Opnsense: foutieve traffic reporting ?

[Splitter]

Ik heb laatst mijn opnsense installatie weer maar eens geupgrade (25.1.7), en ook even weer wat regeltjes opgekuisd (om de x tijd verwissel ik tussen meeste rules in floating vs meeste rules op interface... just because)

binnen mijn netwerk is de meest actieve connectie die tussen nas (frigate) en de nvr (dahua) (want dat heb ik nog steeds niet rechtstreeks... other project)

ik heb ook alles gescheiden in vlans: de camera's zitten op 1006, terwijl de nas op 1002 zit.
ik verwacht dus prima verkeer tussen die 2 vlans, maar in plaats daarvan zie ik nu in de traffic graphs van opnsense dat verkeer + hetzelfde aan bandbreedte (in/out) op het default lan netwerk.... waar dus quasi niets op zit, en al zeker niet zoveel traffiek over verloopt (laat staan in & out)

het is me dus vrij duidelijk dat de grafiek het verkeer van de 2 vlans ook aangeeft op het default lan (terwijl er duidelijk in de andere grafieken & tabellen te zien is dat er geen hosts zijn die dat verkeer hebben op dat netwerk).

het is me alleen totaal onduidelijk waarom: bug in opnsense? verkeer dat onbedoeld binnen de firewall zelf wel op het default lan gedupliceerd zou worden? of leest die misschien het verkeer op de fysieke interface ook nog eens en gooit die dat dan gewoon bij het default (ik doe router-on-a-stick)?

als iemand een idee heeft, of een opnsense draait met vlans en een gelijkaardige situatie kan nabootsen.... help would be appreciated

traffic.png

[devilkin]

Ik gebruik opnsense met vlans, maar dit heb ik nog niet direct gezien.
Evt eens de vraag stellen op https://forum.opnsense.org/ ?

[Splitter]

jep, heb daar ook een topic open (al een dag of 2) zonder respons, helaas.

dus nu ben ik op zoek naar iemand die het ofwel ook opmerkt, ofwel even kan nabootsen (dus wat traffic tussen de vlans sturen en kijken of de default vlan de traffic ook lijkt te zien in de graphs) om te kijken of dat ook bij hen voorvalt, "or if it's just me".

ik ben zeker dat ik het in het verleden niet had, maar heb helaas een upgrade gedaan tussen versies (ik zat een aantal versies achter, 24.7.x ergens - en nu dus 25.1.7)
weet dus ook niet of het er tussenin ingeslopen is, of nieuw is in deze release, of dat het gewoon komt door een specifieke instelling (maar zou helaas in dat geval geen flauw idee hebben waar te zoeken)

[devilkin]

Ik zal het dit weekend es pogen te herproduceren

[silentkiller]

Upgrade gedaan naar 25.1.7 maar hier zien de graphs er goed uit. Mijn LAN interface zit op een fysieke poort maar de andere interfaces zijn ook router on a stick.
Ik zou op het eerste zicht ook denken dat er een host is in je LAN die het verkeer consumeert maar dat zou je dan moeten zien in de 'top talkers' tabel.

Neem eens een packet capture op je LAN interface (Interfaces -> diagnostics), daar ga je veel mee weten. Foute rapportering kan altijd maar daarmee kan je het uitsluiten.
't zou wel straf zijn als je erin geslaagd bent om het verkeer over je LAN interface te routeren en het erna terug naar de juiste VLAN te routeren.

[Splitter]

in top talkers was er inderdaad niets te zien, dus vandaar.

ik heb het voorlopg opgelost door de interface assignments aan te passen zodat "default lan" verkeer nu eigenlijk een tagged vlan1 is en de switch nu alles tagged naar de firewall stuurt (moest ik trunk port in de edgeswitch nog voor uitzetten ook want vlan1 is natuurlijk de default native, en anders zou die untagged gestuurd worden...)

op die manier is er geen default lan meer op de interface zelf en is het probleem ook opgelost.

nu moet ik wel nog al mijn oude interface namen aanpassen naar de nieuwe conventie (interface_vlanXXX moet tegenwoordig verplicht vlan0.xxx zijn)

Upgrade gedaan naar 25.1.7 maar hier zien de graphs er goed uit.

by any chance, gebruikte je dnsmasq voor dns, en is dat nu aangepast naar unbound? of gebruikte je unbound reeds (of is er niets gewijzigd?)
ik meende dat ik dnsmasq gebruikte (want eenvoudiger om local domains niet naar de upstream te sturen - daarvoor heb ik toch adguard), maar na de upgrade merkte ik op dat het unbound was.
en ik vraag me nu af of ik gek aan het worden ben, of het mss toch op een of andere manier geswitcht is door de upgrade.

[silentkiller]

Dnsmasq is toegevoegd als DHCP optie in opnsense volgens mij.

Voor DNS gebruik ik ook unbound en dat heb ik ook altijd gebruikt.
Upstream passeer ik niet via de DNS van opnsense maar adguard gaat rechtstreeks naar buiten.
Ik heb voor mijn DHCP clients aanstaan dat ze automatisch worden geregistreerd in de DNS en voor het lokale domein forward ik in adguard wel naar unbound in opnsense.

In mjn geval in adguard (192.168.3.1 is het opnsense adres):

Code: Selecteer alles

9.9.9.9
[/mijnlokaaldomein.home/]192.168.3.1

[Splitter]

het probleem daarmee is dat unbound, indien je bestaatniet.mijnlokaaldomein.home gebruikt, nog altijd zou kunnen doorsturen naar upstream ipv gelijk een nxdomain te geven.
(althans, bij mij is het home.lan en dat merkte ik toch op dat je dan een soa record van upstream kreeg ipv een gewone nxdomain)

jij stelt je clients manueel (of met dhcp) in dat ze naar adguard gaan dan? (of je draait adguard op een andere machine?)
ik heb namelijk adguard op opnsense draaien en forceer dan alle dns queries gewoon eerst naar adguard met een redirect rule.
(dan zie je android toestellen -ondanks de dns settings- nog steeds 8.8.8.8 proberen bereiken, worden ze happily doorgegooid naar mijn adguard ipv naar google )

[silentkiller]

Mijn clients krijgen idd via DHCP mee dat ze naar adguard moeten gaan. Adguard draait in een aparte container los van opnsense
Ik heb zo'n redirect rule ook gehad voor google devices (chromecasts) maar dat gaf miserie. Ik laat ze terug buiten naar 8.8.8.8

Toegevoegd na 50 seconden:
Ik zie inderdaad dat requests die in het lokaal domein niet gekend zijn, door worden gestuurd naar de upstream server van opnsense (ISP in mijn geval). Maarja, die geeft direct een NXDOMAIN terug, stoort me eigenlijk niet, met die info zijn ze/iemand weinig .