Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - zitlo

Pages 1 2 3 4

#16

German - Deutsch / Wireguard Ipv6 road warrior iphone

November 17, 2019, 06:38:21 PM

Hallo,

ich habe Wireguard auf der OPNsense konfiguriert und kann auch normal mit ipv4 über mein iPhone + Wireguard ins Internet.

Ping6 funktioniert nur intern (iphone -> OPNsense)
Ich bekomme aber kein ping6 von meinem iPhone ins WAN.

Hat da jemand schon Erfahrungen gemacht?
Die Firewall blockiert nicht.

Outbound NAT macht ja für v6 keinen Sinn oder?

(Ich habe dem iPhone eine ipv6 Adresse aus meinem ipv6 Subnetz gegeben)
Ich vermute da fehlt eine Route oder?

#17

German - Deutsch / Re: Nur private Netze erlauben...

November 15, 2019, 05:53:33 PM

Oder du packst deine "Ohne Internet Geräte" in einen Alias und erlaubst dann nur das lokale Netz + verbietest Verbindungen ins WAN. Du kannst auch mal mit der Funktion "Destination / Invert" spielen.

Oder du nimmst den Geräten manuell das Gateway weg.

#18

19.1 Legacy Series / Re: unbound: error: outgoing tcp: bind: Can't assign requested address

April 03, 2019, 03:37:22 PM

Thank you!

#19

19.1 Legacy Series / Re: unbound: error: outgoing tcp: bind: Can't assign requested address

April 03, 2019, 12:25:09 PM

Hey chemlud,

thank you for helping me.

OPT1 is my WAN iface, yes.

whith the following configuration it works without errors:

Code Select

ssl-upstream: yes
forward-zone:
name: "."
forward-addr: 9.9.9.9@853

Maybe its because of ipv6 and pppoe...
Do you think 9.9.9.9 is better than 8.8.8.8 or 1.1.1.1?

Because quad9 DNS is located in the US, I have longer roundtrip for each request.

#20

19.1 Legacy Series / unbound: error: outgoing tcp: bind: Can't assign requested address

April 03, 2019, 11:33:12 AM

Hello,

my system:
OPNsense 19.1.4-amd64
FreeBSD 11.2-RELEASE-p9-HBSD
OpenSSL 1.0.2r 26 Feb 2019

I get a lot of this error messages, how can I debug them?

Code Select

unbound: [25079:3] error: outgoing tcp: bind: Can't assign requested address

I try to set the interfaces manually but I get the same error, doesnt matter which interface I choose.

#21

German - Deutsch / Re: Ipv6 über OpenVPN im Netzwerk verteilen, fehlende Route?

December 06, 2018, 10:16:43 AM

Ok ich habe das Problem lösen können.

Für alle:

auf dem OpenVPN Server das v6 Subnetz in /usr/local/etc/openvpn/ccd eintragen
Einfach nach "client-config-dir ccd" googlen...

Sonst kann der OpenVPN Server die Pakete nicht routen und wirft die ganze Zeit "MULTI: bad source address from client" Fehler

#22

German - Deutsch / Ipv6 über OpenVPN im Netzwerk verteilen, fehlende Route?

December 05, 2018, 10:53:00 AM

Moin,

ich hoffe hier kann mir jemand helfen, ich bin am verzweifeln.

Problem: Ich habe bei mir Zuhause noch kein ipv6, nur ein statisches v4.
Angedachte Lösung: Server für ein 10Eur/mtl mieten, mit einem /56 und die /64 über Openvpn mit OPNsense in meinem Netzwerk verteilen.

Mein Setup:
Ich habe einen Freebsd Server mit einem /56 bei einem Hoster, wo ein OpenVPN Server läuft:

ipv6 Subnetz: 2001:xxx:xxxx:1000::/56

OpenVPN Server config:

Code Select


port 1194
proto udp
proto udp6
dev tun
ca /usr/local/etc/openvpn/pki/ca.crt
cert /usr/local/etc/openvpn/pki/issued/xxx.crt
key /usr/local/etc/openvpn/pki/private/xxx.key
dh /usr/local/etc/openvpn/pki/dh.pem
tls-auth /usr/local/etc/openvpn/ta.key 0
remote-cert-tls client
server 10.8.0.0 255.255.255.0
server-ipv6 2001:xxx:xxxx:1001::/64
ifconfig-pool-persist ipp.txt
keepalive 10 120
cipher AES-256-CBC
group nobody
user nobody
persist-key
persist-tun
status openvpn-status.log
log-append  openvpn.log
verb 6
explicit-exit-notify 1
mute 20
tun-ipv6
push "route-ipv6 2000::/3"

ifconfig:

Code Select

igb0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=6403bb<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,TSO4,TSO6,VLAN_HWTSO,RXCSUM_IPV6,TXCSUM_IPV6>
	ether 00:08:a2:0c:4f:b8
	hwaddr 00:08:a2:0c:4f:b8
	inet 195.xxx.xxx.229 netmask 0xffffff00 broadcast 195.xxx.xxx.255 
	inet6 fe80::xxx:xxx:xxxx:4fb8%igb0 prefixlen 64 scopeid 0x1 
	inet6 2001:xxx:xxxx:xxx:xxx:a2ff:fe0c:4fb8 prefixlen 64 autoconf 
	nd6 options=23<PERFORMNUD,ACCEPT_RTADV,AUTO_LINKLOCAL>
	media: Ethernet autoselect (1000baseT <full-duplex>)
	status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
	options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
	inet6 ::1 prefixlen 128 
	inet6 fe80::1%lo0 prefixlen 64 scopeid 0x2 
	inet 127.0.0.1 netmask 0xff000000 
	nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
	groups: lo 
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
	options=80000<LINKSTATE>
	inet6 fe80::208:a2ff:fe0c:4fb8%tun0 prefixlen 64 scopeid 0x3 
	inet6 2001:xxx:xxxx:1001::1 prefixlen 64 
	inet 10.8.0.1 --> 10.8.0.2 netmask 0xffffffff 
	nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
	groups: tun 
	Opened by PID 83237

ipfw openvpn Regeln:

Code Select


  # make VPN work
  - "add 10 allow all from any to any via tun0"
  - "add 1000 allow udp from any to me dst-port 1194 keep-state"
  - "add 120 skipto 501 ip4 from any to any out via igb0 keep-state"
  - "add 501 nat 1 ip4 from any to any"
  - "nat 1 config if igb0"

Die VPN Verbindung client <-> Server, von meinem Mac via Tunnelblick funktioniert:

ex. ping google.com

Code Select


➜  ~ ping google.com
PING google.com (172.xxx.xx.xx): 56 data bytes
64 bytes from 172.xxx.xx.xx: icmp_seq=0 ttl=53 time=62.707 ms

➜  ~ ping6 google.com
PING6(56=40+8+8 bytes) 2001:xxx:xxxx:1001::1000 --> 2a00:1450:4001:81c::200e
16 bytes from 2a00:1450:4001:81c::200e, icmp_seq=0 hlim=53 time=62.197 ms

OPNsense Konfiguration:

ifconfig:

Code Select


igb0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=4400b8<VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,VLAN_HWTSO,TXCSUM_IPV6>
	ether 00:0d:b9:4c:53:3c
	hwaddr 00:0d:b9:4c:53:3c
	inet6 fe80::20d:b9ff:fe4c:533c%igb0 prefixlen 64 scopeid 0x1 
	inet xxx.xxx.xxx.xx netmask 0xffffff00 broadcast xxx.xxx.xxx.xxx. 
	nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
	media: Ethernet autoselect (1000baseT <full-duplex>)
	status: active
igb1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=4400b8<VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,VLAN_HWTSO,TXCSUM_IPV6>
	ether 00:0d:b9:4c:53:3d
	hwaddr 00:0d:b9:4c:53:3d
	inet6 fe80::20d:b9ff:fe4c:533d%igb1 prefixlen 64 scopeid 0x2 
	inet6 2001:xxx:xxxx:1002::1000 prefixlen 64 
	inet 192.168.2.254 netmask 0xffffff00 broadcast 192.168.2.255 
	nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
	media: Ethernet autoselect (1000baseT <full-duplex>)
	status: active
igb2: flags=8c02<BROADCAST,OACTIVE,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=6403bb<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,TSO4,TSO6,VLAN_HWTSO,RXCSUM_IPV6,TXCSUM_IPV6>
	ether 00:0d:b9:4c:53:3e
	hwaddr 00:0d:b9:4c:53:3e
	nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
	media: Ethernet autoselect
	status: no carrier
enc0: flags=0<> metric 0 mtu 1536
	nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
	groups: enc 
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
	options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
	inet6 ::1 prefixlen 128 
	inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5 
	inet 127.0.0.1 netmask 0xff000000 
	nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
	groups: lo 
pflog0: flags=100<PROMISC> metric 0 mtu 33160
	groups: pflog 
pfsync0: flags=0<> metric 0 mtu 1500
	groups: pfsync 
	syncpeer: 0.0.0.0 maxupd: 128 defer: off
ovpnc1: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
	options=80000<LINKSTATE>
	inet6 fe80::20d:b9ff:fe4c:533c%ovpnc1 prefixlen 64 scopeid 0x8 
	inet6 2001:xxx:xxxx:1001::1000 prefixlen 64 
	inet 10.8.0.6 --> 10.8.0.5  netmask 0xffffffff 
	nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
	groups: tun openvpn 
	Opened by PID 22508

igb 1 ist mein LAN Netzwerk:
192.168.2.0/24
2001:xxx:xxxx:1002::/64

Ping OPNsense -> OpenVPN Endpunkt:

Code Select


ping6 2001:xxx:xxxx:1001::1
PING6(56=40+8+8 bytes) 2001:xxx:xxxx:1001::1000 --> 2001:xxx:xxxx:1001::1
16 bytes from 2001:xxx:xxxx:1001::1, icmp_seq=0 hlim=64 time=27.439 ms

Ping6 OPNsense -> google.com

Code Select


ping6 google.com
PING6(56=40+8+8 bytes) 2001:xxx:xxxx:1001::1000 --> 2a00:1450:4007:817::200e
16 bytes from 2a00:1450:4007:817::200e, icmp_seq=0 hlim=55 time=47.972 ms

Der OpenVPN-Tunnel funktioniert also auf der OPNsense.
Ich kann auch:
- von der OPNsense mein Notebook pingen (ipv6)
- vom Notebook ovpnc1 2001:xxx:xxxx:1001::1000 und das LAN Netzwerk interface igb1 2001:xxx:xxxx:1002::1000 pingen

Mir fehlt also eine Route die ipv6 Pakete vom LAN Netzwerk über ovpnc1 <-> zum OpenVPN Server Endpunkt 2001:xxx:xxxx:1001::1 weiterleitet oder?

Weil ein Ping6 vom Notebook auf google.com funktioniert nicht.

Code Select

➜  ~ ping6 2001:xxx:xxxx:1001::1
PING6(56=40+8+8 bytes) 2001:xxx:xxxx:1002:f992:b66b:2062:3196 --> 2001:xxx:xxxx:1001::1

--- 2001:xxx:xxxx:1001::1 ping6 statistics ---
2 packets transmitted, 0 packets received, 100.0% packet loss
➜  ~ traceroute6 google.com     
traceroute6 to google.com (2a00:1450:4001:81c::200e) from 2001:xxx:xxxx:1002:f992:b66b:2062:3196, 64 hops max, 12 byte packets
 1  OPNsense  9.299 ms  8.749 ms  10.221 ms

➜  ~ ping6 google.com     
PING6(56=40+8+8 bytes) 2001:xxx:xxxx:1002:f992:b66b:2062:3196 --> 2a00:1450:4001:81c::200e

#23

German - Deutsch / Re: [GELÖST] Opnsense reagiert alle 3-7 Tage nicht mehr

October 15, 2017, 04:28:53 PM

Hey,

heute hat sich meine Opnsense wieder aufgehangen (nach ca. 5 Tage uptime)

Vielleicht hilft die Fehlermeldung, ich kann daraus leider nichts deuten.

#24

17.7 Legacy Series / Re: IPv6 Packed Loss

September 22, 2017, 03:41:31 PM

yes

#25

17.7 Legacy Series / Re: IPv6 Packed Loss

September 21, 2017, 09:31:30 PM

Hi, yes I had similar issues. I made a german post here: https://forum.opnsense.org/index.php?topic=5935.0

But I only had problems with some interfaces, check an other vlan if v6 is working there

#26

17.7 Legacy Series / Re: [CALL FOR TESTING] Tor

September 21, 2017, 08:36:00 PM

Great! Thank You!

ipv6 for the relay would be nice.

#27

German - Deutsch / Re: 17.7.1_2 probleme mit ipv6 mit clients

September 20, 2017, 08:24:07 AM

Hallo Franco,

vielen Dank für den Tipp, man lernt immer dazu :)

Alles klar, ich werde berichten. Neustart mache ich grundsätzlich nach einem Update.

Sieht man dich auf der EuroBSDcon?

#28

German - Deutsch / Re: 17.7.1_2 probleme mit ipv6 mit clients

September 20, 2017, 08:12:42 AM

Moin Franco!

keine Ahnung. Das seltsame war, dass es wirklich nur eine Schnittstelle betraf. Alle anderen Schnittstellen hatten ipv6 nur die eine nicht. Jetzt auf einmal funktioniert es wieder und ich habe wirklich nur das Update eingespielt.

#29

German - Deutsch / Re: 17.7.1_2 probleme mit ipv6 mit clients

September 19, 2017, 06:51:57 PM

Seit dem Update heute funktioniert mein ipv6 wieder. creepy.

Danke für den Fix!

#30

German - Deutsch / Re: 17.7.1_2 probleme mit ipv6 mit clients

September 14, 2017, 08:12:39 PM

Servus Leute,

habe das Problem immer noch nicht klären können. Ich habe auf allen Schnittstellen eine funktionierende ipv6 Verbindung (4x VLAN, 1x Openvpn mit v6) nur im ungetaggten LAN nicht. Ich bin am verzweifeln und finde den Fehler nicht.
Hat jemand eine Idee wie man das Problem eingrenzen könnte? system und dhcp log sieht normal aus.

Im LAN bekommt jeder Client eine v6 Adresse aber die funktioniert nicht, ping6 oder ssh -6 funktioniert nicht (no route to host) Ipv6 test im Browser schlägt auch fehl. Das Gateway kann ich auch nicht anpingen...

Wenn ich ping6 google.com durchführe löst der DNS korrekt die Adresse auf aber keine Antwort.
Firewall ist es nicht, habe alle Regeln überprüft.

Das seltsame ist das kam alles durch das vorletzte Update, ich hatte eigentlich nichts an der config geändert.

Jemand eine Idee?

Pages 1 2 3 4