Messages

46

German - Deutsch / Re: Delegated IPv6 Präfix wird sehr zeitverzögert aktualisiert

« on: May 16, 2023, 11:37:13 am »

Hey Franco,

ich habe heute den Patch nochmal probiert und dabei die Option "Prevent release" deaktiviert gehabt. Funktioniert. Übrigens zeigt mir Windows heute an, dass die alten Prefixe ungültig sind. Keine Ahnung, ob das gestern einfach nur ein Schluckauf war.

Was mir allerdings aufgefallen ist. Die Internetverbindung muss mindestens 30-60s weg sein, bis PPPoE als down erkannt wird. Zwischendurch wurde es so nämlich sonst nur als Packetloss erkannt und es haben sich die IP-Adressen am WAN nebst Präfixen nicht verändert. (Das hatte ich aber auch schonmal vor dem Patch beobachtet, dass es lange dauern muss). Ich habe keine Ahnung, wie lange so eine nächtliche Zwangstrennung bei ASSIA dauert oder bei einigen Fällen, wo es den daily reconnect gibt.

Das Gateway-Monitoring habe ich übrigens deaktiviert. Damit werde ich nachher vielleicht auch nochmal testen.

Muss ich eigentlich vor dem nächsten regulären Update ein revert vorher durchführen?

Viele Grüße
Cyberturtle

47

German - Deutsch / Re: Delegated IPv6 Präfix wird sehr zeitverzögert aktualisiert

« on: May 15, 2023, 05:14:28 pm »

Hey Franco,

der Patch sieht in der Tat vielversprechend aus. Ich hab's zwischendurch mal gestetet. Das System zeigte keine Instabilitäten und ich habe am WAN dann mal das Kabel zum Modem getrennt und wieder eingesteckt und der Präfix hat die Clients erreicht!

Ich habe mir mal erlaubt es mit pfSense+ zu vergleichen. Mit pfSense CE lief IPv6 nicht zuverlässig, mit der Plus-Version scheint IPv6 dort ebenso sauber wie mit dem Patch zu laufen. Allerdings habe ich an meinen Clients (hab's auf die Schnelle nur mit Windows gestetet) ein anderes Verhalten zwischen beiden Systemen bemerkt.
Bei OPNsense ist der alte Präfix weg und der neue da. Bei pfSense+ sind die alten Präfixe als verworfen gekennzeichnet unter Windows und der neue wird genutzt.
Für mich ist beides in Ordnung, ich wollte es nur vollumfassend berichten. 

Ich denke, wir sind auf dem richtigen Weg bei OPNsense. Mir ist von der thermischen Seite allerdings was aufgefallen. Ich habe keine Ahnung, ob's am Patch liegt oder an den Sensor-Treibern, allerdings sind die Temperaturen mit OPNsense wesentlich höher. Ebenso sind die Lastspitzen andere. Interessanterweise werden mir bei OPNsense per SSH auch andere Temperaturen angezeigt als im Widget (je nachdem, wie ich auslese). Mittels "sysctl -a dev.cpu | grep "temp"" sind die Temperaturen ca. 10 Grad kühler als mittels "sysctl -a | grep "dev.cpu"".

48

23.1 Legacy Series / Re: As soon as my bandwidth gets saturated I can't establish/keep VPN connections

« on: May 14, 2023, 09:29:00 pm »

Hi there,
maybe I have found the issue. Today I tried pfSense. At first after initial setup it worked. Then I plugged everything back to the switch and boom heavy packet loss. My switch in the cabinet screwed up everything. After installing new firmware for it which fixes saturation problems and memory hogs the problem disappeared on my pfSense installation.
Tomorrow I’ll try recovering OPNsense and hope it’ll run with the fixed switch as good as today.
Will keep you updated.
Thanks a lot for helping.

49

23.1 Legacy Series / Re: As soon as my bandwidth gets saturated I can't establish/keep VPN connections

« on: May 13, 2023, 12:05:27 pm »

Thanks for your immediate answer. Which connection should I throttle and how do I do this? I’m pretty new to OPNsense.

50

23.1 Legacy Series / [SOLVED] As soon as my bandwidth gets saturated I can't establish/keep VPN co...

« on: May 13, 2023, 11:57:55 am »

Hi there,

currently I have a problem. I recognized something yesterday when I was starting a huge download on my Xbox Series X. Suddenly my wife's and my laptop lost their VPN connections to our work and we haven't been able to work with our RDP connections reliably. Every now and then our connections timed out.

I already have setup FQ-CoDel like recommended by many howtos in the WWW. Bufferbloat tests show A or A+. After the connection drops occured I set up additional prio queues for TCP ack, DNS and of course the network address of our work. After that I reduced the bandwidth in the pipes as well. The shaper status shows that the rules are being used.

I can reproduce this issue by starting a huge download on any client in our home network. The Ubuntu Iso download is a good test for reproduction. As soon as I start it and the bandwidth gets saturated, the issue occurs. I need many tries to establish a VPN connection on my client. It seems as some packets are getting lost or so.

My hardware is:
VENEON P09B
Intel I-225V B3
Intel J4125 CPU
Crucial 16 GB RAM DDR4
Kingston SSD 256 GB

My provider is Deutsche Telekom with dual stack. PPPoE is being handled by OPNsense 23.1.7_3. I'm using a Speedport Smart 4 as modem. If I'm using a Fritzbox 4060 as test device, everythin is working fine. My line is synced with 179 Mbit/s down and 46,9 Mbit/s up. The pipes are configured with 160 Mbit/s down and 43 Mbit/s up. I also tried toggling ECN.

By the way a huge download don't affect watching Disney+ or Netflix. It seems to affect only our working VPN.

Sadly, I don't know what else I could try.

I'm so sad as I like OPNsense and all the stuff really much.

Thanks in advance,
Cyberturtle

51

German - Deutsch / Re: Delegated IPv6 Präfix wird sehr zeitverzögert aktualisiert

« on: May 12, 2023, 10:49:08 am »

Ah super, danke für die Info. Verstehe ich die Sourcen richtig, dass nun bei neuem Prefix ein force renew bei IPv6 für die Interfaces ausgelöst wird?

Beste Grüße
Cyberturtle

PS: Find's super, dass ihr an der IPv6-Sache trotz des teilweise fragwürdigen Tons auf Github noch dran seid. 

Edit: Achso und soll ich meine radvd-Anpassung mit den verkürzten Lease-Zeiten wieder zurücksetzen für den Test?

52

German - Deutsch / Re: Delegated IPv6 Präfix wird sehr zeitverzögert aktualisiert

« on: May 12, 2023, 09:57:39 am »

Hey @franco,

heute habe ich die 23.1.7_3 installiert und wollte gerade den Patch aufspielen. Nun ist mir auf Github allerdings aufgefallen, dass es in einem anderen Issue mit IPv6 auch ein Update mit einem anderen Patch gab.

Welchen Patch zum Testen würdest Du empfehlen?

Code: [Select]

# opnsense-patch 05c6f2e

vs.

Code: [Select]

# opnsense-revert -z dhcp6c

Mag nur nichts altes testen, wenn schon neuere Erkenntnisse vorhanden sind.  Ich fürchte nur, da meine Leitung die letzten Nächte ohne Reconnect/ASSIA gewesen ist, dass ich aktuell wenig reproduzieren kann. Ach so und soll ich zum Testen "Prevent release" deaktivieren?

Grüße

53

23.1 Legacy Series / Re: OPNSense freezing 3 times an hour

« on: May 11, 2023, 05:15:41 pm »

Your hardware should have enough power for running with ZFS. As far as I know ZFS is a way more stable than UFS in case of powerloss.
If you haven't changed anything to C3 by yourself it'll use C1 as default which is pretty fine. How stable is your system if PowerD is disabled?
Also you could run a memtest on your system to ensure your RAM isn't faulty.
How is your BIOS configured? I'm using UEFI boot (no legacy) and have enabled C- and P-states. It's using Max Performance as default. Any HPET (High precision event timer) configured?
I'm using a VENOEN P09B2G hardware and upgraded memory from noname to 16 GB Crucial. SSD is a 256 GB Kingston one. CPU J4125.

Edit: Any additional plugins installed?

54

23.1 Legacy Series / Re: OPNSense freezing 3 times an hour

« on: May 11, 2023, 04:28:20 pm »

So, how is your core temperature? You could have a look at the health section if there is something going on.
Do you have enabled any enhancements manually like C3 state? Is PowerD enabled?

Edit: And can you please give a short overview of the other hardware components like SSD, RAM? Is your system running with ZFS or UFS?

55

23.1 Legacy Series / Re: ipv6 connectivity getting dropped after few hours

« on: May 11, 2023, 10:02:48 am »

Hey superczar,

nice, that it's working now. Maybe your clients were not able to reset their routes. According to the RFC 4862 chapter 5.5.3 a few parameters are considered for updating the prefix to avoid downtime via RA by hackers.
That's the reason, why I have modified the RADVD parameters a bit. (Especially PreferredLifetime and ValidLifetime.)
You can have a look at my attachment how I have set it up. A new prefix is only considered if it's new lifetime is greater than two hours otherwise the old one is being used as long as it has a valid life time. Additionally some clients only consider the preferred lifetime for considering multiple prefixes before they changed to the new valid one. That's why I have chosen twice the lifetime of MaxInterval. So updating the prefixes where clients don't consider valid lifetime right, takes only max. ten minutes.
On my first try I had smaller values on all variables, but that created some trouble on my wireless clients and my access points as the network was flooded by too many broadcasts.
I don't now if my settings are still needed with the dhcp6c patch @franco has mentioned. Maybe he can give us some insights?

Greetings,
Cyberturtle

56

23.1 Legacy Series / Re: ipv6 connectivity getting dropped after few hours

« on: May 10, 2023, 10:23:04 pm »

I recently setup an OPNsense router on my side. I have read somewhere that some ISP require the option „Only request a prefix“. If I got it right it’s necessary as some ISP provide the prefix by DHCPv6 and the WAN address via SLAAC. Maybe you could try this option?

I’ll try the new version 23.1.7. with the DHCP6c patch as soon as I have some time. Currently my IPv6 seems stable as there is no nightly ASSIA forcing a reconnect.

57

German - Deutsch / Re: OPNSense VoIP mit Fritzbox 5530

« on: May 10, 2023, 07:29:14 pm »

Ich musste zusätzlich bei mir zur Outbound NAT Rule mit den Static Ports noch Portforwarding einstellen. Ohne hat es zwar geklingelt und ich konnte auch raustelefonieren, es fand allerdings keine Sprachübertragung statt. Erst nach Portforward-Rules.
Zusätzlich habe ich noch einen IPv6 Dynamic Host Alias angelegt zur Verwendung in einer Firewall Rule WAN-in mit den SIP- und RTP-Ports. Mich konnten sonst Bekannte, die IPv6-only-WAN haben, nicht mehr erreichen.
Ich habe bei mir eine Fritzbox 4060 hinter der OPNsense im Einsatz und Telekom als ISP (Dual Stack).
Seit dem ist alles schick.

Die gleiche Konfiguration hat übrigens mit einer Go-Box-100 nach den letzten Gigaset-Updates so gar nicht funktioniert. Ich habe damit Stunden verbracht und dann hatte meine Frau mal so gefragt, ob ich meine "alte" Fritzbox als IP-Client hinter die OPNsense als Telefonanlage packen kann. Wäre ich mal vorher auf die Idee gekommen, hätte ich nicht so viel Zeit mit Ausprobieren verdaddelt. Einfach die Adresse im Alias getauscht und gut war's.

58

German - Deutsch / Re: Delegated IPv6 Präfix wird sehr zeitverzögert aktualisiert

« on: May 10, 2023, 02:36:45 pm »

Hey @franco,

vielen Dank für Deine Antwort. Ich wollte Dich tatsächlich nachher auf Github anschreiben und meine Hilfe anbieten. Ich bin bei OPNsense noch nicht so ganz im Thema. Deswegen hatte ich mich erstmal an einem Script versucht. Abseits von IPv6 ist OPNsense die erste Software als Firewall/Router, die mir total zusagt und ich bin einfach begeisert. Ich haben einen riesen Respekt davor, wieviel Arbeit die Entwickler da reininvestieren. Danke für Eure Arbeit!

Muss ich den von dir verlinkten Kommentar per Terminal (ssh) durchführen? Sorry, für die blöde Frage, bin halt noch OPNsense Neuling. Komme eher aus dem C#-Umfeld.

Liebe Grüße und danke!

59

German - Deutsch / Re: Delegated IPv6 Präfix wird sehr zeitverzögert aktualisiert

« on: May 10, 2023, 10:08:27 am »

Moin zusammen,

damit es hier nachvollziehbar und leserlich bleibt, hier nochmal ein neuer Entwurf. Der sollte jetzt die Schleife vermeiden und prüft zusätzlich das LAN-Interface auf Veränderung. Wie findet ihr den neuen Entwurf?

Ich möchte mich an der Stelle auch nochmal für Eure großartige Vorarbeit bedanken. Auf die Idee mit einem Skript bin ich gar nicht gekommen und ich glaube ohne Eure Ansätze wäre es mir auch schwergefallen.

Viele Grüße

Code: [Select]

#!/bin/sh
#
# checkwanipv6.sh
#
# Script for checking WAN IPv6 changes.
# E.g. Updated prefix after PPPoE reconnect or simply prefix renew.

# Interface name like pppoe0, igc1, igb1 etc.
WAN_INTERFACE="pppoe0"
LAN_INTERFACE="igc0"
WANFILE="/tmp/wanipv6.old"
LANFILE="/tmp/lanipv6.old"

# Get current WAN IPv6 address. Ignore APIPA and ULA.
wanipv6=`ifconfig "$WAN_INTERFACE" | grep inet6 | grep -v '[[:space:]]fe80:\|[[:space:]]fd31:' | grep -v '\%' | grep -v deprecated | awk '{print $2}'`
lanipv6=`ifconfig "$LAN_INTERFACE" | grep inet6 | grep -v '[[:space:]]fe80:\|[[:space:]]fd31:' | grep -v '\%' | grep -v deprecated | awk '{print $2}'`

# Ensure that wanipv6.old exists. Otherwise create with current WAN IPv6 entry.
if [ ! -f "$WANFILE" ]; then
    echo "$wanipv6" > "$WANFILE"
fi

# Ensure that lanipv6.old exists. Otherwise create with current LAN IPv6 entry.
if [ ! -f "$LANFILE" ]; then
    echo "$lanipv6" > "$LANFILE"
fi

# Get old WAN and LAN IPv6 addresses from file.
wanipv6old=`cat "$WANFILE"`
lanipv6old=`cat "$LANFILE"`

echo "Old WAN IPv6: $wanipv6old"
echo "New WAN IPv6: $wanipv6"
echo "Old LAN IPv6: $lanipv6old"
echo "New LAN IPv6: $lanipv6"

# Reload WAN interface as LAN IPv6 address seems to be stuck or empty after WAN IPv6 change.
if [ "$wanipv6old" != "$wanipv6" ] && [ "$lanipv6old" == "$lanipv6" ]; then
    echo "WAN IPv6 address has changed while LAN IPv6 address seems to be stuck. Reload WAN interface."
    /usr/local/sbin/configctl interface linkup stop "$WAN_INTERFACE"
    /usr/local/sbin/configctl interface reconfigure "$WAN_INTERFACE"
    /usr/local/sbin/configctl interface linkup start "$WAN_INTERFACE"
elif [ "$wanipv6old" != "$wanipv6" ] && [ "$lanipv6" == "" ] && [ "$lanipv6old" != "" ]; then
    echo "WAN IPv6 address has changed while LAN IPv6 address seems to be empty. Reload WAN interface."
    /usr/local/sbin/configctl interface linkup stop "$WAN_INTERFACE"
    /usr/local/sbin/configctl interface reconfigure "$WAN_INTERFACE"
    /usr/local/sbin/configctl interface linkup start "$WAN_INTERFACE"
fi

# Save current (empty) IPv6 addresses to file.
echo "$wanipv6" > "$WANFILE"
echo "$lanipv6" > "$LANFILE"


60

German - Deutsch / Re: Delegated IPv6 Präfix wird sehr zeitverzögert aktualisiert

« on: May 09, 2023, 09:22:36 pm »

Moin zusammen,

ich war mal so frei und hab anhand Eurer Scripts mal einen weiteren Entwurf gemacht, der etwas dynamischer mit den Präfixen umgehen soll und dabei APIPA und ULA ignorieren.
Da ich leider noch nicht weiß, wie ich's auf die OPNsense Hardware mit nem Cron bekomme, kann ich Euch erstmal nur den ungetesten Code geben. Ich hatte mir testweise lokal unter Ubuntu mal ein Textfile mit inet6 etc. erstellt und das anstelle des ifconfig verwendet.

Bei Euren Scripts ist mir aufgefallen, dass einmal ein linkup stop und start dabei ist und beim andere nur ein reconfigure. Ich weiß leider noch nicht ganz, was davon wirklich benötigt wird.

Freu mich über Euer Feedback. Ich nehme gerne auch etwas Hilfe fürs Einrichten vom Cron.  Ich hab in der Oberfläche nur vorgefertige Auswahlmöglichkeiten beim Cron gefunden. Leider weiß ich nicht, wie ich das Script da reinbekomme.

Hier der Code:

Code: [Select]

#!/bin/sh
#
# checkwanipv6.sh
#
# Script for checking WAN IPv6 changes.
# E.g. Updated prefix after PPPoE reconnect or simply prefix renew

# Interface name like igc1, igb1 etc.
INTERFACE="pppoe0"
FILE="/tmp/wanipv6.old"

# Get current WAN IPv6 address. Ignore APIPA and ULA.
wanipv6=`ifconfig "$INTERFACE" | grep inet6 | grep -v '[[:space:]]fe80:\|[[:space:]]fd31:' | grep -v '\%' | grep -v deprecated | awk '{print $2}'`

# Ensure that wanipv6.old exists. Otherwise create with current WAN IPv6 entry.
if [ ! -f "$FILE" ]; then
    echo "$wanipv6" > "$FILE"
fi

# Get old WAN IPv6 address from file.
wanipv6old=`cat "$FILE"`

echo "Old WAN IPv6: $wanipv6old"
echo "New WAN IPv6: $wanipv6"

if [ "$wanipv6old" != "$wanipv6" ]; then
    echo "WAN IPv6 address has changed. Reload WAN interface."
    /usr/local/sbin/configctl interface linkup stop "$INTERFACE"
    /usr/local/sbin/configctl interface reconfigure "$INTERFACE"
    /usr/local/sbin/configctl interface linkup start "$INTERFACE"
    echo "$wanipv6" > "$FILE"
fi
Beste Grüße

Edit: Ich glaube, ich habe da noch einen Denkfehler drin. Wenn OPNsense selbst die Verbindung via PPPoE aufbaut, habe ich da gerade eine Endlosschleife gebaut? Nach einem reconfigure bekomme ich ja wieder eine neue WAN IP. Habt ihr da noch eine Idee um das zu verhindern?