*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)
Erstes update 21.7.1 ist da: https://forum.opnsense.org/index.php?topic=24233.0
Shihatsu
Urgestein
- Mitglied seit
- 16.08.2005
- Beiträge
- 4.904
Komische Geschichte:
Ich habe 2 opnsense Instanzen im CARP-HA-Failovermodus laufen. Beide sind recht identisch aufgebaut und jkonfiguriert, es läuft auch alles wunderbar. Allerdings kriege ich im Netzwerk nur einen der beiden Hostnamen aufgelöst, die andere reagiert nur auf ihre IP. Sowohl in der GUI zeigt sie mir den Hostnamen an als auch auf der Konsole (als Inhalt von /etc/hosts). Aber wenn ich sie anpinge antwortet sie mit ihrer IP, und anpingen via Hostname geht nicht. Was kann das sein?
Ich habe 2 opnsense Instanzen im CARP-HA-Failovermodus laufen. Beide sind recht identisch aufgebaut und jkonfiguriert, es läuft auch alles wunderbar. Allerdings kriege ich im Netzwerk nur einen der beiden Hostnamen aufgelöst, die andere reagiert nur auf ihre IP. Sowohl in der GUI zeigt sie mir den Hostnamen an als auch auf der Konsole (als Inhalt von /etc/hosts). Aber wenn ich sie anpinge antwortet sie mit ihrer IP, und anpingen via Hostname geht nicht. Was kann das sein?
fard dwalling
Experte
- Mitglied seit
- 22.10.2017
- Beiträge
- 850
Wer ist dein DNS?
Shihatsu
Urgestein
- Mitglied seit
- 16.08.2005
- Beiträge
- 4.904
Manchmal bin ich einfach extrem DUMM. So dumm das es wehtun würde, wäre ich nicht vom Tisch auf die Tischplatte dotzen zu abgelenkt.
DNS spielen die beiden opnsense via unbound. Und in keiner der beiden ist ein override eingestellt. Solange Nummer 1 der Master ist kennt sie natürlich ihren eigenen FQDN und kann den an Clients weitergeben...
Ich fühle mich gerade dumm. Dank dir!
fard dwalling
Experte
- Mitglied seit
- 22.10.2017
- Beiträge
- 850
Kein Problem. Hat man manchmal... Und es tut so gut, das es nicht nur mir immer passiert. 
Moinsen,
ich benötige nochmal eure Hilfe. Ich habe auf meinen Server einen Ark-Server erstellt und möchte diesen von außen zugänglich machen. Die Ports dafür wurden freigegeben und der Server ist mit der normalen IP erreichbar. Jetzt möchte ich meine IP durch eine VPN-Verbindung etwas schützen, aber irgendwie finde ich dann den Server nicht. Ich denke ich habe bei den Einstellungen etwas verbockt.
Hier die Porteinstellungen:
Firewall NAT Port Forward:
Firewalll WAN Rules:
Speedport Pro Plus Ports:
Mit diesen Einstelllungen ist der Server mit meiner normalen Provider-IP von außen erreichbar und kann auch gefunden werden.
Jetzt habe ich unter den Rules die VPN-Verbindung für die Server-IP hinzugefügt, aber danach ist der Server nicht mehr auffindbar. Weder über die IP noch über den Servernamen. Der ist jetzt nur noch Lokal erreichbar.
Bisher habe ich meine Gameserver nur Lokal benötigt. Evtl. kann mir jemand helfen. Besten Dank!
ich benötige nochmal eure Hilfe. Ich habe auf meinen Server einen Ark-Server erstellt und möchte diesen von außen zugänglich machen. Die Ports dafür wurden freigegeben und der Server ist mit der normalen IP erreichbar. Jetzt möchte ich meine IP durch eine VPN-Verbindung etwas schützen, aber irgendwie finde ich dann den Server nicht. Ich denke ich habe bei den Einstellungen etwas verbockt.
Hier die Porteinstellungen:
Firewall NAT Port Forward:
Firewalll WAN Rules:
Speedport Pro Plus Ports:
Mit diesen Einstelllungen ist der Server mit meiner normalen Provider-IP von außen erreichbar und kann auch gefunden werden.
Jetzt habe ich unter den Rules die VPN-Verbindung für die Server-IP hinzugefügt, aber danach ist der Server nicht mehr auffindbar. Weder über die IP noch über den Servernamen. Der ist jetzt nur noch Lokal erreichbar.
Bisher habe ich meine Gameserver nur Lokal benötigt. Evtl. kann mir jemand helfen. Besten Dank!
Das habe ich bei meine anderen Sachen auch gemacht. War erstmal nur damit der Server läuft.
Dann muss ich mir was anderes überlegen.
Danke!
Hol dir nen vServer von Contabo, die haben auch nach Hörensagen ne brauchbare Gametraffic Protection. DDoS Protection ist nicht immer für alle Anwendungen gleich gut. Cloudflare mag für HTTP Traffic guten DDoS Schutz bieten, für UDP Gametraffic evtl jedoch nicht.
Du meinst um dort meine Traffic drüber laufen zu lassen? Also sprich meine IP hinter den vServer zu verbergen?
Wir haben schon zwei bei einem Hoster.
Die Server die bei mir laufen sind oft "Testserver" für Mods/Einstellungen bevor diese auf den Hoster gehen oder Games die uns wahrscheinlich nur einen Monat oder so interessieren.
Dennoch wäre es interessant gewesen die IP bei sowas zu "verbergen"
Auf einen vServer kann man sowas nicht laufen lassen. Ich dachte es ginge generell ums IP verbergeben dabei.
Die Server die bei mir laufen sind oft "Testserver" für Mods/Einstellungen bevor diese auf den Hoster gehen oder Games die uns wahrscheinlich nur einen Monat oder so interessieren.
Dennoch wäre es interessant gewesen die IP bei sowas zu "verbergen"
Auf einen vServer kann man sowas nicht laufen lassen. Ich dachte es ginge generell ums IP verbergeben dabei.
fard dwalling
Experte
- Mitglied seit
- 22.10.2017
- Beiträge
- 850
Hast du denn überhaupt eine statische IP?
Wenn nicht, ist es doch eh wurscht...
Wenn nicht, ist es doch eh wurscht...
Naja, ich habe zwar keine statische IP, aber heutzutage gibt es erst ab 180 Tagen wieder eine Zwangstrennung. Aktuell habe ich seit 71 Tagen die gleiche IP.
Und ja, falls es zu einen Angriff kommt dann kann ich wechseln, aber trotzdem wäre es ein "nice to have"
Und ja, falls es zu einen Angriff kommt dann kann ich wechseln, aber trotzdem wäre es ein "nice to have"
Denen fehlt schlicht die Leistung. Es gibt bestimmt Gameserver die darauf laufen, aber das sind keine Game die wir/ich zockenWarum kann man das nicht? Bin da ahnungslos.
Und bei den heutigen Leitungen kann man ohne weiteres Gameserver zu Hause hosten, wenn man eh einen Server 24/7 laufen hat. Wir reden jetzt nicht von "competitive games" wo es auf die letzte Nachkommastelle im Ping ankommt
Genau sowas hab ich bei hetzner unter Hilfe von @Opticum gemacht. Läuft auch ganz gut für meine Games. Bisschen Valheim und Factorio. Da braucht es keinen rasanten Ping. Wir liegen da bei VDSL so bei 80ms.
Hätte gerne schneller, aber hier in der Stichstraße liegt nur Kupfer. *grr.
Ich möchte das gerne in Angriff nehmen, aber im Moment einfach keine Zeit und durch den Kauf eines Hauses wird noch einiges geändert
Ashampoo
Enthusiast
Hallo Freunde,
ich steige gerade in meiner UNI ein bisschen durchs Netzwerk und unsere Admins sind alle im Urlaub oder überlastet. Ich hoffe, ihr könnt mir die richtigen Tipps geben..
Wir haben uns einen Server gekauft. Dieser ist per Netzwerkkarte ENO1 (WAN) und dem wpasupplicant an ein 8021x EAPOL Auth System angeschlossen. Das Netz ist restriktiv.
Die Netzwerkkarte ENO2 (LAN) ist an unser ROBO Netzwerk angeknüpft.
Wie auf dem Graph zu sehen möchte ich neben dem Robonetz ein VM Netz haben. Da würde ich gerne untereinander kommunizieren, als auch in beide Richtungen ins Robonetz und WAN. In den VMs sollen Kubernetes, ROS und weitere netzwerklastige Dienste laufen.
In einer VM läuft die aktuelle OPNsense Version, frisch installiert und die Interfaces konfiguriert. Der Host läuft auf Proxmox 6.4.4.
Muss ich nun sämtlichen Datenverkehr durch die OPNsense VM senden und diese verteilt es dann oder was wäre StateOfArt Lösung in diesem Fall? Soll ich die MAC der Brücke auch im 8021x registrieren und mich ans Netz hängen oder lieber Brücke bauen und per NAT?
Nun habe ich drei weitere Fragen:
Wie müsste ich die Interfaces des Hosts aufbauen?
Ist OPNSense in der Lage mir die notwendigen Services zu liefern?
Brauche ich die Proxmox Firewall?
cat /etc/network/interfaces
pastebin.com
EDIT5:
So ist der Aufbau. OPNSense könnte ich nun direkt beim Radius registrieren.
ich steige gerade in meiner UNI ein bisschen durchs Netzwerk und unsere Admins sind alle im Urlaub oder überlastet. Ich hoffe, ihr könnt mir die richtigen Tipps geben..
Wir haben uns einen Server gekauft. Dieser ist per Netzwerkkarte ENO1 (WAN) und dem wpasupplicant an ein 8021x EAPOL Auth System angeschlossen. Das Netz ist restriktiv.
Die Netzwerkkarte ENO2 (LAN) ist an unser ROBO Netzwerk angeknüpft.
Wie auf dem Graph zu sehen möchte ich neben dem Robonetz ein VM Netz haben. Da würde ich gerne untereinander kommunizieren, als auch in beide Richtungen ins Robonetz und WAN. In den VMs sollen Kubernetes, ROS und weitere netzwerklastige Dienste laufen.
In einer VM läuft die aktuelle OPNsense Version, frisch installiert und die Interfaces konfiguriert. Der Host läuft auf Proxmox 6.4.4.
Muss ich nun sämtlichen Datenverkehr durch die OPNsense VM senden und diese verteilt es dann oder was wäre StateOfArt Lösung in diesem Fall? Soll ich die MAC der Brücke auch im 8021x registrieren und mich ans Netz hängen oder lieber Brücke bauen und per NAT?
Nun habe ich drei weitere Fragen:
Wie müsste ich die Interfaces des Hosts aufbauen?
Ist OPNSense in der Lage mir die notwendigen Services zu liefern?
Brauche ich die Proxmox Firewall?
cat /etc/network/interfaces
$ cat /etc/network/interfaces# network interface settings; autogenerated# Pl - Pastebin.com
Pastebin.com is the number one paste tool since 2002. Pastebin is a website where you can store text online for a set period of time.
EDIT5:
So ist der Aufbau. OPNSense könnte ich nun direkt beim Radius registrieren.
Anhänge
Zuletzt bearbeitet:
Ashampoo
Enthusiast
andrer250282
Experte
- Mitglied seit
- 05.10.2015
- Beiträge
- 328
Vielleicht ist es etwas ganz simples... ich habe eine opnsense als Firewall aufgesetzt, funktioniert, INternet und DNS und alles wie es soll.
Ich habe nur Probleme mit einer einzigen externen Domain an den Clients. Als DNS Server ist die OPNSense eingetragen.
Folgendes: unter System - Settings - General sind die DNS Server 127.0.0.1 sowie 1.1.1.1 und 8.8.8.8 eingetragen.
Unter Interfaces - Diagnostics - DNS Lookup wird die Domäne korrekt aufgelöst.
Am Client allerdings nicht. schaue ich mit nslookup (server ist die OPNSense) nach
DNS TImeout
stelle ich im nslookup den Server auf z.b. 1.1.1.1 klappt die Namensauflösung.
wenn ich per ssh auf die OPNSense gehe und auf der Shell ein ping mache:
Ich steh auf dem Schlauch...
Ich habe nur Probleme mit einer einzigen externen Domain an den Clients. Als DNS Server ist die OPNSense eingetragen.
Folgendes: unter System - Settings - General sind die DNS Server 127.0.0.1 sowie 1.1.1.1 und 8.8.8.8 eingetragen.
Unter Interfaces - Diagnostics - DNS Lookup wird die Domäne korrekt aufgelöst.
Am Client allerdings nicht. schaue ich mit nslookup (server ist die OPNSense) nach
DNS TImeout
stelle ich im nslookup den Server auf z.b. 1.1.1.1 klappt die Namensauflösung.
Code:
Standardserver: OPNsense.local
Address: 192.168.0.1
> xxx.xxx.xxx
Server: OPNsense.local
Address: 192.168.0.1
*** Keine internal type for both IPv4 and IPv6 Addresses (A+AAAA)-Einträge für xxx.xxx.xxx verfügbar.
> server 1.1.1.1
Standardserver: one.one.one.one
Address: 1.1.1.1
> xxx.xxx.xxx
Server: one.one.one.one
Address: 1.1.1.1
Nicht autorisierende Antwort:
Name: xxx.xxx.xxx
Address: (korrekte IP Adresse)
>wenn ich per ssh auf die OPNSense gehe und auf der Shell ein ping mache:
Code:
ping: cannot resolve xxx.xxx.xxx: No Address associated with nameIch steh auf dem Schlauch...
Ob's Dein Problem löst, weiss ich nicht, aber: Die 127.0.0.1 hat dort nichts zu suchen! Bitte löschen. Das sind die server, die opnsense als resolver verwendet. Sie soll aber nicht sich selbst fragen, sondern einen upstream resolver.
andrer250282
Experte
- Mitglied seit
- 05.10.2015
- Beiträge
- 328
Okay, die 127.0.0.1 ist raus, nur noch 1.1.1.1 und 8.8.8.8
Der Haken "Do not use the local DNS service as a nameserver for this system" ist aktiv.
Aber trotzdem: keine Auflösung vom Client aus.
Diagnostic -> DNS lookup funktioniert weiterhin, beide DNS Server geben die korrekte IP aus
EDIT: Wenn ich am Client die DNS Adresse ändere (also weg von OPNSense, direkt die 1.1.1.1) geht es natürlich ...
aber dann muss ich jeden Client der nicht DHCP ist anfassen, da hab ich ja keine Lust drauf 🙃
Der Haken "Do not use the local DNS service as a nameserver for this system" ist aktiv.
Aber trotzdem: keine Auflösung vom Client aus.
Diagnostic -> DNS lookup funktioniert weiterhin, beide DNS Server geben die korrekte IP aus
EDIT: Wenn ich am Client die DNS Adresse ändere (also weg von OPNSense, direkt die 1.1.1.1) geht es natürlich ...
aber dann muss ich jeden Client der nicht DHCP ist anfassen, da hab ich ja keine Lust drauf 🙃
Zuletzt bearbeitet:
millenniumpilot
Enthusiast
nur diese eine domain? kann ja irgendwie nur ein block im opnsense sein (aktivierter malwarefilter etc) - oder?
Die Domain willst nicht verraten? xxx.xxx.xxx geht bei mir auch nicht, auch ohne opensense ;-)
Die Domain willst nicht verraten? xxx.xxx.xxx geht bei mir auch nicht, auch ohne opensense ;-)
Warum das - den Haken würde ich im Zweifel rausnehmen.
Welchen DNS resolver/forwarder hast Du denn auf der Opnsense laufen (riecht nach Fehler dort)? Welchen DNS Server lieferst Du per DHCP aus?
andrer250282
Experte
- Mitglied seit
- 05.10.2015
- Beiträge
- 328
hmmm
Jetzt wo du es sagst... die Domain ist tatsächlich speziell...
es geht um die Domain impfnachweis.info, speziell die Subdomains web. und id. und api.
lösen alle über normale DNS auf folgende IP auf: 100.102.17.10
Jetzt der Spezialfall: die Seite ist über die Telematik Infrastruktur von Arztpraxen/Apotheken erreichbar, dafür steht dort ein seperater VPN Router.
Der ist in der OPNSense als Route auch hinterlegt, Ziel: 100.102.0.0/15 mit Gateway die interne IP des Konnektors
Ein Traceroute funktioniert auch... nur die OPNSense scheitert an der DNS Auflösung
Ich nutze unbound, statisch und DHCP ist der DNS Server die OPNSense
Jetzt wo du es sagst... die Domain ist tatsächlich speziell...
es geht um die Domain impfnachweis.info, speziell die Subdomains web. und id. und api.
lösen alle über normale DNS auf folgende IP auf: 100.102.17.10
Jetzt der Spezialfall: die Seite ist über die Telematik Infrastruktur von Arztpraxen/Apotheken erreichbar, dafür steht dort ein seperater VPN Router.
Der ist in der OPNSense als Route auch hinterlegt, Ziel: 100.102.0.0/15 mit Gateway die interne IP des Konnektors
Ein Traceroute funktioniert auch... nur die OPNSense scheitert an der DNS Auflösung
Ich nutze unbound, statisch und DHCP ist der DNS Server die OPNSense
andrer250282
Experte
- Mitglied seit
- 05.10.2015
- Beiträge
- 328
Nachtrag: ich habe mal aus Spaß an der Freude von unbound auf dnsmasq umgeschwenkt - funktioniert sofort..
ich würde aber lieber unbound nutzen, da es ja eigentlich der Default DNS für OPNsense ist und ich das DNSBL Feature nutzen möchte...
ich würde aber lieber unbound nutzen, da es ja eigentlich der Default DNS für OPNsense ist und ich das DNSBL Feature nutzen möchte...
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 811
Was passiert, wenn du die drei Namen als Overrides mit der zugehörigen IP in Unbound einträgst?
andrer250282
Experte
- Mitglied seit
- 05.10.2015
- Beiträge
- 328
Macht keinen Unterschied, auch ein Domain Override bringt nichts.
Das hier Mal probieren?
github.com
Setting domain-insecure: "trade" fixed the problem!
DNS fails to resolve for a particular TLD · Issue #235 · NLnetLabs/unbound
Hello, I'm running Unbound as a recursive DNS server for Pi-Hole. I've run into a peculiar problem recently, DNS queries timeout for a particular TLD, which is: .trade Queries for all other TLDs wo...
github.com
Setting domain-insecure: "trade" fixed the problem!