Topics

Hallo,

ich habe Airplay vor vielen Jahren mit meinem AVR benutzt, daher kann ich was Vergangenheit angeht nicht viel darüber erzählen, jedoch funktioniert es mit OPNsense, Marantz AVR und iPhone nicht.
Wenn ich versuche vom iPhone zum AVR zu senden, kommt am iPhone "Unable to connect to...".

Beide AVR und iPhone sind im selben Netz, daher sollte die Firewall hier keine Rolle spielen. Jedoch überraschenderweise, sieht man im Live-Log geblockte Pakete. Ich habe auch festgestellt, dass sie tatsächlich in meinem Final Block Rule landen, nur für die Zwecke des korrekten Loggings.
Die Pakete sehen so aus:
Source: 10.10.10.8:1027 (AVR)
Dest: 10.10.10.2:56876 (iPhone)
Protocol: TCP

Gibt's da irgendwas? Warum würden die Pakete innerhalb des selben Subnets überhaupt irgendwas auf der Firewall anzeigen, wenn sowohl SRC wie auch DST im demselben Subnet sind?
Ich habe auch versucht any/any/any zu aktivieren, vergeblich...

mDNS hatte ich aktiv, wurde deaktiviert, falls was damit zu tun haben sollte.
UDP Broadcast Relay Port 1900 ist zwischen VLANs aktiv, hier handelt es sich um das native VLAN (kein Tagging).

Für WLAN wird Unify verwendet, AVR hängt aber mit dem Kabel direkt am Switch.
Vom Macbook das gleiche Verhalten, nur andere IP halt.

Irgendwie hänge ich... Hilfe?

Danke euch
LG
Kosta

Hallo zusammen,
ich glaube dass seitdem ich das mimugmail repository installiert habe (für AdGuard), spinnt mein Update-System in der OPNsense.
Wenn ich auf Firmware->Status klickt, dauert es eine halbe Ewigkeit bis was angezeigt wird.
In der Zeit wird in den anderen Tabs auch nichts angezeigt. Auch Plugins und Packages sind leer.
Irgendwann kommt ein Status Ergebnis, wenn man ausreichend lange wartet.
Dann kann man scheinbar auch was aus den Plugins installieren.
Auf das Update kann man aktiv klicken, dann wird auch das Update initiiert, jedoch dauert es auch deutlich länger als wie früher.
Beschudlige niemanden, vielleicht ist auch die neue Repo nicht Schuld, aber wie würde ich das rausfinden, warum das so langsam ist?
Danke

Hallo zusammen,

hier noch ein Issue.
Ich konfiguriere meine Rules neu, und konnte heute was seltsames feststellen:
Ca. jede 5sek wird ein Paket von einer nicht existierenden Adresse geblockt, und zwar an meiner Final Block Rule.
Wobei hier paar seltsame Sachen zu beobachten sind:
1) Der Subnet der IP-Adresse weicht vom Subnet des Interfaces
2) Die IP bzw. der Subnet war früher ein VLAN, bei der Neukonfiguration der Firewall wurden aber neue VLANs (auch damit neue Subnets) erstellt.
3) Erstellung Rules auf dem Interface die alles erlauben bringen nichts, die Pakete im Live Log kommen trotzdem
4) Ausgehender Port ist 3999, was nach der Analyse in Verbindung mit einem Trojaner gebracht wurde, da wurde ich schnell hellhörig

Ich habe für die Analyse absolut alles abgedreht, Server heruntergefahren, WLAN abgeschaltet. Einzig was ich nicht gemacht habe ist alle 26 Kabel am Switch gezogen. Und wegen dem Problem im anderen Thread, konnte ich ohne Switch nicht testen.

Und nachdem es Pakete auch erscheinen wenn ich die Erlaube-All-Rules erstelle, denke ich dass es an der OPNsense liegt.

Screenshot im Anhang von einem Paket, denke nicht dass das viel bringt.

Idee was das sein könnte?

Danke
Srdan

Hallo liebe Community,

bisher war es so:
GUI Zugriff ist nur für LAN / 192.168.1.0/24 erlaubt, Gateway 192.168.1.254. Port 1234.
Extern verbinde ich per OpenVPN, bekomme damit die IP 192.168.10.1.
Und kann mich direkt auf 192.168.1.254:1234 verbinden.

Heute festgestellt: starte ich meinen Switch der direkt am LAN Port der Firewall hängt neu, komme ich nicht mehr auf die Firewall, bis der Switch Neustart durch ist.

An den Rules wird es nicht liegen, ich habe versucht alles zu öffnen, sowohl auf OpenVPN und LAN Interfaces.
Zusätzlich habe ich versucht ein Outbound NAT zu erstellen, LAN Int., Source OpenVPN, NAT Dest. LAN Address.

Kann mir jemand bitte sagen warum, und was muss ich auf der OPNsense einstellen, damit es ohne Switch auch klappt?

Danke
Srdan

Hallo,
gibt es einen Weg um rauszufinden ob gewisse Rules überhaupt noch verwendet werden, bzw. sogar wieviel Traffic über die Rules fließt?
Danke!

Hallo zusammen,

es ist beinhart das erste mal, dass ich Überlegungen in dieser Richtung habe. Aber, ich möchte in meiner Lern-Umgebung (zu Hause) eine DMZ machen, die ich dann für meine Nextcloud und VMware UAG verwende.

Das Problem dabei ist, dass ich nur eine externe IP habe.
Üblicherweise würde man, wenn ich das richtig verstehe, extern mehrere IPs haben, genauso für solche Services immer eine eigene externe IP und würde dann einfach alles auf jeweiligen Service 1:1 naten.

Nun welche Optionen habe ich wenn ich nur eine externe IP habe? Ich schreibe mal so meine Ideen zusammen:

1) Port Forwarding: alle Ports so konfigurieren dass sich keine in die Quere kommen. UAG hat 3-4 Ports die unbedingt weitergeleitet werden müssen, die würde ich genau so auf die UAG weiterleiten. Die Nextcloud ist aktuell eh auf einem anderen Port als die UAG Ports (extern auch ein Custom-Port, und läuft über HAproxy).

2) HAproxy: das habe ich schon mal mit der Admin-Oberfläche versucht, und gescheitert. Außerdem was ich darüber gelesen habe, es ist sehr komplex einzurichten, und da reicht mein Wissen ja kaum.

3) Die DMZ klassisch auf der aktuellen externen IP -> UAG einrichten, also ein 1:1 NAT zum UAG. Das bricht die Funktionalität von der Nextcloud - da ja ein 1:1 NAT anscheinend vor dem HAproxy sitzt. Zu dieser Option denke ich müsste möglich sein, den Nextcloud Port vor dem 1:1 noch umzuleiten oder so irgendwie?

4) Als Option steht auch zweite OPNsense, um die DMZ wirklich zu trennen, aber als eine Lösung des Problems sehe ich das nicht zwingend.

Also, wenn ihr Vorschläge habt, bitte darum, bin ich sehr sehr dankbar.

EDIT: und was ich noch dazu erwähnen wollte:
Ich verstehe was die DMZ in OPNsense ist, würde ich sagen. Getrennter Netzbereich, der keinen Zugriff auf andere Netze hat. Das ist aktuell bei mir mit VLAN konfiguriert. Alles ist im C-Class-Netz und DMZ ist B-Class-Netz. Firewall-technisch ist für die Tests alles offen, damit ich hier nicht aufgehalten werde.
Aber, oft wird virtuelle IP erwähnt, und hier verstehe ich nicht ganz, warum man irgendetwas mit einer virtuellen IP machen würde? Das verwirrt mich etwas...
In der Arbeit haben wir eine Forti, aber wir haben vor unserem Netzwerk eine andere Firewall vorgeschaltet, auch mehr externe IPs auf der externen Firewall. Hier ergibt sich für mich schon der Sinn der virtuellen IPs, da man hier separat, im gleichen Netzwerk, NATen kann. Aber bei mir, eine Firewall, nicht wirklich, oder?

LG
Srdan

Hello Leute,

eine kurze und einfache Frage: wenn ich bei meiner ESXi virtualisierten OPNsense eine neue NIC hinzufüge, was macht die OPNsense damit? Ich frage weil:
Als ich das bei TrueNAS gemacht habe, schaufelte TrueNAS die NICs komplett durcheinander, 1 wurde 2, 2 wurde 3 und 3 wurde 1. Hab dann alles über CLI anhand von MAC-Adressen korrigieren müssen, aber wenn es geht, würde ich es gerne vermeiden wollen, wenn das bei OPNsense zu vermeiden ist.

Daher bitte lediglich um Erfahrungswerte damit.

Danke!

Hallo,

ich bin auf der letzten Version der OPNsense in einer virtuellen Umgebung.
Mein Server kam zum unkontrollierten Shutdown, damit wurde die OPNsense  auch einfach nur gekillt.
Seitdem befindet sich sie im Reboot-Loop und weigert sich hochzufahren.
Es ist schwierig zu sehen was passiert genau, da der Bildschirm sehr schnell scrollt, aber was ich so sehen kann steht mal "Recovery yes" und dann kommen sehr schnell etliche Angaben und dann rebootet sie. Und das dreht sich so.
LEIDER habe ich noch keinen Backup erstellt, auch keine Snapshots. Veeam gestern aufgesetzt aber bringt nix.
Ich habe auch keinen Klon der VM... nix. Einfach noch nicht dazugekommen.
Hab ich irgendeine Chance die VM zum Laufen zu bekommen? Bzw. wie kann ich den Output vielleicht mitschneiden, sodass ich irgendwas hier posten kann?

Danke euch!
Srdan

Hallo,

kann OPNsense DHCP-Server dynamische Updates in einem AD machen, der nur sichere Updates erlaubt?
Ich finde "Dynamic DNS" im OPNsense DHCP, aber die Einträge wie "dynamic DNS domain key name" sagen wird genau gar nichts.

Daher die Grundsatzfrage: kann OPNsense dynamische Updates im AD DNS machen? Und wenn ja, wie?

Danke
Srdan

Hallo zusammen,

sodala, die Firewall ist auf dem ESXi Host. Backup ist eingespielt, alles dauerte nicht länger als 30min... toll. Jetzt baue ich meine VLANs allerdings neu auf.
Ich könnte für die OPNsense eine eigene 1GB LAN-Leitung zum Switch machen, aber halte das etwas für sinnlos - wenn schon eine 10GBe vom ESXi-Host existiert.

Und hier fiel mir was auf: wenn ich alle NICs (VLAN Port Groups, ein vSwitch mit Uplink) auf der OPNsense hinzufüge, und sonst nichts mache, bootet die OPNsense sehr langsam, bleibt hängen nach vmx1 (WAN) und ich kann kein Interface zugreifen.
Ändere ich aber alle NICs (VLAN Portgroups) von VMXNET auf Adaptertyp E1000e, dann geht's problemlos.

Eine Ahnung was dahinter ist?

Hallo zusammen,

ich bereite mich aktuell auf den Umzug meine Hardware OPNsense in die virtuelle Umgebung. Das möchte ich deswegen machen, weil mein Server, basierend auf Supermicro+Xeon+EC-Ram und ESXi deutlich stabiler als die billige ASUS-Kiste mit Intel läuft. No-na. Plus habe ich die Optionen für einfachere Sicherung der VM, Snapshots vor Upgrades usw. Da es privates Umfeld ist, ist die Sicherheitsbedarf nicht so hoch wie in der Arbeit, daher finde ich es umso einfacher auf einer VM zu haben.

Ich wollte erstmal nur eine VM für OPNsense machen, aber bin gerade in die Gedanken gekommen, ein HA-Cluster mit 2 VMs zu machen. Überlege allerdings welche Vorteile, wenn überhaupt, mir das bietet.

Wenn ich 2 OPNsense hätte, und eine gerade aktualisiert, übernimmt die andere. Jedoch das Internet ist ein Kabel-Modem, eine WAN-IP, ich kann nicht beide FW mit dem WAN speisen. Das müsste ich immer umstecken. Oder gibt es andere Möglichkeiten dass doch beide FW WAN mit derselben IP bekommen?

Gibt es noch weitere Vorteile des HA-Clusters, die ich übersehe für meine Anwendungszwecke?

Danke
Srdan

Hallo,

beim Firmware Update bekomme ich:
***GOT REQUEST TO CHECK FOR UPDATES***
Currently running OPNsense 21.7.3_1 (amd64/OpenSSL) at Sat Oct  2 13:38:52 CEST 2021
Fetching changelog information, please wait... done
Updating OPNsense repository catalogue...
pkg: Repository OPNsense has a wrong packagesite, need to re-create database
Fetching meta.conf: . done
Fetching packagesite.txz: .......... done
Processing entries: .......... done
OPNsense repository update completed. 767 packages processed.
Updating SunnyValley repository catalogue...
Fetching meta.conf: . done
Fetching packagesite.txz: .. done
Processing entries: .... done
SunnyValley repository update completed. 31 packages processed.
Updating ntop repository catalogue...
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
1913533915136:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
1913533915136:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
1913533915136:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
1913533915136:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
1913533915136:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
1913533915136:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
pkg: https://packages.ntop.org/FreeBSD/FreeBSD:12:amd64/latest/meta.txz: Authentication error
repository ntop has no meta file, using default settings
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
1913533915136:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
1913533915136:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
1913533915136:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
pkg: https://packages.ntop.org/FreeBSD/FreeBSD:12:amd64/latest/packagesite.txz: Authentication error
Unable to update repository ntop
Error updating repositories!
Checking integrity... done (0 conflicting)
Your packages are up to date.
***DONE***

Ich habe bereits das alte LE Zertifikat aus den Authorities gelöscht. Auch alle LE Zertifikate erneuert.
Unter Certificates sind auch keine Zertifikate von der alten CA X3 ausgestellt.

Allerdings bin mir nicht ganz sicher ob der Verursacher ntop ist oder tatsächlich OPNsense Firmware?
Wollte eigentlich 21.7.3_3 installieren, aber da passiert nix.

Hilfe?

Hallo,

hab mir die Anleitungen zum Shaper gelesen, und verstehe die grundlegende Funktionalität.
Nun versuche ich mal die Regeln zu konfigurieren.

Wie gehe ich das beim Einsatz vom HAproxy an? Als Beispiel: Download-Seite lautet download.company.com, und den Download-Request der aus dem Internet (!) kommt will ich mit 80mBit begrenzen. Das Verkehr Netzintern soll natürlich nicht gebremst werden.
Shaper braucht eine lokale IP. Aliase oder FQDNs funktionieren nicht.
Wie würde ich so eine Regel machen oder geht das gar nicht?
Ich habe auch bei HAproxy nachgeschaut, finde auch nichts zum Traffic Shaping (oder bin ich blind?).
Was definitiv funktioniert ist die Begrenzung des Traffics wenn dieser an der Maschine initiiert wird.

PS. Ich hatte das falsche Interface ausgewählt  ::)

Hallo,

irgendwas mach ich bestimmt falsch, sehe aber nicht ganz durch.
Im LAN sind grundlegend Geräte die die DCs als DNS verwenden sollen.
Daher würde ich auch gerne nun sichergehen, dass auch die Anfragen die eventuell fälschlicherweise woanders (zB. direkt) gehen würden, korrekt zum DC umgeleitet werden.
Daher ein Rule im Port Forwarding:
LAN   TCP/UDP   *   *   ! Domain_Controllers    53 (DNS)   Host_DC01     53 (DNS)   DNS Redirection
Das dürfte ja reichen, oder?
Nun wenn ich das mache, ist DNS tot glaub ich (ich versuche grad nur von zu Hause zu konfigurieren, da bin ich nur Remote am System, ich kann nur sagen dass ich mich ab dem Moment auf die Maschine nicht mehr per Remote verbinden kann, aber das reicht mir erstmal als Test).

Hallo,

gibt's ne Möglichkeit die ntopng täglich zu automatisieren?
Ich kenne die Einstellung für automatische firmware updates, aber das aktualisiert ja nicht den ntopng?

Danke

Hallo,

soweit ich danach gesucht habe, sollten Unix traceroutes sein. Ich bekomme so ca. jede 1-2 Sekunden so ein Paket am WAN Port.

Wie verhält man sich der Sache gegenüber? Soll ich einfach ein Blockrule als Floating erstellen, Logging abdrehen und gut ist? Oder Reject?

Hello,

I hope it's fine if I post this here too, I did in the German forum also.
Since the upgrade to 21.7.1 (following the upgrade path via GUI), DNS doesn't resolve over IPsec Tunnel. Meaning: I have overrides on my OPNsense for certain domains in the company, to over company DC, which is behind another OPNsense (21.4.2). This has worked up to the upgrade to 21.7.1 on my own OPNsense without a problem.

This is an excerpt from the Level 4 Log in Unbound:
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: mesh_run: validator module exit state is module_finished   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: cannot validate non-answer, rcode SERVFAIL   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: attempt to get extra 3 targets   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: close fd 177   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: close of port 38016   
2021-08-08T11:56:57   unbound[49796]   [49796:2] notice: remote address is ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] notice: send failed: Permission denied   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: comm point start listening 177 (-1 msec)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: opened UDP if=0 port=38016   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: servselect ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] info: DelegationPoint<internal.domain.com.>: 0 names (0 missing), 1 addrs (1 result, 0 avail) parentNS   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: close fd 177   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: close of port 50169   
2021-08-08T11:56:57   unbound[49796]   [49796:2] notice: remote address is ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: dnssec status: not expected   
2021-08-08T11:56:57   unbound[49796]   [49796:2] info: DelegationPoint<internal.domain.com.>: 0 names (0 missing), 1 addrs (1 result, 0 avail) parentNS   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: iter_handle processing q with state QUERY TARGETS STATE   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: sending to target: <internal.domain.com.> 10.10.11.11#53   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: rtt=376   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: servselect ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: attempt to get extra 3 targets   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] info: DelegationPoint<internal.domain.com.>: 0 names (0 missing), 1 addrs (1 result, 0 avail) parentNS   
2021-08-08T11:56:57   unbound[49796]   [49796:2] notice: remote address is ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: opened UDP if=0 port=33175   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: rtt=376   
2021-08-08T11:56:57   unbound[49796]   [49796:2] info: error sending query to auth server ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: close fd 177   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: close of port 61877   
2021-08-08T11:56:57   unbound[49796]   [49796:2] notice: remote address is ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] notice: send failed: Permission denied   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: serviced query UDP timeout=376 msec   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: EDNS lookup known=0 vs=0   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: dnssec status: not expected   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: sending to target: <internal.domain.com.> 10.10.11.11#53   
2021-08-08T11:56:57   unbound[49796]   [49796:2] info: sending query: dc01.internal.domain.com. AAAA IN   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: selrtt 376   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: rtt=376   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: servselect ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: attempt to get extra 3 targets   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: ip4 10.10.11.11 port 53 (len 16)

I anonymized the domain.
I checked couple of things:
Access Lists, which only list local networks, seem fine. There is no entry for the remote network.
I tried setting All (Recommended) for Outgoing Interfaces and also Network Interfaces, that doesn't help.
Tried deactivating Suricata, Sensei and HAproxy just for test, no help (I suspected Suricata might play some role, but nothing in there really).
Checked the IPsec SAs, they seem to be established fine.
DNS Lookup in the Diagnostics doesn't work (??), simply does nothing.
Ping -> DC from PC OK, Ping from Firewall -> DC fails (what the...??).
--- 10.10.11.11 ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss
ping: sendto: Permission denied
ping: sendto: Permission denied
ping: sendto: Permission denied

It is quite obvious that it's since the update only, so either I am missing something or some new feature or there is a bug.

Can someone help please?

Thank you.

EDIT: it seems it's not only DNS. For instance, I can ping the remote server, but I can't access it, not even RDP via IP.
However, I do seem to be able to connect from the company to my work-computer at home.

EDIT2: the source of the problem seems to be the inability of the home firewall to reach the domain controller (or any other device) on the remote network(s).

Hallo,
seit dem Upgrade meiner OPNsense auf 21.7.1 geht mein IPsec Tunnel mit der anderen OPNsense (Business) zwar, ich kann die IPs auf dem anderen Ende anpingen, aber die DNS Auflösung ist tot.
Ich habe die Overrides geprüft, drinnen sind sie, aber hat sich was geändert dass das plötzlich nicht gehen würde?

Das sehe ich im Log (Level4):
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: mesh_run: validator module exit state is module_finished   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: cannot validate non-answer, rcode SERVFAIL   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: attempt to get extra 3 targets   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: close fd 177   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: close of port 38016   
2021-08-08T11:56:57   unbound[49796]   [49796:2] notice: remote address is ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] notice: send failed: Permission denied   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: comm point start listening 177 (-1 msec)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: opened UDP if=0 port=38016   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: servselect ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] info: DelegationPoint<internal.domain.com.>: 0 names (0 missing), 1 addrs (1 result, 0 avail) parentNS   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: close fd 177   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: close of port 50169   
2021-08-08T11:56:57   unbound[49796]   [49796:2] notice: remote address is ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: dnssec status: not expected   
2021-08-08T11:56:57   unbound[49796]   [49796:2] info: DelegationPoint<internal.domain.com.>: 0 names (0 missing), 1 addrs (1 result, 0 avail) parentNS   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: iter_handle processing q with state QUERY TARGETS STATE   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: sending to target: <internal.domain.com.> 10.10.11.11#53   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: rtt=376   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: servselect ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: attempt to get extra 3 targets   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] info: DelegationPoint<internal.domain.com.>: 0 names (0 missing), 1 addrs (1 result, 0 avail) parentNS   
2021-08-08T11:56:57   unbound[49796]   [49796:2] notice: remote address is ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: opened UDP if=0 port=33175   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: rtt=376   
2021-08-08T11:56:57   unbound[49796]   [49796:2] info: error sending query to auth server ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: close fd 177   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: close of port 61877   
2021-08-08T11:56:57   unbound[49796]   [49796:2] notice: remote address is ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] notice: send failed: Permission denied   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: serviced query UDP timeout=376 msec   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: EDNS lookup known=0 vs=0   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: dnssec status: not expected   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: sending to target: <internal.domain.com.> 10.10.11.11#53   
2021-08-08T11:56:57   unbound[49796]   [49796:2] info: sending query: dc01.internal.domain.com. AAAA IN   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: selrtt 376   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: rtt=376   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: servselect ip4 10.10.11.11 port 53 (len 16)   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: attempt to get extra 3 targets   
2021-08-08T11:56:57   unbound[49796]   [49796:2] debug: ip4 10.10.11.11 port 53 (len 16)

Domain ist anonymisiert.

Access List enthält nicht 10.10.11.0/24 Netz, aber denke nicht dass das jemals der Fall war.
Ich habe versucht allerdings einen Eintrag zu erstellen -> kein Erfolg.
Ich habe auch Outgoing Interfaces auf All (Recommended) gestellt -> kein Erfolg (sonst nur nach Bedarf, üblicherweise LAN und gewisse VLANs).
Network Interfaces in Unbound haben sich nicht geändert, hier sind LAN, VLANs, OpenVPN und WG Zugriff drin. Grund für nicht All ist dass ich eine VPN Anbindung habe, die den Unbound als DNS nicht benutzen darf.

Suricata deakitivert. Sensei deaktiviert.

Ideen bitte?

Danke

Hallo,

wir haben eine neue Tel-Anlage, und diesmal ist es eine komplette VOIP Anlage.
Gibt es etwas (außer Shaping) worauf man bei OPNsense achten muss?

Hallo,

kann die OPNsense lokale IPs von einem DC resolven (also reverse lookup, IP->FQDN), zB. in der Firewall?