Topics

• Here is a Mac OS X Server (really old, El Capitan 10.11.6, Server 5.2) with serveral services running (all the years)
• OPNsense 22.7.11 running unbound as DNS server
• Apple TimeCapsule running WiFi access
• iMac M1 OS X 12.6.3

Problem
OPNsense firewall is blocking traffic from iMac to Server over LAN/Ethernet suddenly. Not happening with connections from outside over WAN and connections over the local WiFi AP. AFP file sharing and VNC remote access are suffering. Calendar and addressbook services are not affected noticeably.

1st AFP and VNC connections establish fast. Browsing the servers directories is fast until the connection gets stucked and the iMac shows the rainbow spinning wheel. VNC is running well, looses connection and is reconnecting itself after some different length of timeout.

Looking the OPNsense firewall live log shows the same (see attachments): 1st connection, some time running well, then suddenly blocking by Default deny / state violation rule. Waiting some time could establish a reconnection if my iMac is not freezing himself meanwhile in the save-as dialog of an open document.

Until now
This setup has been running over years with the last changes to the firewall maybe 20 month back. Updating OPNsense and Mac OS regularly. Absolutely no troubles before the OPNsense last main update and before the iMac's Mac OS 12.5/6.

Any idea, where I have to start fixing? Thanks in advance.

Nach etlichem Suchen leider noch nicht fündig geworden.

Meine FW blockt und logt exakt alle 30 Sekunden obenstehenden Eintrag.
Leider bin ich in diesen Sachen ziemlich Anfänger und verstehe soweit, dass es sich um Multicast handelt und dass die Source 1.1.1.1 Cloudflare ist. Es ist mir nicht bewusst, dass ich irgendwo in meiner Umgebung Cloudflare bzw. 1.1.1.1 konfiguriert hätte.

Eine Idee, ob ich irgendwo etwas falsch eingestellt hätte bzw. wie ich das eliminieren kann?

Merci im Voraus. Christian

Hallo zusammen

OPNsense an PPoE (fixe IP) und dahinter einen Mac Mini mit OS X Server sowie einen Raspberry Pi mit FreePBX am laufen. Funktioniert alles nach Wunsch, mit kleinen Schwierigkeiten wie das hier:

Nach einem Reboot der OPNsense kann der Asterisk der FreePBX sich beim SIP-Provider nicht mehr registrieren. Die internen Nummern funktionieren, auch von ausserhalb der FW.

Beim Suchen bemerkte ich, dass die OPNsense in Firewall > Diagnostics > States Dump die IP des SIP-Providers gelistet hat. Und wenn ich die beiden Einträge (In und Out glaube ich) manuell lösche, registriert sich die PBX gleich wieder ganz nach Wunsch.

Kann jemand daraus lesen, was bei mir in der OPNsense Config noch fehlt, damit dies künftig nicht mehr passiert?

Lieben Dank im Voraus. Christian


BTW: Ich habe den Raspberry in Unbound DNS > Host Overrides als voip.meinedomain.ch auf seine IP eingetragen. Dieser A-Record ist auf dem DNS meines externen Web-Hostings eingetragen.

Ich habe eine alte Zywall USG20 durch OPNsense auf einer J800-Box ersetzt und bin mit dem erweiterten Umfang und der besseren Performance sehr zufrieden. Beim DNS-Setup schwimme ich jedoch auch nach Tagen noch in Problemen.

Situation
- Externe Nameserver beim Domain-Hoster mit Eintrag office.domain.com > fixe IP vom FTTH
- Anbindung via PPPoE an FTTH
- OPNsense 18.7.6-amd64 Box mit em0/WAN, em1/LAN
- 8-Port Switch

Im LAN am Switch und somit hinter der OPNsense sind angeschlosssen
- Mac Mini OS X Server 3.6 mit AFP, VNC, CalendarServer, AddressbookServer, DNS-Server
- Raspbery Pi 3 mit FreePBX
- iMac
- TimeCapsule als TimeMachine und WiFi AP
- HP Drucker

OPNsense
- NAT Port Forwarding für die entsprechenden Dienste, z. B. AFP > 192.168.1.60 (OS X Server)

Damit z. B. auf dem iPhone der Kalenderserver auswärts wie auch im Büro läuft, habe ich auf dem OS X Server DNS ebenfalls konfiguriert. Heisst ich konnte per office.domain.com von auswärts wie auch von intern auf den OS X Server zugreifen.

Neu mit OPNsense hat der Zugriff von aussen ohne viel Mühe funktioniert. Intern will es aber einfach nicht klappen. Aufrufe vom im LAN stehenden iMac per office.domain.com werden einfach nicht geroutet. Per IP Adresse klappt es.

Nach Stunden der Sucherei und Probiererei habe ich OPNsense's UnboundDNS und Dnsmasq sicher arg ver-konfiguriert, weiss selbst nicht mehr, was standardmässig eingestellt war. Aktuell habe ich Dnsmask deaktiviert und UnboundDNS inkl. 'Enable Forwarding Mode' aktiviert.

Ich bin in Sachen DNS leider totaler Anfänger und blicke da nur wenig durch. Mit der ZyWall hatte das ohne weiteres funktioniert. Kann mir jemand auf die Sprünge helfen? Grossen Dank im Voraus.

Christian