Topics

Moin.

Ich hab da mal was sehr Kurioses.

Seit ein paar Wochen treibt mich das Problem, daß hier auf meiner Sense im lokalen Netz kein Threema mehr läuft.
Ab und an lief aber wieder. Hab mir somit nüscht dabei gedacht.
Seit dem letzten Update auf 2.7.11_2 geht es aber gar nicht mehr.

Also Fehlersuche...
- Fehler gefunden > DNS lookup sagt mir: 0.0.0.0
- alle Listen mit Alias durchsucht > keine Besserung: nirgends steht die IP vom Threema Server drin
- dann nach und nach meine Blocklisten im Unbound abgeschaltet (abuse.ch; easylist; steven black list; nocoin list; windowsspyblocker) > auch keine Besserung
- auch ein manuelles Setzen der Domain in der Whitelist > keine Besserung

Erst als ich die komplette Blocklist Funktion im Unbound deaktivert habe, geht es wieder.
Wie kann das denn sein? Wird da noch irgendwo im Hintergrund was geladen, was man nicht sieht?

Hat irgendjemand dafür vielleicht Lösung von euch?

Moin.

Ich hatte vor einiger Zeit mal IPv6 bei mir eingerichtet.
Das Ganze hat aber nicht so richtig funkioniert, da die Leasetime immer abgelaufen war und nicht so recht erneuert wurde.

Nach diesen Fehlschlägen hab ich das Ganze erstmal deaktiviert und nur mit IPv4 weiter gemacht.
Jetzt mit OPNsense 24.7.x wollte ich noch mal nen Versuch starten, aber jetzt geht irgendwie gar nichts mehr.

Selbst wenn alles was mit IPv6 zu tun hat, deaktiviert ist, haben meine Rechner hier ne ganz komische IPv6 Adresse: "::9cdb:xxxx:xxxx:f8c4", sowie ein Gateway mit: "fe80::2ec8:xxxx:xxxx:fc0c"
In der OPnsense hat das LAN Interface auch eine solche Adresse: "::cda:42ff:xxxx:xxa7/64".
Das Gateway kann ich auch anpingen, weiß aber nicht welches Gerät das ist.

Wo kommt das denn her? Steckt da noch irgendwas in einer alten Konfiguration drin? Kann ich das irgendwie löschen/entfernen?

Moin.
Ich versuche auch gerade meine IPv6 Konfiguration zum Laufen zu bekommen.
Mein ISP macht seit kurzem DualStack, aber so richtig geht es noch nicht.

Meine OPNsense ist bei Version: 23.7.8_1

Hab einmal beim Einrichten, den Haken bei 'send ipv6 prefix hint gesetzt'
Daher wußte ich dann, prefix ist: /60 (leider aber kein /56)

Dann aufm LAN 'track interface' gesetzt und die Clients bekommen eine IPv6 mit /64 zugewiesen.
Folglich auch auf den internen Interfaces überall 'track interface' aktiviert und die 'ipv6 prefix id' hochgezählt (16 Subnetze, also 0-15 sollte ja möglich sein).
Nun haben auch fast alle Geräte auf den anderen Interfaces eine IPv6 Adresse.
Router Advertisements (unmanaged), DNS und Firewall Regeln dann auch noch angepaßt.
Bis dahin läuft alles einwandfrei.


Jetzt kommt das Kuriose....
Nach etwa 4 Stunden haben die Clients zwar noch ne IPv6 Adresse, aber es geht darüber nichts mehr.
Dann sieht es so aus:


Also in OPNsense rein und geschaut ob irgendwas klemmt. > aber sämtliche Dienste laufen wie gewohnt.
Erst wenn ich über die Konsole verbunden bin und im Menüpunkt 11 alle Dienste neu starte läuft es wieder rund.

Woran könnte das liegen, daß das nicht stabil ist, vielleicht an dem /60 Prefix?

Moinsen.

Hab da mal ein kurioses Fehlerbild.

Habe bei mir und einem Kumpel jeweils ne OPNsense laufen.
Seit geraumer Zeit laufen unsere Wireguard Clients auf Windows-Laptops aber nicht mehr wirklich.
Es steht zwar da, daß die Verbindung aktiv sei, aber es kommt kein Traffic zustande.
Die jeweiligen Konfigurationen haben aber schon mal funktioniert...
Nehm ich jetzt aber die gleiche Konfiguration und schieb die auf mein iPhone drauf, geht das wie verrückt.

Woran könnte das denn liegen?
Bin grad etwas überfragt und weiß auch grad nicht wo ich noch nachschauen soll.

Im Log von Wireguard stehen mehrere Einträge:

Code Select Expand

Error wireguard /usr/local/opnsense/scripts/Wireguard/wg-service-control.php: The command '/sbin/route -q -n add -'inet' '172.16.120.1/24' -interface 'wg5'' returned exit code '1', the output was ''

Moinsen.

Ich habe am Dienst meine OPNsense von 21.7.8 auf 22.1 hochgezogen.
Diese läuft auf einem Proxmox v7.x als VM mit VirtIO Netzwerkkarten (CPU ist ein i7-8700T).
Der Proxmox selbst ist mit 10Gbit an einen Switch über ein DAC Kabel angebunden.

Mit der 21.7.x ging alles schön.
Das Ugrade auf 22.1 lief auch ohne Fehler durch.
Nur seit dem die 22.1 aufgespielt ist, ist der Downstream ins WAN sehr lahm (etwa 3MBit) (der Upstream geht aber nach wie vor 40MBit gut).
Normalerweise hab ich ne 100MBit Leitung nach außen über VDSL mit Draytek Vigor 130 Modem.

Ich hatte ja davon gelesen als die 22.x Beta war, daß es unter Hyper-V Schwierigkeiten gibt.
Dieses Problem scheint aber auch mit den VirtIO Treibern aufzutreten.

Hat jemand die gleichen Symptome? Und gibt es da vielleicht eine Abhilfe?

MfG

Moinsen.
Ich hab da mal ein paar Fragen zum Thema IPv6.
Mein ISP macht zur Zeit offiziell kein IPv6.

Testen kann ich es aber laut Mitarbeiter, wenn ich auf der WAN Schnittstelle DHCPv6 aktiviere.
Und  siehe da, bekomme ich auch eine '2a01...' und ein /64 Präfix zugewiesen.
In den Einstellungen dazu darf ich keines der Häkchen setzen, wie es bei einem Telekom Anschluß laut OPNsense Doku erklärt ist (damit bekomme ich dann keine v6 Adresse mehr, anscheinend ist es eine zusätzliche Verbindung).
Ich habe aber lustigerweise kein Gateway bei 'Interface/Overview' am WAN angezeigt.
Den Punkt 'Track Interface' auf der LAN Schnittstelle habe ich aktiviert, aber bekomme keine v6 Adressen an die Clients durchgereicht. (Testweise mal bei einem Telekomanschluß aktiviert und läuft auf Anhieb)

Wenn ich nun mal auf der Sense ein paar Tests fahre kann ich aber erfolgreich nen Ping oder Traceroute zu Google oder Heise machen.

Mache ich da was falsch oder müssen da noch ein paar Sachen zusätzlich eingerichtet werden?

Hei hei.

Since I moved my home opnsense system as a vm on proxmox, i got a strange behavior.
My ISP provides a VoIP interface in a vlan.
The normal WAN conntection is realized by DHCP without a vlan.

When the opnsense vm is booting, the VoIP interface is a liitle bit earlier initialized than the wan interface.
The problem now is: opnsense/unbound will try to use the VoIP gateway for the internet connection.
But the VoIP gateway is no "upstream gateway". I already diabled this function under gateways.
Now the "lo" interface on the the vm does not have a valid resolver, while all client's are able to use dns.

Now I have two options:
1. reload the "wan" interface, or
2. change any option in unbound, hit save and undo this

Is it possible to change the interface order at startup, so that the "wan" interface will be initialized before the VoiP (vlan) interface?

Moinsen.

Hab da mal ein Problem.
4 Standorte sind per Wirguard per s2s verbunden.
Ein 5ter ist ne FritzBox per IPsec, die aber auch funktioniert.
Das mit Wireguard lief jetzt sag ich mal so etwa ein halbes Jahr sehr gut.
Am Freitag war an Standort 1 Stromausfall...etwas länger halt.
Jetzt sind alle Standorte wieder online. Aber es kommt keine volle Verbindung mehr zustande (zwischen 1-4).

Standort 1 ist Hauptstandort. (LAN-Netz: 192.168.233.0/24)
Standort 2: (LAN-Netz 192.168.234.0/24)
Standort 3: (LAN-Netz: 192.168.235.0/24)
Standort 4: (LAN-Netz: 10.0.35.0/24)
Standort 5: (LAN-Netz: 192.168.178.0/24) (Fritzbox mit IPsec, welche läuft)

Testen kann ich gerade nur zwischen Standort 1 und 4. Die Transfernetz-IP's für diese Verbindung 192.168.239.2/24 und 192.168.239.1/24.
Die Handshakes werden gemacht und auch angezeigt mit aktuellem Datum.
Firewall Regeln sind auf alles erlauben gestellt in beiden Richtungen.

Jetzt ist es aber so, daß Standort 1 zwar auf Standort 4 zugreifen kann, aber nicht umgekehrt (Ping, usw. Test).
Das Gleiche hatte ich schon mal mit IPsec vor ner Weile. An allen Standorten sind seitens Netzbetreiber feste IP's vorgegeben.
In den Logs finde ich aber keine Hinweise, warum die Verbindung blockiert wird. Vor allem warum es nach einem Stromausfall nicht mehr geht, aber alles andere wieder funktioniert.

Moinsen.

Hab bei meiner und bei zwei Bekannten folgende Thematik.

Ab und an fällt die Internetverbindung aus (Modem oder ISP).
Die OPNsense verbindet sich aber nicht mehr automatisch nach dem Reconnect des Modems.
Ich muß also manuell zu Interfaces > Overview > WAN gehen und einen Reload machen.

Hab bei Reddit auch schon was dazu gefunden: https://www.reddit.com/r/OPNsenseFirewall/comments/fgcjsb/wan_has_to_be_manually_reloaded/?utm_source=share&utm_medium=ios_app&utm_name=iossmf

Ein Kumpel hat das seit der 19.7.8 sagt er. (OPN physisch installiert)
Bei mir und noch einem tritt der Fehler erst seit der 20.x auf (OPN auf Proxmox [NIC virtuell])

Hat das auch noch von euch jemand?

Moinsen.
Hab da mal ne Frage.
Ich steh grad vor dem Fehler, daß zwei kleine Seiten nicht mehr richtig über das Netz erreichbar sind.

Beide Sind über den Nginx als Reverse Proxy angelegt und funktionieren auch soweit bis es zur Anmeldung kommt.
Ich hab mich da schon ein wenig belesen, daß der Reverse Proxy das "X-Forward-For" Flag irgendwie braucht. (Wenn ich  da richtig liege)
Aber irgendwie hab ich Tomaten auf den Augen und finde das nicht.

Beide Dienste liegen in einer lokalen DMZ und sind intern per http angebunden.
Nach außen hab ich die mit dem nginx per https verfügbar.

Moinsen.

Hab hier was ansich Schönes gefunden.
Wie man den HAproxy als WAF etwas absichern kann.

https://www.bayreuth.tk/linux-und-bsd/schutz-fuer-webseiten-mit-haproxy-tiny-waf.html

Aber welche Werte sind denn damit dann gemeint?
In der Konsole sind die ja dann anders benannt gegenüber der GUI.

Hat da jemand ein wenig Erfahrung damit?

Moinsen.

Hab da mal ne Frage.
Wie genau funktioniert denn der Gateway-Monitor?

Ich habe zwei Gateways. Einmal der WAN-GW  und dann im LAN noch ein Gateway welches dann noch in ein anderes Netz routet.
Der Gateway auf der LAN Schnittstelle wird grün angezigt > also online.

Auf der WAN Seite hab ich ein /29 Netzwerk. Also effektiv 6 IP's.
Von diesen 6 ist die erste das Gateway. Dizweite wird von einem anderen Gerät genutzt.
Die OPNsense nutzt die offiziell die 6. IP. DIe drei übrigen hab ich als Virtual-IP eingerichtet.

Jedenfalls wird mir der WAN-Gateway immer als offline angezeigt.
Obwohl ich ins Netz komme und der Gateway pingbar ist.

Grüße.
Hab nochmal ne kleine Frage.
Hab mir das Ganze vor einer Weile eingerichtet:

- zwei Real Server + ACME
- drei Backend Pools (alle auf HTTP Layer 7)
- ein Frontend welches auf :80 und :443 hört
- im Frontend sind alle Zertifikate hinterlegt, sowie die Regeln

- Bedingungen hab ich vier: 2x host match, 1x acme, 1x tls redirect
- Regeln hab ich auch vier, passend zu den Bedingungen

Jetzt stellte sich heraus, daß die Zertifikate nicht mehr aktualisert werden, da der acme_challange nicht mehr greift, denn er wird vom tls_redirect umgangen.

Wie kann ich acme dazu bringen trotzdem weiterhin auf Port 80 zu lauschen, und dort die TLS Umleitung zu unterbinden.

Moinsen.

Ich habe gestern ein neues Zertifikat für eine SubDomain über das Let's Encrypt Plugin ziehen wollen.
Komischerweise bekomm ich immer eine Fehlermeldung "400".
Benutzt wird das 'http-01' Verfahren.
Ich habe aber noch drei weitere Zertifikate drin, die im November aktualisiert worden sind.
Gibt es da grade irgendwelche Einschränkungen?

Mein Gedanke war jetzt auf 'dns-01' zu wechseln.
Hat das jemand im Einsatz?
Oder gibt's da eine Anleitung zu?

MfG

Mahlzeit.

Hab da mal ne Frage im Raum stehen.

Nachdem ich mir alles so im Netz rausgesucht hatte, was es zu diesem Thema gab und mein Anbieter kein Doku hierzu hat, war ich heilfroh als das Plugin startete.

Ich hab hier ne öffentliche IPv4 Adresse.
Ich hab die Streams auf nem VLAN mit IPv4 anliegen.
Es läuft..., alle Geräte könnten ein Signal empfangen.

Aber ich hatte mir noch nen IPv6 6to4 Tunnel eingerichtet.
Erst wenn ich diesen abschalte und das jeweilige Empfangsgerät keine IPv6 Adresse mehr hat, laufen die Streams.

Ich versteh grad nur Bahnhof.
Hat da jemand eine Idee hierzu?

Hi.
I found that the implementation of aliases in the firewall section is perfect.

Is there a way to get this for the unbound dns server?

I mean the URL table IP's function but now with domain names, including expiration settings.
Instead of using the command line with the update-hosts.sh file, this would be a more easier function to block multiple dns records.

There is somhow a bug after upgrading to 18.7_b137.
My password for my OPNsense was gone.
Had to reset it in single user mode.

Moinsen.
Ich hab da mal ne Frage zum Traffic-Shaper.
Ich hab hier (noch) ne 50/10k Leitung.

Hab für mein VOIP nach Anleitung im Wiki etwas Datenverkehr gebucht / zurückgehalten.
Das funzt sehr gut.

Mein Funknetz ist nun durch MikroTik APs ersetzt.
Da kommt auch die Leistung an und hat keine Beschränkungen wie ne FritzKiste.
Jetzt hab ich mir ein VLAN fürs GästeWLAN gemacht und schieb das in die MikroTik's rein.

Jetzt noch ne Pipe von 10k im Download für den Gästefunk erstellt.
Irgendwie kommt es mir aber vor, daß das HeimWLAN jetzt etwas langsamer ist.
Als wenn er es davon abzwackt.
Es soll ja mein Netz dabei nicht ausbremsen und nur den Gästefunk begrenzen wenn es genutzt wird.
Wie ist da die Herangehensweise?

Moinsen.

Hab da mal ne bescheidene Frage.
Ich hatte bisher meine OpenSense hinter einer FritzKiste betrieben.
Die hab ich nun durch ein VDSL Modem ersetzt und die Sense macht die 'DHCP-Einwahl' direkt.

Seit dem geht aber der HAproxy nicht mehr.
In den Logs steht nix drin...
Hab aber bei einem Neustart gesehen, daß OpenSense den HAproxy auf aufm ehemaligen IF 'em0' starten will.
Kann man das irgendwo einstellen, welches IF die WAN Schnittstelle ist?

Ich versteh grad die Welt nicht mehr.
Nach dieser Anleitung hier "https://forum.opnsense.org/index.php?topic=1972.0" sende ich im DHCP zu den Clients ne statische Route mit.
Soweit gut, aber mein OMV (Debian) verliert dabei seine 'default' Route zum WWW.
Die Windows / Macintosh Clients behalten das richtig.
Wo liegt denn hier der Hund begraben?

Hab jetzt auch schon versucht, die default Route mit da rein zu nehmen.
Aber der nimmt keine Nullen bei der Verteilung.