geht darüber nichts mehr.
Dann sieht es so aus:


Also in OPNsense rein und geschaut ob irgendwas klemmt. > aber sämtliche Dienste laufen wie gewohnt.
Erst wenn ich über die Konsole verbunden bin und im Menüpunkt 11 alle Dienste neu starte läuft es wieder rund.

Woran könnte das liegen, daß das nicht stabil ist, vielleicht an dem /60 Prefix?

3
German - Deutsch / Keine Verbindung mit Wireguard RoadWarrior
« on: October 13, 2023, 03:45:13 pm »
Moinsen.

Hab da mal ein kurioses Fehlerbild.

Habe bei mir und einem Kumpel jeweils ne OPNsense laufen.
Seit geraumer Zeit laufen unsere Wireguard Clients auf Windows-Laptops aber nicht mehr wirklich.
Es steht zwar da, daß die Verbindung aktiv sei, aber es kommt kein Traffic zustande.
Die jeweiligen Konfigurationen haben aber schon mal funktioniert...
Nehm ich jetzt aber die gleiche Konfiguration und schieb die auf mein iPhone drauf, geht das wie verrückt.

Woran könnte das denn liegen?
Bin grad etwas überfragt und weiß auch grad nicht wo ich noch nachschauen soll.

Im Log von Wireguard stehen mehrere Einträge:
Code: [Select]
Error wireguard /usr/local/opnsense/scripts/Wireguard/wg-service-control.php: The command '/sbin/route -q -n add -'inet' '172.16.120.1/24' -interface 'wg5'' returned exit code '1', the output was ''

4
German - Deutsch / [gelöst] OPNsense nach Update auf 22.1 sehr langsamer Downstream
« on: February 03, 2022, 04:29:27 pm »
Moinsen.

Ich habe am Dienst meine OPNsense von 21.7.8 auf 22.1 hochgezogen.
Diese läuft auf einem Proxmox v7.x als VM mit VirtIO Netzwerkkarten (CPU ist ein i7-8700T).
Der Proxmox selbst ist mit 10Gbit an einen Switch über ein DAC Kabel angebunden.

Mit der 21.7.x ging alles schön.
Das Ugrade auf 22.1 lief auch ohne Fehler durch.
Nur seit dem die 22.1 aufgespielt ist, ist der Downstream ins WAN sehr lahm (etwa 3MBit) (der Upstream geht aber nach wie vor 40MBit gut).
Normalerweise hab ich ne 100MBit Leitung nach außen über VDSL mit Draytek Vigor 130 Modem.

Ich hatte ja davon gelesen als die 22.x Beta war, daß es unter Hyper-V Schwierigkeiten gibt.
Dieses Problem scheint aber auch mit den VirtIO Treibern aufzutreten.

Hat jemand die gleichen Symptome? Und gibt es da vielleicht eine Abhilfe?

MfG

5
German - Deutsch / IPv6 Einrichtung
« on: May 10, 2021, 11:04:02 pm »
Moinsen.
Ich hab da mal ein paar Fragen zum Thema IPv6.
Mein ISP macht zur Zeit offiziell kein IPv6.

Testen kann ich es aber laut Mitarbeiter, wenn ich auf der WAN Schnittstelle DHCPv6 aktiviere.
Und  siehe da, bekomme ich auch eine '2a01...' und ein /64 Präfix zugewiesen.
In den Einstellungen dazu darf ich keines der Häkchen setzen, wie es bei einem Telekom Anschluß laut OPNsense Doku erklärt ist (damit bekomme ich dann keine v6 Adresse mehr, anscheinend ist es eine zusätzliche Verbindung).
Ich habe aber lustigerweise kein Gateway bei 'Interface/Overview' am WAN angezeigt.
Den Punkt 'Track Interface' auf der LAN Schnittstelle habe ich aktiviert, aber bekomme keine v6 Adressen an die Clients durchgereicht. (Testweise mal bei einem Telekomanschluß aktiviert und läuft auf Anhieb)

Wenn ich nun mal auf der Sense ein paar Tests fahre kann ich aber erfolgreich nen Ping oder Traceroute zu Google oder Heise machen.

Mache ich da was falsch oder müssen da noch ein paar Sachen zusätzlich eingerichtet werden?

6
21.1 Legacy Series / Change interface sequence order at boot?
« on: March 11, 2021, 10:41:12 pm »
Hei hei.

Since I moved my home opnsense system as a vm on proxmox, i got a strange behavior.
My ISP provides a VoIP interface in a vlan.
The normal WAN conntection is realized by DHCP without a vlan.

When the opnsense vm is booting, the VoIP interface is a liitle bit earlier initialized than the wan interface.
The problem now is: opnsense/unbound will try to use the VoIP gateway for the internet connection.
But the VoIP gateway is no "upstream gateway". I already diabled this function under gateways.
Now the "lo" interface on the the vm does not have a valid resolver, while all client's are able to use dns.

Now I have two options:
1. reload the "wan" interface, or
2. change any option in unbound, hit save and undo this

Is it possible to change the interface order at startup, so that the "wan" interface will be initialized before the VoiP (vlan) interface?

7
German - Deutsch / Wireguard Datenverkehr geht nur in eine Richtung
« on: November 22, 2020, 04:53:54 pm »
Moinsen.

Hab da mal ein Problem.
4 Standorte sind per Wirguard per s2s verbunden.
Ein 5ter ist ne FritzBox per IPsec, die aber auch funktioniert.
Das mit Wireguard lief jetzt sag ich mal so etwa ein halbes Jahr sehr gut.
Am Freitag war an Standort 1 Stromausfall...etwas länger halt.
Jetzt sind alle Standorte wieder online. Aber es kommt keine volle Verbindung mehr zustande (zwischen 1-4).

Standort 1 ist Hauptstandort. (LAN-Netz: 192.168.233.0/24)
Standort 2: (LAN-Netz 192.168.234.0/24)
Standort 3: (LAN-Netz: 192.168.235.0/24)
Standort 4: (LAN-Netz: 10.0.35.0/24)
Standort 5: (LAN-Netz: 192.168.178.0/24) (Fritzbox mit IPsec, welche läuft)

Testen kann ich gerade nur zwischen Standort 1 und 4. Die Transfernetz-IP's für diese Verbindung 192.168.239.2/24 und 192.168.239.1/24.
Die Handshakes werden gemacht und auch angezeigt mit aktuellem Datum.
Firewall Regeln sind auf alles erlauben gestellt in beiden Richtungen.

Jetzt ist es aber so, daß Standort 1 zwar auf Standort 4 zugreifen kann, aber nicht umgekehrt (Ping, usw. Test).
Das Gleiche hatte ich schon mal mit IPsec vor ner Weile. An allen Standorten sind seitens Netzbetreiber feste IP's vorgegeben.
In den Logs finde ich aber keine Hinweise, warum die Verbindung blockiert wird. Vor allem warum es nach einem Stromausfall nicht mehr geht, aber alles andere wieder funktioniert.

8
German - Deutsch / Offline nach DSL Ausfall
« on: March 15, 2020, 10:15:13 pm »
Moinsen.

Hab bei meiner und bei zwei Bekannten folgende Thematik.

Ab und an fällt die Internetverbindung aus (Modem oder ISP).
Die OPNsense verbindet sich aber nicht mehr automatisch nach dem Reconnect des Modems.
Ich muß also manuell zu Interfaces > Overview > WAN gehen und einen Reload machen.

Hab bei Reddit auch schon was dazu gefunden: https://www.reddit.com/r/OPNsenseFirewall/comments/fgcjsb/wan_has_to_be_manually_reloaded/?utm_source=share&utm_medium=ios_app&utm_name=iossmf

Ein Kumpel hat das seit der 19.7.8 sagt er. (OPN physisch installiert)
Bei mir und noch einem tritt der Fehler erst seit der 20.x auf (OPN auf Proxmox [NIC virtuell])

Hat das auch noch von euch jemand?

9
German - Deutsch / NGINX & CSRF Token
« on: February 24, 2020, 01:16:50 pm »
Moinsen.
Hab da mal ne Frage.
Ich steh grad vor dem Fehler, daß zwei kleine Seiten nicht mehr richtig über das Netz erreichbar sind.

Beide Sind über den Nginx als Reverse Proxy angelegt und funktionieren auch soweit bis es zur Anmeldung kommt.
Ich hab mich da schon ein wenig belesen, daß der Reverse Proxy das "X-Forward-For" Flag irgendwie braucht. (Wenn ich  da richtig liege)
Aber irgendwie hab ich Tomaten auf den Augen und finde das nicht.

Beide Dienste liegen in einer lokalen DMZ und sind intern per http angebunden.
Nach außen hab ich die mit dem nginx per https verfügbar.

10
German - Deutsch / HAproxy härten
« on: May 06, 2019, 09:44:42 pm »
Moinsen.

Hab hier was ansich Schönes gefunden.
Wie man den HAproxy als WAF etwas absichern kann.

https://www.bayreuth.tk/linux-und-bsd/schutz-fuer-webseiten-mit-haproxy-tiny-waf.html

Aber welche Werte sind denn damit dann gemeint?
In der Konsole sind die ja dann anders benannt gegenüber der GUI.

Hat da jemand ein wenig Erfahrung damit?

11
German - Deutsch / Gateway wird offline angezeigt
« on: April 23, 2019, 09:43:11 pm »
Moinsen.

Hab da mal ne Frage.
Wie genau funktioniert denn der Gateway-Monitor?

Ich habe zwei Gateways. Einmal der WAN-GW  und dann im LAN noch ein Gateway welches dann noch in ein anderes Netz routet.
Der Gateway auf der LAN Schnittstelle wird grün angezigt > also online.

Auf der WAN Seite hab ich ein /29 Netzwerk. Also effektiv 6 IP's.
Von diesen 6 ist die erste das Gateway. Dizweite wird von einem anderen Gerät genutzt.
Die OPNsense nutzt die offiziell die 6. IP. DIe drei übrigen hab ich als Virtual-IP eingerichtet.

Jedenfalls wird mir der WAN-Gateway immer als offline angezeigt.
Obwohl ich ins Netz komme und der Gateway pingbar ist.

12
German - Deutsch / [Solved] HAproxy mit ACME und TLS Umleitung
« on: January 30, 2019, 11:48:58 pm »
Grüße.
Hab nochmal ne kleine Frage.
Hab mir das Ganze vor einer Weile eingerichtet:

- zwei Real Server + ACME
- drei Backend Pools (alle auf HTTP Layer 7)
- ein Frontend welches auf :80 und :443 hört
- im Frontend sind alle Zertifikate hinterlegt, sowie die Regeln

- Bedingungen hab ich vier: 2x host match, 1x acme, 1x tls redirect
- Regeln hab ich auch vier, passend zu den Bedingungen

Jetzt stellte sich heraus, daß die Zertifikate nicht mehr aktualisert werden, da der acme_challange nicht mehr greift, denn er wird vom tls_redirect umgangen.

Wie kann ich acme dazu bringen trotzdem weiterhin auf Port 80 zu lauschen, und dort die TLS Umleitung zu unterbinden.

13
German - Deutsch / [Solved]Let's Encrypt Fehler 18.7.9
« on: December 22, 2018, 09:07:34 pm »
Moinsen.

Ich habe gestern ein neues Zertifikat für eine SubDomain über das Let's Encrypt Plugin ziehen wollen.
Komischerweise bekomm ich immer eine Fehlermeldung "400".
Benutzt wird das 'http-01' Verfahren.
Ich habe aber noch drei weitere Zertifikate drin, die im November aktualisiert worden sind.
Gibt es da grade irgendwelche Einschränkungen?

Mein Gedanke war jetzt auf 'dns-01' zu wechseln.
Hat das jemand im Einsatz?
Oder gibt's da eine Anleitung zu?

MfG

14
German - Deutsch / IGMP Proxy | SAP Streams kein IPv6?
« on: September 30, 2018, 09:40:43 pm »
Mahlzeit.

Hab da mal ne Frage im Raum stehen.

Nachdem ich mir alles so im Netz rausgesucht hatte, was es zu diesem Thema gab und mein Anbieter kein Doku hierzu hat, war ich heilfroh als das Plugin startete.

Ich hab hier ne öffentliche IPv4 Adresse.
Ich hab die Streams auf nem VLAN mit IPv4 anliegen.
Es läuft..., alle Geräte könnten ein Signal empfangen.

Aber ich hatte mir noch nen IPv6 6to4 Tunnel eingerichtet.
Erst wenn ich diesen abschalte und das jeweilige Empfangsgerät keine IPv6 Adresse mehr hat, laufen die Streams.

Ich versteh grad nur Bahnhof.
Hat da jemand eine Idee hierzu?

15
18.7 Legacy Series / Unbound alias feature possible?
« on: June 22, 2018, 10:36:08 pm »
Hi.
I found that the implementation of aliases in the firewall section is perfect.

Is there a way to get this for the unbound dns server?

I mean the URL table IP's function but now with domain names, including expiration settings.
Instead of using the command line with the update-hosts.sh file, this would be a more easier function to block multiple dns records.

Pages: [1] 2
OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2