OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • Profile of chrs »
  • Show Posts »
  • Topics
  • Profile Info
    • Summary
    • Show Stats
    • Show Posts...
      • Messages
      • Topics
      • Attachments

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

  • Messages
  • Topics
  • Attachments

Topics - chrs

Pages: [1]
1
German - Deutsch / IPv6 mit SIP/UPD: MTU Probleme mit Fragmenten
« on: December 03, 2023, 03:14:30 pm »
Code: [Select]
                WAN                  WAN
                 :                                 :
                 : FTTH                            : vtnet0 (MTU 1500)
                 :                                 :
             .---+---.                        .----------.
        WAN1 | GPON  |                        | OPNsense |
             '---+---'                        |     2    |
                 |                            '----+-----' 
        PPPoE1   | (MTU 1492)                      |
                 |      .----------.        wg1    | (MTU 1412)
                 +------| OPNsense | - - - - - - - +
                        |     1    |
                        '----+-----' 
                             |
                         LAN | (MTU 1500)
                             |
                       .-----+------.
                       | LAN-Switch |
                       '-----+------'
                             |
                     ...-----+-------------+-----...
                     (Clients/Servers)     |
                                     (Freeswitch Server)


Obige Konfigruration mit der OPNsense 2 auf einem VServer, um fixe IPv6 Adressen zu bekommen. Das Problem ist, daß eingehende Telefonate meistens nicht ankommen, sondern auf der OPNsense 2 hängenbleiben. Alles per IPv6, SIP über UDP.

Packet capture auf OPNsense 2 zeigt, daß der INVITE vom SIP Provider ankommt und zwar in der Regel als fragmentiertes UPD Paket z.B. mit 1500 + 100 Bytes Länge. Dann schickt OPNsense 2 ein ICMP packet to big mit MTU 1412 an den SIP Provider was ja auch korrekt ist für den Wireguard Tunnel nach OPNsense 1. Der SIP Provider schickt dann den INVITE nochmal in 1412 + 188 Bytes Fragmenten. Soweit ok, aber OPNsense 2 antwortet wieder ICMP packet to big mit MTU 1412. Das wiederholt sich ein paar Mal bis der SIP Provider aufgibt.
Was läuft da schief?

Wenn ich als Workaraound den SIP Provider auf TCP statt UDP umstelle, funktioniert alles.

Ich hab mir dann mal die scrub Regeln auf OPNsense 2 angeguckt:
Code: [Select]
# pfctl -s rules | grep scrub
scrub on wg1 all fragment reassemble
scrub on vtnet0 all fragment reassemble
und es fällt auf, daß da nicht scrub in steht, also auch ausgehend scrub mit fragment reassemble angewendet wird.
Was soll das bezwecken?

Ich hab dann mal folgendes probiert:
Code: [Select]
# pfctl -s rules | grep scrub
no scrub out on wg1 all
scrub on wg1 all fragment reassemble
scrub on vtnet0 all fragment reassemble
und das funktioniert: nach dem ersten ICMP packet to big werden die korrekt fragmentierten UDP Pakete weitergeleitet.

Wo liegt hier eigentlich der Fehler, oder übersehe ich was wesentliches?

Grüße, chris

2
German - Deutsch / Port forward über OpenVPN Tunnel Problem
« on: September 13, 2023, 03:35:01 pm »
Guten Tag,

ich habe das Problem, daß ein port forward zu einem lokalen Recher (Mailserver) nicht funktioniert, wenn die Verbindung über einen OpenVPN Tunnel reinkommt:

Code: [Select]
                WAN                      WAN
                 :                        :
                 : Glasfaser              : DSL-Provider
                 :                        :
             .---+---.                 .--+--.
        WAN1 | GPON  |     Modems      | DSL | WAN2         WAN
             '---+---'                 '--+--'              :
                 |                        |                 :
        PPPoE1   |                        | PPPoE0    ( OpenVPN-Provider )
                 |      .----------.      |                 |
                 +------| OPNsense |------+                 |
                        |          | - - - - - - - - - - - -+
                        '----+-----'                 ovpnc1
                             |
                         LAN | 192.168.44.0/24
                             |
                       .-----+------.
                       | LAN-Switch |
                       '-----+------'
                             |
                     ...-----+-------------+-----...
                     (Clients/Servers)     |
                                     192.168.44.51 (Mail Server)

Entsprechende NAT und Port forward Regeln hab ich eingerichtet.
Der Tunnel funktioniert ausgehend ohne Probleme. Die eingehende Verbindung auf ovpnc1 kommt auch beim Mailserver an, aber die Antwort Pakete werden über pppoe1 (default gateway) gesendet. Damit scheitert der TCP Verbindungsaufbau; kann man per Packet Capture sehen.

Zum Vergleich hab ich testweise ein port forward  für pppoe0 eingerichtet, das funktioniert. Im GUI sehen die Regeln identisch aus, wenn man die erzeugten Regeln anguckt, ist da ein Unterschied: beim VPN fehlt das replay-to, ich vermute hier die Ursache.

Aber warum? Und wo liegt der Fehler?

Danke für jeden Hinweis!

3
German - Deutsch / Kein IPv6 (statisch) nach Update auf 23.1.7_3
« on: May 14, 2023, 04:45:52 pm »
Guten Tag,

ich hab gerade von 22.7 letzte Version auf 23.1.7_3 upgedatet und hab seitdem keinen IPv6 traffic  mehr.

An der Konfiguration wurde nichts geändert seit Jahr und Tag. Vom Provider tal.de hab ich eine statisches /48 Netz.

Die Gateways für ppp und für V6 sind grün online. Im Firewall log tauchen die Pakete von intern auf, ich weiß echt nicht wonach ich jetzt suchen soll.

Grüße, Chris

1. Nachtrag: Ich hab mir mal die Routen angeguckt. Komisch finde ich die zweite IPv6 route auf lo0; und ist das normal das keine default route für IPv6 vorhanden ist?

4
German - Deutsch / SIP, IPv6 und UPD Fragmente?
« on: October 31, 2018, 05:41:53 pm »
Guten Tag,

ich hab zum erstenmal ein OPNsense System installiert und das meiste läuft sehr gut.

Leider kriege ich VoIP nicht richtig in Gang über IPv6. Genauer gesagt eingehende Anrufer kommen nicht an.

Folgende Situation:

(Vigor 130 Bridge) - (OPNsense in VM) - (Freeswitch / Debian Linux) - (IP Telefone)

Per IPv4 funktioniert es mit einer NAT Regel mit static port option, aber schöner wäre natürlich direkt mit IPv6. Ich hab also statisch IPv6 Adressen vergeben und kann auch von außen die Freeswitch Box pingen und per UDP traceroute erreichen. Ausgehende Gespräche funktionieren. Eingehend erscheint ein Eintrag im Firewall log gemäß meiner Regel eingehend aber auf der Freeswitch Box kommt nichts an:

__timestamp__   Oct 30 21:06:35
action   [pass]
anchorname   
class   0x10
datalen   1509
dir   [in]
dst   2a01:XX:XX::44:4 < Freeswitch Gerät
dstport   5080
flowlabel   0x00000
hlim   59
interface   pppoe0
label   USER_RULE
payload-length   1509
proto   17
protoname   UDP
reason   match
ridentifier   0
rulenr   69
src   2a04:XX:0:XX::XX  < SIP Provider
srcport   5060
subrulenr   
version   6

Auffällig ist die Länge mit 1509 Bytes zu groß für ein UDP Paket. Also vermute ich, daß die Fragmentierung nicht funkioniiert zusammen mit dem forwarden.

Google findet dazu: https://redmine.pfsense.org/issues/8165

Gibt es irgendeine Möglichkeit SIP mit IPv6 und OPNsense in Gang zu bekommen?

Grüße, chris

Pages: [1]
OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2