Messages

Lese ich das Log richtig:

Ich denke ja.

Ob der Versand über WAN überhaupt erfolgt, frage ich mich auch.

Kannst Du mir kurz einen Hinweis an die Hand geben, wie ich das am besten teste/prüfe?

Ich kann zwar zB tcpdump auf der Kommandozeile starten, welches Interface und welche Optionen genau ich nehmen soll weiss ich aber nicht. Ein tcpdump - pppoe0 scheint mir nur IPv4 Pakete zu zeigen. (das Interface ist jetzt pppoe0, das Log zeigt ein voriges Setup)

Oder das ganze über einen Switch (mit vlan40) ziehen und dort mirroring machen, um mit einem Laptop zu lauschen?

Wenn ich etwas Zeit habe würde ich das System zu Testzwecken auf bare Metal umziehen, sollte aber _eigentlich_ keinen Unterschied machen.

Ich werfe nochmal "meine" Lösung in den Raum: Lenovo m720q [EDIT: tiny!!] mit PCIe riser und Intel i350-T4 NIC. Ca. 200 EUR, bisher performant genug, regelmäßige BIOS-updates.

Und:

1. Auf ZFS installieren.
2. snapshots & boot environments nutzen lernen. (seit kurzem: System -> Snapshots)
3. config regelmäßig sichern. (System -> Configuration -> Download)
4. kleine Brötchen backen! (nach und nach rantasten)

Randbemerkung: Insgesamt schade, dass PPPoE immer wieder negativ auffällt

Danke, Franco - obs hier wirklich PPPoE ist weiss ich noch nicht, die IPv4 Verbindung (PPPoE) läuft ja stabil durch.

Wieso ist das eigentlich pppoe1? Kann OpnSense dann durcheinanderkommen, wenn es mehrere PPPoE-Interfaces gibt? Schau Dir mal /var/etc/dhcp6c.conf an.

Will do, gibt aber (in der GUI) nur ein PPPoE interface. Vermutlich, weil ich die config gelöscht und neu angelegt hatte.

Bei mir kommt der IPv6-Renew alle 30 Minuten, sollte die halbe Lease-Zeit sein, müsste also 1h und nicht 2h sein.

Das dürfte passen - ich habe ja:

Code Select Expand

2024-10-08T09:58:07 Notice dhcp6c create a prefix 2001:a61:XXX:XX00::/56 pltime=3600, vltime=7200
Nach einer Stunde wechselt er von state=RENEW auf state=REBIND:

Code Select Expand

2024-10-08T10:46:18 Notice dhcp6c Sending Rebind
2024-10-08T10:46:07 Notice dhcp6c send rebind to ff02::1:2%pppoe1
2024-10-08T10:46:07 Notice dhcp6c set IA_PD
2024-10-08T10:46:07 Notice dhcp6c set IA_PD prefix
2024-10-08T10:46:07 Notice dhcp6c set option request (len 4)
2024-10-08T10:46:07 Notice dhcp6c set elapsed time (len 2)
2024-10-08T10:46:07 Notice dhcp6c set client ID (len 14)
2024-10-08T10:46:07 Notice dhcp6c a new XID (bfd481) is generated
2024-10-08T10:46:07 Notice dhcp6c Sending Rebind
2024-10-08T10:46:07 Notice dhcp6c reset a timer on pppoe1, state=REBIND, timeo=0, retrans=10893
2024-10-08T10:46:07 Notice dhcp6c IA timeout for PD-0, state=RENEW
2024-10-08T10:38:09 Notice dhcp6c reset a timer on pppoe1, state=RENEW, timeo=6, retrans=643131
2024-10-08T10:38:09 Notice dhcp6c send renew to ff02::1:2%pppoe1

Im Zweifel mal lesen bei: https://homenetworkguy.com/

[Konfiguration (ergänzt):]

Danke erstmal!

Konfiguration (ergänzt):
- IPv4 Option: Ja, habe ich gebucht --> full Dual Stack.
- Virtualisiert: Ja, aber - die WAN und LAN interfaces laufen auf durchgereichten physischen NICS (i350 passthrough).
- MTU habe ich nichts gesetzt; das und ICMP schaue ich mir im speziellen an.
- ONT ist bei mir ein Icotera i5208-20; mir ist nicht bekannt, ob/wie ich da Zugriff drauf hätte.
- Konfiguration der interfaces ist wie bei Dir (mit Ausnahme der MTU-Einstellungen; das habe ich jetzt nachgeholt. ping -f -l 1472 unter windows geht)

Ich vermute irgendein Problem beim ICMP / IPv6 Versand. An den existierenden firewall rules an sich sollte es nicht liegen, ich hatte es schonmal neu aufgesetzt auf ganz "basic". Allenfalls FEHLEN mir Regeln für IPv6, die ich hätte einrichten sollen ...? Aber die ersten zwei Stunden mit public PD prefix geht ja alles ...

Ich kann - ohne "public" IPv6 - mein LAN-interface an der OPNsense anpingen, aber das WAN-interface schon nicht mehr:

Code Select Expand


C:\>ping -6 fe80::a236:9fff:fe1d:8b1

Ping wird ausgeführt für fe80::a236:9fff:fe1d:8b1 mit 32 Bytes Daten:
Antwort von fe80::a236:9fff:fe1d:8b1: Zeit=1ms
Antwort von fe80::a236:9fff:fe1d:8b1: Zeit=1ms
Antwort von fe80::a236:9fff:fe1d:8b1: Zeit=1ms

C:\>Ping wird ausgeführt für fe80::20c:29ff:fee1:5cb8 mit 32 Bytes Daten:
Zielhost nicht erreichbar.
Zielhost nicht erreichbar.

Ping-Statistik für fe80::20c:29ff:fee1:5cb8:
    Pakete: Gesendet = 2, Empfangen = 0, Verloren = 2
    (100% Verlust),


Servus,

ich habe ein schwerwiegendes Problem mit IPv6 & OPNsense's dhcp6c an meinem FTTH Anschluss (M-Net DualStack mit public IPv4). OPNsense 24.7.4-24.7.6 gleiches Problem.

Was läuft:

1. Eingerichtet wie empfohlen: igb0 -> vlan40 interface -> darauf das WAN mit IPv4 per PPPoE und IPv6 per DHCPv6 (Use IPv4 connectivity: CHECK, Configuration Mode: BASIC, Prefix delegation size:56, Request prefix only: CHECK, Send prefix hint: CHECK).
2. Beim Start erhalte ich eine 56er Prefix Delegation und die LAN interfaces erhalten alle eine öffentliche IPv6 per "track interface".
3. Für 2h alles prima. IPv6 läuft.

Dann kommt das Problem:

Nach 2h läuft die PD lease time ab (vltime=7200).   Alle bestehenden leases werden gekündigt.

DHCP6c versucht eine neue PD zu erhalten, bekommt aber keine Antwort. Das sieht dann so aus:

Code Select Expand

2024-10-08T11:58:08 Notice dhcp6c reset a timer on pppoe1, state=SOLICIT, timeo=1, retrans=2125
2024-10-08T11:58:08 Notice dhcp6c send solicit to ff02::1:2%pppoe1
2024-10-08T11:58:08 Notice dhcp6c set IA_PD
2024-10-08T11:58:08 Notice dhcp6c set IA_PD prefix
2024-10-08T11:58:08 Notice dhcp6c set option request (len 4)
2024-10-08T11:58:08 Notice dhcp6c set elapsed time (len 2)
2024-10-08T11:58:08 Notice dhcp6c set client ID (len 14)
2024-10-08T11:58:08 Notice dhcp6c Sending Solicit
2024-10-08T11:58:07 Notice dhcp6c reset a timer on pppoe1, state=SOLICIT, timeo=0, retrans=1052
2024-10-08T11:58:07 Notice dhcp6c send solicit to ff02::1:2%pppoe1
2024-10-08T11:58:07 Notice dhcp6c set IA_PD
2024-10-08T11:58:07 Notice dhcp6c set IA_PD prefix
2024-10-08T11:58:07 Notice dhcp6c set option request (len 4)
2024-10-08T11:58:07 Notice dhcp6c set elapsed time (len 2)
2024-10-08T11:58:07 Notice dhcp6c set client ID (len 14)
2024-10-08T11:58:07 Notice dhcp6c a new XID (6defee) is generated
2024-10-08T11:58:07 Notice dhcp6c Sending Solicit
2024-10-08T11:58:07 Notice dhcp6c reset a timer on pppoe1, state=INIT, timeo=0, retrans=144
2024-10-08T11:58:07 Notice dhcp6c remove an IA: PD-0
2024-10-08T11:58:07 Notice dhcp6c IA PD-0 is invalidated
2024-10-08T11:58:07 Notice dhcp6c remove an address 2001:a61:XXX:XX64:20c:29ff:fe62:7429/64 on vmx0
2024-10-08T11:58:07 Notice dhcp6c remove an address 2001:a61:XXX:XXfa:a236:9fff:fe1d:8b2/64 on vlan05
2024-10-08T11:58:07 Notice dhcp6c remove an address 2001:a61:XXX:XXde:a236:9fff:fe1d:8b2/64 on vlan02
2024-10-08T11:58:07 Notice dhcp6c remove an address 2001:a61:XXX:XXc8:a236:9fff:fe1d:8b2/64 on vlan01
2024-10-08T11:58:07 Notice dhcp6c remove an address 2001:a61:XXX:XX50:a236:9fff:fe1d:8b2/64 on vlan03
2024-10-08T11:58:07 Notice dhcp6c remove an address 2001:a61:XXX:XX29:a236:9fff:fe1d:8b2/64 on vlan02.41
2024-10-08T11:58:07 Notice dhcp6c remove an address 2001:a61:XXX:XX01:a236:9fff:fe1d:8b1/64 on igb1
2024-10-08T11:58:07 Notice dhcp6c remove a site prefix 2001:a61:XXX:XX00::/56
2024-10-08T11:58:07 Notice dhcp6c prefix timeout for 2001:a61:XXX:XX00::/56
Wie bekommt Ihr das denn zum laufen, speziell die M-Net Kollegen (@meyergru)?! Bitte helft :-)

Etwas ausführlicheres log (mit boot + lease) anbei:

Hier stand Mist.

Don't think so, I only ever have 2 IPv6 entries in the crowdsec6_blacklists alias.

I seem to be running into the same problem, I e. Opnsense blocking all ipv6 via "default deny" evev though there is ab express allow ipv6 to any rule.

OP here.

Here we go again: One reboot later, Adguard fails to start (and thus does CrowdSec). 

I can't seem to find proper logs, but trying to start Adguard manually (via sudo) throws the following "fatal" error:

Code Select Expand

% sudo ./AdGuardHome
2024/08/01 23:44:03.973473 [info] AdGuard Home, version v0.107.45
2024/08/01 23:44:03.977454 [info] tls: using default ciphers
2024/08/01 23:44:03.978383 [info] safesearch default: disabled
2024/08/01 23:44:03.981912 [info] Initializing auth module: /usr/local/AdGuardHome/data/sessions.db
2024/08/01 23:44:03.981975 [info] auth: initialized.  users:1  sessions:0
2024/08/01 23:44:03.982085 [info] tls: number of certs: 2
2024/08/01 23:44:03.982098 [info] tls: got an intermediate cert
2024/08/01 23:44:04.004956 [info] web: initializing
2024/08/01 23:44:04.005215 [fatal] filtering: filtering: unknown blocked-service "yy"

Also, the "opnsense-revert" patch to bring back the telemetry widget did not survice the reboot. (!)

Looks very much like a repeat of this 2023 problem: https://forum.opnsense.org/index.php?topic=35251.0

Yep.

SOLUTION: edit your AdGuardHome.yaml and remove the offensive service - in my case "yy", see above.

Location: /usr/local/AdGuardHome/AdGuardHome.yaml

Code Select Expand

% sudo nano /usr/local/AdGuardHome/AdGuardHome.yaml


OP here.

No problems since updating to the release version of 24.7 (currently on 24.7_9).

Note that as part of the upgrade process, mimugmail's Adguard Home plugin was updated as well.

It is not RC2. 

It was 24.7-something-something-2.  I remembered it as "r2" but may be wrong. It was the most recent update following the instructions on https://forum.opnsense.org/index.php?topic=41580.0 (upgrade from beta to RC1).

Adguard Home:  PSA:  After some uptime, I ran into an unspecified issue with Adguard Home (https://forum.opnsense.org/index.php?topic=41610.0) and reverted to 24.1.