[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
So, seit dem gestrigen Update funktioniert mein "Gäste/HomeOffice VLAN" nicht mehr!?

Hat da ev. jemand einen Tip für mich!?

Danke!
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Definiere "Funktioniert nicht"?
Mein Gäste Netz ist ein separates Interface mit eigenem DHCP und läuft anstandslos
 
Definiere "Funktioniert nicht"?
Mein Gäste Netz ist ein separates Interface mit eigenem DHCP und läuft anstandslos

Oh, stimmt - da fehlen ein paar Angaben!


Firewall läuft seit 01/2022 - mit dem "Gäste/HO-Netz" gabs allerdings nie Probleme.

Habe auf der Firewall einen eigenen Netzwerkanschluss für das "Gäste/HO-Netz" benutzt und dort den Zugriff auf mein "Drucker-VLAN" und auf das Internet freigegeben.
Bis einschließlich letzten Freitag lief das auch ohne Probleme.

Gestern dann das Update und heute zufällig mal getestet - das "Gäste/HO-Netz" bekommt jetzt kein "Internet" mehr!?

Standardgateway (192.168.30.1) + IP-Adresse (z.B. 192.168.30.13" werden aber die Richtigen erkannt/zugewiesen.


Hm, hab ich bisher nie beachtet - bei mir läuft eigentlich "unbound" - ist es normal, dass dann die Quad9-DNS-Server bei Windows angezeigt werden!?
 

Anhänge

  • Gast.JPG
    Gast.JPG
    35,8 KB · Aufrufe: 53
DNS sollte dann eigentlich erstmal egal sein solange das Gateway passt?

Welches Update hast du gemacht?

Hotfix auch gemacht? Just für alle fälle?

A hotfix release was issued as 23.1.7_3:

system: fix a typo in monitor script preventing filter/routes reconfiguration
system: improve monitor alarm situation by not reloading monitors
openvpn: force the interface down before reconfiguration to work around a probable regression
 
Oh da kann ich nicht helfen, dns Auflösung übernimmt die opnsense nicht bei mir.

Geht denn icmp?
 
DNS sollte dann eigentlich erstmal egal sein solange das Gateway passt?

Welches Update hast du gemacht?

Hotfix auch gemacht? Just für alle fälle?

A hotfix release was issued as 23.1.7_3:

system: fix a typo in monitor script preventing filter/routes reconfiguration
system: improve monitor alarm situation by not reloading monitors
openvpn: force the interface down before reconfiguration to work around a probable regression

23.1.6 habe ich am 20.04.2023 installiert

23.1.7 habe ich dann gestern installiert

Das zugewiesene Gateway ist das richtige.


Oh da kann ich nicht helfen, dns Auflösung übernimmt die opnsense nicht bei mir.

Geht denn icmp?

Hm, was meinst du damit genau?
Beitrag automatisch zusammengeführt:

Anbei ein paar Screenshots meiner Konfig.

Vorm Update lief mit diesen Einstellungen das "Gast/HO-Netz" ohne Probleme.
 

Anhänge

  • Schnittstelle.JPG
    Schnittstelle.JPG
    53 KB · Aufrufe: 57
  • Zuweisungen.JPG
    Zuweisungen.JPG
    36,7 KB · Aufrufe: 48
  • Alias.JPG
    Alias.JPG
    26,1 KB · Aufrufe: 46
  • Regeln.JPG
    Regeln.JPG
    81,9 KB · Aufrufe: 58
Zuletzt bearbeitet:
Ich meine geht ein Ping auf die 1.1.1.1 oder so?
Regeln sehen auf den ersten Blick gut aus meine ich
 
Ich meine geht ein Ping auf die 1.1.1.1 oder so?
Regeln sehen auf den ersten Blick gut aus meine ich

Blöde Frage - vom PC aus, wenn er im entsprechenden "Gast/HO-Netz" hängt, oder direkt im Interface vom OPNSense?
 
Als ein Client im Gast/Ho Netz meine ich.
Falls das geht mach Mal (unter Windows, linx hab ich die Syntax nicht im Kopf)

Nslookup
server 1.1.1.1
hardwareluxx.de

Dann grenzt man das schonmal auf den dns Dienst an sich ein.
Was würde denn rauskommen wenn du die Definition server im nslookup weg lässt?
 
Als ein Client im Gast/Ho Netz meine ich.
Falls das geht mach Mal (unter Windows, linx hab ich die Syntax nicht im Kopf)

Nslookup
server 1.1.1.1
hardwareluxx.de

Dann grenzt man das schonmal auf den dns Dienst an sich ein.
Was würde denn rauskommen wenn du die Definition server im nslookup weg lässt?

So, muss ja immer Umstecken ...

Hab mal einen normalen PING in meinem "Heimnetz" gemacht - PING 1.

Dann umgesteckt auf das "Gast/HO-Netz" - PING 2.

Gingen also beide durch.
Deinen Vorschlag setze ich gleich mal um.
 

Anhänge

  • ping.jpg
    ping.jpg
    41 KB · Aufrufe: 48
So, hab deinen vorgeschlagenen Test 1x im Heimnetz und dann 1x im "Gast/HO-Netz" gemacht.

Heimnetz ok
Gast/HO-Netz hat wohl ein DNS-Thema!?
 

Anhänge

  • Heimnetz.jpg
    Heimnetz.jpg
    23,4 KB · Aufrufe: 44
  • Gast.jpg
    Gast.jpg
    31,6 KB · Aufrufe: 50
hm, Kannst du denn die 9.9.9.9 aus dem Gast/HO Netz erreichen, also per Ping?
Was würde passieren wenn du noch

Code:
Server 1.1.1.1
Vor die Zeile hardwareluxx.de schreibst
 
Ja, scheint zu funktionieren.
Beitrag automatisch zusammengeführt:

hm, Kannst du denn die 9.9.9.9 aus dem Gast/HO Netz erreichen, also per Ping?
Was würde passieren wenn du noch

Code:
Server 1.1.1.1
Vor die Zeile hardwareluxx.de schreibst


Meinst du so?
Beitrag automatisch zusammengeführt:

Habe das jetzt durch Zufall gefunden - könnte es sein, dass da irgendwo mein Problem begraben ist!?

https://forum.opnsense.org/index.php?topic=22162.msg155309#msg155309


Hat sich da irgendwie die Einrichtung von unbound + adguard geändert?


In meiner Konfig. stehen die Quad9-DNS Server unter "System/Einstellungen/Allgemein" - lt. obiger Anleitung soll/muss man das jetzt anders machen!?


Kein Plan ...
 

Anhänge

  • ping_9999.jpg
    ping_9999.jpg
    35,8 KB · Aufrufe: 44
  • nslookup_gast.jpg
    nslookup_gast.jpg
    30,8 KB · Aufrufe: 49
Zuletzt bearbeitet:
Eigentlich... Wenn du direkt den 1.1.1.1 mit nslookup anfragst ist jeglicher DNS Dienst der opnsense ja außen vor.
Ne richtige Idee hab ich gerade auch nicht, vielleicht wird udp 53 geblockt? Aber andererseits sagen deine regeln ja was anderes ...
Mal ganz blöd gefragt... Mal die Sense rebooten? Hat schon die merkwürdigsten Probleme gelöst
 
reboot habe ich schon 2x gemacht …

Die neue „Vorgabe“ (siehe Link oben) wird ja vermutlich nicht aus Spaß gepostet worden sein?!

Ev. konfiguriere ich das morgen mal auf den „neuen Stand“ um - keine Ahnung?!

Rollback auf die Vorversion geht ja nicht, oder?


Ich liebe Updates…
 
Ich hab das Update gestern eingespielt und heute mit Entsetzen festgestellt das Telefonie nicht mehr möglich ist, weder ein- noch ausgehend...
Beitrag automatisch zusammengeführt:

Nachtrag: ein
Code:
opnsense-revert -r 23.1.6 opnsense
hat das Update rückgängig gemacht und nach einem Neustart (ich weiß gar nicht ob der Notwendig war, aber mein Berufsschullehrer hat immer gesagt "Jeder Boot tut gut")
geht die Telefonie wieder
@hs_warez das Rollback könntest du auch versuchen?
 
Zuletzt bearbeitet:
Wie macht man das - über die Konsole?
 
Wie macht man das - über die Konsole?
Ja (Konsole oder shell, dh. über ssh geht auch).

Generell nochmal der Hinweis: Ab 23.1.7 müssen im DHCP Server die DNS-Server entweder ausdrücklich angegeben werden oder der DNS-Dienst, der auf Port 53 lauscht, muss sich als solcher bei opnsense anmelden. Für Adguard Home heisst das: Neuestes plugin verwenden und unter Services -> Adguard Home -> beide Haken setzen (früher gabs nur einen).
 
Ja (Konsole oder shell, dh. über ssh geht auch).

Generell nochmal der Hinweis: Ab 23.1.7 müssen im DHCP Server die DNS-Server entweder ausdrücklich angegeben werden oder der DNS-Dienst, der auf Port 53 lauscht, muss sich als solcher bei opnsense anmelden. Für Adguard Home heisst das: Neuestes plugin verwenden und unter Services -> Adguard Home -> beide Haken setzen (früher gabs nur einen).

Hallo!

Habe gestern folgenden Beitrag im OPNSense-Forum gefunden: https://forum.opnsense.org/index.php?topic=22162.msg155309#msg155309


Bei mir läuft Unbound mit Adguard.

In der obigen Anleitung wird hingewiesen, dass die DNS-Server nirgends (Allgemeine Einstellung und/oder DHCP) stehen sollen, sondern bei Unbound (DNS over TLS) eingetragen werden müssen!?


Aktuellstes Adguard sollte ich haben - hm, der 2. Haken ist mir gestern aufgefallen - natürlich nicht drin.

Soll ich trotzdem mein Setup mal nach der obigen Anleitung umstellen!?


LG
 
Nein.

In der obigen Anleitung wird hingewiesen, dass die DNS-Server nirgends (Allgemeine Einstellung und/oder DHCP) stehen sollen, sondern bei Unbound (DNS over TLS) eingetragen werden müssen!?
Nein, das verstehst Du falsch.

Richtig ist:

1. Unter "Opnsense - System - Settings - General" sollten keine DNS-Server eingetragen und der Haken bei "do not use local ..." sollte nicht gesetzt sein.

2. Dann scheiden sich die Wege - entweder a ODER b, aber nicht beides:

a) Willst Du unbound als "local resolver" nutzen (er fragt also stets die authoritativen DNS-Server direkt ab und keine dritten DNS-Server), trägst Du KEINE DoT DNS Server ein. Du lässt also step 6 weg.

b) Willst Du, dass unbound als "forwarder" arbeitet und Cloudflare/Google/Quad9/NextDNS/whatever DNS-Server um Auskunft fragt und dabei die Anfragen (zum vollen! domain-Namen) über DoT verschlüsselst, DANN trägst Du bei Unbound die gewünschten DoT DNS Server ein. Das schaltet unbound dann auch automatisch in den "forwarder" Modus. )

PS: Und wie viele Anleitungen ist auch die teilweise falsch, zB (wie dort schon jemand kommentiert) bitte (irgend)einen anderen port als 5353 für unbound verwenden da der schon von mDNS genutzt wird.
 
Nein.


Nein, das verstehst Du falsch.

Richtig ist:

1. Unter "Opnsense - System - Settings - General" sollten keine DNS-Server eingetragen und der Haken bei "do not use local ..." sollte nicht gesetzt sein.

2. Dann scheiden sich die Wege - entweder a ODER b, aber nicht beides:

a) Willst Du unbound als "local resolver" nutzen (er fragt also stets die authoritativen DNS-Server direkt ab und keine dritten DNS-Server), trägst Du KEINE DoT DNS Server ein. Du lässt also step 6 weg.

b) Willst Du, dass unbound als "forwarder" arbeitet und Cloudflare/Google/Quad9/NextDNS/whatever DNS-Server um Auskunft fragt und dabei die Anfragen (zum vollen! domain-Namen) über DoT verschlüsselst, DANN trägst Du bei Unbound die gewünschten DoT DNS Server ein. Das schaltet unbound dann auch automatisch in den "forwarder" Modus. )

PS: Und wie viele Anleitungen ist auch die teilweise falsch, zB (wie dort schon jemand kommentiert) bitte (irgend)einen anderen port als 5353 für unbound verwenden da der schon von mDNS genutzt wird.

Ok, danke!

Puh, vielleicht sollte ich mal wo einen Kurs machen ...
:confused:


Pkt. 1 - ist bei mir aus dem Kopf raus derzeit also auf jeden Fall falsch - da stehen momentan noch die Quad9 DNS-Server drin.

resolver/forwarder verstehe ich prinzipiell noch - glaube ich

ABER:
forwarder - hier leitet z.B. unbound jegliche Anfragen immer/direkt an den gewünschten/hinterlegten DNS-Server (z.B. Quad9) weiter
resolver - hier sollte ja z.B. unbound selber mal eine "Datenbank/Cache" anlegen und erst wenn es einen unbekannten Namen gibt, diese Anfrage an einen DNS-Server weiterleiten

Soweit richtig?

Wenn bei "resolver" keine DNS-Server hinterlegt werden, wo wird dann nachgefragt, bzw. was ist ein "autorativer DNS-Server"!?


Bezüglich Unbound-Port - ich glaube ich nutze da ohnehin 5335 - schon 1 Jahr her ....


Danke!
 
Zuletzt bearbeitet:
Noch mal lesen, würde ich sagen. 8-)

Für pfSense Plus 23.05 ist ein Release Candidate veröffentlichen worden.
  • Support for IIMB Cryptographic Acceleration (vermutlich irgendwas intel-Acceleration spezifisches?Scheint generell nutzbar zu sein)
    This library is a highly-optimized software implementation of the core cryptographic processing for IPsec, WireGuard and OpenVPN.
  • A New Packet Capture GUI
  • Experimental Ethernet (Layer 2) Filtering Support
  • UDP Broadcast Relay Package
Und zahllose Bugfixes.
 

Anhänge

  • Capture.PNG
    Capture.PNG
    46,7 KB · Aufrufe: 58
  • Captuhkjre.PNG
    Captuhkjre.PNG
    5,2 KB · Aufrufe: 49
Zuletzt bearbeitet:
Noch mal lesen, würde ich sagen. 8-)

Für pfSense Plus 23.05 ist ein Release Candidate veröffentlichen worden.
  • Support for IIMB Cryptographic Acceleration (vermutlich irgendwas intel-Acceleration spezifisches?)
    This library is a highly-optimized software implementation of the core cryptographic processing for IPsec, WireGuard and OpenVPN.
  • A New Packet Capture GUI
  • Experimental Ethernet (Layer 2) Filtering Support
  • UDP Broadcast Relay Package
Und zahllose Bugfixes.

Hm, womit liege ich so falsch?

Bei „resolver“ werden dann vermutlich die root-DNS-Server abgefragt (war zumindest damals so, als ich das mal auf Pihole eingerichret habe).
 
Für pfSense Plus 23.05 ist ein Release Candidate veröffentlichen worden.
  • Support for IIMB Cryptographic Acceleration (vermutlich irgendwas intel-Acceleration spezifisches?Scheint generell nutzbar zu sein)
    This library is a highly-optimized software implementation of the core cryptographic processing for IPsec, WireGuard and OpenVPN.
  • A New Packet Capture GUI
  • Experimental Ethernet (Layer 2) Filtering Support
  • UDP Broadcast Relay Package
Und zahllose Bugfixes.
Und nun ist die Final raus.
 
OPNsense 23.1.8 veröffentlicht; benötigt reboot:

This update improves IPv6 connectivity, extends module support for the axgbe
network driver and fixes a panic with IPv6 refragmentation over policy-based
routes amongst others.

We are currently testing FreeBSD 13.2 for the upcoming OPNsense 23.7 and it
looks promising. Watch out for roadmap updates over the next few weeks as
more MVC page conversions are being carried out.

Eventuell sollte man crowdsec vor dem update stoppen, vgl. https://forum.opnsense.org/index.php?topic=34193.0.
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: you
Öhm ich vermisse bei einem Interface (isn VLAN, aber das sollte egal sein) bei den Firewall Rules die drei automatisch generierten - wo krieg ich die denn jetzt mal her? Interface deaktivieren, löschen und wieder assignen hat das Problem nicht gelöst...
 
Durch das Update?
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh