Messages

136

German - Deutsch / Re: OPNsense an VodafoneDSL

« on: December 19, 2021, 04:16:45 pm »

Ich hatte vor 2 Jahren auch mal meinen Telekom-DSL-Anschluss auf Vodafone-DSL-Anschluss umgestellt (also Leitung weiterhin von der der Telekom).

Wie immer, wenn ich so nen Providerwechsel in der Vergangenheit gemacht hab, bin ich davon ausgegangen, dass es damit getan wäre, im PPPoE-Interface einfach nur die neuen Anmeldedaten einzutragen. Das hat aber bei Vodafone nicht ausgereicht. Ich hab ewig lang rumprobiert, die OPNsense zeitweilig sogar platt gemach und neu installiert. Hat alles nichts geholfen.

Irgendwann wars mit dann zu doof und ich hab doch mal den von Vodafone bereitgestellten Router angeschlossen um zu testen, ob es damit läuft. Siehe da: Vodafone-Router (mit integriertem DSL-Modem) angeschlossen und alles hat funktioniert.

Also wieder zurück auf mein Draytek-Modem im Bridge-Modus gewechselt, die OPNsense angeschlossen und schon hats funktioniert.

Ich kann an der Stelle nur vermuten, dass das Vodafone-Gerät irgendwie die "Leitung aktiviert" bzw. am Anmeldesystem von Vodafone den Account freigeschalten hat und ohne diesen  Vorgang irgendwas gesperrt war.

Vielleicht hilft das auch bei dir.

Funktioniert es denn mit dem DSL-Equipment von Vodafone?


Ansonsten, wenns das nicht ist, kann ich mir nur vorstellen, dass es an den Draytek-Settings liegt. Weiß jetzt aber nicht mehr sicher, wie meine Settings für Vodafone waren. 

Edit: Hab nachgeschaut. Vodafone über Telekom-DSL müsste auch die VLAN ID 7 laufen. Siehe hier:

https://administrator.de/knowledge/einwahlparameter-verschiedener-deutscher-dsl-provider-mit-vlan-id-516717.html

137

21.7 Legacy Series / Re: How to define startup delay for services (like wireguard) ?

« on: December 18, 2021, 12:14:41 am »

Thanks, but i think this won't help, because its possible to access the webinterface before the bootup complete sound gets played. At this time, sometimes the WAN-interface is online (pppoe-connection).

138

Hardware and Performance / Can OPNsense handle 100Gbit in a VMware environment? Tips to test Bandwith?

« on: December 17, 2021, 11:23:19 pm »

Hey,

we are building a new data center a the moment. During installation and testing phase, we use a OPNsense in a VMware VM as router and firewall. Before we go live, we will switch from OPNsense to NSX-T.

Our VM Hosts are Dell PowerEdge R740XD with 100Gbit interfaces (2x dual 25Gbit fibreNICs, attached over two port channels to two physical switches, which are stacked as single logical switch with 2x100Gbit links in between).

We would like to do some benchmarking/stresstesting of the environment in january but we absolutely dont know if its possible to reach 100Gbit/s in this environment.

We thought about the following test setup:

Host1 = Win or Linux on baremetal with a 25Gbit interface
ESXi1 = VMware Host with 100GBit Interface
ESXi2 = VMware Host with 100Gbit Interface
OPNsense1 = VM on ESXi1 with a vmxnet3 interface on a distributed switch connected to the 100Gbit LAG
OPNsense2 = VM on ESXi2 with a vmxnet3 interface on a distributed switch connected to the 100Gbit LAG 

OPNsense1 and OPNsense2 will be configured with 11 VLANs and static routing, to multiply a 20Gbit-Stream from Host1 to reach a combined traffic of 100Gbit.

Host1 should send a 20Gbit iperf stream over LAN to
OPNsense1 -> VLAN1 -> OPNsense2  -> VLAN2 ->
OPNsense1 -> VLAN3 -> OPNsense2  -> VLAN4 ->
...
OPNsense1 -> VLAN9 -> OPNsense2  -> VLAN10 -> OPNsense1

Do you guys have any experiences with such a setup? Are there any bootle necks by design? Like limitations in OPNsense or undocumented throughpout-limitations in VMware?

Thanks for your thoughts.

139

21.7 Legacy Series / How to define startup delay for services (like wireguard) ?

« on: December 17, 2021, 10:29:59 pm »

Hey everybody,

i installed  a PC Engines APU 1D4 in combination with a 100/40mbit connection. I know, that this hardware is far away from being fast, but its enough for this connection with configured

- fw-rules
- some routing between WAN and vlans for dedicated wifi-APs
- gaming with low delay
- dyndns
- and wireguard site2site connection for remote support, filetransfers and video streaming.

Because of the used hardware it takes a lot of time till bootup is finished. This leads into timeouts for some services i think like the wireguard connection. At the moment, our workaround is a user with limited privileges to disable the wireguard service and restart it manually.

Is there a way to define startup delays for services?

Thanks.

140

German - Deutsch / Re: Verzögerte Startreihenfolge bei "betagter" Hardware

« on: December 17, 2021, 09:38:35 am »

Naja, das Problem mit neuer Hardware erschlagen ist jetzt nicht unbedingt der Lösungsansatz, der uns vorschwebte.

Die Hardware ist ausreichend für unsere Zwecke. Wenn das Teil hochgefahren ist und der Wireguardtunnel steht dann funktioniert ja auch alles.

Es ist einzig und allein so, dass die Kiste nicht die schnellste beim Booten ist und dadurch nicht alle Services sauber starten und Verbindung aufbauen.

141

German - Deutsch / Re: Verzögerte Startreihenfolge bei "betagter" Hardware

« on: December 16, 2021, 07:11:50 pm »

PC Engines APU 1C4 oder 1D4, spielt ja kaum eine Rolle weil beide den AMD G-T40 als Prozessor drin haben, mit 4GB Ram.

142

German - Deutsch / Verzögerte Startreihenfolge bei "betagter" Hardware

« on: December 15, 2021, 10:06:35 pm »

Hallo,

hab eine PC Engines APU laufen, älteres Modell. Im Grund reicht die Hardware aus für das, was sie an einem 100/40er DSL-Anschluss in einem nicht IT-affinen Privathaushalt eines Familienmitglieds tun soll:

- Bisschen Routing
- Bisschen FW-Rules anwenden
- Bisschen VLAN mit diversen WiFi-Netzen dran
- Dyndns
- Site2Site-Verbindung mit Wireguard damit man zur Remotewartung und Dateitransfers überall hin kommt

Nun hat OPNsense aber mittlerweile einen Umfang angenommen, mit dem die APU ziemlich zu kämpfen hat. Das hat zur Folge, dass beim Boot diverse Dienste manchmal nicht innerhalb gewisser Zeiten gestartet sind, weshalb DynDNS nicht immer richtig die Domains auf die neue dynamische IP aktualisiert. Viel schlimmer ist aber, dass Wireguard die Site2Site-Verbindung nicht aufgebaut bekommt. Ich hab dem Familienmitglied mittlerweile nen beschränkten User auf der Sense eingerichtet, dass es den Wireguard-Dienst nach dem Boot von manuell stoppen und wieder starten kann, um die Verbindung wiederherstellen zu können.

Gibt es irgendwie eine Möglichkeit, gewisse Dienste auf der Sense verzögert zu starten?

Vielen Dank für eure Hilfe.

143

German - Deutsch / Re: Einzelne Ziel-IP in lokalem Netz umbiegen

« on: December 01, 2021, 04:06:57 pm »

Und wie? In meinem ersten Beitrag hab ich ja bereits geschrieben, dass ich es damit versucht habe, aber es nicht hinbekommen habe, weil die ganzen Tutorials und auch die  offizielle Doku sich in der Regel auf WAN mit NAT beziehen.

144

German - Deutsch / Re: Einzelne Ziel-IP in lokalem Netz umbiegen

« on: December 01, 2021, 12:08:59 pm »

Der Host mit der IP 10.10.10.11 lässt eine zweite IP nicht zu. Im Netz 10.10.10.11 befinden sich ein paar Hosts, die auf die .11 verbinden und es ist aktuell nicht ganz so einfach, das in diesen Hosts abzuändern.

Die .11 soll mittelfristig durch die .99 ersetzt werden und für die Übergangsphase sollen externe Anfragen schon auf die .99 verbinden.


Am liebsten wäre uns, wenn wir die gesamte IP übersetzen könnten und nicht nur einzelne Ports forwarden müssen. Geht das? Wie?

145

German - Deutsch / Einzelne Ziel-IP in lokalem Netz umbiegen

« on: December 01, 2021, 10:10:51 am »

Hallo zusammen,

wahrscheinlich eine einfache Sache, aber ich komm nicht drauf.

Netz 10.10.10.0/24 ist an der opnsense angebunden. GW-IP der OPNsense ist 10.10.10.1/24.

In dem Netz ist ein Host mit der IP 10.10.10.11. Der Host ist soweit aus anderen Netzen erreichbar.

Der Host soll aus anderen Netzen nun nicht mehr über die 10.10.10.11 sondern die 10.10.10.99 erreichbar sein, obwohl der Host weiterhin die 10.10.10.11 als IP behält. Die opnsense soll also Verbindungen die aus anderen Netzen kommen und als Ziel die 10.10.10.99 haben auf die 10.10.10.11 umbiegen.

Wie bekomme ich das bewerkstelligt?

Alias 10.10.10.99 anlegen und irgendwie alle Ports an 10.10.10.11 forwarden?

Mit 1:1 NAT? Hab leider noch keien Anleitung gefunden die für lokale Netze funktioniert. Meist gehts da um WAN und ich hab noch nicht so ganz rausgefunden, wie sich das auf lokale Netze ohne NAT adaptieren lässt.

Vielen Dank.

146

German - Deutsch / Re: Seit gestern kein DNS over TLS / DoT mehr

« on: October 04, 2021, 05:19:58 pm »

Danke für die Website, kannte ich noch nicht.

Unbound scheint laut der Seite immerhin alle aktivierten DoT-Server zu nutzen.

147

German - Deutsch / Re: Seit gestern kein DNS over TLS / DoT mehr

« on: October 03, 2021, 08:31:02 pm »

Vielen Dank für die Hilfe.

Hab die Vorschläge von oben nach unten durchgemacht und beim zweiten hats funktioniert.

Frage zum DoT von Unbound:

Kann man irgendwo nachlesen wie Unbound die Resolver handelt, wenn mehrere in der DoT-Liste eingetragen und angehakt sind? Arbeitet Unbound die Liste von oben nach unten ab und nimmt immer den ersten der geht? Was passiert wenn da mal einer ausfällt?

Ich hatte nämlich so das Gefühl, dass Unbound nicht so wirklich von selbst Quad9 genutzt hat als die andere nicht funktionierten.

148

German - Deutsch / Seit gestern kein DNS over TLS / DoT mehr

« on: October 02, 2021, 12:33:17 am »

 Moin.

Ich versteh die Welt nicht mehr.

Ich hab zwei Telekom-DSL-Anschlüsse mit Telekom als Provider laufen. Beide in der gleichen Stadt. Beide Sites haben opnsense als Router. Beide sites waren über unbound mit DNS over TLS konfiguriert und liefen seit Wochen/Monaten mit DoT stabil. Die Konfig hat schon viele Updates mitgemacht, noch mehr reboots und ich hab in den Tagen bzw. 1-2 Wochen bevor das Problem auftrat nix mehr an den Sensen gemacht.

Bei beiden Anschlüssen ging gestern plötzlich keine DNS-Auflösung mehr. Gut, zuerst dachte ich die DoT-Server von digitalcourage seien down. Also hab ich sie durch die von digitale gesellschaft ersetzt, aber die funktionierten auch nicht.

Ich muss den Haken vom DoT-Server entfernen, damit ich wieder DNS-Auflösungen im Internet hab. Auf beiden Sites.

Hat jemand ne Ahnung, wie das von jetzt auf gleich passieren kann?

Wie soll ich das debuggen?

Als es auftrat war  21.7.2 installiert, jetzt die aktuelle  21.7.3_3.

Bin leider etwas ratlos.

149

German - Deutsch / Re: TDSL-Anbieterwechsel - Nahtloser Umstieg ohne PPPoE-Anmeldedaten zu ändern ?

« on: September 06, 2021, 08:54:21 pm »

Danke für deine Erklärung.

Ist also nur bei Businesstarifen wichtig, die ne feste IP haben? Oder haben die Privatkundentarife bei der Telekom mittlerweile auch schon feste IPs?

Mein Stand ist, dass es keine 24h-Disconnects mehr gibt, aber bei jedem Reconnect, egal wodurch verursacht, trotzdem ne neue IP vergeben wird.

150

General Discussion / Re: Dynamic DNS and TLS

« on: September 06, 2021, 01:45:28 pm »

I have a similar setup and some problems with automated Dynamic DNS Updates.

I found this thread because of the "You must configure a DNS server in System: General setup or allow the DNS server list to be overridden by DHCP/PPP on WAN for dynamic DNS updates to work." message.

Thats my setup:

OPNsense 21.7.1-amd64
os-dyndns 1.24_2 (which is marked as misconfigured* under System: Firmware - Plugins)
unbound   1.13.1

My ISP provides dynmic IPs, so after each reconnect i get a new IPv4-Adress.

I configured DNS over TLS with unbound. These are the settings:
[General]
Enabled: Checked
Network Interfaces: All
DHCP-Registration: Checked
IPv6 Link-local: Checked
Local Zone Type: transparent
Outgoing Network Interfaces: All

Overrides 2
Advanced is untouched
Access Lists is untouched
Blocklist is enabled with some Adblockers
DNS over TLS 2 Servers added



I am using Dynamic DNS Service with following settings for each entry:
Enabled: Checked
Service Type: Cloudflare API token
Interface to Monitor: PPPoE WAN Interface
Hostname: mydyn.dns.com
Verbose logging: unchecked
Password: *cloudflare pass*
TTL: 1
Descryption: Some text


To make sure, that DNS cant be used by a client with static DNS-servers, i also blocked outgoing IPv4+6 TCP/UDP Port 53 on the WAN-interface.



Today, i had a reconnect of the WAN-connection, so the PPPoE-IP changed but the Dynamic DNS Service didnt updated the DNS records (wasnt able to connect a roadwarrior-client to my VPN). The interesting thing was, that the cached IP which is displayed under Services - Dynamic DNS were colored red, so i think the Dynamic DNS Service recognized that the WAN interface had a new ip, but dindnt updated it automatically. I had to do a force update / restart of the DynDNS-service to update my dyndns records.

I recognized some similar problems in the past with my site 2 site VPN-setup.

So, i dont know why Dynamic DNS didnt updated the DNS records.