Messages

46

German - Deutsch / Re: Wireguard VPN funktioniert, aber nur auf lokales Netz --- Internet geht nicht

« on: December 19, 2023, 05:35:41 pm »

Bitte geh strukturiert vor.

Zuerst muss "ping-mäßig" alles, aber auch wirklich ALLES passen. Also ping nur auf IPs, nicht auf Namen.

Wenn das dann wirklich sauber funktioniert, kannst Du auf "Namen" pingen, dann merkt man, ob der Name auflöst oder nicht (alternativ geht hierfür auch das "host" Kommando).

Und wenn das dann funktioniert, dann darfst Du die "üblichen" Internetdienste testen (Browser etc.)

Alles Andere ist ein Hin- und Her, dem keiner hier mehr folgen kann.

/KNEBB

47

23.7 Legacy Series / Re: WAN/LAN Configuration Issue

« on: December 18, 2023, 09:51:34 pm »

Ok, so your Vault is the hardware where Proxmox is installed as hypervisor and OPNSense runs as a virtual machine, right? There is no firewalling/ routing done one the Vault except the OPNSense?

In this case I am pretty sure the issue is on the Proxmox which I do not know well enough to troubleshoot.

Make sure you have seperate networks and switches created on Proxmox which are assigned to the different OPNSense LAN ports. MAke sure the do not interact with each other. Once properly separated I expect it will be much better.

/KNEBB

48

23.7 Legacy Series / Re: WAN/LAN Configuration Issue

« on: December 18, 2023, 02:58:59 pm »

Ok, good pictures. But where is the OPNSense?

In your first post you wrote it is a VM on proxmox. But I do not see it in your graph. What ist the Protectli running? Why do you need a second router/firewall?

Still do not get it...

49

23.7 Legacy Series / Re: high disk usage, du and df differ

« on: December 18, 2023, 09:45:19 am »

Hi,

have you changed anything on the disk layout or filesystems?

If not I'd recommend not to worry. With filesystems like ZFS (or BTRFS) the du/df tools are not really reliable any more. Because of compression and data deduplication. They might, but but they might not as well.

Anyways, I'd say you system looks fine. But yes, the 16G looks strange. For me, this directory in df says 1.4G used, but in `/usr/local/lib/python3.9` or in `/var/unbound/usr/local/lib/python3.9` I have only 482M according to `du`.

I guess it is something related to a chroot environment of unbound.  There might be some files in `/var/unbound/usr/local/lib/python3.9` where the `/usr...`is bind-mount over it. Sorry, just a guess.
If you urgently need to figure out, I'd stop unbound service, try to unmount the oython3.9 dir and see what's underneath.
As @meyergru suggested you might use `swapinfo`but I doubt it is related.

/KNEBB

50

23.7 Legacy Series / Re: WAN/LAN Configuration Issue

« on: December 15, 2023, 08:28:04 pm »

Without knowing your exact network structure I would guess there is a duplicate IP somewhere.... or some static arp?

51

23.7 Legacy Series / Re: Setting Router interface via DHCP from a Switch disables the internet interface

« on: December 15, 2023, 08:03:56 pm »

Any host can have only one interface configured with DHCP.

You are sure about that? Partially this makes sense, indeed. So what about the default gateway? Anyways- is this defined somewhere?

/KNEBB

52

German - Deutsch / Re: Wireguard VPN funktioniert, aber nur auf lokales Netz --- Internet geht nicht

« on: December 15, 2023, 12:29:48 pm »

Gut, das heißt, dass entweder auf dem Mac dann irgendeine Firewall-Regel gesetzt wird (was ich nicht glaube) oder das WG auf Deinem Mac das default Gateway ändert, wenn WG verbunden ist. Die Pakete gehen also vermutlich alle in Richtung OPNsense.

Dann jetzt bitte die Route-Einträge von der OPNSense in Richtung verbundenes MacBook.

Und sehr hilfreich, PAcketaufzeichnung vom WG-Interface, gerne auch von ROT.

/KNEBB

53

German - Deutsch / Re: Wireguard VPN funktioniert, aber nur auf lokales Netz --- Internet geht nicht

« on: December 14, 2023, 08:16:41 pm »

Moin,

wie sind denn die Routen gesetzt?

Auf der OPNSense, insbesondere aber auf Deinem Mac.
Also die Ausgabe von `route -n get 1.1.1.1` und `route -n get $IP_DES_LOKALEN_LAN` jeweils mal mit, mal ohne WG-Verbindung.

Und dann könnte es hilfreich sein, auf dem roten Interface mal per Paketaufzeichnung die ICMP-Pakete der `ping` zu überprüfen- gehen die da überhaupt raus oder wo landen die?

/KNEBB

54

German - Deutsch / Re: Wireguard funktioniert, aber noch paar Fragen offen

« on: December 13, 2023, 08:31:46 am »

Oder die beiden Roadwarriors (Macbook und iPad) an ewine Instance und für die Site2Site-Verbindung eine zweite?
Peer für jedes Endgerät extra?

Genau so. Und jede Instanz einen eigenen Port.

/KNEBB

55

German - Deutsch / Re: Portforwarding zu DMZ (VLAN) funktioniert nicht

« on: December 13, 2023, 08:16:25 am »

Moin,

Ports werden nicht nach extern geöffnet, wenn ich es über LTE überprüfe.

Was meinst du damit genau?

Ansonsten die üblichen Troubleshooting- Sachen mit dem PacketSniffer (Schnittstellen -> Diagnose -> Paketaufzeichnung). Dann kannst Du genau sehen, ob an WAN etwas reinkommt, ob es umgeschrieben wird und an dem DMZ-Interface wieder rauskommt.
Wenn Du Dir dabei unsicher bist, den Trace hier posten.

/KNEBB

56

German - Deutsch / Re: Einsteiger Fragen

« on: December 11, 2023, 10:39:59 pm »

Moin,

ich benutze hier auch das ZyXEL DLS Modem. Für einen Einsteiger ist das schon harter Tobak... er muss verstehen, dass das Modem IP-mäßig auf dem roten Interface hängt, aber darüber dann doch das Internet kommt...die ZyXEL 8und Telekom) Firmware ist ziemlich gekrüppelt, dem Teil kann man nicht einmal eine IP-ADresse konfigurieren, die ist hardcoded... 

Wenn Du NEtzwerk-Einsteiger bist, mach' die Fritz! Box als Exposed Host, die auf ROT der OPNSense weiterleitet. Und kauf' Dir einen einfachen, billigen Switch für die grüne Seite...

/KNEBB

57

German - Deutsch / Re: bekomme kein Internet auf zweiter Schnittstelle

« on: December 11, 2023, 10:34:07 pm »

Was heißt "kein Internet"? Prüfe erst mal die einzelnen Ebenen:

Vom Netzwerk aus, das nicht funktioniert:
Die nächsten drei SChritte nur mit IP, nicht mit Namen.
ping opnsense Gateway -> geht?
ping FritzBox -> geht?
ping Internethost -> geht?
Das geht alles? Dann weiter:
nslookup/ dig/ host lokaler NAme -> geht?
nslookup/ dig/ host Internetname -> geht?
Wenn das alles geht, funktioniert fast alles. Dann wäre zu sehen, ob die Zielports (80 meist) auch frei sind, mit nmap. Ich glaube aber, dass Du soweit nicht kommst.

Also, berichte mal, welcher Schritt oben geht und welcher nicht.

/KNEBB

58

23.7 Legacy Series / Re: Routing or TCP Relay

« on: December 11, 2023, 09:15:59 am »

As usual, I do not know for whatever reason you have to apply such a weird setup.... 

Anyways: Are you having issues in outgoing or incoming connections?

Do you want the mailserver be reachable by public IP? Or does the outgoing mail traffic has to use the public IP of your opnsense2?

/KNEBB

59

German - Deutsch / Re: WebGUI Lädt nicht vollständig

« on: December 08, 2023, 10:49:57 am »

Jo.

Wenn ssh aktiviert ist.

Anmelden, mit "df -h" gucken, was voll ist. Vermutlich /var/log. Da dann mit "rm DATEI" etwas löschen. Und dann neu starten.

DAnn sollte das wieder passen. Ist die Kiste wieder komplett da, auf genaue Fehlerursache untersuchen. Welches Log, warum, ggf. Einstellungen korrigieren.

/KNEBB

60

German - Deutsch / Re: Langsamer Traffice zwischen 2 VLANs

« on: December 08, 2023, 08:24:53 am »

Moin,

"nc" meint netcat - auch gerne zum Testen genutzt. Aber Du hast mit iPerf getestet, genauso gut. Hatte ich vermixt

Jumbo-Frames bitte auf jeden Fall aktivieren, vor allem auf den NAS.

Meine Erfahrung (Du bist vermutlich "nur" im Heimnetzwerk, richtig?): Setze es ÜBERALL, wo es geht auf den maximal erlaubten Wert (mal 9.000, mal mehr, mal weniger). Also auf dem NAS, den Routern/ Firewall/ Switches und evtl. auch Endgeräten. Gilt aber mWn nicht für WLAN, nur für kabelgebundene Geräte.
Wenn wirklich mal etwas nicht klappt, kann man es auf diesem einen Gerät ja wieder reduzieren.

Probleme sollte es mittlerweile damit nicht mehr geben, auch wenn es keinen offiziellen Standard gibt. Im Zweifelsfall machen die Geräte halt eine Fragmentierung, aber das sieht der TCP/IP Standard ja eh' vor. Das "Problem" der unterschiedlichen Werte ist meist nur eine andere Zählweise. Mache sagen ja auch, die Standard MTU ist 1.500, andere sagen, sie sei 1.514....

Die QNAP-Switche zB haben Jumboframes von Haus aus aktiviert (und kann man auch nicht deaktivieren).

Zu den möglichen Geschwindigkeitsvorteilen: bis zu 10% bei Gbit Ethernet. Siehe hier.
Allgemeines hier.