Messages

151

German - Deutsch / Sende-Empfangsfehler auf LAGG -- wie weiter einkreisen?

« on: September 08, 2020, 05:04:35 pm »

Hallo.
Unsere OPNSense hängt per LAGG an einem Unifi-Switch 16XG. Dort wird regelmäßig auf den beiden Ports angezeigt: Sendefehler und/oder Empfangsfehler.
Nun wüsste ich natürlich gerne, woran das liegen kann. Die Transceiver und Kabel sind neu. Zudem ist der Biegeradius der Glasfaserleitung alles andere als gering. Ich habe auch bereits mehrfach die Kabel gezogen und gereinigt. Es hält aber leider nie besonders lange an, bis die Fehler erneut gemeldet werden. Ich weiß auch nicht, ob der unifi-Switch da einen Fehlalarm lostritt oder ob da was dran ist. Jedenfalls würde ich gerne auf der OPNSense--Seite nachsehen, ob auch dort Fehler gemeldet werden. Daher die Frage hier: Wo/wie kann man das sehen, ob evtl Pakete verschluckt wurden?
Wie ist das generell bei einem LAGG, wenn nichts los ist im Netzwerk: Wird dann die eine Leitung auf stand-by geschaltet, so dass das ggf. die Fehlermeldungen auslöst??
Danke für einen guten Tipp.

152

German - Deutsch / Re: [SOLVED] FAIL: Upgrade auf 20.7 via ssh ...

« on: August 25, 2020, 09:12:00 pm »

The cause were empty files *IPv4 in /usr/local/share/GeoIP/alias/.

Daran liegt es hier nicht ... die Dateien sind da und mit Inhalt gefüllt. Ich vermute eher, dass meine öffentliche IP aus irgendwelchen Gründen blockiert wurde.

153

20.7 Legacy Series / Re: GeoIP 20.7 solution

« on: August 25, 2020, 09:10:42 pm »

sorry. wrong forum

154

German - Deutsch / Re: FAIL: Upgrade auf 20.7 via ssh ...

« on: August 25, 2020, 03:43:06 pm »

Das Problem ist Dank der Hilfe von mimugmail gelöst.
Ich hatte eine Regel bzgl GeoIP aktiviert, die siche offenbar mit Wireguard in die Quere kam.
Die Ursache war also gar nicht Wireguard sondern die zusätzliche Regel -- sobald diese deaktiviert wurde, war der Tunnel wieder da.
Vielen Dank nochmals für den tollen Support! Darauf wäre ich nie gekommen...

155

German - Deutsch / Re: FAIL: Upgrade auf 20.7 via ssh ...

« on: August 25, 2020, 09:44:38 am »

Dump würde ich per PM schicken ... geht das?

Mir ist noch etwas aufgefallen:
Wenn ich den Service neu starte, erhalte ich:

Code: [Select]

[#] ifconfig wg0 inet 172.18.18.254/24 172.18.18.254 alias
[#] ifconfig wg0 mtu 1420
[#] ifconfig wg0 up
[#] route -q -n add -inet 172.18.18.10/32 -interface wg0

In diesem Beitrag steht allerdings:
https://forum.opnsense.org/index.php?topic=18386.msg83609#msg83609

Code: [Select]

ifconfig wg0 inet 10.1.1.1/32 10.1.1.1 alias in der ersten Zeile -- dort steht also auch wieder die kleine Netzmaske ... kann es damit zusammenhängen?

... und noch eine andere Beobachtung, von der ich auch nicht weiß, ob sie damit zusammehängen könnte:
dmesg meldet des öfteren:

Code: [Select]

wg0: link state changed to DOWN
tun0: link state changed to UP
tun0: changing name to 'wg0'
pflog0: promiscuous mode disabled
pflog0: promiscuous mode enabled
pflog0: promiscuous mode disabled
pflog0: promiscuous mode enabled
pflog0: promiscuous mode disabled
pflog0: promiscuous mode enabled
in_scrubprefix: err=65, prefix delete failed             <<< was ist das!??

und auch:

Code: [Select]

pflog0: promiscuous mode enabled
wg0: deletion failed: 3                   <<< was ist das!??
wg0: link state changed to DOWN
tun0: link state changed to UP
tun0: changing name to 'wg0'


156

German - Deutsch / Re: FAIL: Upgrade auf 20.7 via ssh ...

« on: August 24, 2020, 05:14:00 pm »

Kannst du den output von dem tcpdump hier posten?
Und dann auch gleich mit interface wg0

Da steht nichts besonderes drin: Es erscheint nur immer wieder die Meldung:
"Handshake Initiation", zu der es offenbar aus irgendwelchen Gründen nicht mehr kommt.

Wenn ich den tcpdump auf wg0 loslasse, wird nichts in die Datei geschrieben.

157

German - Deutsch / Re: FAIL: Upgrade auf 20.7 via ssh ...

« on: August 24, 2020, 04:57:57 pm »

Mach doch mal auf dem WAN einen packet capture auf port 51820 und schau ob da was ankommt.

Ich habe es so versucht:

Code: [Select]

tcpdump -i em0_vlan132 udp port 51820

Das ist das WAN Interface. Da kommen ein paar Pakete an, wenn der VPN-Tunnel offen ist und ich z.B. von hier aus einen ping absetze ... aber eine Antwort erhalte ich weiterhin nicht.
Also sieht es für mich danach aus, als ob die Verbindung von außen nach innen zwar klappt aber es dann nicht weitergeht

158

German - Deutsch / Re: FAIL: Upgrade auf 20.7 via ssh ...

« on: August 24, 2020, 04:32:54 pm »

... noch eine Beobachtung hinterher: Ich habe von zu Hause aus versucht:

Code: [Select]

nmap -sU -O -p51820 <mein-dyn-dns.name.de>

Das Ergebnis:
PORT      STATE  SERVICE
51820/udp closed unknown

Von "innen" (gleiches Subnetz wie die Firewall) bekomme ich da aber
51820/udp open|filtered unknown

Normal?

>> schauen ob du PBR machst? Oder MultiWAN?
Nein, beides nicht.

159

German - Deutsch / Re: FAIL: Upgrade auf 20.7 via ssh ...

« on: August 24, 2020, 03:38:56 pm »

Ich habe es testweise umgestellt auf 172.18.18.0/24 -- ändert leider nichts. Die Verbindung kommt nicht zustande. Zudem habeich auch alle anderen Endpoints außer meinen deaktiviert -- ebenfalls ohne Änderung.

Es bleibt weiterhin die Frage: Was hat sich von 20.1 --> 20.7 diesbzgl geändert? Woran kann das noch liegen?

Mich wundert auch weiterhin, dass die Protokolldateien (LiveLog) nicht das geringste zeigt ... oder wird das erst nach erfolgreichem Handshake angezeigt?

Auf der WAN Schnittstelle ist die Option "Block private Networks" aktiviert -- das hatte ich auch nicht geändert. Auch wenn ich diese Option deaktivere, ändert sich nichts.

160

German - Deutsch / Re: FAIL: Upgrade auf 20.7 via ssh ...

« on: August 24, 2020, 10:28:25 am »

Ok, hier zwei Screenshots ... an der Konfiguration wurde wie gesagt nichts geändert.
In den Firewall-Logs erscheint aber auch keine Meldung mehr, dass auf Port 51820 eine Verbindung aufgebaut wird ...

161

German - Deutsch / Re: FAIL: Upgrade auf 20.7 via ssh ...

« on: August 24, 2020, 08:21:12 am »

Ok, jetzt bin ich vor Ort ... also die Endpoints stehen alle auf /32 -- der Wireguardserver auf /24.
Das sollte also stimmen.
Wenn ich den VPN-Tunnel z.B. vom Smartphone aus öffne, gibt es keine Fehlermeldung -- aber in den LiveLogs auf der OPNSense erscheint auch nichts. Ich meine, dass sonst zumindest der Verbindungsaufbau auf Port 51820 quittiert wurde??

162

German - Deutsch / Re: FAIL: Upgrade auf 20.7 via ssh ...

« on: August 22, 2020, 04:13:37 pm »

Du meinst, dass evtl 100.64.0.0/24 nicht (mehr) als Wireguard-Netz aktzeptiert wird?
Was hat sich denn im Vergleich zu 20.1 so grundlegend geändert, dass es daran liegen könnte??

163

German - Deutsch / Re: FAIL: Upgrade auf 20.7 via ssh ...

« on: August 22, 2020, 08:50:13 am »

Ich kann's zwar erst Montag nachsehen, aber damals bin ich dieser Anleitung gefolgt:
https://www.ja-ki.eu/2019/02/19/wireguard-vpn-mit-opnsense-und-tunsafe/

Da steht für die Endpoints bereits /32.
Ich hatte gehofft, dass die Anleitung einen Fehler hatte ... daher die Frage hinterher: Was tun, wenn bei den Endpoints bereits /32 steht?

164

German - Deutsch / Re: FAIL: Upgrade auf 20.7 via ssh ...

« on: August 21, 2020, 03:00:29 pm »

Hi.
Ja, davon ist ja auch im zitierten englischen Thread zu lesen -- aber mir ist nicht ganz klar, was nun zu ändern ist. Bezieht sich die Netzmaske /32 auf die Client-Seite (also hier lokal) oder bezieht es sich auf die Endpoint-Konfiguration in der WebUI? Wo genau soll die /24 durch die /32 ersetzt werden?

Und so wie ich es verstanden habe, hat das nicht überall geholfen. Bei einigen lag es auch an einem anderen Problem??

165

German - Deutsch / Re: FAIL: Upgrade auf 20.7 via ssh ...

« on: August 21, 2020, 01:06:56 pm »

Ok, ein Kollege war vor Ort und hat gesehen, dass V20.7.1 aktiv ist ... zudem ist immerhin im Webinterface das Symbol für den Wireguard-Service auf "grün". Dennoch kommt keine Verbindung mehr zustande.
Ist das nun ein Bug oder was ist zu tun?