QuickStart Tipps benötigt

[Zavinator]

Grüß euch!

Ich heiße Martin und komme aus Tirol/Österreich. Vor ein paar Tagen habe ich mich dazu entschieden, auf meinem HP Prodesk 400 G3 Mini mit i5 CPU, 16 GB RAM und 256 GB SSD OPNSense zu installieren. Eine zweite Netzwerkkarte wurde verbaut, das Image auf einen USB-Stick gepackt. Bereit für die Installation.

Nun möchte ich vorher ein paar Dinge mit euch Profis abklären, damit die Installation zügig und problemlos über die Bühne geht.

OPNSense soll vorerst nur als Firewall eingesetzt werden, um den Traffic zu monitoren. Ein Projekt für kalte Winterabende. DNS, DHCP und WLAN wird derzeit von einem bestehenden Ubiquiti AmplifiHD übernommen. Das kann gerne so bleiben.

Jetzt meine Frage: Wie muss ich die Geräte verkabeln? Aktuell sieht es so aus:

- Kabelmodem vom Provider Magenta im Bridge Mode -> Netzwerkkabel zum WAN Port des Ubiquiti Routers, welcher auch einen 4-Port-Switch integriert hat -> Netzwerkkabel weiter zu einem 8-Port Netgear Gigabit Switch -> Netzwerkkabel weiter zu zwei anderen Gigabit Switches in anderen Räumen

Ich gehe davon aus, dass OPNSense zwischen dem Kabelmodem und dem Ubiquiti Router zwischengeschaltet wird. Also Kabelmodem -> Kabel zu WAN-Port OPNSense -> Kabel weiter von LAN-Port OPNSense zu WAN-Port Ubiquiti? Oder muss der Router auch in den Bridge Mode geschaltet werden? Aber DHCP, WLAN usw. soll ja weiterhin wie bisher laufen.

Ich wäre für Tipps und Hilfe dankbar. VLANS brauche ich keine. Alle LAN und WLAN Clients können wie bisher einen IP-Range verwenden.

Danke euch!

LG Martin

[Patrick M. Hausen]

Wenn du DHCP und DNS weiter mit Ubiquiti machen willst, und der Traffic auch weiterhin durch das Gerät hindurch laufen soll, welchen Sinn hat dann die OPNsense davor? Die sieht dann nur die eine externe IP-Adresse von dem Ubiquiti-Teil ...

[Zavinator]

Verdammt, du hast Recht. Danke für den Input. Dann wird OPNSense diese Dienste übernehmen und ich versetze den aktuellen Router in den Bridge Mode. WLAN kann er dann ja weiterhin. NAT, UPnP und Port Forwarding macht dann ebenfalls die OPNSense.

Hast du sonst irgendwelche nützlichen Infos und/oder Erfahrungen für mich?

Danke dir.

[Patrick M. Hausen]

Langsam vorgehen und nicht alles auf einmal einbauen wollen.

Die Default-Konfiguration ist "sicher" und funktional. Ausgehend alles erlaubt, eingehend alles verboten, DNS und DHCP funktionieren.

Also erst mal den Uplink von einem einzelnen PC aus einrichten. Wenn der geht, dann ggf. das Netz vom LAN ändern, und dann erstmal durchatmen und angucken 

[Zavinator]

Alles klar, werde mich vorantasten

Danke einstweilen.

LG Martin

[Zavinator]

Schönen Sonntag,

ich habe soweit alles konfiguriert und getestet, bin soweit zufrieden mit OPNsense. Ein großes Problem habe ich jedoch: 1 - 2x täglich zu unterschiedlichen Zeiten verliere ich die Verbindung zum LAN-Interface. Es hilft dann nur ein Neustart der Firewall.

Als Hardware kommt ein HP ProDesk 400 G3 Mini, i5 6 core 2.2 GHz, 256 GB SSD und 16 GB RAM zum Einsatz. Es ist eine Realtek Gigabit NIC verbaut (WAN Interface).

Und jetzt kommt's, bitte nicht alle gleich rufen "es kann nur daran liegen". Ich würde es gerne einschränken oder Logfiles durchforsten (welche auch immer das mitloggen). Da der HP keine zweite NIC verbaut hat, habe ich einen USB-Ethernet Gigabit Adapter von Ugreen angeschlossen: https://amzn.to/3V8ynqV

Ich habe, so lange es funktioniert, keinerlei Probleme. Ich erreiche bei Speedtests die maximale Bandbreite von 300/50 Mbit, kann online spielen und nebenher 4K Videos am TV streamen. Gleichzeitig laufen Downloads auf einem anderen Client im Netzwerk. Und dann, Stunden später, die oben beschriebenen Probleme. Als ob jemand das LAN-Kabel aus der Firewall abzieht. Nach einem Neustart der Firewall funktioniert sofort alles wieder. Anbei ein paar Screenshots.

Wer könnte mich hier unterstützen bei der Fehlersuche bzw. Logfile-Analyse? Welche Infos oder Screenshots könnte ich noch zur Verfügung stellen?

Danke!

LG Martin

[Patrick M. Hausen]

Gib wenn die Verbindung weg ist, an der Konsole mal

dmesg

als Befehl ein.

[meyergru]

Weder USB-Adapter im Besonderen noch Realtek-Adapter im Allgemeinen laufen besonders stabil unter FreeBSD... Bist Du überhaupt sicher, dass es der LAN-USB-Adapter ist, der ausfällt?

[Zavinator]

Bist Du überhaupt sicher, dass es der LAN-USB-Adapter ist, der ausfällt?

Ich bin ziemlich sicher, sagen wir mal so. Ich bekomme keine internen IPs mehr nach dem ipconfig/renew Befehl.

Bei der ersten Installation wollte ich ursprünglich den USB-Adapter für die WAN-Seite nehmen. Der Adapter wurde zwar erkannt, aber mir wurde keine IP vom Provider zugewiesen. Als ich dann die integrierte Realtek-Karte für WAN verwendete, funktionierte LAN und WAN. Und nun habe ich diese Verbindungsprobleme, die ich nicht jederzeit reproduzieren kann. Manchmal passiert es während einem Download und gestern als ich nur im Admin-Menü der OPNsense unterwegs war.

[Patrick M. Hausen]

Tipp bitte mal den Befehl ein, den ich genannt hatte, wenn die Verbindung weg ist.

[Zavinator]

Tipp bitte mal den Befehl ein, den ich genannt hatte, wenn die Verbindung weg ist.

Mach ich Patrick, danke. Aktuell läuft alles wie gewünscht. Melde mich wieder.

[Zavinator]

Bist Du überhaupt sicher, dass es der LAN-USB-Adapter ist, der ausfällt?

Ich kann mich während eines Ausfalls via WireGuard auf die Firewall connecten und mein iPhone bekommt die voreingestellte IP aus dem VPN-Range. Aber ich komme dann weder ins LAN noch Internet bei aufrechter VPN-Verbindung. Somit dürfte es eindeutig am LAN-Adapter liegen.

Tipp bitte mal den Befehl ein, den ich genannt hatte, wenn die Verbindung weg ist.

Ich habe den Befehl dmesg ausgeführt. Einmal während des Ausfalls und einmal nach dem Reboot. Nach dem Reboot war die Verbindung übrigens sofort ein zweites Mal weg. Vor dem ersten Ausfall funktionierte es seit meinem Post am Nachmittag. Soll ich die Files hier öffentlich posten? Mit allen MACs und IPs ;-)?

[Patrick M. Hausen]

In den letzten paar Zeilen der Ausgabe von dmesg steht vielleicht so etwas wie "USB Verbindung verloren, Adapter detached ..." whatever. Sowas suche ich.

Und natürlich kannst du MAC-Adressen und private IP-Adressen hier posten. Wieso sollten die sicherheitsrelevant sein? Alle haben die gleichen privaten IP-Adressen - mehr oder weniger.

[Zavinator]

Hallo Patrick,

ich hab mal beide Files angehängt. Danke für deine Zeit.

[Zavinator]

Zusatzinfo: Der "Dell Computer Corp Dell Universal Receiver" ist der USB-Dongle von Maus/Tastatur, den ich nur anstecke, wenn ich in der shell was tippen muss. Standardmäßig hängt das Viech nur an Strom/LAN/WAN.

Im General-Log ist mir aufgefallen, dass ziemlich oft dieser Eintrag aufscheint (ich hab nur einen Teil kopiert):

2024-11-24T21:30:40   Notice   opnsense   /usr/local/etc/rc.linkup: DEVD: Ethernet detached event for lan(ue0)   
2024-11-24T21:30:38   Notice   opnsense   /usr/local/etc/rc.linkup: DEVD: Ethernet detached event for lan(ue0)   
2024-11-24T20:06:36   Notice   opnsense   /usr/local/etc/rc.linkup: DEVD: Ethernet detached event for lan(ue0)   
2024-11-24T20:06:34   Notice   opnsense   /usr/local/etc/rc.linkup: DEVD: Ethernet detached event for lan(ue0)   
2024-11-24T20:06:33   Notice   opnsense   /usr/local/etc/rc.linkup: DEVD: Ethernet detached event for lan(ue0)   
2024-11-24T20:06:31   Notice   opnsense   /usr/local/etc/rc.linkup: DEVD: Ethernet detached event for lan(ue0)   
2024-11-24T20:02:23   Notice   opnsense   /usr/local/etc/rc.linkup: DEVD: Ethernet detached event for lan(ue0)   
2024-11-24T20:02:21   Notice   opnsense   /usr/local/etc/rc.linkup: DEVD: Ethernet detached event for lan(ue0)   
2024-11-24T20:02:20   Notice   opnsense   /usr/local/etc/rc.linkup: DEVD: Ethernet detached event for lan(ue0)   
2024-11-24T15:06:04   Notice   opnsense   /usr/local/etc/rc.linkup: DEVD: Ethernet detached event for lan(ue0)

Es gibt aber mehr von diesen Einträgen als Ausfälle der Firewall. Nach jedem detached erfolg dann ein attached (hab aber nur die detached Einträge kopiert).