Messages

136

German - Deutsch / Re: Wie komme ich von extern auf die Opensence, wenn das Gateway offline ist

« on: November 20, 2022, 04:31:24 pm »

> Nun habe ich das Problem, dass das Gateway oft offline geht (vermute doppeltes nat), was ich aber momentan leider nicht umgehen kann.

Das ist extrem unwahrscheinlich. Doppeltes NAT hat erstmal gar nichts mit offline oder nicht zu tun. Das GW wird von der Sense nur offline genommen - sofern nicht anders eingestellt - wenn der Packet loss über 20% ist und das Monitoring GW nicht mehr antwortet. Wenn du da nichts eingestellt hast, dann ist das sehr wahrscheinlich die Fritte davor. Es gibt einige FritzBoxen und AVM FW Releases, die irgendwann einfach bei Ping aussteigen. Wahllos und zufällig. Gibt es einige Berichte hier und keiner konnte genau sagen WARUM die Kisten plötzlich nicht mehr antworten.

Zum Einen kann man eine andere Gegenstelle auswählen die gemonitored wird - die FB macht eh wenig Sinn da du dabei nicht weißt ob dein Internet down ist oder nur die Fritte Bockmist macht - zum anderen kann man die Monitoring Einstellungen noch verändern, um bspw. Payload oder Delay anzupassen. Wir haben auch Kunden die so schlechte Verkabelung haben, dass da ab und an das GW draußen auf 200-300ms Latenz hochgeht für mehrere Minuten und dann wieder runter. Das ist dann auch ein Limit das ein GW down erzeugt. Ab 200 wird gewarnt, aber 500(?) wird offline angezeigt. Könnte also auch sein.

Abhilfe schaffen würde ich mit:

* anderes Monitoring GW auswählen (also nicht das GW selbst, sondern NUR die Monitoring IP ändern)
* wenn das nicht hilft weil die Fritte vllt. bockt: das untersuchen indem man bspw. die GW down action erstmal disabled (damit das GW nicht runtergefahren wird). Dann kann man immer noch draufschauen ob das GW down angezeigt wird oder nicht aber die Sense schaltet das GW nicht ab.

Der zweite Punkt ist natürlich keine Dauerlösung denn ohne GW Detection kann die Sense dann andere Sachen wie DynDNS Updates etc. nicht triggern.

Aber damit kann man zumindest mal versuchen das ganze einzugrenzen und zu beobachten. Ich würde dann aber auch immer mal wieder drauschauen oder einen Test basteln zum anzeigen, wie der Monitoring Status auf der Sense ist, damit man mitbekommt wenn die wieder "down" anzeigt aber vllt. trotzdem noch funktioniert.

Cheers
\jens

137

German - Deutsch / Re: NAT mit Reflextion virtual IP interne IP

« on: November 19, 2022, 02:37:44 am »

> PFsense 2.2

Dafuq warum läuft da ein übelst jahrealter Build? Wir sind bei 2.6 seit Anfang des Jahres!

> Aktuell wird mir abwechseln eine der 3 virtuellen IPs der Firewall angezeigt. Das hat vorher mit PFsense funktioniert.

Das klingt aber nach etwas esoterischer In/Outbound NAT Konfiguration. Ansonsten sollte das maximal eine sein.

>  Reflektion für Portweiterleitungen ist aktiv und Automatisches ausgehendes NAT für Reflektion ist auch aktiv

Urks immer dieses deutsche UI Gedöns. Wenn ichs richtig verstehe ist der zweite Punkt unnötig, der bezieht sich nur auf Traffic der zum gleichen Interface rein und wieder rausgeht.
Wichtig ist der erste - Reflection for port forwards. Wenn der andere gesetzt wird, wird AFAIR die Source Adresse umgeschrieben und genau das willst du ja nicht.

Siehe hier: https://docs.opnsense.org/manual/firewall_settings.html#automatic-outbound-nat-for-reflection

Cheers

138

German - Deutsch / Re: Wie ist die VLAN- / QinQ- device name syntax seit 22.7.6 ?

« on: November 19, 2022, 02:27:09 am »

@franco:
> "vtnet" sind fünf. Ich würde meine Hand nicht ins Feuer legen, dass dann auch bei 5 schon die Grenze heute oder in der Zukunft erreicht ist.

Nur als kurze Info dazu: Da darf ich gern auf pfSense bzw. deren ARM Build für die espressobin Boxen (1100/2100) verweisen. Das verwendete Switch/Interface hat als Benennung

"mvnetaX"

6-stellige Bezeichner sind also durchaus ein Ding.

139

German - Deutsch / Re: OPNSense HA zusätzliche virtuelle IP Alias im LAN funktioniert nicht

« on: November 10, 2022, 11:07:25 am »

> Daher wollte ich einen IP Alias hinzufügen (auf vhid3).

Nein, wenn du eine zusätzliche IP auf dem LAN willst die redundant ist, muss es entweder ebenfalls eine CARP IP auf dem LAN Interface sein - sonst kann sie ja nicht failovern - oder (was leider AFAIR OPNsense nicht unterstützt in der UI) es wird ein IPAlias auf die vorhandene LAN CARP IP gelegt.

Andernfalls erzeugst du einen Alias der nicht repliziert wird und nur auf dem Master existiert und der bringt deinen Cluster natürlich in Schieflage weil dann auf dem LAN eine zusätzliche IP aber nur auf einem Node aufliegt.

BTW: ein LAN mit /16? Sollte man dringend überdenken.

Cheers

140

German - Deutsch / Re: Probleme mit DNS

« on: November 08, 2022, 07:04:34 pm »

Wenn es über Netzgrenzen hinweg nicht mit Zugriff auf den DNS klappt, dann vermute ich Regelwerk oder Routing. Da davon leider nichts gepostet ist, kann ich nichts dazu sagen, aber es klingt schon sehr eindeutig danach, wenn das Handy mit Sense als DNS läuft und bei korrekter Zuweisung des DNS dann aber nichts mehr klappt und das Handy nicht zum PiHole kommt.

Da scheinen für mich die Regeln nicht zu passen oder das Routing läuft schief was aber bei Netzen die alle auf der Sense aufliegen eher nicht wirklich der Punkt sein kann.

Cheers

141

German - Deutsch / Re: Verbindungen von WAN nach LAN funktionieren nicht

« on: November 08, 2022, 07:00:45 pm »

> Ein Blick in die Firewall Log-Files bestätigt, dass die Regel zieht, die Pakete erlaubt werden und scheinbar rein und wieder rauskommen, jedoch kommt nichts an. Auch der Ping-Test der Opnsense schlägt fehl.

Wie wurde der ausgeführt? Ping Test würde ja vom jeweiligen Interface anpingen, insofern wäre das ja kein Ping über die Netzgrenzen hinweg.

Ich würde empfehlen das mal mit einem TCPdump mitlaufen zu lassen ob die Pakete ggf. falsch geroutet irgendwo abbiegen und da noch ein kleiner Konfigurationsfehler sich irgendwo versteckt.

Cheers

142

German - Deutsch / Re: IPv6 - Multi VLAN und ULA

« on: November 08, 2022, 06:58:21 pm »

Wenn die Prefixe wenigstens SO lange statisch sind (bis zum Rollover bspw. - also ggf. mehrere Monate), dann kann man wenigstens mit NPt arbeiten, intern fdXY:: Nezte ausrollen und abgehend dann einfach NPt auf den vergebenen IP6 Prefix nach vorne mappen.

Aber wenn die zu oft rotieren, ist selbst das extrem unnütz. Denn ggf. muss man dann eben nicht alle paar Monate mal die NPt Table ändern, sondern alle paar Tage/Wochen. Soweit ich kurz gesehen habe, hat OPNsense ja noch nichts mit NPt und Auslesen von Prefixen am WAN(?) - das wäre ggf. noch was, was man als Idee anregen könnte da was für zu bauen.

pfSense hat das seit kurzem experimentell jetzt drin, dass bei konfiguriertem WAN auf DHCP6 mit PD, dann hat man im NPt Abschnitt bei externen Adressen nicht nur ein Freitext, sondern Dropdown.
Siehe:

Es gab da mal Aktivität zu: https://forum.opnsense.org/index.php?topic=11011.0
aber anscheinend nichts Fertiges(?).

143

German - Deutsch / Re: action block - virusprot overload table - firehol alias und rules

« on: October 30, 2022, 11:12:17 pm »

> Die Firehol3 hatte ich aus einem TK Webinar entnommen und wollte das testen, so nach dem Motto "es wäre ja schön, wenn man einen Großteil der Probleme verursachenden IP in der Welt aussperren könnte"

Ist auch nicht verkehrt Muss man nur wissen, dass in level3 eben schonmal false positives drin sein können. Level1 und 2 sind recht safe dagegen.

> Eigentlich gingen in dem TK Beitrag beide rules firehol3 an/von any aber da wurden halt teilweise auch meine 10er Adressen gesperrt und es kam zu der Änderung "RFC1918" ;-)

Wird in level1 auch direkt thematisiert, dass man da bitte drauf achten soll, weil in level1 bspw. private RFC1918, Multicast und Bogons enthalten sind.

Ich glaube auch nicht ganz dass das Log Probleme sind oder an der virusprot lag, aber du kannst es ja wieder aktivieren und dann mal in die Diagnostics von den Tabellen schauen, je nachdem was abgehend geblockt wird schau einfach mal was in den Tabellen drinsteht - da kann man ja auch suchen

144

German - Deutsch / Re: IPsec site to site mit 3 Netzen

« on: October 30, 2022, 11:09:24 pm »

OK das wäre dann mal wieder unknown/undocumented AVM hack den wie das Cipher Setup manuell (was wir schon durchgespielt haben) keiner wirklich kennt und was je nach Box mal geht und mal nicht Manche Kisten laufen, wenn man manuell über die Config "main mode" und sowas wie IKE2/AES/SHA512/DH14 pusht, andere laufen dann - es ist echt ein Würfelspiel. Daher auch: wird schwer

Ansonsten könnte mans wie gesagt nur mit 1:1 NAT über die Tunnel vielleicht versuchen. Nur dass das Netz beim 1:1 nicht das eigene, sondern das Remote Netz der zweiten Box ist. Aber das wird dann schon sehr esoterisch

145

German - Deutsch / Re: Netzwerkstruktur mit Firewall und wohin mit den Zugangsdaten?

« on: October 27, 2022, 01:48:35 pm »

Einfach bspw. OpenVPN Zugriff von extern konfigurieren und auf dem Telefon einrichten, das sollte dann nicht sonderlich Probleme machen.

146

German - Deutsch / Re: IPsec site to site mit 3 Netzen

« on: October 27, 2022, 01:46:13 pm »

> Bei der VPN Konfiguration der Fritzboxen habe ich bereits eigene Konfigurationsdateien verwendet. Kann ich hier nicht eine Phase2 einbauen?

Das hast du mißverstanden oder falsch gelesen. Jedes IPsec VPN besteht aus Tunneldefinition (Phase 1) und Netzdefinitionen (Phase 2). Du bräuchtest aber eine ZWEITE Phase 2, wie man das eben überall sonst machen kann - bis auf FritzBoxen, die davon nichts wissen wollen. Wie du nämlich schon siehst, gibt es nur einen Connections Block in der Config und der hat nur eine phase2localid / phase2remoteid. Du bräuchtest davon aber welche mit mehreren ipnet Blöcken und soweit mir bekannt ist kann das die Fritze nicht, zumal dann auch noch die accesslist angepasst werden müsste, die IMHO auch keine mehreren Netze kann.

Cheers

147

German - Deutsch / Re: IPv6 - Multi VLAN und ULA

« on: October 27, 2022, 01:42:44 pm »

Nichts desto trotz gibt es von RIPE Seiten keinerlei Grund warum man Endkunden auf Wunsch nicht einfach ein /56er zuwerfen können sollte. Im Gegenteil, RIPE und Co würden sowas explizit unterstützen und gut finden. Das sind nur die ISPs die da unter dem Deckmantel von Pseudo Privacy Gründen und teuren Tarifen in denen sie das verkaufen wollen den Mist nicht rausrücken. Als LIR oder generell als RIPE Member wirst du zugeworfen mit IPv6 wenn du sagst du willst das machen. /32? oder doch lieber gleich /29? Nehmen Sie ruhig! Vorgabe oder zumindest stark empfohlener Vorschlag ist es auch einem Kunden grundsätzlich /56 oder zumindest /60 zu geben, damit er ordentlich arbeiten kann. Statt dessen gibts den zerschnittenen dynPrefix Mist.

148

German - Deutsch / Re: IPV6 TCP Port zu Proxmox LXC weiterleiten

« on: October 26, 2022, 04:37:47 pm »

> Per Nat Port habe ich versucht es weiterzuleiten an TCP IPv4 ... Scheinbar kann Opnsense wenn TVP IPv6 ist dies nicht zu IPV4 TCP schicken

Nein, weil das nicht "geschickt" wird, sondern völlig unterschiedliche IP Familien sind. Das kann man nicht einfach "weiterleiten" da das ganze Paket einen anderen Header für IPv6 bräuchte.

Wie und ob du IPv6 in deinen Container bekommst kann ich dir so nicht beantworten, das liegt an deiner Netzwerkkonfig auf Proxmox Seite. Es spricht aber rein technisch nichts dagegen, dass du intern IPv6 ULA Adressen (fdXY: benutzt und deine externen Pakete via v6 dann auf eine fdxy ULA Adresse forwardest - das würde dann sehr wahrscheinlich auch recht problemlos ankommen.

149

German - Deutsch / Re: action block - virusprot overload table - firehol alias und rules

« on: October 26, 2022, 04:17:24 pm »

>   Firehol mit der url https://iplists.firehol.org/files/firehol_level3.netset

Warum gerade die Firehol 3 und nur diese?
Eigentlich nutzt man aktiv Firehol1 und 2 und 3 bei Bedarf, da sich bei der 3er gern auch mal ein paar false positives einschleichen (da 30-Tage Schnittmenge).

> 2. Private_IP_Networks

Einfach RFC1918 nennen, ist kürzer und eindeutiger

> In Firewall - Rules - Floating zwei rules hinzugefügt

Warum in den Floatings? Bringt dir welchen Vorteil statt die auf WAN und oder LAN zu konfigurieren? Hast du ordentlich quick/in/out konfiguriert? Sind die Richtungen klar und was du mit quick ja/nein tust?

Darum empfehle ich nie Floating, da es meist viel zu konfus wird mit den anderen Regeln und hinterher keiner mehr weiß was wovor Vorrang hat. IMHO gibt es kaum gute Gründe Floating zu nutzen ohne sich die Regelhierarchie und -übersicht zu versauen.

> virusprot overload table

Das ist aber eine andere Regel. Wenn du nicht in deine Description genau das reingeschrieben hast, waren die Blocks nicht durch die Regeln sondern die genannte virusprot Regel. Aber ohne mehr Details zum Ruleset und Co ist das schwer zu sagen.

150

German - Deutsch / Re: IPv6 - Multi VLAN und ULA

« on: October 26, 2022, 04:11:56 pm »

> NetCologne stellt einem Bekannten von mir allerdings auf Nachfrage auch statisches v6 für Privat bereit... Ein Traum...

Ja man soll nicht verschweigen dass es auch Leuchttürme im Technik-Dunkeldeutschland gibt, die den Mist nicht machen, GPON rauswerfen und Glasfaser wirklich sauber bis zur Haustür auflegen und einem dann auch noch sauber IPs konfigurieren. Leider ist das nicht die Masse

Ein Blick nach NL zu diversen Glasanbietern oder zu den Kollegen nach CH (https://www.init7.net/en/internet/fiber7/) ist da zum Heulen. Vor allem zeigt bspw. INIT7, dass es dann auch völlig egal wird, welche Performance man braucht weil es technisch keinen Grund gibt, da mehr oder weniger zu verlangen.

1? 10? 25Gbit? Was hättens gern? Tüte dazu? Danke!