Topics

[Was sollte ich als nächstes machen, um das Problem in den Griff zu bekommen?]

Hallo zusammen,

keine Ahnung warum, aber ich kämpfe aktuell mit dem Problem, dass der OpenVPN-Server meiner OPNsense nach kurzer Zeit immer wieder folgendes Problem bekommt:

Code Select Expand

Cannot open TUN/TAP dev /dev/tun1: Device busy (errno=16)

Klar kann ich notfalls per SSH auf die Kiste gehen und dann per:

Code Select Expand

ps auxwww | grep openvpn

den OpenVPN-Prozess suchen und dann 'killen' – und danach lässt sich der OpenVPN-Server auch wieder problemlos per GUI neu starten – aber das ist ja nicht normal und nützt mir vor allem nichts, wenn ich unterwegs bin...

Das Problem hatte ich schon beim frisch installierten 23.7 und nun leider auch weiterhin mit der aktuellen 24.1.

Ich hatte den OpenVPN-Server heute 1x entfernt und per "Wizard" noch einmal neu angelegt, aber auch das brachte keine Abhilfe.

Was sollte ich als nächstes machen, um das Problem in den Griff zu bekommen?

Hallo zusammen,

über viele Jahre sind hier drei Standorte eines Kollegen per LANCOM IPsec miteinander verbunden – das lief wirklich immer zu 100% stabil und zuverlässig.

Er möchte diese in die Jahre gekommenen LANCOM-Geräte nun gern durch etwas neues ersetzen und mein Vorschlag wäre, dafür dann drei OPNsense-fähige Geräte von Deciso zum Einsatz zu bringen.

Dazu würde ich sehr gern auch Wireguard statt IPsec für die Standortvernetzung nutzen – jetzt wo ab OPNsense release 24.1 ein FreeBSD 13.2 inkl. "wireguard kernel module" zum Einsatz kommt, sollte das doch stabil und zuverlässig seinen Dienst tun?

Oder wäre eine Standortvernetzung per klassischen IPsec-VPN doch noch die zuverlässigere Wahl?

Ich persönlich nutze seit Jahren immer nur OpenVPN (allerdings auch immer nur 'road warrior' da ich Site-2-Site bisher nie benötigte).

Zu Wireguard höre ich sehr viele unterschiedliche Meinungen, manche schwören darauf, aber auch nicht wenige haben bzw. hatten damit so ihre Probleme... deshalb meine Bitte um Eure Einschätzung.

[Hoffe mit Eurer Hilfe herausfinden zu können, was genau da das Problem sein könnte. Vielen Dank also im Voraus für Vorschläge und Ideen!]

Hallo zusammen,

habe mir am Wochenende OPNsense auf neuer Hardware installiert (aktuelle Version 23.7.12).

Die OPNsense steht hinter einer Kabel-Fritzbox und ist dort als 'exposed host' eingetragen.

Grundsätzlich läuft alles so wie es soll (OpenVPN-Server, LE-certs dank ACME, DynDSN, ein paar wenige IP-Table Aliase wie z.B. FireHOL Level 3 als 'blocklist' in den Firewall-Regeln), aber:

Es gibt immer wieder eigenartige 'Aussetzer' im Netzwerk (beginnt meist nach ca. 10-20 Minuten), die ich mir leider überhaupt nicht erklären kann.

Anbei ein Beispiel mit Ping auf die 1.1.1.1:

Code Select Expand

64 bytes from 1.1.1.1: icmp_seq=1141 ttl=58 time=10.472 ms
64 bytes from 1.1.1.1: icmp_seq=1142 ttl=58 time=14.014 ms
64 bytes from 1.1.1.1: icmp_seq=1143 ttl=58 time=9.114 ms
92 bytes from opnsense (10.5.5.1): Destination Host Unreachable
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
4  5  00 5400 21d1   0 0000  3f  01 480c 10.5.5.198  1.1.1.1

Request timeout for icmp_seq 1145
92 bytes from opnsense (10.5.5.1): Destination Host Unreachable
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
4  5  00 5400 9307   0 0000  3f  01 d6d5 10.5.5.198  1.1.1.1

Request timeout for icmp_seq 1146
64 bytes from 1.1.1.1: icmp_seq=1147 ttl=58 time=15.897 ms
64 bytes from 1.1.1.1: icmp_seq=1148 ttl=58 time=8.566 ms
64 bytes from 1.1.1.1: icmp_seq=1149 ttl=58 time=13.981 ms
64 bytes from 1.1.1.1: icmp_seq=1150 ttl=58 time=11.666 ms
64 bytes from 1.1.1.1: icmp_seq=1151 ttl=58 time=12.790 ms
64 bytes from 1.1.1.1: icmp_seq=1152 ttl=58 time=10.358 ms
Request timeout for icmp_seq 1153
92 bytes from opnsense (10.5.5.1): Destination Host Unreachable
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
4  5  00 5400 8d63   0 0000  3f  01 dc79 10.5.5.198  1.1.1.1

Request timeout for icmp_seq 1154
92 bytes from opnsense (10.5.5.1): Destination Host Unreachable
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
4  5  00 5400 143b   0 0000  3f  01 55a2 10.5.5.198  1.1.1.1

Request timeout for icmp_seq 1155
92 bytes from opnsense (10.5.5.1): Destination Host Unreachable
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
4  5  00 5400 dde7   0 0000  3f  01 8bf5 10.5.5.198  1.1.1.1

Request timeout for icmp_seq 1156
92 bytes from opnsense (10.5.5.1): Destination Host Unreachable
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
4  5  00 5400 b015   0 0000  3f  01 b9c7 10.5.5.198  1.1.1.1

Request timeout for icmp_seq 1157
64 bytes from 1.1.1.1: icmp_seq=1158 ttl=58 time=10.620 ms
64 bytes from 1.1.1.1: icmp_seq=1159 ttl=58 time=7.852 ms
64 bytes from 1.1.1.1: icmp_seq=1160 ttl=58 time=13.867 ms
64 bytes from 1.1.1.1: icmp_seq=1161 ttl=58 time=10.446 ms
64 bytes from 1.1.1.1: icmp_seq=1162 ttl=58 time=7.988 ms
64 bytes from 1.1.1.1: icmp_seq=1163 ttl=58 time=9.279 ms
64 bytes from 1.1.1.1: icmp_seq=1164 ttl=58 time=8.096 ms
64 bytes from 1.1.1.1: icmp_seq=1165 ttl=58 time=9.095 ms
Request timeout for icmp_seq 1166
92 bytes from opnsense (10.5.5.1): Destination Host Unreachable
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
4  5  00 5400 34db   0 0000  3f  01 3502 10.5.5.198  1.1.1.1

Request timeout for icmp_seq 1167
92 bytes from opnsense (10.5.5.1): Destination Host Unreachable
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
4  5  00 5400 d76f   0 0000  3f  01 926d 10.5.5.198  1.1.1.1

Request timeout for icmp_seq 1168
64 bytes from 1.1.1.1: icmp_seq=1169 ttl=58 time=15.543 ms
64 bytes from 1.1.1.1: icmp_seq=1170 ttl=58 time=12.610 ms
64 bytes from 1.1.1.1: icmp_seq=1171 ttl=58 time=7.752 ms
64 bytes from 1.1.1.1: icmp_seq=1172 ttl=58 time=9.180 ms
64 bytes from 1.1.1.1: icmp_seq=1173 ttl=58 time=8.407 ms
64 bytes from 1.1.1.1: icmp_seq=1174 ttl=58 time=8.553 ms
64 bytes from 1.1.1.1: icmp_seq=1175 ttl=58 time=11.877 ms

Und irgendwie schwingen sich diese Aussetzer dann so hoch, dass es mit der Zeit immer schlimmer wird...

Hoffe mit Eurer Hilfe herausfinden zu können, was genau da das Problem sein könnte. Vielen Dank also im Voraus für Vorschläge und Ideen!

PS: Mit der alten Hardware (beide von Deciso) hatte ich diese Probleme überhaupt nicht. Und ich hatte das neue Gerät extra "frisch betankt" damit da auch wirklich nichts "verbastelt" ist an der OPNsense.

[System: Settings: General: DNS servers]

Hallo zusammen,

ich habe irgendwie einen "Knoten im Kopf" bezüglich meiner Netzwerk-Infrastruktur bzw. -Konfiguration.

Gleich vorweg: Das ganze ist als 'double nat' konfiguriert – "vorne" läuft eine Kabel FRITZ!Box mit der 10.89.89.1 und ein Pi mit AdGuard HOME mit der 10.89.89.11.

Dahinter existiert dann mein 'richtiges' Netz. Die OPNsense hat die 10.5.5.1 und mein iMac z.B. die 10.5.5.199.

Auf der OPNsense ist sowohl unter System: Settings: General: DNS servers als auch in BIND unter Services: BIND: Configuration: DNS Forwarders ausschließlich die 10.89.89.11 als DNS-Server definiert (also AdGuard HOME).

Unter Services: DHCPv4: [LAN]: DNS servers habe ich die 10.89.89.11 (AdGuard HOME) und die 10.5.5.1 (OPNsense) eingetragen, als Domain name und Domain search list außerdem meine DynDNS-Domain (für die mir der ACME Client der OPNsense im übrigen auch erfolgreich Let's Encrypt Zertifikate ausstellt).

Da ich mir bisher nicht anders zu helfen wusste, habe ich im AdGuard HOME bei den sogenannten "DNS rewrites" den einzelnen Gerätename IPs zugeordnet, also z.B. der Domain adguard.meine.dyndns.domain die 10.89.89.11, so dass ich AdGuard Home mit LE-cert unter https://adguard.meine.dyndns.domain erreichen kann.

Das klappt soweit auch alles gut, also z.B. auch mit meinem NAS unter nas.meine.dyndns.domain (was dann z.B. dank dieses AdGuard DNS rewrites auf die 10.5.5.11 zeigt).

Was leider aber nicht funktioniert in meiner Konstellation sind die "Private reverse DNS servers" bei AdGuard HOME.

Deshalb würde ich das gern BIND machen lassen – wie oben bereits erwähnt übergebe ich ja per DHCP nicht nur den AdGuard HOME als DNS-Server sondern eben auch die OPNsense.

Wenn ich es richtig verstanden habe, muss ich dass unter Services: BIND: Configuration: Master Zones definieren?

Da die interne DNS-Auflösung dank dieser speziellen "DNS rewrites" von AdGuard HOME auch schon "in die eine Richtung" korrekt arbeitet (also zu jeder definierten Domain die dazu passende interne IP kennt) brauche ich jetzt theoretisch nur noch eine 'reverse zone', damit ich ein schönes:

Code Select Expand

host imac.meine.dyndns.domain
imac.meine.dyndns.domain has address 10.5.5.199
host 10.5.5.199
199.5.5.10.in-addr.arpa domain name pointer imac.meine.dyndns.domain.

erhalte und nicht wie jetzt aktuell

Code Select Expand

host imac.meine.dyndns.domain
imac.meine.dyndns.domain has address 10.5.5.199
host 10.5.5.199
Host 199.5.5.10.in-addr.arpa. not found: 3(NXDOMAIN)

Meine Frage lautet also: Wie genau muss ich diese "Master Zones" von BIND definieren, damit auch die Auflösung der internen IPs zu Ihren Domainnamen funktioniert?

Vielen Dank im Voraus für Eure Unterstützung.

PS: Sicher macht es außerdem Sinn, das dann gleich korrekt "in beide Richtungen" beim BIND zu definieren, so dass es auch funktioniert, falls die "DNS rewrites" des AdGuard HOME mal nicht korrekt funktionieren sollten?

Hi,

if I run a health check on my OPNsense (latest version 22.7.4) I get the following warning messages:

Code Select Expand

py37-markupsafe has a missing dependency: python37
py37-markupsafe has a missing dependency: py37-setuptools
py37-markupsafe is missing a required shared library: libpython3.7m.so.1.0

Wondering how to fix this? Do I have to SSH into the machine and manually delete this 'py37-markupsafe'?

Don't remember to install this in the past, but this OPNsense was upgraded since some years now, so it might be a peace of code from some older OPNsense versions?

Thanks for clarification & all the best,
Marcel

[Danke im voraus für Eure Unterstützung.]

Hallo zusammen,

vllt. habt ihr ja einen Tipp für mich, wie ich mit folgender Situation umgehen soll – und zwar habe ich folgende Herausforderung:

In Services: Unbound DNS: General habe ich im Bereich "Custom options" folgende Einträge:

Code Select Expand

forward-zone:
name: ,,."
forward-addr: 10.5.5.1@53530

Auf diesem Port 53530 'lauscht' BIND, d.h. unter Services: BIND: Configuration ist der Listen Port auf 53530 gesetzt. Und natürlich gibt es eine entsprechende Firewall-Regel.

Der Hintergrund war, dass es ursprünglich keine Blacklist/Blocklist für Unbound sondern nur für BIND gab, wenn ich mich recht entsinne ...

Als DNS Forwarders ist im BIND dann noch mein Pi-Hole eingetragen.

Da mit dem neuen OPNsense 21.7 "Noble Nightingale" release ja nun die "Custom options" bei Unbound DNS endgültig entfallen, frage ich mich, ob mein Konstrukt dann so überhaupt noch arbeiten würde?

In der Update-Beschreibung gibt es noch den folgenden Hinweis:

Local override directory /usr/local/etc/unbound.opnsense.d exists.

Heißt das, in diesen Ordner soll ich eine Datei legen, die dann meine "Custom options" für Unbound DNS beinhalten? Und falls ja, wie genau muss diese Datei dann heißen, damit das funktioniert? Und 'überlebt' das dann auch Updates auf 21.7.1, 21.7.2 usw., oder muss ich das dann jedes mal neu anlegen?

Danke im voraus für Eure Unterstützung.

[Danke für Praxis-Tipps.]

Hallo zusammen,

wahrscheinlich ist dieser Weg empfehlenswert?

1) Aktuelle Config der 20.7.8 exportieren.
2) Den Router von einem 21.1-Stick booten und in das "Live"-System gehen.
3) Die 20.7.8-Config importieren.

Schauen, ob soweit alles funktioniert.  :)

Ich frage sicherheitshalber vorher aus verschiedenen Gründen.

Zum einen hatte ich bei meiner 20.7-Installation diverse male nach einem Neustart den Hinweis, dass da "etwas nicht in Ordnung" sei bei mir inkl. der Option, einen 'bug report' zu senden etc.

Das hatte ich dann auch gemacht inkl. Kontakt-E-Mail für Rückfragen usw., da kam aber leider nie eine Reaktion darauf ... (was ja auch nicht weiter "schlimm" ist). Aber natürlich bin ich mir jetzt etwas unsicher, ob ich die neue 21.1 nicht lieber 1x komplett frisch installieren sollte?

Außerdem nutze ich z.B. die 'custom options' bei "Unbound DNS":

Code Select Expand

forward-zone:
name: ,,."
forward-addr: 10.5.5.1@53530

Das zwingt die DNS-Anfragen rüber zu BIND (der lauscht auf Port 53530).

Mit 21.7 sollen diese 'custom options' ja rausfliegen bei "Unbound DNS" (bei "Dnsmasq DNS" sind sie ja nun sogar schon ab der 21.1 raus).

Und ich frage mich, was ich diesbezüglich im Vorfeld beachten / bedenken sollte.

Danke für Praxis-Tipps.

Beste Grüße,
Marcel

[Soweit ich das verstehe, ist das ganze Thema recht komplex?]

Hallo zusammen,

direkt an der Fritzbox angestöpselt funktioniert das schon wunderbar (u.a. per VLC-Player oder auch mit den AVM Apps auf dem Mobiltelefon).

Da ich die Fritzbox aber nur für Festnetz-Telefonie und "als Modem" nutzen möchte, ist mein Ziel, dass das auch hinter meiner "Double-NAT"-Konstruktion klappt.

Aktuell funktioniert das in meinem "richtigen Netz" (also hinter meiner OPNsense) nämlich noch nicht ...

Ich kann da zwar schon die Senderliste doppelklicken im VLC (diese wurde als tvsd.m3u sowie tvhd.m3u aus der Fritzbox exportiert) und sehe auch (in der Fritzbox), dass der jeweils gewählte Sender tatsächlich auch abgespielt/gestreamt wird.

Allerdings kommt weder Bild noch Ton und nach 1-2 Minuten wird automatisch auf den nächsten Sender gewechselt.

Soweit ich das verstehe, ist das ganze Thema recht komplex?

Denn zum einen muss ich wohl die Ports 10000-10500 "erlauben" und dazu ist dann auch noch IGMPv3 (inkl. 'cascading') wichtig?

Ich habe mir den "IGMP Proxy" auch schon installiert, finde für dessen Einrichtung aber leider keine richtige Anleitung ...

Diese hier https://docs.opnsense.org/manual/how-tos/orange_fr_tvf.html bezieht sich ja eher auf Leute, die das ganze direkt in der OPNsense "anzapfen" wollen, also ohne Fritzbox.

Bei mir ist das IPTV-Signal dank der Fritzbox ja eigentlich schon da – ich weiß nur leider nicht, was genau ich einstellen muss, damit das dann z.B. auch auf einem Rechner hinter meiner OPNsense ankommt?

Danke vielmals für Hilfe!

PS: Und noch als Ergänzung – "Multicast" ist wohl ebenfalls wichtig, sonst klappt es nicht, siehe:

https://avm.de/service/fritzbox/fritzbox-7530/wissensdatenbank/publication/show/1422_Live-TV-Wiedergabe-startet-nicht/

[Danke vielmals im Voraus für Eure Unterstützung.]

Hallo zusammen,

ich versuche mich mal an diesen Empfehlungen zu orientieren:

https://forum.opnsense.org/index.php?topic=12697.0

Folgender Fehler tritt auf: Die lokale Namens-Auflösung funktioniert nur, wenn auch mein Pi-hole als DNS-Server eingetragen ist, nicht jedoch wenn ich die OPNsense als alleinigen DNS-Server definiere.

Aufgefallen ist mir das leider erst jetzt bei einer manuellen Netzwerkeinstellung, denn per DHCP werden am Client als DNS-Server 10.89.89.11 (mein Pi-hole) und 10.5.5.1 (meine OPNsense) eingetragen (und damit funktioniert es wie gesagt auch).

D.h., wenn ich die Netzwerkeinstellungen per DHCP empfange, kann ich z.B. meinen iMac lokal auflösen (denn im Pi-hole sind diese als "Local DNS Records" eingetragen, siehe Screenshot "pi-hole-local-dns-records.gif"):

Code Select Expand

nslookup imac.localdomain
Server: 10.89.89.11
Address: 10.89.89.11#53
Name: imac.localdomain
Address: 10.5.5.199

Auch die Rückwärtsauflösung klappt problemlos:

Code Select Expand

nslookup 10.5.5.199
Server: 10.89.89.11
Address: 10.89.89.11#53
199.5.5.10.in-addr.arpa name = imac.localdomain.

Wenn als DNS-Server bei einer manuellen Netzwerkeinstellung jedoch ausschließlich meine OPNsense (10.5.5.1) als DNS-Server eingetragen ist, klappt es leider nicht:

Code Select Expand

nslookup imac
Server: 10.5.5.1
Address: 10.5.5.1#53
** server can't find imac: NXDOMAIN

nslookup imac.localdomain
Server: 10.5.5.1
Address: 10.5.5.1#53
** server can't find imac.localdomain: NXDOMAIN

nslookup 10.5.5.199     
Server: 10.5.5.1
Address: 10.5.5.1#53
** server can't find 199.5.5.10.in-addr.arpa: NXDOMAIN

In Services / Unbound DNS / Overrides ist natürlich ein entsprechender Eintrag vorhanden (siehe Screenshot "OPNsense-Unbound-Overrides.png").

Da ich auch BIND mit DNSBL nutze, steht in den "Custom options" unter Services / Unbound DNS / General folgendes:

Code Select Expand

forward-zone:
name: ,,."
forward-addr: 127.0.0.1@53530

D.h., den bis vor kurzem dort noch vorhandenen Eintrag

Code Select Expand

do-not-query-localhost: no

habe ich entfernt, aufgrund dieses Hinweises (ganz unten im Bereich "Advanced"):

https://docs.opnsense.org/manual/how-tos/bind.html

Aber vermutlich habe ich das einfach noch nicht korrekt verstanden und umgesetzt?

Anbei auch mein Netzwerkplan als Grafik (netzaufbau-double-nat.gif).

Danke vielmals im Voraus für Eure Unterstützung.

Hi all,

I'am wondering since a while what this exactly means (including the IPv6 'version' of this behaviour)?

Please see attached screenshot "firewall_logs.png". Will also add a screenshot of my LAN Firewall rules "firewall_rules_LAN.png".

Is it DHCP broadcast?

Thanks everyone for help and clarification.

Hi all,

I'am using BIND with DNSBL to avoid tracking and ads inside my private network (no more need to install "uBlock Origin" on every Browser / every device).

It's still not as good as Pi-Hole or PFblockerNG on PFsense, but a beginning ...  ;)

But I'am wondering where to get more information about all the different options (AdAway List, AdGuard List, ... – see attached screenshot).

The ad-blocking works fine so far but maybe some of these DNSBL types are not needed at all or will produce some problems?

Thanks for clarification,
Marcel

PS: IMHO it would be nice to have a clickable link in the OPNsense GUI for every source of these DNSBL types to get more information about them.

[Jetzt habe ich jedoch die neue Herausforderung, dass ich gern auch bestimmte Wildcard-Domains whitelisten möchte.]

Hallo zusammen,

Dank einer eigenen whitelist für bestimmte IPs bzw. IP-Bereiche (auf Basis von URL Table (IPs) Aliases) bin ich wirklich happy über die Möglichkeiten meiner OPNsense – das klappt bisher super.

Da ich u.a. die FireHOL-Level-3 als blocklist nutze, hilft mir eine solche eigene whitelist nun schon sehr.

Jetzt habe ich jedoch die neue Herausforderung, dass ich gern auch bestimmte Wildcard-Domains whitelisten möchte.

Um genau zu sein, geht es mir um folgende IPs/IP-Bereiche und URLs:

https://support.zuludesk.com/hc/en-us/articles/115002303094-Required-firewall-ports-and-IP-Ranges

Und bevor ich jetzt völlig planlos rumprobiere, dachte ich mir, ich frage doch lieber mal hier die Profis, was dafür die richtige Lösung wäre? Denn als Alias kann man Wildcard-Domains wahrscheinlich nicht definieren?

Den IP-Bereich 17.0.0.0/8 habe ich mit meiner whitelist z.B. komplett erlaubt.

Nun muss ich aber zusätzlich auch noch Domains wie

swcdn.apple.com
swdist.apple.com
swdownload.apple.com

aufnehmen.

Das ginge ja wahrscheinlich auch noch mit Aliases, einfach mehrere dieser Domains im Bereich "Content" hinzufügen.

Aber was ist z.B. mit:

*.push.apple.com
*.itunes.apple.com
*.apps.apple.com
* albert.apple.com
* gs.apple.com

usw.

Wie kann ich diese als "immer erlauben" in der OPNsense definieren?

Vielen Dank wie immer für Eure tolle Unterstützung & beste Grüße.

[Und ich bin mit meinem Latein mittlerweile echt am Ende und hoffe nun auf Eure Hilfe.]

Hallo zusammen,

weiß leider gar nicht so recht, wie ich den Betreff besser umschreiben soll – es geht um folgendes Phänomen:

Neuerdings kann ich auf meinem MBP Netflix nicht mehr öffnen.  :-\

Und ich bin mit meinem Latein mittlerweile echt am Ende und hoffe nun auf Eure Hilfe.

Der Witz ist, da Netflix auf allen anderen Geräten in meinem Netzwerk problemlos funktioniert (ein iMac, ein Apple TV, ein iPad), hatte ich natürlich erst einmal das System meines MacBooks selbst in Verdacht.

Deshalb habe ich tatsächlich so gut wie alles versucht, was dafür verantwortlich sein könnte:

- DNS-Caches gelöscht
- /Library/Preferences/SystemConfiguration 'bereinigt' (alles außer com.apple.Boot.plist entfernt, wird nach einem Neustart dann automatisch neu angelegt und konfiguriert)
- /etc/hosts überprüft
- /var/folders 'bereinigt' (sämtliche Ordner gelöscht)

Da das alles nicht half, habe ich am Ende sogar noch einmal das komplette System (10.14.6) per 'Recovery Mode' komplett neu drübergebügelt (die Apps und User-Daten etc. gehen dabei nicht verloren, von daher ist das grundsätzlich unproblematisch unter macOS – diese Prozedur räumt aber eben auch Caches etc. auf).

Trotzdem: Netflix läuft immer noch nicht auf dem MBP. Vor 2 oder 3 Tagen klappte das aber noch.

Dazu muss noch gesagt werden: Per

Code Select Expand

host netflix.com auflösen, auch per

Code Select Expand

traceroute netflix.com und

Code Select Expand

dig netflix.com sieht soweit alles gut aus – nur im Browser kann ich es halt trotzdem nicht öffnen (egal welcher Browser).

Dann erst hatte ich mich auch mal per VPN verbunden mit dem MBP (zu verschiedenen Firmen) und siehe da – sobald die VPN-Verbindung steht, funktioniert auch Netflix wieder im Browser!

Deshalb hatte ich dann Sensei in Verdacht wie auch meine Firewall-Regeln – aber nachdem ich Sensei komplett zurückgesetzt (und sogar wieder gelöscht habe) und auch meine FireHOL-Level-3- und Spamhaus-Regeln gelöscht (bzw. deaktiviert) habe, klappt das trotzdem noch nicht.

Ich verstehe das einfach nicht.  :-\

Da ja alle anderen Geräte keine Probleme haben und es per VPN auch keine Probleme gibt, nun meine Frage:

Was genau sollte ich jetzt prüfen, um das zu fixen?

Mir wäre nicht bewusst, dass ich an irgend einer Stelle in der OPNsense irgend etwas eingestellt hätte, was explizit nur mein MBP betrifft (das Gerät ist per Ubiquiti-AP im WLan und bekommt per DHCP-Server von der OPNsense eine IP zugewiesen).

Sorry für den etwas ausufernden Text, aber ich wollte das ganze möglichst genau beschreiben.

Danke für Hilfe wie immer.  :)

[Kann mir jemand erklären, was es mit diesem "Floating" eigentlich genau auf sich hat?]

Hallo zusammen,

habe mich jetzt mal mit dem Bereich "Aliases" in der Firewall auseinandergesetzt und dort 2x GeoIP-Bereiche (Russland und China) sowie FireHOL_Level_1 und Spamhaus DROP und Spamhaus EDROP definiert.

Die GeoIP-Aliase habe ich mir dann im Bereich "Floating" definiert (siehe Screenshot_01).

FireHOL und Spamhaus wiederum habe ich im Bereich "WAN" angelegt (auch dazu ein Screenshot_02).

Kann mir jemand erklären, was es mit diesem "Floating" eigentlich genau auf sich hat?

Bisher hatte ich Firewall-Regeln eigentlich immer nur im Bereich "LAN", "WAN" oder "VPN" definiert – "Floating" scheint neu zu sein (oder ist mir vorher einfach nie aufgefallen)?

Die GeoIP-Definitionen habe ich dort (in "Floating") reingepackt, weil ich das so ein einer Anleitung gesehen hatte ...

Ich frage mich jetzt natürlich, ob ich die FireHOL- und Spamhaus-Regeln vllt. auch dort aufnehmen sollte statt im Bereich "WAN"? Oder macht das keinen Unterschied?

Danke im Voraus für Eure Unterstützung.  :)

[also nicht in ein CGN gesteckt werden möchte]

Hallo zusammen,

hatte vor vielen Monaten schon mal einen größeren Thread eröffnet, in dem es um DynDNS, OpenVPN etc. ging – und letztlich stellte sich dabei heraus, dass das Hauptproblem das CGN des Anbieters war (damals noch Tele Columbus, jetzt PYUR).

Die Lösung war, beim technischen Support des Kabelanbieters eine "echte" IPv4 zu beantragen, die dann auch wieder ganz normal "von außen" erreichbar ist. Das hat nun viele Monate problemlos funktioniert (es war zwar keine feste IP, aber Dank meines DynDNS-Accounts war das auch nicht weiter schlimm – immerhin war sie normal erreichbar, so dass ich mich mittels DynDNS-Adresse auch zu meinem OpenVPN-Server verbinden konnte).

Nun, nach einer Umstellung meines Anschlusses von 400 Down / 12 Up auf 1.000 Down / 50 Up, befinde ich mich wieder in diesem verdammten CGN – aktuell wurde die 100.74.200.187 zugewiesen ...  :(

(meine angebliche 37.120.24.188 ist leider nicht meine "echte" von außen erreichbare IPv4-Adresse)

Hier kann man das übrigens schnell und einfach prüfen: https://www.whatismyip.com/ip-address-lookup/

Zwar hatte ich bei Vertragsabschluss sogar schriftlich darauf hingewiesen, dass ich eine echte IPv4-Adresse benötige, also nicht in ein CGN gesteckt werden möchte – das wurde aber einfach ignoriert. Und jetzt redet man sich damit heraus, dass IPv4-Adressen grundsätzlich nicht mehr herausgegeben werden bei diesen neuen Verträgen.

Lange Rede kurzer Sinn: Was kann ich tun?

Wahrscheinlich ist IPv6 dann die beste Option? Der Anschluss liefert tatsächlich auch eine IPv6-Adresse, nur kenne ich mich damit überhaupt nicht aus bisher.

In der Fritzbox (eine 6591) wird mir die aktuelle IPv6-Adresse und auch das IPv6-Präfix angezeigt.

Bei der IPv6-Adresse und beim IPv6-Präfix steht dann noch zusätzlich "Gültigkeit: 1206473/601673s". Was genau heißt das für mich? Ändert sich die IPv6 also auch ab und an (wie ja sonst auch die IPv4)?

Und könnte ich meinem DynDNS-Dienst eventuell diese IPv6-Adresse "beibringen"?

Meine OPNsense läuft als "exposed host" hinter der Fritzbox, sämtliche Netzwerkgeräte gehen auch nur über diese OPNsense online.

Vielen Dank im Voraus für Eure Unterstützung.

Hallo,

leider bekomme ich es aktuell nicht hin, eine bei No-IP eingetragene DynDNS-Adresse automatisch aktualisieren zu lassen ... und ich verstehe nicht, woran das scheitert, denn die Einstellungen sind eigentlich "korrekt" ...

Grundsätzlich funktioniert der DynDNS-Account: Denn wenn ich per GUI "save and force update" wähle, klappt alles.

Nur eben nicht automatisch?  :-\

Den Hinweis in der DynDNS-Config "You must configure a DNS server in System: General setup or allow the DNS server list to be overridden by DHCP/PPP on WAN for dynamic DNS updates to work." habe ich eigentlich auch beachtet.

DNS-Server sind in System / General eingetragen (1.1.1.1 sowie 1.0.0.1 jeweils auf der WAN-Schnittstelle) und auch das Häkchen ist gesetzt bei "Allow DNS server list to be overridden by DHCP/PPP on WAN".

Aber es klappt trotzdem nicht automatisch sondern immer nur, wenn ich in Services / Dynamic DNS gehe, dann dort den Eintrag auswähle zum editieren und "Save and Force Update" anklicke.

Ist das eventuell ein bug in der aktuellen Version 19.1.6?

Als workaround nutze ich aktuell wieder mal den Synology-Relay-Service (also deren DynDNS-Lösung), das funktioniert als Notlösung für die OpenVPN-Verbindung.

Aber ich würde natürlich schon sehr gern lieber meine echte No-IP DynDNS-Adresse nutzen direkt im OPNsense-Router, statt dieses Synology-QuickConnect Geraffel ...  ;)

Muss ich also per SSH auf die OPNsense und dort einen extra Cron-Job anlegen für die DynDNS-Sache?

Wäre halt schön, wenn es auch direkt per GUI funktionieren würde – z.B. wäre ja eine extra Option dafür in einer zukünftigen OPNsense-Version ganz nett (wo man ihn zwingen könnte, jede Stunde per "force update" zu prüfen, ob die IP noch stimmt)?

Danke für Hilfe!

Hallo zusammen,

hatte als Werbe- & Tracking-Blocker lange Zeit folgende Lösung genutzt:

https://devinstechblog.com/block-ads-with-dns-in-opnsense/

Nun bin ich auf eine etwas aktuellere Lösung gestoßen (die aber ebenfalls auf der ursprünglichen Variante von Devin's Tech Blog basiert):

https://github.com/matijazezelj/unbound-adblock

Das scheint auch alles gut zu funktionieren ... zum testen nutze ich normalerweise bild.de (da die manchmal selbst bei aktivierten uBlock Origin 'erkennen', dass ein Werbeblocker aktiv ist). Aber da wird alles geblockt wie es soll.  :)

Nicht so jedoch bei spiegel.de – da ist alles nur im ersten Moment geblockt, nach 2-3 Sekunden wird dann aber eine große Werbung von Dianomi eingeblendet, dazu noch am rechten Rand eine Werbung von Vodafone.

Beides lässt sich zwar (zum Glück) nicht anklicken (Seiten führen ins 'Leere', der Filter funktioniert also grundsätzlich).

Aber was kann bzw. muss man machen, damit auch so etwas wirklich geblockt wird? Ich würde sehr gern auf PiHole verzichten und das lieber weiterhin mit OPNsense-Bordmitteln lösen.

Erinnere mich, dass so etwas in der Art auch schon bei golem.de auftauchte, hatte dann irgend etwas von Proxies, Caching etc. gelesen, was die Webseitenbetreiber mittlerweile nutzen, um die Werbeblocker "auszutricksen"?

Im zweiten Posting zum Thread werde ich mal der Vollständigkeit halber noch meine Setup beschreiben.

Danke für Hilfe im Voraus.

[Vielen Dank für Hilfe und input.]

Hallo,

grundsätzlich funktioniert die Verbindung zum OpenVPN-Server gut und zuverlässig, soweit alles prima.

Nur die Geschwindigkeit macht mich wirklich stutzig – bei einem Kabel-Anschluss mit 400 MBit/s Down und 12 MBit/s Up (netto sind es eher 250 bis 380 MBit/s Down und 6 bis 9 MBit/s Up, je nach Zeit) komme ich nur auf folgende Werte, sobald die VPN-Verbindung steht (getestet per LTE-Hotspot mit knapp 150 MBit/s):

Download: 2,9 MBit/s
Upload: 4,1 MBit/s

Habe schon einiges gelesen (und auch versucht) – bisher leider keine Besserung ...  :-[

Encryption algorithm: umgestellt von AES-256-CBC (256 bit key, 128 bit block) auf AES-128-CBC (128 bit key, 128 bit block)
Auth Digest Algorithm: umgestellt von SHA512 (512-bit) auf SHA1 (160-bit)
DH Parameters Length: 2048 Bit (das sollte ja i.O. sein)

Im 'Advanced Bereich" habe ich zusätzlich zum Test noch folgendes eingetragen:

Code Select Expand

sndbuf 393216
rcvbuf 393216

push "sndbuf 393216"
push "rcvbuf 393216"

tun-mtu 1400

Aber auch das ändert erst einmal nichts bei meinem Setup vom Speed her.

OPNsense-Version: OPNsense 19.1.2-amd64, FreeBSD 11.2-RELEASE-p9-HBSD, LibreSSL 2.8.3
CPU: AMD GX-416RA SOC (4 cores)

Was mache ich falsch? Ist einfach nur der SOC zu lahm? Brauche ich für ordentlich Speed einen Xeon?  ;)

PS: Mir ist klar, dass bei meinem Anschluss maximal 6 bis 9 MBit/s drin wären, aber davon schaffe ich ja aktuell gerade mal die Hälfte ... irgendwo ist da doch der Wurm drin, oder?

Wie immer: Vielen Dank für Hilfe und input.

Hallo,

wollte soeben von OPNsense 18.7.10 auf 19.1 upgraden – leider schlägt das fehl, da die Disk schon recht voll ist:

61% / [ufs] (1.0G/1.8G)

Das Upgrade startet zwar, aber scheinbar werden mehr als 800 MB benötigt/geladen? Kann das sein?

Es kam dann jedenfalls immer die Meldung "write to restore size failed" und UFS war laut GUI mit 108% befüllt ...

Habe mich dann erst einmal per SSH eingeloggt und genauer geschaut.

Code Select Expand

df -T

Filesystem          Type  1K-blocks    Used   Avail Capacity  Mounted on
/dev/ufs/OPNsense0  ufs     1895054 1882235 -138785   108%    /
devfs               devfs         1       1       0   100%    /dev
tmpfs               tmpfs   2263248   15292 2247956     1%    /var
tmpfs               tmpfs   2248788     832 2247956     0%    /tmp
devfs               devfs         1       1       0   100%    /var/unbound/dev
devfs               devfs         1       1       0   100%    /var/dhcpd/dev

Außerdem noch so:

Code Select Expand

du -mah | sort -rh | head -n 20
1.8G .
805M ./root/var
805M ./root
794M ./root/var/cache/opnsense-update
794M ./root/var/cache
777M ./usr
578M ./root/var/cache/opnsense-update/18247
472M ./root/var/cache/opnsense-update/18247/packages-19.1-OpenSSL-amd64.tar
426M ./usr/local
285M ./usr/local/lib
216M ./root/var/cache/opnsense-update/.sets.pending/packages-19.1
216M ./root/var/cache/opnsense-update/.sets.pending
216M ./boot
215M ./root/var/cache/opnsense-update/.sets.pending/packages-19.1/All
171M ./usr/bin
124M ./usr/local/lib/python2.7
107M ./boot/kernel.old
107M ./boot/kernel
81M ./usr/share
79M ./root/var/cache/opnsense-update/18247/base-19.1-amd64.txz

Ein beherztes

Code Select Expand

rm -Rf /root/var/cache/opnsense-update* half jetzt zwar erst einmal, d.h. aktuell sind wieder nur 61% voll laut GUI (1.0G/1.8G) und 18.7.10 ist zum Glück immer noch aktiv.

Aber wie komme ich jetzt zum 19.1 Upgrade, ohne dass wieder die Fehlermeldung "write to restore size failed" auftaucht?

Wahrscheinlich muss ich mir einen Install-Stick mit 19.1 anfertigen und das Upgrade dann davon starten?

Oder gäbe es doch noch eine einfachere Möglichkeit?

Danke für Eure Hilfe!  :)

[Dazu muss ich sagen, das hatte schon mal problemlos geklappt in der Vergangenheit!]

Hallo,

leider muss ich bei meinem OpenVPN-Server als DNS-Adressen zusätzlich mind. 1.1.1.1 (oder auch 8.8.8.8 und/oder 9.9.9.9) eintragen, damit ich per OpenVPN und iPhone unterwegs online komme.

Lasse ich diese DNS-Server weg und trage dort nur den DNS-Server meines IPv4-Tunnelnetzwerks 10.1.2.0/24 ein, also 10.1.2.1, kann ich keine Seiten mehr ansurfen.

Und deshalb funktioniert nun leider auch nicht mehr der Werbeblocker (per Unbound DNS) von unterwegs aus – das war für mich eigentlich der Sinn bei der Sache (speziell beim iPhone).

Der Router selbst ist unter der 192.168.1.1 erreichbar, nutze zu Hause also ein 192.168.1.0/24.

Dazu muss ich sagen, das hatte schon mal problemlos geklappt in der Vergangenheit!

Normalerweise sollte doch die 10.1.2.1 als DNS-Adresse ausreichen?

Als Anleitung hatte ich damals dies hier benutzt:

https://www.sparklabs.com/support/kb/article/setting-up-an-openvpn-server-with-opnsense-and-viscosity/

Danke für Unterstützung & beste Grüße,
Marcel