"
Been running 25.1 since December. No issues encountered. Thanks for all the work on OPNsense!
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
#17
German - Deutsch / Re: IPv6: Verliere Verbindung bei M-Net (renew/rebind geht ins Leere)
January 03, 2025, 02:58:26 PM
Habe gerade etwas Zeit zum testen gehabt. Derzeit unter 25.1-beta (das Verhalten unterscheidet sich aber nicht von 24.7.x).
Vermutlich habe ich die Ursache gefunden: Shaping.
Sobald ich traffic shaping (FQ-Codel) für "ip" verwende, tritt o.g. Fehler auf (der DHCPv6 renew request geht nicht über das WAN-Interface raus).
Schalte ich upstream shaping aus oder beschränke es auf "ipv4", funktioniert es problemlos:
Shaping von "ip" oder "ipv6" im upload führt zum o.g. Fehler. Download-shaping macht keinen Unterschied.
Es handelt sich also möglicherweise um das gleiche Fehlerbild wie https://forum.opnsense.org/index.php?topic=39624.0 / https://github.com/opnsense/core/issues/7342
Edit: Ja, gleicher Fehler -- sobald ICMPv6 vom shaping erfasst wird, geht es schief. Alles andere (TCP, UDP, ...) über IPv6 kann geshaped werden.
FYI @franco / @meyerguru
Vermutlich habe ich die Ursache gefunden: Shaping.
Sobald ich traffic shaping (FQ-Codel) für "ip" verwende, tritt o.g. Fehler auf (der DHCPv6 renew request geht nicht über das WAN-Interface raus).
Schalte ich upstream shaping aus oder beschränke es auf "ipv4", funktioniert es problemlos:
Code Select
2025-01-03T14:11:37 Notice dhcp6c receive reply from fe80::46ec:ceff:xxxx:xxx%pppoe0 on pppoe0
2025-01-03T14:11:37 Notice dhcp6c send renew to ff02::1:2%pppoe0Shaping von "ip" oder "ipv6" im upload führt zum o.g. Fehler. Download-shaping macht keinen Unterschied.
Es handelt sich also möglicherweise um das gleiche Fehlerbild wie https://forum.opnsense.org/index.php?topic=39624.0 / https://github.com/opnsense/core/issues/7342
Edit: Ja, gleicher Fehler -- sobald ICMPv6 vom shaping erfasst wird, geht es schief. Alles andere (TCP, UDP, ...) über IPv6 kann geshaped werden.
FYI @franco / @meyerguru
#18
Hardware and Performance / Re: Performance guide question
October 28, 2024, 11:32:11 AMQuote from: fadern on October 23, 2024, 10:34:13 PM1, obviously :-) (2^1=2)
What to set for a 2 core system?
#19
Hardware and Performance / Re: Performance guide question
October 23, 2024, 12:04:29 AM
Use 2. Four cores is plenty enough.
#20
German - Deutsch / Re: IPv6: Verliere Verbindung bei M-Net (renew/rebind geht ins Leere)
October 21, 2024, 08:37:33 AM
Opnsense 23.1 bare Metal: PPPoE und IPv6 funktionieren problemlos:
Ich teste mich die nächsten Nächte grob durch 23.7, 24.1 und 24.7 durch ...
Code Select
2024-10-21T08:11:23 Notice dhcp6c got an expected reply, sleeping.
2024-10-21T08:11:23 Notice dhcp6c removing an event on pppoe0, state=RENEW
2024-10-21T08:11:23 Notice dhcp6c script "/var/etc/dhcp6c_wan_script.sh" terminated
2024-10-21T08:11:23 Notice dhcp6c dhcp6c RENEW on pppoe0
2024-10-21T08:11:23 Notice dhcp6c executes /var/etc/dhcp6c_wan_script.sh
2024-10-21T08:11:23 Notice dhcp6c update a prefix 2001:a61:XXXx:8000::/56 pltime=3600, vltime=7200
2024-10-21T08:11:23 Notice dhcp6c update an IA: PD-0
2024-10-21T08:11:23 Notice dhcp6c nameserver[1] 2001:a60::53:2
2024-10-21T08:11:23 Notice dhcp6c nameserver[0] 2001:a60::53:1
2024-10-21T08:11:23 Notice dhcp6c get DHCP option DNS, len 32
2024-10-21T08:11:23 Notice dhcp6c IA_PD prefix: 2001:a61:XXXX:8000::/56 pltime=3600 vltime=7200
2024-10-21T08:11:23 Notice dhcp6c get DHCP option IA_PD prefix, len 25
2024-10-21T08:11:23 Notice dhcp6c IA_PD: ID=0, T1=1800, T2=2880
2024-10-21T08:11:23 Notice dhcp6c get DHCP option IA_PD, len 41
2024-10-21T08:11:23 Notice dhcp6c DUID: XXXX
2024-10-21T08:11:23 Notice dhcp6c get DHCP option server ID, len 26
2024-10-21T08:11:23 Notice dhcp6c DUID: XXXX
2024-10-21T08:11:23 Notice dhcp6c get DHCP option client ID, len 14
2024-10-21T08:11:23 Notice dhcp6c receive reply from fe80::ee7c:5cff:fe0c:8625%pppoe0 on pppoe0
2024-10-21T08:11:23 Notice dhcp6c send renew to ff02::1:2%pppoe0Ich teste mich die nächsten Nächte grob durch 23.7, 24.1 und 24.7 durch ...
#21
German - Deutsch / Re: IPv6: Verliere Verbindung bei M-Net (renew/rebind geht ins Leere)
October 18, 2024, 07:23:19 PM
Da ich die NICs per PCI passthrough verwende, nahm ich an, dass die Virtualisierung keine Rolle spielt.
Ich setze am WE mal eine ""bare Metal" Box auf und teste es da, inkl. der tweams aus dem englischen thread.
Ich setze am WE mal eine ""bare Metal" Box auf und teste es da, inkl. der tweams aus dem englischen thread.
#22
24.7, 24.10 Legacy Series / Re: IPv6 delegation from FritzBox doesn´t work anymore
October 18, 2024, 04:48:23 PM
Not enough information.
#23
German - Deutsch / Re: IPv6: Verliere Verbindung bei M-Net (renew/rebind geht ins Leere)
October 18, 2024, 04:47:06 PM
Cross-referencing the English thread (not mine!): https://forum.opnsense.org/index.php?topic=41743.msg205110#msg205110
Es liegt ziemlich sicher an OPNsense; sowohl die FritzBox als auch eine testweise aufgesetzte Openwrt-Installation hatten dauerhaft stabiles IPv6.
Es liegt ziemlich sicher an OPNsense; sowohl die FritzBox als auch eine testweise aufgesetzte Openwrt-Installation hatten dauerhaft stabiles IPv6.
#24
24.7, 24.10 Legacy Series / Re: No public ipv6 address after upgraded to 24.7
October 18, 2024, 04:45:19 PM
This starts to sound like my problem: https://forum.opnsense.org/index.php?topic=43322.0
To summarise the German discussion:
0. Dual stack FTTH with M-Net as ISP. Connection is established via IPv4 PPPoE, IPv6 via DHCPv6 using the IPv4 link.
1. Initially, an IPv6 prefix delegation is received (over PPPoE). Everything is nice.
2. After the initial timeout, DHCPv6 tries to renew/rebind but fails.
3. IPv6 connection is lost. Only a reboot helps.
It seems from my limited investigation that the renew/rebind packets never actually are sent via WAN to my ISP and therefore cannot renew/rebind the IPv6 PD.
Alternative Routers have no issues and keep their IPv6 connection (FritzBox, Openwrt).
EDIT & UPDATE: The issue (or at least one issue) in my case was upstream traffic shaping (FQ-Codel). Turning that off enables DHCPv6 lease renew.
To summarise the German discussion:
0. Dual stack FTTH with M-Net as ISP. Connection is established via IPv4 PPPoE, IPv6 via DHCPv6 using the IPv4 link.
1. Initially, an IPv6 prefix delegation is received (over PPPoE). Everything is nice.
2. After the initial timeout, DHCPv6 tries to renew/rebind but fails.
3. IPv6 connection is lost. Only a reboot helps.
It seems from my limited investigation that the renew/rebind packets never actually are sent via WAN to my ISP and therefore cannot renew/rebind the IPv6 PD.
Alternative Routers have no issues and keep their IPv6 connection (FritzBox, Openwrt).
EDIT & UPDATE: The issue (or at least one issue) in my case was upstream traffic shaping (FQ-Codel). Turning that off enables DHCPv6 lease renew.
#25
German - Deutsch / Re: Was benötigt man als Privatperson an "Schutz" Zuhause? Was verwendet Ihr?
October 13, 2024, 07:59:25 PM
Für die allgemein verfügbaren Blocklisten braucht man kein ZenArmor oder CrowdSec.
1. DNS-Blocklisten: Adguard Home. Oder einfach einen NextDNS account nutzen.
2. IP-Blocklisten (zB FireHOL): Firewall alias FireHOL erstellen. WAN-Regeln (i) Block traffic from FireHOL und (ii) Block traffic to FireHOL.
3. Fertig.
1. DNS-Blocklisten: Adguard Home. Oder einfach einen NextDNS account nutzen.
2. IP-Blocklisten (zB FireHOL): Firewall alias FireHOL erstellen. WAN-Regeln (i) Block traffic from FireHOL und (ii) Block traffic to FireHOL.
3. Fertig.
#26
German - Deutsch / Re: IPv6: Verliere Verbindung bei M-Net (renew/rebind geht ins Leere)
October 11, 2024, 10:43:09 AM
Leider keine Änderung - nach Ablauf der ursprünglichen lease period ist IPv6 weg.
Erst ein reboot hilft (für eben die 2 Stunden initial lease time).
Auf dem pppoe0 interface ist mit tcpdump kein IPv6 Verkehr zu erkennen, nachdem die lease time ausgelaufen ist. Die renew/rebind Anfragen scheinen also nicht mal zum pppoe0 zu kommen.
Erst ein reboot hilft (für eben die 2 Stunden initial lease time).
Auf dem pppoe0 interface ist mit tcpdump kein IPv6 Verkehr zu erkennen, nachdem die lease time ausgelaufen ist. Die renew/rebind Anfragen scheinen also nicht mal zum pppoe0 zu kommen.
#27
German - Deutsch / Re: IPv6: Verliere Verbindung bei M-Net (renew/rebind geht ins Leere)
October 11, 2024, 09:44:58 AM
Good point - hatte die nicht näher angesehen. Das DHCPv6 war nicht als upstream gateway markiert(!). Habs mal geändert.
PS: Hardware VLAN Filtering habe ich AUS (statt default) - könnte das noch dazwischenfunken?
So far jedenfalls keine Besserung (im laufenden Betrieb) - mal sehen wie es nach einem reboot aussieht (das erst heute Abend).
Könnte man es mit einer statischen Route probieren?
PS: Hardware VLAN Filtering habe ich AUS (statt default) - könnte das noch dazwischenfunken?
So far jedenfalls keine Besserung (im laufenden Betrieb) - mal sehen wie es nach einem reboot aussieht (das erst heute Abend).
Könnte man es mit einer statischen Route probieren?
Code Select
2024-10-11T10:26:13 Notice dhcp6c reset a timer on pppoe0, state=SOLICIT, timeo=24, retrans=3571725
2024-10-11T10:26:13 Notice dhcp6c send solicit to ff02::1:2%pppoe0
2024-10-11T10:26:13 Notice dhcp6c set IA_PD
2024-10-11T10:26:13 Notice dhcp6c set IA_PD prefix
2024-10-11T10:26:13 Notice dhcp6c set option request (len 4)
2024-10-11T10:26:13 Notice dhcp6c set elapsed time (len 2)
2024-10-11T10:26:13 Notice dhcp6c set client ID (len 14)
2024-10-11T10:26:13 Notice dhcp6c Sending Solicit
#28
German - Deutsch / Re: IPv6: Verliere Verbindung bei M-Net (renew/rebind geht ins Leere)
October 10, 2024, 09:37:26 PMQuote from: franco on October 10, 2024, 01:30:32 PMGetestet mit tcpdump -vvv -i pppoe0 | grep IP6:
Das pppoe0 Device halte ich für sinnvoller im Capture, da dort erstmal die Pakete sichtbar werden wie sie dhcp6c verschickt (und ggf. die Serverantworten).
- solange ich ein gültiges IPv6 prefix habe: tcpdump zeigt IP6 traffic
- sobald ich kein gültiges IPv6 prefix habe: tcpdump zeigt keinen IP6 traffic
Siehe anbei ... (Befehl + console Ausgabe jeweils manuell am Anfang eingefügt in den beiden Dateien)
#29
German - Deutsch / Re: neue Hardware für OPNSense
October 10, 2024, 04:31:54 PMQuote from: xenon2008 on October 10, 2024, 10:45:01 AMIch präzisiere: ich meinte einen Lenovo m720q TINY.Quote from: abulafia on October 10, 2024, 10:43:29 AM
Ich werfe nochmal "meine" Lösung in den Raum: Lenovo m720q mit PCIe riser und Intel i350-T4 NIC. Ca. 200 EUR, bisher performant genug, regelmäßige BIOS-updates.
danke dafür, aber ich möcht ehrlich gesagt wieder was "kleines"
so kleine Elitedesk HP PCs hätte ich auch, aber die haben alle nur 1x NIC, das reicht ja nicht ;D
Die sind so klein wie ein elitedesk (kleiner als DIN A4) aber haben einen PCIe Slot in den man eine 4fach Netzwerkkarte stecken kann (mit riser).
https://smallformfactor.net/forum/threads/lenovo-m720q-tiny-router-firewall-build-with-aftermarket-4-port-nic.14793/
Geht auch mit 10G: https://blog.muffn.io/posts/m720q-opnsense-firewall/
#30
German - Deutsch / Re: Unbound und Adguard übertrieben?
October 10, 2024, 11:55:26 AM
Ich habe das Problem auch teilweise, das bestimmte domains vom unbound resolver nicht aufgelöst werden: Das waren typischerweisse .COM domains.
Hab aktuell dazu nichts mehr gespeichert/notiert, falls das wieder auftritt, schaue ich hier rein.
Hab aktuell dazu nichts mehr gespeichert/notiert, falls das wieder auftritt, schaue ich hier rein.
