Messages

76

High availability / Re: No Failover on WAN Interface down

« on: March 11, 2022, 10:27:19 pm »

Would it be possible in an alternative implementation to switch just on the primary firewall from Wan to LTE in case WAN goes down (but is still connected, so no switch to the backup firewall) using the builtin capabilities of Opnsense?

LTE is available as interface and as gateway (online). But in case Carp Wan goes offline, LTE does not take over... At least I have no internet connection. In a setup without HA and Carp it works like a charm.

Nat is set up for both, the WAN Carp address and the LTE address.

77

German - Deutsch / Re: Notfall DNS Server

« on: March 09, 2022, 05:38:55 pm »

Hallo,
ja monit kann das übernehmen. Soeben getestet, tut...

Code: [Select]

Type Process
PID File /var/run/adguardhome.pid
Start: /usr/local/sbin/configctl adguardhome start
Stop: /usr/local/sbin/configctl adguardhome stop
Test: Adguardhome

Service Test:
"Adguardhome", Condition failed host 192.168.2.8 port 3000 protocol http
Action Restart


78

German - Deutsch / Re: Notfall DNS Server

« on: March 09, 2022, 12:51:29 pm »

Ich habe Adguard direkt auf der Opnsense installiert und das läuft prima. Vollkommen reibungslos. Musst dich halt an die Anleitung halten, die es bezüglich Adguard gibt und was die Settings in Opnsense betrifft. Ich hatte früher eine Kombi aus Unbound und pihole, was aber außer mehr Arbeit keinen Vorteil gegenüber direkt Adguard auf der Opnsese gebracht hat.

Klar, wenn Adguard in diesem Szenario ausfällt, hast du kein DNS mehr - bei mir was das aber noch nie der Fall.

79

German - Deutsch / [SOLVED] Re: Webseiten teilweise nicht erreichbar

« on: March 08, 2022, 09:43:20 am »

Hallo,
in der Zwischenzeit läuft wieder alles, so wie es soll. Alle Webseiten sind (ohne Tick "Prefer to use IPv4 even if IPv6 is available") problemlos erreichbar. Was habe ich geändert? Nichts. Absolut nichts.

Insofern kann ich im Nachhinein auch nicht mehr testen/nachvollziehen, an was es lag. Dennoch danke für den Versuch einer Aufklärung. Wenn ich im Nachhinein doch noch irgendwas tun kann, um das ganze zu erhellen, sehr gerne. Bitte lasst es mich wissen. 

80

German - Deutsch / Re: Webseiten teilweise nicht erreichbar

« on: March 04, 2022, 10:03:26 pm »

Ist statisch. Und ja, alles läuft zuverlässig weiter.

Auf der Backup Firewall habe ich mit Hängen und Würgen das Upgrade auf 22.1.2.1 hinbekommen. Aber hier dasselbe Problem dass zb http://www.routerperformance.net/ nicht erreichbar ist. Auf der Hauptfirewall zum gleichen Zeitpunkt geht es jedoch.

81

German - Deutsch / Re: Webseiten teilweise nicht erreichbar

« on: March 04, 2022, 03:24:12 pm »

UPDATE: Nachdem ich an den Gatways, Outbound NAT und anderen Dingen ein paar Stunden rumgespielt habe, ohne auch nur einen Parameter im Endeffekt zu verändern, tut jetzt gerade alles, selbst wenn ich "Prefer to use IPv4 even if IPv6 is available" wieder deaktiviert habe. Das ist alles nicht nachvollziehbar und sehr seltsam.

Kann es sein, dass sich das Teil irgendwo "verschluckt", wobei selbst Reboots das nicht beheben können?

Ich beobachte das noch und berichte weiter.

82

German - Deutsch / Re: Webseiten teilweise nicht erreichbar

« on: March 04, 2022, 07:53:41 am »

Hallo,
"Prefer to use IPv4 even if IPv6 is available" hat geholfen, als ich unter 21.7.8 war. Update auf 22.1.2_1 war möglich. Jetzt ist es allerdings so, dass "Prefer to use IPv4 even if IPv6 is available" scheinbar keine Wirkung mehr hat?! Viele Webseiten sind wieder nicht erreichbar, darunter auch routerperformance.net.

Code: [Select]

pkg -4 update hilft auch nicht.

Hier Mein Aufbau des Netzwerks:

WAN Fritzbox:
-   IPv6-Präfix: 2axx:xxxx:xxxx:fe20::/60
-   IPv4 Route 192.168.2.0, Gateway 192.168.1.3
-   IPv6 Route 2axx:xxxx:xxxx:fe28::, Gateway 2axx:xxxx:xxxx:fe20::100
-   IPv4 der Fritzbox 192.168.1.1

WAN Opnsense
-   IPv4 DHCP
-   IPv6 DHCP
-   CARP Adressen 192.168.1.3/24 bzw. 2axx:xxxx:xxxx:fe20::100/6

LAN Opnsense
-   Statische IPv4 192.168.2.2
-   Statische IPv6 2axx:xxxx:xxxx:fe28::2
-   Carp 192.168.2.1/24 bzw. fe80::2:2/64 bzw. fd00::2:1/64
-   DHCPv4 mit DNS Server 192.168.2.1, Gateway 192.168.2.1, Failover peer IP 192.168.2.8
-   Router Advertisements Stateless, High, Source Address ist IPv6 Lan Carp (fe80::2:2)

Gateways Opnsense
-   WAN_Virtuell    WAN    IPv4    250 (upstream)    192.168.1.3
-   WAN_DHCP6 (active)    WAN    IPv6    250    fe80::3ea6:2f… (fe80 der Fritzbox)
-   WAN_DHCP (active)    WAN    IPv4    254    192.168.1.1

NAT Opnsense
-   WAN    LAN net    *    *    *    192.168.1.3

Port Forward Opnsene
-   LAN    TCP/UDP    *    *    192.168.2.1    53 (DNS)    192.168.2.2    53 (DNS)

Adguard macht DNS Auflösung. Dazu in Opnsense System-Settings-General
-   DNS Server 192.168.2.2 und fd00::2:1
-   Prefer to use IPv4 even if IPv6 is available
-   Do not use the local DNS service as a nameserver for this system
-   Allow default gateway switching

Ping auf die nicht erreichbaren Webseiten funktioniert mit IPv4 und IPv6.

Aufbau:
Fritzbox – Switch  (Verzweigung nach OpnSense1 (wie oben beschrieben) und OpnSense2 (Backup) – Switch - LAN 

83

German - Deutsch / Re: Webseiten teilweise nicht erreichbar

« on: March 03, 2022, 02:23:21 pm »

Hat denn keiner eine Idee? Ich bin mit meinem Latein am Ende. Updates funktionieren nicht, weder auf der Backup-Firewall, noch auf der Haupt-Firewall. Ich sehe im Firewall-Log, dass Verbindungen rausgehen, aber wie gesagt, bei verschiedenen Webseiten kommt nichts rein. Selbst wenn ich Zenarmor auf Bypass stelle, Adguard deaktiviere. Ich habe schlichtweg keine Ahnung, wie ich hier eine Diagnose machen soll, wo ich ansetzen soll. 

84

German - Deutsch / [SOLVED] Webseiten teilweise nicht erreichbar

« on: March 02, 2022, 04:32:19 pm »

Hallo,
ich habe seit kurzem das Problem, dass ich im Netzwerk diverse Webseiten nicht mehr erreichen kann, darunter https://www.routerperformance.net/opnsense-repo/ (die definitiv online ist). Ping auf www.routerperformance.net funktioniert, nslookup auch. Ich habe weder ein Update gemacht, noch sonst irgendwas verändert. Da adguard über das o.g. repositoy installiert ist, funktionieren Updates auch nicht (update hängt bei dem Versuch, von mimugmail Daten abzurufen). Ich bin auf 21.7.8

Das Problem habe ich für viele unterschiedliche Domains, weiß aber nicht warum. Wie kann ich die Fehlerquelle finden?

Danke!!

UPDATE: Wenn ich CARP temporär deaktiviere, sind manche (nicht alle) Webseiten zugänglich. Ich habe keine Ahnung was da läuft.

85

High availability / Re: No Failover on WAN Interface down

« on: February 02, 2022, 09:59:50 am »

Hi, thanks for the replies. I think there is a misunderstanding. I would like to have a high availability transition from Master-Firewall --> Backup-Firewall in case WAN is offline. This transition works fine in case I physically disconnect the CAT-Cable from the physical interface of the Master-Firewall. Then HA switches to the Backup-Firewall.

However, it does not work in case I "just" stop transmission of packets from WAN to the Master-Firewall. Just as an example, imagine that the Master Firewall is connected to WAN via a switch:

Code: [Select]

WAN - Cable1 - Switch - Cable2 - Master-Firewall
In case Cable2 is removed, the HA transition from Master->Backup takes place. In case cable1 is removed, nothing happens even though the gateway shows 100% packet loss.

86

High availability / Re: No Failover on WAN Interface down

« on: February 01, 2022, 08:05:57 pm »

I do. Monitoring shows that Wan ipv4 is down.

87

High availability / No Failover on WAN Interface down

« on: January 31, 2022, 07:47:24 pm »

Hi,
I have the problem that no HA failover to the second system takes place in case WAN connection is lost. In case I physically disconnect the WAN cable, failover takes place. It also works in case i shut down the first system. But in case e.g. the WAN provider is not providing any packets any more, no failover to the second system occurs.

Does anyone have an idea how to solve that issue?
Thanks!

88

German - Deutsch / Re: Kein Internet über OPNsense

« on: December 17, 2021, 09:33:12 pm »

Machs doch mal einfach.
Interfaces -> LAN -> IPv4 address "Static IPv4". Bei Ipv4 Address: 192.168.2.1, dahinter bei den Zahlen von 1..32 die 24.

Dann Services, DHCPv4, LAN, "Enable DHCP server on the LAN interface" und bei Range: 192.168.2.2 bis 192.168.2.250.

Bei Interfaces -> WAN ist wichtig, dass Block private Networks keinen Haken hat. Ansonsten dort bei IPv4 DHCP. Der Rest kann bleiben.

Nun kannst Du erst mal schauen, ob du an einem am LAN-Interface angeschlossenen Rechner eine IP-Adresse bekommst (Windows Kommandozeile öffnen und ipconfig eingeben -  Das Ergebnis müsste eine Ipv4 Adresse 192.168.2.xx sein).

Wenn Du soweit bist, dann Firewall -> Rules -> Lan mal testweise alles erlauben, also neu Regel erstellen indem du auf das PLUS + Zeichen gehst und dann sofort auf Save. Wenn es jetzt noch nicht tut, dann unter Umständen noch unter System->Gateways einen Gateway hinzufügen, weiß aber nicht ob das nicht automatisch geschieht. Ist zu lange her bei mir... Wenns noch nicht tut, nochmals melden.

89

German - Deutsch / Re: Vlan mit Switch langsam

« on: December 17, 2021, 09:24:16 pm »

MiniPC, Intel Pentium 5405U, 6x 1000 Mbps Intel 210at, 8GB Ram, 128GB SSD.

90

German - Deutsch / Re: Kein Internet über OPNsense

« on: December 17, 2021, 01:36:16 pm »

Du musst für LAN schon ein anderes Subnetz wählen, das wird so nix.

Also geb dem LAN eine statische IP, z.b. 192.168.2.1 und mach auf dem LAN DHCP mit dem Range 192.168.2.2 ... 253