Topics

Hallo zusammen,

ich habe ein relativ komisches Problem. Ich hatte mir neue Patch-Kabel bestellt um meinen Netzwerk-"Schrank" etwas besser verkabeln zu können da mir die alten zu steif waren. Die sind heute angekommen und ich hatte mich dann dran gemacht die Kabel nach und nach zu tauschen.

In meiner OPNSense habe ich die folgende Netzwerkkarte als LAN/VLAN-Interface verbaut: https://www.amazon.de/dp/B0CBX9MNXX?ref_=ppx_hzsearch_conn_dt_b_fed_asin_title_1

Ich hatte mein LAN-Netzwerk sowie die drei VLANs auf die beiden NICs der Karte verteilt, sodass die VLANs die üblicherweise miteinander kommunizieren nicht auf dem gleichen Interface laufen, sondern auf einem die Kommunikation rein und auf dem anderen raus geht. Verteilt wurde es dann über einen Switch dahinter. Nachdem ich jetzt alle Kabel erneuert habe, ist allerdings auf einmal eines der beiden Interfaces auf der Karte "verschwunden". Erst konnte ich die VLANs dahinter nicht mehr erreichen, an den Ports waren auch alle Leuchten aus. Nach einem Neustart wurde das Interface dann gar nicht mehr angezeigt. Weder in der Weboberfläche der OPNSense, noch in der Konsole unter "ifconfig". Die Netzwerkkarte selbst ist gerade einmal etwa sechs Monate alt.

Kann dieser eine NIC ernsthaft beim simplen Tausch der Kabel kaputt gehen? Ich hatte die OPNSense beim Tausch nicht ausgeschaltet, war das ein Fehler? Oder kann dabei softwareseitig etwas schief gelaufen sein und er findet das Interface jetzt schlichtweg nicht mehr? Gibt es hier andere Möglichkeiten was passiert sein kann außer dass der NIC wirklich kaputt gegangen ist?

Hallo zusammen,
ich hoffe es ist okay wenn ich hier eine eher Netzwerk-spezifische Frage stelle die nur am Rande mit OPNSense zu tun hat. Und zwar hätte ich eine Frage über die Verwendung von Unmanaged switches in Verbindung mit VLANs.

Kurz zu meinem Ausgangspunkt. Ich habe aktuell hinter meiner OPNSense-Maschine drei Netzwerkbuchsen, eine ist für das WAN, aus einer geht aktuell das LAN (und damit alle VLANs) raus und die dritte ist unbenutzt. An dem LAN hängen über eine Powerlan-Verbindung (leider keine Netzwerkkabel in der Wohnung verlegt und der Internet-Anschluss liegt sehr ungünstig) an zwei Ausgängen jeweils ein Managed Switch der die LAN-Geräte und den WLAN-AP anschließt und den entsprechenden VLANs zuordnet. Das ganze ist gerade mit dem WLAN AP eher ungünstig, da die Powerline-Verbindung die Bandbreite doch schon stark einschränkt und wenn ich auf meinem Desktop PC mal etwas größere Runterlade frisst das die gesamte Bandbreite. Daher möchte ich das jetzt auftrennen, da ich über einen Kabelkanal zumindest einen der beiden Switche direkt per Ethernet-Kabel dran hängen kann. In dem Zuge möchte ich auch noch einen dritten Switch einbauen, der direkt hinter der OPNSense sitzt und an dem dann auch der WLAN AP direkt angeschlossen werden soll. Um sich Stromkabel zu sparen, würde ich hier gerne eine POE-Switch einsetzen, da die verwendeten Switche und der AP jeweils POE-fähig sind.

Nun zu meiner Frage. Ich würde in dem Zuge auch planen, den dritten Ethernet-Port an der OPNSense zu nutzen und die VLANs gewissermaßen auf beide aufteilen. Ich plane aktuell mir einen 6 Port Switch mit 4 POE-Ports zu kaufen. In die beiden nicht POE-Ports würde ich dann die Kabel direkt aus den beiden Ausgängen der OPNSense führen und mit den POE-Ports dann die aktuell vorhandenen Switche und den WLAN AP speisen. Damit könnte ich zumindest die beiden direkt über Ethernet angehängten Geräte ohne Netzkabel betreiben. In diesem Fall müssten die VLANs an alle dahinter liegenden Switche und den AP weitergeleitet werden. Geht dies über einen Unmanaged Switch? Leitet dieser einfach den gesamten getaggten Traffic weiter? Oder ist hierfür ebenfalls ein Managed Switch notwendig, da die VLANs ja von zwei verschiedenen Ports kommen? Ich würde mir gerne den Aufpreis für den Managed POE Switch sparen, wenn er nicht unbedingt erforderlich ist. Oder bringt das Aufteilen der VLANs auf zwei Ethernet-Ports in diesem Setup gar nichts? Dann könnte ich auch weiterhin den gesamten Traffic über einen Port leiten und dann würde in jedem Fall ein Unmanaged Switch reichen.

Vielen Dank schon mal im Voraus!

Hallo zusammen,

nachdem ich lange Zeit hier nur stiller Mitleser war und hier auch unteranderem einige nützliche Dinge beim Aufbau meines Netzwerks hinter einer OPNSense gelesen habe, habe ich mich nun entschlossen hier auch mal anzumelden. Hintergrund ist, dass ich ein für mich äußerst seltsames Problem mit Unbound DNS habe und mir beim googlen bisher weder jemand mit einem vergleichbaren Problem, noch eine passende Lösung begegnet ist.

Zum Hintergrund, ich habe vor kurzem nachdem ich länger mit einer Testumgebung herum gespielt habe mein gesamtes Netzwerk hinter die OPNSense gezogen. Das ist mittlerweile auch weitestgehend abgeschlossen und es funktioniert soweit fast alles. Bis auf das oben genannte Problem mit Unbound. Ich hatte in meinem vorherigen Setup auf meinem Proxmox Server einen LXC mit Pi-Hole + Unbound als rekursiver Resolver als DNS-Server laufen. Dieser LXC ist zunächst mit hinter die Sense gezogen und fungiert dort aktuell weiterhin als Netzwerk-weiter DNS-Server. Das funktioniert soweit alles gut, Firewall-Regeln sind so formuliert dass der Pi-Hole aus allen VLAN's erreicht werden kann und er auch nach draußen telefonieren kann. Zusätzlich habe ich über Port-Forwarding Regeln eingerichtet, das alle DNS-Anfragen an andere Server automatisch an Pi-Hole umgeleitet werden. Auch das funktioniert (mit Hilfe hier aus dem Forum) sehr gut. Allerdings merke ich beim Surfen eine gewisse Latenz beim Aufrufen von Webseiten. Unter anderem aus diesem Grund (aber auch weil es logischer und einfacher erscheint) wollte ich den Unbound in dem Pi-Hole LXC durch die OPNSense-eigene Instanz von Unbound ersetzen. Diese habe ich dann ähnlich konfiguriert wie bereits die Version in dem LXC und dann in Pi-Hole als Upstream DNS-Server gesetzt sowie dem Pi-Hole in der Firewall Zugriff gewährt. Das klappt auch soweit und die Latenz ist spürbar geringer.

Allerdings habe ich jetzt einen seltsamen Fehler. Und zwar kann ich bestimmte Homepages nicht mehr aufrufen. Zum Beispiel aliexpress.com. Hier kommt z.B. im Browser Brave der Fehler "DNS_PROBE_POSSIBLE". Versuche ich das gleiche aus Chrome, bekomme ich den Fehler "DNS_PROBE_FINISHED_NXDOMAIN". In den Logs vom Pi-Hole kann ich sehen, dass der Query beantwortet wird, gleiches in den Logs von Unbound. Wenn ich im Windows Terminal

nslookup aliexpress.com

aufrufe, wird mir auch eine IP des Webservers geliefert. Allerdings kann ich die Homepage nicht aufrufen. Gleiches passiert zum Beispiel bei dhl.de, allerdings nur wenn ich den Login-Screen erreichen will (login.dhl.de). Auch hier kann man in den Logs sehen, dass der Query beantwortet wird. Aufgerufen im Browser kann es allerdings nicht.

Nun hatte ich Unbound in meinem LXC sehr aggresiv und konfiguriert und dies soweit erkennbar auch in der Konfiguration in OPNSense übernommen. Dachte also zunächst dass es vielleicht damit zu tun hat. Allerdings taucht der Fehler auch in der Standard-Konfiguration von Unbound auf. Wenn ich den Upstream-Server zurück auf die Unbound Instanz in dem LXC schalte, funktioniert wieder alles tadellos. Blocklisten in Unbound sind keine konfiguriert (der Query steht auch auf "pass") und Pi-Hole blockiert hier auch nichts, sonst würde es ja mit der anderen Unbound Instanz auch nicht funktionieren. Wenn ich den Upstream DNS auf Quad9 setze, funktioniert es auch. Also muss es hier an der Unbound Instanz in OPNSense liegen.

Ich bin mittlerweile relativ ratlos und konnte bisher im Internet nichts dazu finden. Vielleicht kann mir hier ja jemand weiterhelfen :)