Opnsense / pfsense vraagjes

Splitter · 30 nov 2020, 14:21

ITnetadmin schreef:Die onhebbelijke gewoonte van sommige isps om tracert packets op hun routers te blokkeren breekt gewoon het internet
Waar is de tijd dat je nog de volledige star wars scroll op internet kon tracerten?

dat was idd een leuke... ook alweer 7j terug!
maar dat was niet door de isp's dat het gestopt is, maar de DDoS die hij ontving helaas.
maar het is vereeuwigd op het internet:

O.T: is het een dns outage of een echte connectivity issue?
kan je bijvoorbeeld nog pingen naar ip ipv host?

30 nov 2020, 14:26

Splitter schreef: O.T: is het een dns outage of een echte connectivity issue?
kan je bijvoorbeeld nog pingen naar ip ipv host?

Connectivity issue. Niks buiten eigen subnet is bereikbaar, zelfs niet op IP(v4). IPv6 heb ik nog niet actief staan.

EDIT: Net weer outage (dom ping script gemaakt wat een beep veroorzaakt in terminal als er een timeout is):

Op OPNsense niks te zien in de block list. Dus daar loopt het niet mis.
Vanop OPNsense m'n eigen laptop eens proberen pingen:

Code: Selecteer alles

PING 192.168.xx.xx (192.168.xx.xx): 56 data bytes
ping: sendto: Host is down

ARP entry volgens opnsense:

Code: Selecteer alles

thor.home.lan (192.168.xx.xx) at (incomplete) on igb1_vlan134 expired [vlan]

Hmmmz.

EDIT2:
100 kunnen linken: ARP entry op opnsense timeout, connectivity drop.

Traceroute werkt natuurlijk ook niet meer

Code: Selecteer alles

$ sudo traceroute -nI 1.1.1.1
traceroute to 1.1.1.1 (1.1.1.1), 30 hops max, 60 byte packets
 1  * * *
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *

30 nov 2020, 15:34

Tis dus duidelijk een intern issue, want zelfs je opnsense reageert niet meer.
Kan je op de switch een mirror port zetten om te monitoren of die de packets nog aan de opnsense doorgeeft?
Heeft de AP een interne packet logger die kan gaan sniffen op pings?
Dan kan je bij de volgende checken welke van de drie het toestel is dat niets meer doorgeeft.

30 nov 2020, 15:41

ITnetadmin schreef:Tis dus duidelijk een intern issue, want zelfs je opnsense reageert niet meer.

Jawel - echter niet voor die paar hosts. De rest blijft gewoon verder werken, stream blijft streamen (ander device), ...

ITnetadmin schreef: Kan je op de switch een mirror port zetten om te monitoren of die de packets nog aan de opnsense doorgeeft?

Ja, maar daar ga ik effe wat extra hardware moeten voor gaan zoeken

ITnetadmin schreef: Heeft de AP een interne packet logger die kan gaan sniffen op pings?

Yep, tcpdump - zal die es opzetten en zien wat ik nog zie passeren. Denk niet dat daar het issue zal zijn, eerder de reply die niet terugkomt (wegens het feit at opnsense geen geldige arp entry meer heeft, en dus niet weet wat ie moet doen met de reply)

Sasuke · 30 nov 2020, 15:45

toevallig gateway op * staan in je OpnSense ? En meer dan 1 internet gateway ?
Ik had ook zoiets aan de hand, en was ter herleiden naar:
1. OpnSense gateway selection is buggy voor sommige dingen
2. WAN Failover op basis van 'pingen naar host x' .. met dezelfde hosts op beide gateways. Dus als de host niet reageert, beide gateways down

...

30 nov 2020, 15:49

Sasuke schreef:toevallig gateway op * staan in je OpnSense ? En meer dan 1 internet gateway ?

Er zijn wel 5 gateways: 4 van 2 vpn tunnels (ipv4/ipv6) en m'n wan gateway.
Bedoel je met de settings in de LAN interface -> IPv4 upstream gateway? Deze staat op autodetect.

Sasuke · 30 nov 2020, 16:05

Nee, in je firewall rules. E.g. LAN to ANY via <specifieke gateway> zorgt ervoor dat LAN to <subnet W> niet werkt als <specifieke gateway> niet online is (verwijzing naar die gateway health). Ik heb dus specifieke rules moeten toevoegen om routed traffiek uit te sluiten van bepaalde gateways.

Klinkt logisch als je het uitlegt, maar de UI geeft het niet zo logisch weer

30 nov 2020, 16:21

Ha

Nee, geen LAN -> ANY rules, alles heeft source/destination subnet.
Misschien de enige die als LAN->ANY interpreteerbaar zou zijn is mijn !rfc1918 rule, alles mag door wat niet daarop matched (om dan via NAT naar buiten te gaan).

Op alle rules staat de gateway op 'default', behalve de specifieke om traffic door VPN te loodsen. Daar staat dat op de VPN gateway.

EDIT: nog wat verdere tests gedaan:

Op het moment dat de arp entry vervalt zie ik massa's "who has .." requests, waarvan er beantwoord worden. Ik zie deze traffiek op het AP, maar niet totop de OPNsense box. De switch ervoor zou ook nog een slechte kunnen zijn, maar ik heb dan geen problemen met wired clients.

Wat ik me wel nog afvraag: momenteel staan alle hardware features aan: Hardware CRC, TSO, LRO en VLAN support. Misschien daar ergens... al zou me dat wederom verbazen, want dan zou ik ook problemen moeten zien op de wired clients.

Nog een andere piste is misschien de Unifi setup: daar zijn een aantal opties (oa DHCP snooping) welke volgens sommige posts wel roet in het eten kan gooien, vooral bij DHCP. Maar ik denk niet dat dit hier het geval is...

13 apr 2021, 08:23

Dit is dus 100% mijn probleem. Wat opgelost geraakte door het switchen naar de beta branch (5.53)