[Technical] Probleme mit zweitem Netzwerk

Neliommiosch84

Heyho

Eine weile her seit ich mich das letzte mal gemeldet habe, ich habe vor ca. einem halben Jahr ein kleines Homelab aufgebaut, dies ist ca. wie folgt strukturiert:

Leider habe ich aber etwa täglich komplett keinen Zugriff mehr auf alle http/https services im opnsense subnetz, die opnsense erscheint im router als online jedoch ist kein Zugriff mehr auf mein homelab möglich, direkter IP access funktioniert meistens vollsändig, lediglich http/https funktioniert garnicht.

Ein Swisscom-Routerneustart lässt alle Probleme verschwinden. (Router funktioniert sonst ohne probleme für Swisscom Subnetz)

Bin mir aktuell nicht richtig sicher welche Details hier hinzuzufügen, deshalb belasse ich das mal los.

Vielen Dank für jede Hilfe dieses Problem zu lösen!

Werner

@Neliommiosch84

Gemäss zwei anderen Threads von Dir, hast Du ja über die letzten Monate in Deinem Netzwerkbereich an mehreren Speziallösungen experimentell gearbeitet.

Falls jemand nun aktuell bei den neuen Fragestellungen mitdiskutieren will, halte ich es für relevant vorgängig die bisherigen Threads durchzulesen, deshalb verlinke ich sie hier mal:

https://community.swisscom.ch/t5/Sicherheit-im-Internet/DMZ-Firewall-und-WLAN/td-p/791751

und auch noch:

https://community.swisscom.ch/t5/Internet-allgemein/DNS-Server-aus-anderem-Subnetz/m-p/815635#M71908

Selbst fühle ich mich im Moment nicht dazu in der Lage, da ich keine Ahnung habe, ob Du jetzt mit strikt getrennten Netzen oder mit hybridem Netz inklusiv einer statischen Route arbeitest, was für einem DNS-Konstrukt gerade aktiv ist, und in welchem Netz sich überhaupt die Clients befinden, welche aktuell Probleme machen 🙂

Neliommiosch84

Hallo @Werner

Vielen Dank für die Verlinkung, das wäre noch eine gute Idee gewesen!

Ich habe mich für die 2 seperaten Netze entschieden, die aber via statische Route erreichbar sind, somit vermute ich die hybride Variante.

DNS ist beides Separiert.
Ein DNS Server für die Swisscom Clients, zwei DNS(pihole/adghome) via OPNsense für die Server im “Server-Netz”.

Habe das gefühl, dass DNS hier kaum das Problem sein wird, da dieser ja von einem Seperaten Gerät innerhalb vom Swisscom Ibox Subnetz erledigt wird, und somit auch mein PC jederzeit, währendem das OPNsense Net “down” ist die dns resolven kann.

Problem mit dem Reverse Proxy, habe ich auch weniger das gefühl, da schlussendlich zur Problemlösung immer ein Swisscom-Router reboot notwendig war.

Probleme bereitet eigentlich das gesamte Netz der Opnsense, jedoch habe ich immer mehr das gefühl, dass nicht die OPNSense wie immer vermutet, sondern die Swisscom IBox das Problem darstellt, da sie ja für die statische Route zuständig ist.

Was ich mich auch noch frage, theoretisch hängt ja aktuell mehrere 10.X.10.X Subnetze inklusive rund (gescchätzt) 200 verschiedene IP’s (Clients-> LinuxContainer/Docker/VM’s) an einem einzelnen Port der Ibox, kann dies zu einem Problem führen, dass etwas overflowt?

Hab mal von irgendwie Nat Table overflow oder so gehört.

Werner

@Neliommiosch84

Wie bereits früher erwähnt, mein eigener Ansatz wäre in Netzwerken “Mischmasch” und die damit unnötig noch weitere steigende Komplexität immer möglichst schon per Design zu vermeiden.

Meine Lösung wäre also immer noch:

- alle Clients (ausser vielleicht die blue TV-Boxen) direkt ins Netz hinter die pfSense

- statische Route zwischen IB und kaskadiertem Netz zur klaren Netztrennung und Erhöhung der Sicherheit löschen

Damit hättest Du dann auch keine möglichen Seiteneffekte des kombinierten Betriebes mehr, denn DHCP und DNS wäre dann für alles klar auf der pfSense zentralisiert.

Zu Deinen aktuellen Problemen im hybriden Ansatz überlasse ich die Beurteilung übrigens gerne @r00t, denn anders als ich hat er aktuell auch ein pfSense-Netz tatsächlich in Betrieb.

PowerMac

@Neliommiosch84 schrieb:

[…] Leider habe ich aber etwa täglich komplett keinen Zugriff mehr auf alle http/https services im opnsense subnetz, die opnsense erscheint im router als online jedoch ist kein Zugriff mehr auf mein homelab möglich, direkter IP access funktioniert meistens vollsändig, lediglich http/https funktioniert garnicht.

Was genau meinst du mit “direkter IP access funktioniert meistens”? Ping? Und von wo aus geht http und https nicht; von extern aus (Internet) oder auch vom Heimnetz aus?

Weitere Frage zu deinem Servernetz: wie gross ist dieses? /24 oder /16 oder etwas zwischendrin?

Ich hab die anderen beiden (langen) Threads kurz quergelesen, das Wichtigste aus meiner Sicht zusammengefasst (korrigier mich wenn ich was falsch verstanden habe):

- Auf der opnsense (oder ist es nun eine pfsense gem. einigen deiner Beiträge?!?) ist NAT deaktiviert

- Auf der Internetbox ist die opnsense als DMZ-Host konfiguriert

- Auf der Internetbox ist eine statische Route fürs Servernetz via opnsense eingerichtet

- DHCP-Server im Heimnetz ist die IB, wobei du die Clients per Option 6 einen eigenen DNS-Resolver im Servernetz (oder läuft der doch im Clientnetz?) benutzen lässt

- Der DNS-Server befindet sich in deinem Servernetz, wobei die opnsense (pfsense?) als DNS-Proxy konfiguriert ist

- Clients (LAN/WLAN) laufen alle direkt an der IB und nicht im Servernetz, daher auch kein IGMP-Proxy mehr auf der opnsense

Die Bemerkung sei erlaubt, dass du dir da schon ein ganz schön komplexes Konstrukt potenzieller Fehlerquellen zusammengeklempnert hast…

Neliommiosch84

Hey @PowerMac

Vielen Dank für die Antwort!

- Aktuell rede ich immer vom Access vom Heimnetz, dem Netz direkt hinter der Swisscom IBox wo alle Clients leben.
Genau auch der http/https access bezieht sich auf das, als beispiel, ich habe jellyfin auf ip xyz:8096 und via reverseproxy auf jellyfin.meinedomain.com, ich kann dann via IP direkt wunderbar auf die services zugreifen, jedoch mit der domain nicht.
- Ist ne opnsense, war mal eine pfsense, war mir aber mir der aktuellen netgate Situation nicht mehr so wohl.
- DMZ habe ich aktuell ausgeschaltet, da das homelab aktuell erstmal nur via VPN erreichbar von aussen ist.
- Die Internetbox hat zwei Statische Route, eine ist Server-Netz -> Ein Subnetz für alle Physiches Hosts, und eine ins VM/Container Netz, ein Subnetz für alle Services, Container,VM’s und LXC’s.
- DHCP ist die Ibox und im Server Netzwerk die OPNsense.
- Theoretisch könnte ich das LAN-Kabel vom Server Netz ausziehen und hätte mein bestehendes vollständig “normales” Swisscom Heimnetz.
- Genau die Clients in meinem Swisscom Heimnetz werden via Option6 auf einen RaspberryPi mit Pihole verwiesen.
- Die Server haben alle als DNS Server die OPNsense eingetragen, welche die Anfragen and einen Pihole/AdguardHome die auf den Servern laufen weiterleitet.
- Genau korrekt, IGMP Proxy ist nicht auf der OPNsense, da die OPNSense wirklich nur Server hinter sich hat.

Vielen Dank für Deine Hilfe!

Und entschuldige die wenigen Details zum Anfang!

Neliommiosch84

@“x”#234740Liebend gerne würde ich Deinen Ansatz den ich vollkomen verstehe umsetzten, jedoch leider so garnicht möglich, da die Server ca. 50m von der IBox entfernt sind, und der Hauptanschluss nur relativ schwer umverlegt werden kann, das habe ich auch scho zu genügen oft versucht.

Also aktuell ist die IBOX beim Swisscom Hauptanschluss, da dort aber nur limitierter Platz verfügbar ist, ist es nicht wirklich möglich, die opnsense dort anzuschliessen.

Werner

@Neliommiosch84

Wieso müsstest Du die OpenSense-Appliance für ein echt separiertes Netz direkt neben die Internetbox stellen?

Da wo sie jetzt steht hängt sie ja sicher auch an einem LAN-Kabel und dieses kann ja bis 100 Meter lang sein.

Hast Du ev. auch noch ein zusätzliches physisches LAN-Verkabelungsproblem?

Neliommiosch84

@“x”#234740Jein, da ich aktuell meine Server inklusiv Opnsense im Keller habe und dahin nur ein einzelnes LAN-Kabel ziehen kann, (Aus Platzgründen in den Rohren in der Wand), könnte ich die Clients des Heimnetzes nicht hinter die OPNsense bringen, somit müssen meine Client im Heimnetz hinter der IBox bleiben, auch ein Switch oben ist nicht möglich, da dafür auch 2 Kabel benötigt werden (eines runter, eines hoch).

Tut mir leid, aber ich habe bereits zu oft über dieses Thema diskutiert, hier Reddit, Opnsense Forums, etc.
ES IST NICHT ANDERS MÖGLICH aktuell!

Ich würde daher gerne die anderen Probleme der aktuell Situation versuchen zu lösen.

Vielen Dank trotzdem für den Lösungsansatz, die Netzwerkstruktur zu ändern.

Werner

@Neliommiosch84

Und noch als Nachtrag generell zum Thema Anzahl möglicher Clients direkt im Netz einer Internetbox:

In der Vergangenheit gab es immer wiedermal Benutzerberichte über Probleme von Internetboxen im Umgang mit einer sehr grossen Anzahl von Clients im Heimnetz.

Wo da konkrete Grössenbegrenzungen liegen ist einigermassen unklar, aber es hat sich gemäss verschiedener Praxiserfahrungen ein wenig herauskristallisiert, dass alles was so ca. über 60-80 Clients liegt, durchaus wiederholt mal zicken kann.

Klarer sind übrigens die maximalen Limiten im WLAN-Bereich, denn bedingt durch die verwendeten WLAN-Treiber liegen die je nach konkretem Modell bei 32 oder 64 WLAN-Clients je WLAN-Band.

Langer Rede kurzer Sinn, Internetboxen sind reine SOHO-Geräte für 0815-Benutzer, und eine vom üblichen Nutzerprofil stark abweichende Nutzung stösst eigentlich immer in unerforschtes Gebiet vor, da diese auch ausserhalb jedes der üblicherweise verwendeten Testszenarien liegt.

PowerMac

@Neliommiosch84 schrieb:

[…] Ich würde daher gerne die anderen Probleme der aktuell Situation versuchen zu lösen.

Aus deinem Anfangspost erschliesst sich mir lediglich folgendes

Sporadisch treten Probleme auf mit dem Zugriff auf http und https-Services in deinem per opnsense abgekoppelten Servernetzwerk
Der Fehlerzustand verschwindet nach einem Reboot der Internetbox für ca. einen Tag

Um ein Problem zu lösen ist es immer hilfreich, es zuerst so genau wie möglich zu verstehen 😀

Und um genau dies zu erreichen, solltest du den Fehlerzustand beim nächsten Mal möglichst so belassen und dann testen, was noch geht und was nicht. Also zum Beispiel:

Geht Ping vom Usernetz ins Internet?
Geht Ping vom Usernetz ins interne Servernetz?
Geht Ping vom internen Servernetz ins Usernetz?
Geht Ping vom internen Servernetz ins Internet?
Geht DNS im Usernetz (ggf. nicht den eigenen DNS-Server verwenden, sondern den der IB)?
Geht DNS im internen Servernetz?
Geht http-/https-Zugriff vom Internet aus?
Geht http-/https-Zugriff vom Usernetz aus?
Geht http-/https-Zugriff von einem Client innerhalb des internen Servernetzes aus?
Betrifft es wirklich nur http-/https-Services, oder auch andere?
usw. usf.

Also beim nächsten Mal nicht gleich die IB neu starten, sondern systematisch eins nach dem anderen testen und so den Fehler eingrenzen. Divide and conquer.

Neliommiosch84

Kleines Update für diesen Thread:

Nach sehr langem hin-und her hat sich herausgestellt, dass es im Treiber der Intel i225 + i226 Netzwerk Modulen einen Fehler gibt, dieser wurde bereits im Upstream gefixt, und konnte durch ein BIOS Update vom Juli vollständig behoben werden.

https://forum.opnsense.org/index.php?topic=42368.msg210625#msg210625 -> https://forum.opnsense.org/index.php?topic=42240.0 -> https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=279245

Riesiges Dankeschön an die OPNsense Community und natürlich auch allen für die Inputs!