Messages

16

German - Deutsch / DHCPv6 WAN, SLAAC LAN - Android IPv6

« on: February 14, 2022, 02:44:41 pm »

Hallo zusammen,

mittlerweile habe ich soweit alles konfiguriert und funktioniert, bis auf eine Sache: Android und DHCPv6...

ISP: Deutsche Glasfaser welches DHCPv6 einsetzt mit 56er prefix.
LAN ist track interface eingestellt.

Android unterstützt aber kein DHCPv6 und bekommt daher nur eine IPv4 Adresse vom eigenen DHCP Server. Ich brauche aber dringend eine IPv6 Adresse.

Was gibt es jetzt hier für Möglichkeiten? meine IPv6 Kenntnisse sind noch immer super begrenzt. Existiert so eine Möglichkeit, dass das LAN Interface sich vom WAN Interface eine IPv6 Adresse zieht und diese per SLAAC weiter gibt?
Oder wie kann ich generell dieses Android IPv6 Problem lösen?

Danke euch!

17

German - Deutsch / Re: Kann OpnSense eine Fritzbox komplett ersetzen? Was wird benötigt?

« on: November 25, 2021, 04:31:30 pm »

2 Vorschläge zur Vermeidung der Fritzbox:

1. wie schon angesprochen, auf Festnetz verzichten. Einfach Wifi Calling im Handy einstellen (wird bei sehr vielen Mobilfunkanbietern mittlerweile angeboten). Da hast du dann immer Empfang und eine sehr gute Gesprächqualität
2. VoIP Telefon kaufen und dort dann direkt mit den SIP Zugangsdaten einwählen

18

German - Deutsch / Re: Suche Unterstützung OPNSense für WAN und LAN

« on: November 24, 2021, 08:47:36 pm »

Tja was soll ich sagen... da gibt es halt nicht viel was man falsch konfigurieren kann (denke ich).

In meinem LAN gibt es seit mind. 3 Tagen keinen DHCP Server mehr - außer der DHCPv4 der OPNsense auf dem LAN Interface. Den habe ich aber auch schon testweise deaktiviert und trotzdem bekomme ich jedes 2.-3. mal eine 10.10.10.10 IP zugewiesen. Zudem habe ich geguckt, ob die 10.10.10.10 im OPNsense unter Lease zu finden ist, was nicht der Fall ist.

Der Paketmitschnitt zeigt nur ein DHCP NAK aus dem 100er CGNat Netz, wenn auf dem WAN Interface die 10er IP Adresse festgelegt wird. Bei einem DHCP ACK aus dem 100er CGNat Netz bekomme ich eine 100er IP Adresse dann zugewiesen, was auch richtig ist.

Ich stehe einfach auf dem Schlauch und habe keine Idee

Das ist die Zuordnung in HyperV:



edit: evtl kann ich das Thema ja auch anders angehen. Wenn ich unter Windows in der cmd ipconfig /all eingebe, listet er mir auch die IP Adresse des DHCP Servers auf, der den IP lease zur Verfügung stellt.

Unter Interfaces -> Overview in der OPNsense gibt es leider keinen Eintrag DHCP Server. Bekomme ich den evtl. irgendwie anders heraus? Sprich wir der irgendwo anders gelistet?

19

German - Deutsch / Re: Suche Unterstützung OPNSense für WAN und LAN

« on: November 23, 2021, 08:19:23 pm »

Ich habe jetzt mal den Netzwerkverkehr mitgeschnitten.
Der einzige Unterschied: Wenn DHCPv4 und v6 funktioniert (also eine richtige IP vom ISP gemeldet wird), bekomme ich ein DHCP ACK gemeldet. Wenn die OPNsense (wieso auch immer) die IPv4 auf 10.10.10.10 setzt, bekomme ich ein DHCP NAK (auch hier wieso auch immer) gemeldet...

Alles äußerst merkwürdig..

@lfirewall lese ich mir später alles mal durch.

20

German - Deutsch / Re: DHCP über das WAN Interface und automatisch erzeugte Firewall-Regeln

« on: November 23, 2021, 08:14:29 pm »

Ich bin auch gerade dabei, mich in OPNsense einzuarbeiten und habe das gerade mal direkt getestet.
Die automatisch generierten Firewallregeln sehen bei mir so aus:


Und in der Tat sind die Ports per UDP 546, 547 offen und erreichbar über die IPv6 die der OPNsense zugewiesen sind... Komische Autogenerierung der Firewallregeln ... verstehe ich nicht, wieso eingehender Traffic automatisch an ist.

21

German - Deutsch / Re: Suche Unterstützung OPNSense für WAN und LAN

« on: November 22, 2021, 03:12:06 pm »

ok ich schneide das in Ruhe heute Abend mal mit und schaue, ob ich den Übeltäter finde (wobei ich das schon komisch finde, dass per OPNsense default das WAN Interface nach einem DHCP Server auf LAN Interface suchen kann).

Noch eine andere Frage zwischendurch: ich habe vorhin erfolgreich einen HAProxy Dienst auf OPNsense am Laufen bekommen und nutze ihn als reverse proxy. Backendserver, Public Server sind konfiguriert, Firewall Regel eingestellt und es läuft. Allerdings läuft dieser ja auf der WAN IPv6 von OPNsense (weil aktuell so konfiguriert). Nur mal über die theoretische Sicherheit gefragt: wie sicher ist das ganze? Was ist, wenn der HAProxy eine Sicherheitslücke aufweist? Wie laufen die Plugins in OPNsense (Sandbox etc)?

Bei einer normalen VM mit HAProxy käme dieser nie auf meine Firewall drauf. Bei dem aktuellen Scenario bin ich mir irgendwie nicht ganz sicher.

edit: noch eine Frage: wie (wenn überhaupt?) kann ich automatisiert an meinen dynDNS Provider per OPNsense eine aktualisierte IPv6 übertragen? Aktuell habe ich mich auf NoIP eingeloggt und diese manuell einmal geupdated. Soweit ich weiß, sind die IPv6 Adressen nicht fix bei der DG. Hier suche ich jetzt nach Möglichkeiten, da ja jeder Client eine eigene IPv6 bekommt...

Gibt es Plugins dafür? Kann die OPNsense über MAC (Gerät) -> IPv6 zuordnen (also für jedes Device herausfinden) und dies dem dyndns Anbieter bekannt geben?

22

German - Deutsch / Re: Suche Unterstützung OPNSense für WAN und LAN

« on: November 22, 2021, 11:47:51 am »

@chemlud ich finde es einfach nicht.
Systemlogfile sagt folgendes (siehe Uhrzeit):


Firewall Logfile sagt dieses zu der Uhrzeit:


Ich sehe da einfach nichts was auf Port 67/68 geht. Und der 10.10.10.210 ist aktuell noch mein Windows DC mit DNS (aber deaktiviertem DHCP Dienst), wobei es hier keine Änderung gibt, wenn der DC Server komplett heruntergefahren ist.

Du siehst auch im Firewall log, dass zur gegebenen Uhrzeit kein Traffic auf dem WAN Interface geloggt wird. Den ersten Traffic siehst du dann ganz oben, sobald die WAN IP gesetzt wurde.

23

German - Deutsch / Re: Suche Unterstützung OPNSense für WAN und LAN

« on: November 22, 2021, 10:48:32 am »

Nach erneutem Reset ONT und Stundenlang abgeklemmten LAN Kabel habe ich dann irgendwann auch eine IPv6 Adresse bekommen (wohlgemerkt mit Standardconfig DHCPv6 bei Deutsche Glasfaser).

Mein derzeitiges Hauptproblem ist, dass beim Neustart der OPNsense jedes zweite Mal auf dem WAN Interface per DHCP die 10.10.10.10 als IPv4 Adresse zugewiesen wird (IPv6 gar nichts) und ich in der Interface Overview dann DHCP lease reloaden muss (was dann auch zügig geht). Das ist natürlich super unpraktisch, dass wenn ich mich bei einem Neustart nicht darauf verlassen kann, dass er sich automatisch mit dem Internet verbindet.

Hat jemand eine Idee? Das Problem besteht schon seit anfang an. Schon 10x auf Werkeinstellungen zurück gesetzt (wegen anderen Problemen) und es läuft kein weiterer DHCP Server als der, von der OPNsense selbst.

Ich habe das logfile mal angehangen.

24

German - Deutsch / Re: Suche Unterstützung OPNSense für WAN und LAN

« on: November 21, 2021, 12:59:03 pm »

So... ich habe angefangen den Netzplan zu zeichnen, OPNsense auf default zu stellen, den ONT von Deutsche Glasfaser resettet und 15min das WAN Kabel abgestöpselt gelassen.

Dann habe ich OPNsense über den shell wizard für das WAN interface konfiguriert (einen Port zugewiesen) und LAN sowohl statisch 10.10.10.1/24 auf einen Port zugewiesen und konfiguriert.

Wie vor ein paar Tagen, bekomme ich direkt eine IPv4 Adresse aus dem CGN Bereich. Ping etc. funktionierte ca. 5 Minuten lang nicht. Danach hatte ich tatsächlich, wieso auch immer erst nach 5 Minuten, Internet (über IPv4)... wow, fortschritt! )

WAN DHCPv6 bekomme ich noch immer keine IP Adresse zugewiesen... das wurmt mich.

Hier erst mal der Netzplan:


So sieht der Uplink vom WAN nach ca. 20 Minuten aus:


Hier die aktuelle WAN Konfiguration (alles Standard gelassen):


Ich hatte auch vor 2 Tagen mal Send IPv6 prefix hint und prefix size auf 56 gesetzt etc... aber klappt irgendwie alles nicht so richtig.
Diesen Beitrag habe ich auch schon gesehen: https://forum.opnsense.org/index.php?topic=21225.msg99660#msg99660

Mhhh....

update: noch etwas komisches... irgendwie zieht er am WAN Port per dhcpv4 mein LAN Adresse 10.10.10.2/24 von meinem Windows Server, der aber derzeit ausgeschaltet ist und ich muss jedes mal in der GUI beim WAN Interface auf release und dann renew klicken, damit er sich die von der DG mit 100.xxx.... zieht. Ich blicks einfach nicht

25

German - Deutsch / Re: Suche Unterstützung OPNSense für WAN und LAN

« on: November 20, 2021, 05:20:50 pm »

Nun, die Resonanz zur vollen Unterstützung fehlt  leider (hab ich mir schon gedacht, kann man bei dem mini Budget auch nicht verübeln).

Ich werde morgen mal einen Netzplan machen zu einer IST Situation über die aktuelle Konfiguration von HyperV, den virtuellen Switches und den 4 Ports der Intel NIC sowie von der WAN Konfig in OPNsense und den Probleme, wo ich dann fest sitze. Ggf. komme ich ja dann Schritt für Schritt mit so mancher Unterstützung hier im Forum zum Ziel

Ich melde mich dann wieder.

26

German - Deutsch / Re: Suche Unterstützung OPNSense für WAN und LAN

« on: November 19, 2021, 12:50:17 pm »

Ich habe ja direkt aus der shell von opnsense heraus versucht, zu pingen. Und über die GUI mit dem Ping tool auch. Hat leider nicht geklappt. Da also die ganze Basis WAN Konfig schon nicht wollte und ich keine Erklärung dafür hatte, wieso ein Ping ins IPv4 Internet nicht ging, habe ich mangels Zeit abgebrochen und suche daher Unterstützung um Zeit zu sparen, nur, weil ggf. irgendwo eine Checkbox nicht gesetzt wurde oder so.

Ja, OPNsense soll weiterhin als VM über HyperV laufen. Die Zuweisungen der NICs, virtuelle Switche etc hat auch etwas Zeit und Verständnis gefordert. Und ich habe aktuell einfach zu viele Baustellen...

Über das Budget lässt sich auch noch etwas verhandeln.

27

German - Deutsch / Suche Unterstützung OPNSense für WAN und LAN

« on: November 19, 2021, 11:17:30 am »

Bitte zu Post #6 runterscrollen

---------------------------------------------------------------------------------
Hallo zusammen,

ich suche wen, der Lust hast, mich bei meinem Aufbau einer OPNSense zu unterstützen. Budget wäre 100€ (ich weiß, das ist nicht viel Geld und würde vermutlich nur die ansprechen, die da bock drauf haben). Ich selbst habe Netzwerkgrundkenntnisse, habe mal vor einem Jahrzehnt den CCNA gemacht, aber einfach nicht mehr in der Netzwerkwelt weiter gemacht und mit IPv6 hört es bis auf minimale Basiskenntnisse komplett bei mir auf.

Zum Projekt:
Vor 2 Tagen habe ich meinen Deutsche Glasfaser Anschluss bekommen. Eigentlich hatte ich vor, sobald der Anschluss da ist, von meiner Fritzbox 7530 auf meinen Server/HTPC mit OPNSense zu wechseln.

IST Situation: vom GF-TA gehts zum ONT. Von dem per RJ45 in die Fritzbox.

SOLL Situation:
Soweit kam ich dann nach 3h, bis ich aufgegeben habe:
Die Fritzbox soll durch meinen Server, der mit Windows 10 + HyperV läuft, ersetzt werden. Dem Server stehen einem Ryzen 7 5700G mit 32GB zur Verfügung. OPNSense läuft als VM in HyperV. Es ist von IBM eine Intel I350-T4 NIC verbaut.

Diese Themen sollen durch OPNsense übernommen werden:

• Routing
• Firewall
• VLAN
• Switching
• IDS/IPS - wobei ich hier erst mal Wissen aufbauen muss wofür etc
• Sensei habe ich gehört ist ein nettes "must have" was ich natürlich auch testen möchte
• ggf. HAProxy, den ich durch eine aktuell noch seperat laufende VM dann ersetzen und direkt in OPNsense einbinden würde

DNS (v4) und DHCP (v4) bin ich mir nicht sicher, da diese aktuell auf meinem Windows Server laufen. Hier wäre so ein best practice Scenario interessant.

Nach den 3h Tests war ich irgendwann in der Lage, mittels konfiguriertem DHCPv6 und DHCPv4 am WAN Port lediglich eine IPv4 Adresse zu beziehen. Die IPv6 Adresse wollte einfach nicht. Mit den Standard Firewallregeln war ich aber nicht in der Lage, eine IPv4 Adresse aus dem Internet anzupingen. Ob dies an fehlerhaften Firewallregeln oder nicht konfiguriertem NAT oder... lag, weiß ich nicht. Da der Abend zu Ende ging und ich am nächsten Tag wieder arbeiten musste, habe ich die Fritzbox angeschlossen mit der natürlich alles direkt klappte.

Ich freue mich auf jede Person die Lust hat, ein Basis Setup mit mir aufzubauen. Ich würde mich freuen, wenn es nicht zu viel bashing bzgl. des Budgets geben würde.

Vorbereitend vor dem Termin würde ich die Infrastruktur mit HyperV, Netzwerkkarte, Bezeichnungen etc. etwas besser dokumentieren.

Arbeit Remote mit bspw. Teamviewer oder vor Ort mit Bier, Pizza oder was auch immer man möchte. PLZ: 5018x

LG