[SOLVED] FAIL: Upgrade auf 20.7 via ssh ...

Started by white_rabbit, August 21, 2020, 11:12:45 AM

Previous topic - Next topic
Print
Go Down Pages 1 2
User actions
August 24, 2020, 10:28:25 AM #15
Ok, hier zwei Screenshots ... an der Konfiguration wurde wie gesagt nichts geändert.
In den Firewall-Logs erscheint aber auch keine Meldung mehr, dass auf Port 51820 eine Verbindung aufgebaut wird ...

August 24, 2020, 11:05:30 AM #16
Und kannst du testweise mal auf ein privates Netz statt diesem CGN stelleN?
August 24, 2020, 03:38:56 PM #17 Last Edit: August 24, 2020, 03:49:48 PM by white_rabbit
Ich habe es testweise umgestellt auf 172.18.18.0/24 -- ändert leider nichts. Die Verbindung kommt nicht zustande. Zudem habeich auch alle anderen Endpoints außer meinen deaktiviert -- ebenfalls ohne Änderung.

Es bleibt weiterhin die Frage: Was hat sich von 20.1 --> 20.7 diesbzgl geändert? Woran kann das noch liegen?

Mich wundert auch weiterhin, dass die Protokolldateien (LiveLog) nicht das geringste zeigt ... oder wird das erst nach erfolgreichem Handshake angezeigt?

Auf der WAN Schnittstelle ist die Option "Block private Networks" aktiviert -- das hatte ich auch nicht geändert. Auch wenn ich diese Option deaktivere, ändert sich nichts.
August 24, 2020, 04:04:31 PM #18
Mach doch mal auf dem WAN einen packet capture auf port 51820 und schau ob da was ankommt.
Wenn ja, checken ob wieder was raus geht, wenn nicht, schauen ob du PBR machst? Oder MultiWAN?
August 24, 2020, 04:32:54 PM #19 Last Edit: August 24, 2020, 04:35:34 PM by white_rabbit
... noch eine Beobachtung hinterher: Ich habe von zu Hause aus versucht:
Code Select

nmap -sU -O -p51820 <mein-dyn-dns.name.de>


Das Ergebnis:
PORT      STATE  SERVICE
51820/udp closed unknown

Von "innen" (gleiches Subnetz wie die Firewall) bekomme ich da aber
51820/udp open|filtered unknown

Normal?

>> schauen ob du PBR machst? Oder MultiWAN?
Nein, beides nicht.
August 24, 2020, 04:57:57 PM #20 Last Edit: August 24, 2020, 05:20:35 PM by white_rabbit
Quote from: mimugmail on August 24, 2020, 04:04:31 PM
Mach doch mal auf dem WAN einen packet capture auf port 51820 und schau ob da was ankommt.

Ich habe es so versucht:
Code Select

tcpdump -i em0_vlan132 udp port 51820


Das ist das WAN Interface. Da kommen ein paar Pakete an, wenn der VPN-Tunnel offen ist und ich z.B. von hier aus einen ping absetze ... aber eine Antwort erhalte ich weiterhin nicht.
Also sieht es für mich danach aus, als ob die Verbindung von außen nach innen zwar klappt aber es dann nicht weitergeht
August 24, 2020, 04:59:22 PM #21
Kannst du den output von dem tcpdump hier posten?
Und dann auch gleich mit interface wg0 :)
August 24, 2020, 05:14:00 PM #22
Quote from: mimugmail on August 24, 2020, 04:59:22 PM
Kannst du den output von dem tcpdump hier posten?
Und dann auch gleich mit interface wg0 :)
Da steht nichts besonderes drin: Es erscheint nur immer wieder die Meldung:
"Handshake Initiation", zu der es offenbar aus irgendwelchen Gründen nicht mehr kommt.

Wenn ich den tcpdump auf wg0 loslasse, wird nichts in die Datei geschrieben.

August 24, 2020, 05:58:22 PM #23
Bitte, den output von tcpdump
August 25, 2020, 09:44:38 AM #24 Last Edit: August 25, 2020, 10:35:28 AM by white_rabbit
Dump würde ich per PM schicken ... geht das?

Mir ist noch etwas aufgefallen:
Wenn ich den Service neu starte, erhalte ich:
Code Select

[#] ifconfig wg0 inet 172.18.18.254/24 172.18.18.254 alias
[#] ifconfig wg0 mtu 1420
[#] ifconfig wg0 up
[#] route -q -n add -inet 172.18.18.10/32 -interface wg0


In diesem Beitrag steht allerdings:
https://forum.opnsense.org/index.php?topic=18386.msg83609#msg83609

Code Select
ifconfig wg0 inet 10.1.1.1/32 10.1.1.1 alias in der ersten Zeile -- dort steht also auch wieder die kleine Netzmaske ... kann es damit zusammenhängen?

... und noch eine andere Beobachtung, von der ich auch nicht weiß, ob sie damit zusammehängen könnte:
dmesg meldet des öfteren:


Code Select

wg0: link state changed to DOWN
tun0: link state changed to UP
tun0: changing name to 'wg0'
pflog0: promiscuous mode disabled
pflog0: promiscuous mode enabled
pflog0: promiscuous mode disabled
pflog0: promiscuous mode enabled
pflog0: promiscuous mode disabled
pflog0: promiscuous mode enabled
in_scrubprefix: err=65, prefix delete failed             <<< was ist das!??


und auch:
Code Select

pflog0: promiscuous mode enabled
wg0: deletion failed: 3                   <<< was ist das!??
wg0: link state changed to DOWN
tun0: link state changed to UP
tun0: changing name to 'wg0'
August 25, 2020, 01:52:14 PM #25
komm mal ins IRC .. dann schauen wir schnell per teamviewer
August 25, 2020, 03:43:06 PM #26
Das Problem ist Dank der Hilfe von mimugmail gelöst.
Ich hatte eine Regel bzgl GeoIP aktiviert, die siche offenbar mit Wireguard in die Quere kam.
Die Ursache war also gar nicht Wireguard sondern die zusätzliche Regel -- sobald diese deaktiviert wurde, war der Tunnel wieder da.
Vielen Dank nochmals für den tollen Support! Darauf wäre ich nie gekommen...
August 25, 2020, 03:43:56 PM #27
Quote from: white_rabbit on August 25, 2020, 03:43:06 PM
Das Problem ist Dank der Hilfe von mimugmail gelöst.
Ich hatte eine Regel bzgl GeoIP aktiviert, die siche offenbar mit Wireguard in die Quere kam.
Die Ursache war also gar nicht Wireguard sondern die zusätzliche Regel -- sobald diese deaktiviert wurde, war der Tunnel wieder da.
Vielen Dank nochmals für den tollen Support! Darauf wäre ich nie gekommen...


Eventuell das da:
https://forum.opnsense.org/index.php?topic=18628.msg85768#msg85768
August 25, 2020, 09:12:00 PM #28
Quote from: fog on August 25, 2020, 01:44:04 PM
The cause were empty files *IPv4 in /usr/local/share/GeoIP/alias/.
Daran liegt es hier nicht ... die Dateien sind da und mit Inhalt gefüllt. Ich vermute eher, dass meine öffentliche IP aus irgendwelchen Gründen blockiert wurde.
Print
Go Up Pages 1 2
User actions