Stabilitätsprobleme Deutsche Glasfaser

Started by felixao, January 03, 2024, 12:47:49 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
January 03, 2024, 12:47:49 PM
Hallo zusammen, allen noch ein frohes und gesundes neues Jahr!

Ich habe seit diesem Monat einen neuen Glasfaseranschluss der Deutschen Glasfaser. Im Zuge dessen habe ich mich dafür entschieden, einen Router mit OPNsense auszuprobieren. Dementsprechend groß sind auch meine generellen Erfahrungen mit OPNsense. Ich bin jedoch sehr lernwillig und freue mich meinen Horizont hier zu erweitern.

Hardware:
Die OPNsense ist ein Fujitsu Futro S920 mit AMD GX-415GA CPU (4 Kerne, 4 Threads; 1,5 GHz), 8 GB RAM und 120gb ssd. Ich habe per PCI-E noch eine Intel Dual NIC nachgerüstet (1 GB).

Software:
Folgende Version ist installiert:
OPNsense 23.7.10_1-amd64
FreeBSD 13.2-RELEASE-p7
OpenSSL 1.1.1w

Ich habe aus den folgenden Threads bereits die Einstellungen übernommen und erhalte auch eine Internetverbindung:
https://forum.opnsense.org/index.php?PHPSESSID=g52l0c43a1k8a11prku11qtjmk&topic=33882.0
https://forum.opnsense.org/index.php?topic=21225.msg99660#msg99660
https://beechy.de/deutsche-glasfaser-ipv6-vs-pfsense/

Anbei auch meine Konfiguration zu LAN und WAN.

Mein Problem ist aktuell, dass die Internetverbindung einfach nicht stabil funktioniert. Beim Surfen wird eine beliebige Seite nicht aufgebaut und erst durch mehrmaliges Neuladen der Seite funktioniert die Darstellung.

Ich habe mich bereits ein bisschen an den DNS Settings ausprobiert (siehe Bild). Dies führt aktuell jedoch zu keinen Verbesserungen.

WLAN wird über einen TP-Link AccessPoint bereitgestellt und über Omada SDN verwaltet. Der WAN-Port der OPNsense hängt direkt am ONT, LAN der OPNsense direkt an meinem HP Switch, welcher wiederum alle Clients versorgt (auch den AP).
Desweiteren habe ich noch einen Intel NUC im Einsatz auf dem Proxmox mit Home Assistant, Omada SDN und NGINX Proxymanager läuft. Letztere ist in der Konfiguration sicher auch noch ein Thema, jedoch ist ein stabiles Internet erst einmal wichtiger. Ich habe alles einmal versucht übersichtlich in einem Draw.io-Diagramm darzustellen.

Ich bin für jeden Tipp dankbar, vielen Dank Euch vorab und beste Grüße,
Felix
January 03, 2024, 01:36:48 PM #1
Also als erstes fällt mir diese ominöse statische LAN IP auf... Die liegt nicht in dem Bereich der hier verwendet weden darf / sollte. Keine Ahnung was dadurch für komische Dinge passieren können...

Bei WAN solltest du block bogon und private abschalten, da diese für CGNAT benötigt werden.

i am not an expert... just trying to help...
January 03, 2024, 03:29:07 PM #2
Moin,

zusätzlich solltest Du eine saubere Fehleranalyse machen.
Was genau geht nicht?

  • DNS Namensauflösung?
  • Paketverlust durch fehlerhaftes Routing?
  • NAT-Probleme?[/II]
Wenn das Problem das nächste Mal auftritt, mache mal ein "ping 1.1.1.1". Geht das? Geht dann auch ein "ping www.example.com"?
Wenn das beides geht, muss man genauer hinschauen. Wenn nicht, liegt es irgendwo daran.
Und ja, bitte keine öffentliche IP-Adresse lokal verwenden, das kann zu genau solchen Problemen führen. Also zuallererst das lokale Netz auf ein 192.168er umstellen (oder 10. oder 172.).

/KNEBB
January 03, 2024, 05:59:13 PM #3
Das öffentliche IPv4-Subnetz im LAN darf in der Tat nicht sein. Private und Bogon-Adressen auf dem WAN-Interface zuzulassen sollte aber nicht notwendig sein, CGNAT ändert nicht die Source-Adressen eingehender Pakete.
In den DHCPv6-Client-Einstellungen "Use IPv4 connectivity" deaktivieren, das ist nur für PPP(oE).
Die DNS-Konfiguration ist so wenig sinnvoll. Du erlaubst das Überschreiben der DNS-Server-Liste per DHCP, die eingetragenen Server sind daher weitgehend wirkungslos. Standardmäßig läuft außerdem Unbound als rekursiver Resolver, Hosts im LAN wird ausschließlich dieser als DNS-Server zugewiesen.

Insgesamt scheinst Du schon einiges "individualisiert" zu haben. Als Einsteiger und dann auch noch an einem neuen Internetanschluss würde ich zunächst mit (weitgehend) Default-Einstellungen anfangen. Wenn es dann stabil läuft kannst Du in die Details gehen.

Grüße
Maurice
OPNsense virtual machine images
OPNsense aarch64 firmware repository

Commercial support & engineering available. PM for details (en / de).
January 03, 2024, 06:44:18 PM #4
Quote from: tiermutter on January 03, 2024, 01:36:48 PM
Also als erstes fällt mir diese ominöse statische LAN IP auf... Die liegt nicht in dem Bereich der hier verwendet weden darf / sollte. Keine Ahnung was dadurch für komische Dinge passieren können...

Bei WAN solltest du block bogon und private abschalten, da diese für CGNAT benötigt werden.

Danke für den Input, habe nun einmal auf 192.168.178.1 geändert und werde das nun einmal testen. Die beiden Optionen habe ich auch einmal deaktiviert (block bogon und private). Ich probiere es später aber auch noch einmal aktiviert.

Quote from: knebb on January 03, 2024, 03:29:07 PM
Moin,

zusätzlich solltest Du eine saubere Fehleranalyse machen.
Was genau geht nicht?

  • DNS Namensauflösung?
  • Paketverlust durch fehlerhaftes Routing?
  • NAT-Probleme?[/II]
Wenn das Problem das nächste Mal auftritt, mache mal ein "ping 1.1.1.1". Geht das? Geht dann auch ein "ping www.example.com"?
Wenn das beides geht, muss man genauer hinschauen. Wenn nicht, liegt es irgendwo daran.
Und ja, bitte keine öffentliche IP-Adresse lokal verwenden, das kann zu genau solchen Problemen führen. Also zuallererst das lokale Netz auf ein 192.168er umstellen (oder 10. oder 172.).

/KNEBB


Ebenfalls Danke hierfür. Mit dem Ping hätte ich ebenfalls mal drauf kommen können. Nehme ich jetzt gerne einmal zusätzlich wenn ich teste.

Quote from: Maurice on January 03, 2024, 05:59:13 PM
Das öffentliche IPv4-Subnetz im LAN darf in der Tat nicht sein. Private und Bogon-Adressen auf dem WAN-Interface zuzulassen sollte aber nicht notwendig sein, CGNAT ändert nicht die Source-Adressen eingehender Pakete.
In den DHCPv6-Client-Einstellungen "Use IPv4 connectivity" deaktivieren, das ist nur für PPP(oE).
Die DNS-Konfiguration ist so wenig sinnvoll. Du erlaubst das Überschreiben der DNS-Server-Liste per DHCP, die eingetragenen Server sind daher weitgehend wirkungslos. Standardmäßig läuft außerdem Unbound als rekursiver Resolver, Hosts im LAN wird ausschließlich dieser als DNS-Server zugewiesen.

Insgesamt scheinst Du schon einiges "individualisiert" zu haben. Als Einsteiger und dann auch noch an einem neuen Internetanschluss würde ich zunächst mit (weitgehend) Default-Einstellungen anfangen. Wenn es dann stabil läuft kannst Du in die Details gehen.

Grüße
Maurice

Danke auch für diesen Input! Die Bogon und Private-Adressen teste ich wie oben beschrieben einmal durch. Die DNS-Einstellungen habe ich nun komplett entfernt.

Ich teste nun einmal fleißig heute Abend und bin definitv etwas schlauer dank Euch ;-). Besten dank und einen entspannten Abend.
January 04, 2024, 05:37:07 PM #5
Kurzes Update: Es läuft nun alles sehr stabil, vielen Dank für alle Beiträge.

Ich konnte jetzt keine direkten Auswirkungen von den Optionen "Block Bogon/Private"-Adressen merken. Werde mir jetzt hier im Forum einmal ein paar Anleitungen anschauen um noch mehr aus der OPNsense rauszuholen.

Beste Grüße,
Felix
January 04, 2024, 09:25:55 PM #6
Moin,

ich kann mir zwar nicht vorstellen, dass es NUR an der Ip gelegen hat. Die 1.33.7.0/24 liegt in Japan. Wenn Du nicht gerade ein Anime-Freund bist, sollte das eigentlich keine Probleme machen. Allerdings gilt hier: Man weiß es nie!

Und vor allem ein "Aber Trotzdem keine öffentliche IP nehmen!".

Also weiter beobachten, OPNSense ist ein schönes Teil, man sollte aber zumindest die Grundlagen (Firewall, Netzwerke) kennen.

/KNEBB
Print
Go Up Pages1
User actions