Zum Hauptinhalt springen

Einführung in die OPNsense-Diagnosetools

Veröffentlicht am:
.
14 Minuten Lesezeit
.
Für die englische version

In der Welt des Netzwerkmanagements erfordert die Gewährleistung eines reibungslosen und sicheren Online-Erlebnisses ständige Wachsamkeit. Diagnosetools sind Ihre Verbündeten in diesem Bestreben, sie fungieren als Lupe und Stethoskop Ihres Netzwerks, sodass Sie proaktiv dessen Gesundheit überwachen und Probleme identifizieren und beheben können, bevor sie zu größeren Störungen werden.

OPNsense, eine leistungsstarke Open-Source-Firewall-Plattform, stellt Ihnen ein umfassendes Arsenal an Diagnosetools zur Verfügung, die kategorisiert sind, um spezifische Aspekte Ihrer Netzwerk-Infrastruktur anzusprechen. Diese Kategorien decken verschiedene Bedürfnisse ab und bieten Einblicke in:

  • Systemdiagnose: Ein ganzheitliches Verständnis der Gesamtgesundheit Ihres Systems erlangen, einschließlich CPU-Auslastung, Speichernutzung und Systemprotokollen.
  • Schnittstellendiagnose: Eintauchen in die Details Ihrer Netzwerkschnittstellen, Analyse des Datenverkehrs, Identifizierung potenzieller Engpässe und Fehlersuche bei Verbindungsproblemen.
  • Firewall-Diagnose: Sicherstellen, dass Ihre Firewall optimal funktioniert, Überprüfung der Regel-Funktionalität und Untersuchung verdächtiger Aktivitäten oder Verbindungsversuche.
  • VPN-Diagnose: Sicherstellung sicherer und zuverlässiger VPN-Verbindungen durch Überwachung des Tunnelstatus, Überprüfung von Protokollen auf mögliche Fehler und Fehlersuche bei Konfigurationsproblemen.

Indem Sie in den folgenden Abschnitten tiefer in diese Kategorien eintauchen, werden Sie ein umfassendes Verständnis dafür gewinnen, wie die Diagnosetools von OPNsense Ihnen helfen, ein robustes und sicheres Netzwerkumfeld aufrechtzuerhalten.

Starten Sie noch heute kostenlos mit Zenarmor

Systemdiagnose

OPNsense stattet Sie mit einer robusten Suite von Diagnosetools aus, die Ihnen einen Einblick in das Herz Ihres Systems bieten. Innerhalb dieses Pakets befindet sich die Systemdiagnose, ein dreigleisiger Ansatz, der darauf ausgelegt ist, Ihnen ein umfassendes Verständnis der Gesundheit und Leistung Ihres Systems zu vermitteln. Die Hauptkomponenten der Systemdiagnose auf OPNsense sind wie folgt:

  • Aktivität
  • Dienste
  • Statistiken

Durch die Nutzung dieser drei Schlüsselkomponenten der Systemdiagnose erhalten Sie wertvolle Einblicke in die Funktionsweise Ihres OPNsense-Systems, die es Ihnen ermöglichen, fundierte Entscheidungen zu treffen, Probleme effektiv zu beheben und ein gesundes und effizientes Netzwerkumfeld aufrechtzuerhalten.

Aktivität

Das Aktivitätsmodul zeigt aktuelle aktive Prozesse an und liefert grundlegende Statistiken wie CPU-Auslastung, Speichernutzung und Prozess-IDs. Um die Liste der aktiven Prozesse auf OPNsense anzuzeigen, navigieren Sie im Web-UI zu SystemDiagnosticsActivity. Hier ist eine Aufschlüsselung jeder Spalte:

  • PID: Prozess-ID - Eine eindeutige Kennung, die jedem laufenden Prozess zugewiesen wird.

  • USERNAME: Benutzername - Das Benutzerkonto, unter dem der Prozess läuft.

  • PRI: Priorität - Das aktuelle Prioritätsniveau des Prozesses, das dessen Planung durch das Betriebssystem beeinflusst.

  • NICE: NICE-Wert - Ein numerischer Wert (-20 bis 20), der die relative Priorität des Prozesses im Vergleich zu anderen Prozessen angibt. Niedrigere Werte repräsentieren eine höhere Priorität.

  • SIZE: Größe - Die gesamte Speichermenge, die vom Prozess belegt wird, einschließlich Code-, Daten- und Stack-Segmenten.

  • RES: Resident-Speicher - Die Menge des physischen Speichers (RAM), die derzeit vom Prozess verwendet wird.

  • C: CPU (nur auf Mehrprozessorsystemen sichtbar) - Der CPU-Kern, auf dem der Prozess derzeit ausgeführt wird.

  • TIME: CPU-Zeit - Die gesamte von dem Prozess verbrauchte CPU-Zeit (System- und Benutzerzeit).

  • WCPU: Gewichteter CPU-Prozentsatz - Eine Schätzung der CPU-Auslastung durch den Prozess, unter Berücksichtigung der Prozesspriorität und der Ausführungszeit.

  • COMMAND: Befehlszeile - Der tatsächliche Befehl oder Programmname, der den Prozess gestartet hat.

    Abbildung 1. OPNsense-Systemdiagnose nach Aktivität

Was ist das Ziel der Aktivitätsdiagnose auf OPNsense?

Durch die Analyse dieser Informationen können Sie wertvolle Erkenntnisse für die folgenden Zwecke gewinnen:

  • Ressourcennutzung: Identifizieren Sie Prozesse, die erhebliche CPU-, Speicher- oder andere Ressourcen verbrauchen.
  • Systemstabilität: Überwachen Sie ungewöhnliches Prozessverhalten, das auf potenzielle Probleme hinweisen könnte.
  • Sicherheitsanalyse: Untersuchen Sie verdächtige Prozesse oder unerwartete Benutzeraktivitäten.
  • Fehlerbehebung: Identifizieren Sie Prozesse, die an bestimmten Funktionen beteiligt sind oder Fehler verursachen.

Denken Sie daran, dass das effektive Interpretieren dieser Informationen ein Verständnis der Systemprozesse und ihrer typischen Ressourcennutzungsmuster erfordert.

Dienste

Das Menü SystemDiagnosticsServices in OPNsense zeigt Informationen an und ermöglicht die Verwaltung verschiedener Systemdienste, die für den Betrieb unerlässlich sind. Dieser Abschnitt bietet einen Überblick über die wesentlichen Dienste, die auf Ihrem System laufen. Die Diagnoseseite der Dienste listet die folgenden Details auf:

  • Name: Der beschreibende Name des Dienstes.
  • Beschreibung: Eine kurze Erklärung des Zwecks des Dienstes.

Das Verständnis dieser Dienste ist entscheidend für die Aufrechterhaltung der Systemstabilität und -funktionalität. Sie können kritische Dienste identifizieren, Dienstfehler diagnostizieren und sicherstellen, dass sie wie vorgesehen funktionieren.

Abbildung 2. OPNsense-Systemdiagnose nach Diensten

Was sind die OPNsense-Dienste?

Die Aufschlüsselung einiger OPNsense-Dienste ist unten aufgeführt:

  1. configd:

    • Beschreibung: Systemkonfigurationsdaemon
    • Funktionalität: Verwalten von Systemkonfigurationsdateien und Sicherstellung ihrer Konsistenz.- Wichtigkeit: Entscheidend für die Aufrechterhaltung der Systemstabilität und die ordnungsgemäße Anwendung der Konfiguration.

  2. cron:

    • Beschreibung: Cron-Job-Planer
    • Funktionalität: Führt geplante Aufgaben und Skripte in festgelegten Intervallen aus.- Bedeutung: Ermöglicht die Automatisierung verschiedener Systemaufgaben wie Backups, Log-Rotationen und Software-Updates.

  3. login:

    • Beschreibung: Login-Dienst- Funktionalität: Bearbeitet Benutzeranmeldeversuche und Authentifizierungsprozesse.- Bedeutung: Essenziell für den sicheren Zugang zur OPNsense-Weboberfläche und Konsole.

  4. ntpd:

    • Beschreibung: Network Time Protocol Daemon- Funktionalität: Synchronisiert die Systemuhr mit externen Zeitservern für eine genaue Zeitmessung.- Bedeutung: Stellt konsistente Zeitstempel für Protokolle, Systemereignisse und Netzwerkkommunikation sicher.

  5. openssh:

    • Beschreibung: Secure Shell Daemon- Funktionalität: Bietet sicheren Fernzugriff auf das System über das SSH-Protokoll.- Wichtigkeit: Ermöglicht die sichere Verwaltung und Administration von OPNsense von entfernten Standorten aus.

  6. pf:

    • Beschreibung: Paketfilter-Firewall
    • Funktionalität: Bietet grundlegende Firewall-Funktionalität zum Filtern und Steuern des Netzwerkverkehrs.- Wichtigkeit: Essenziell zum Schutz Ihres Netzwerks vor unbefugtem Zugriff und bösartiger Aktivität.

  7. Routing:

    • Beschreibung: System-Routing-Dienst
    • Funktionalität: Verwalten des Routings des Netzwerkverkehrs zwischen verschiedenen Schnittstellen und Netzwerken.- Bedeutung: Stellt eine effiziente und genaue Paketlieferung innerhalb Ihres Netzwerks und ins Internet sicher.

Die obige Liste stellt eine Teilmenge der häufig auf OPNsense angetroffenen Dienste dar. Andere Dienste könnten vorhanden sein, abhängig von Ihrer spezifischen Konfiguration und den installierten Paketen.

Was sind die Aufgaben auf der Diagnoseseite der Dienste?

Das Menü "Dienste" bietet normalerweise die folgenden Informationen und Optionen für jeden Dienst auf der rechten Seite der Seite an:

  • Status anzeigen: Ob der Dienst läuft, gestoppt ist oder Fehler aufweist.
  • Start/Stop: Möglichkeit, den Status des Dienstes manuell zu steuern.
  • Neustart: Option, den Dienst bei Bedarf neu zu starten.
  • Konfigurieren: Zugriff auf dienstspezifische Konfigurationseinstellungen.

Durch das Verständnis des Zwecks und der Bedeutung dieser Dienste können Sie Ihr OPNsense-System effektiv verwalten und einen reibungslosen Betrieb und Sicherheit gewährleisten.

Statistiken

Die unter SystemDiagnosticsStatistics auf OPNsense angezeigten Informationen geben Einblicke in die Speichernutzung und -zuweisung Ihres Systems. Hier ist eine Aufschlüsselung der Abschnitte:

Abbildung 3. OPNsense-Systemdiagnose nach Statistiken

  1. __version: Dies zeigt einfach die Version der verwendeten Speicherverwaltungssoftware an.

  2. Malloc-statistics: Dieser Abschnitt konzentriert sich auf den Speicher, der mit der malloc-Funktion zugewiesen wurde, einer gängigen Methode zur Speicherzuweisung in der C-Programmierung. Es zeigt wahrscheinlich weitere Details wie:- Speicher: Gesamtmenge des mit malloc zugewiesenen Speichers.- chunks: Anzahl der zugewiesenen einzelnen Speicherblöcke.- highwater: Höchste beobachtete Speichernutzung seit dem Start des Systems.- requests: Gesamtzahl der getätigten Speicheranforderungen.

  3. Memory-zone-statistics: Dieser Abschnitt geht näher auf die Speicherzuweisung ein, die nach verschiedenen Speicherzonen kategorisiert ist. Speicherzonen sind spezifische Bereiche innerhalb des Speicherraums, die für verschiedene Zwecke mit unterschiedlichen Zuweisungs- und Verwaltungsstrategien verwendet werden. Der Abschnitt für Zonen zeigt wahrscheinlich Informationen für einzelne Zonen an, möglicherweise einschließlich:- Gesamtzahlen: Ähnliche Statistiken wie im gesamten Speicherbereich, aber spezifisch für die Zone.- Zuweisungen: Anzahl der Speicherzuweisungen innerhalb der Zone.- Größe: Gesamte Größe des im Bereich zugewiesenen Speichers.

Durch die Analyse dieser Statistiken können Sie Bereiche zur Optimierung identifizieren, Trends im Ressourcenverbrauch überwachen und potenzielle Probleme proaktiv angehen, bevor sie die Systemleistung beeinträchtigen.

Das Verständnis der Speichermetriken auf OPNsense hilft Ihnen, die folgenden Aufgaben zu erledigen:

  • Speichernutzung überwachen: Potenzielle Speicherengpässe oder Ressourcenbeschränkungen identifizieren.
  • Diagnose Speicherlecks: Untersuchen, ob Prozesse den Speicher nicht ordnungsgemäß freigeben.
  • Optimierung der Speicherzuweisung: Passen Sie die Konfigurationen oder Strategien zur Ressourcenzuweisung bei Bedarf an.

Das effektive Interpretieren dieser Details erfordert jedoch oft Vertrautheit mit Konzepten des Speichermanagements und den spezifischen Speicherzuweisungsmechanismen von OPNsense.

Schnittstellen-Diagnose

Die Seite für Schnittstellendiagnosen enthält verschiedene Werkzeuge zur Fehlersuche bei Netzwerkproblemen, einschließlich der ARP-Tabelle, DNS-Abfrage, NDP-Tabelle, Ping, Port-Überprüfung, Traceroute und Paketaufzeichnung. Um auf das Menü der Schnittstellendiagnose zuzugreifen, können Sie im OPNsense-Web-UI zu InterfacesDiagnostics navigieren.

Abbildung 4. OPNsense Schnittstellen-Diagnose

Alternativ können Sie die Seite für Schnittstellendiagnosen direkt aufrufen, indem Sie das Suchfeld "Diagnostics" im oberen Menü verwenden und "Interfaces" aus den Suchergebnissen auswählen.

Abbildung 5. OPNsense-Diagnose über das Suchfeld

ARP-Tabelle

Das ARP-Tabellenmodul im Diagnosetool zeigt Informationen über MAC-Adressen an, die der Firewall bekannt sind. Es enthält die IPv4-Adresse, die MAC-Adresse, Herstellerinformationen basierend auf der MAC-Adresse, den zugehörigen Schnittstellennamen und den Hostnamen (falls verfügbar aus der DHCPv4-Leases-Datei) für die jeweiligen MAC-Adressen. Diese Informationen helfen bei der Identifizierung und Verwaltung von Netzwerkgeräten, die mit der Firewall verbunden sind.

Abbildung 6. OPNsense-Schnittstellen-Diagnose über die ARP-Tabelle

Die ARP-Tabelle im Diagnoseteil von OPNsense liefert wertvolle Informationen über Geräte, die mit Ihrem Netzwerk verbunden sind, und unterstützt bei der Identifizierung, Fehlersuche und Netzwerkverwaltung. Um die ARP-Tabelle anzuzeigen, können Sie im OPNsense-Web-UI zu InterfacesDiagnosticsARP Table navigieren.

Die ARP-Tabelle zeigt die folgenden Details für jeden Eintrag an:

  • IPv4-Adresse: Die IP-Adresse des verbundenen Geräts.
  • MAC-Adresse: Die eindeutige Hardware-Adresse der Netzwerkschnittstellenkarte des Geräts (NIC).
  • Hersteller: (Optional) Der Hersteller des Geräts basierend auf dem MAC-Adresspräfix (if available in a database).
  • Schnittstelle: Der Name der OPNsense-Schnittstelle, mit der das Gerät verbunden ist.
  • Hostname: (Optional) Der Hostname des Geräts, falls aus DHCP-Leases verfügbar.

Die ARP-Tabelle ist dynamisch und aktualisiert sich automatisch, wenn sich Geräte mit dem Netzwerk verbinden oder trennen. Sie können die Suchleiste verwenden, um Einträge basierend auf bestimmten IP-Adressen, MAC-Adressen oder Hostnamen zu filtern. (if available). Denken Sie daran, dass die Herstellerinformationen basierend auf MAC-Adressen nicht immer genau oder vollständig sein könnten.

Was ist das Ziel der Nutzung der ARP-Tabelle?

Sie können die ARP-Tabelle auf Ihrem OPNsense für die folgenden Zwecke nutzen:

  • Geräte identifizieren: Verwenden Sie die Tabelle, um IP-Adressen ihren entsprechenden MAC-Adressen zuzuordnen und möglicherweise die an Ihr Netzwerk angeschlossenen Geräte zu identifizieren.
  • Fehlerbehebung bei Verbindungsproblemen: Wenn Sie Verbindungsprobleme mit bestimmten Geräten haben, überprüfen Sie deren Einträge in der ARP-Tabelle. Fehlende Einträge oder Inkonsistenzen könnten auf Probleme mit der Gerätekkommunikation oder der Netzwerkkonfiguration hinweisen.
  • Netzwerksicherheitsüberwachung: Überwachen Sie die ARP-Tabelle auf unerwartete oder unautorisierte Geräte, die in Ihrem Netzwerk erscheinen, was möglicherweise auf Sicherheitsbedenken hinweist.
  • Konfigurieren statischer ARP-Einträge: Sie können statische ARP-Einträge konfigurieren, um spezifische IP-Adressen manuell mit bekannten MAC-Adressen zu verknüpfen, was eine konsistente Zuordnung gewährleistet und in bestimmten Szenarien die Netzwerkleistung verbessern kann.

Durch die effektive Nutzung der ARP-Tabelle auf OPNsense erhalten Sie wertvolle Einblicke in die verbundenen Geräte Ihres Netzwerks, was Ihnen ermöglicht, Verbindungsprobleme zu beheben, potenzielle Sicherheitsrisiken zu überwachen und Ihre Netzwerkumgebung effizient zu verwalten.

DNS-Abfrage

Das OPNsense DNS Lookup-Tool ermöglicht eine schnelle Domainnamenauflösung. Das DNS-Lookup-Tool ermöglicht es Ihnen, die Funktionalität Ihres DNS-Servers zu überprüfen und potenzielle Auflösungsprobleme zu beheben. Sie können das DNS Lookup-Tool verwenden, indem Sie die folgenden Schritte ausführen:

  1. Navigieren Sie zu InterfacesDiagnosticsDNS Lookup im OPNsense-Web-UI.
  2. Geben Sie den Hostnamen ein, den Sie auflösen möchten (z.B. google.com), in das Feld Hostname or IP ein.
  3. Sie können optional eine Server-Adresse angeben, wenn Sie einen bestimmten DNS-Server für die Abfrage verwenden möchten. Andernfalls werden die standardmäßig konfigurierten DNS-Server verwendet.
  4. Klicken Sie auf die Schaltfläche Apply.

Sie sollten die folgenden Informationen sehen:

  • Hostname: Der eingegebene Hostname.
  • Antworttyp: Der zurückgegebene Datensatztyp (e.g., A for IP address, AAAA for IPv6 address).
  • Adresse: Die aufgelöste(n) IP-Adresse(n), die mit dem Hostnamen verknüpft sind.
  • Server: Der DNS-Server, der die Antwort bereitgestellt hat.
  • Auflösungszeit: Die Zeit, die benötigt wird, um den Hostnamen aufzulösen.

Das erwartete erfolgreiche Ergebnis sieht ähnlich aus wie das folgende:

Hostname:  www.google.com
Response  Type:  A
Address:  142.251.214.142
Server:  8.8.8.8
Resolution  time:  20  ms

Dies zeigt an, dass der Hostname www.google.com erfolgreich auf die IP-Adresse 142.251.214.142 mit einer Auflösungszeit von 20 Millisekunden unter Verwendung des Standard-DNS-Servers aufgelöst wird. (8.8.8.8).

Sie werden eine Fehlermeldung sehen, die den Grund für das Scheitern angibt (z.B. "Name nicht gefunden") für nicht erfolgreiche DNS-Abfragen.

Abbildung 7. OPNsense-Schnittstellendiagnose über DNS-Abfrage

Einige Tipps zur Fehlersuche bei DNS-Abfragen sind unten aufgeführt:

  • Wenn die Abfrage fehlschlägt, versuchen Sie, eine andere DNS-Serveradresse im Feld Server zu verwenden.
  • Überprüfen Sie Ihre DNS-Serverkonfiguration in ServicesUnbound DNS.
  • Überprüfen Sie Ihre Internetverbindung und stellen Sie sicher, dass Ihre Firewall-Regeln den DNS-Verkehr nicht blockieren.

Durch die effektive Nutzung des DNS Lookup-Tools können Sie DNS-bezogene Probleme in Ihrer OPNsense-Umgebung diagnostizieren und beheben, um einen reibungslosen Internetzugang für verbundene Geräte zu gewährleisten.

NDP-Tabelle

Die NDP (Neighbor Discovery Protocol) Tabelle zeigt Informationen über IPv6-Nachbargeräte in Ihrem Netzwerk an. Ähnlich wie die ARP-Tabelle für IPv4 zeigt sie die IPv6-Adresse, die MAC-Adresse, den Hersteller (falls verfügbar), die zugehörige Schnittstelle und den Schnittstellennamen für jedes benachbarte Gerät an. Diese Informationen helfen dabei, IPv6-fähige Geräte, die mit Ihrem Netzwerk verbunden sind, zu identifizieren und zu verwalten.

Abbildung 8. OPNsense-Schnittstellendiagnose über NDP-Tabelle

Die NDP-Tabelle ist dynamisch und aktualisiert sich, wenn IPv6-Geräte sich verbinden und trennen. Sie können die Suchleiste verwenden, um Einträge basierend auf bestimmten IPv6-Adressen oder MAC-Adressen zu filtern. (if available). Denken Sie daran, dass die Herstellerinformationen basierend auf MAC-Adressen nicht immer genau oder vollständig sein könnten.

Was ist das Ziel der Nutzung der NDP-Tabelle?

Sie können die NDP-Tabelle auf Ihrem OPNsense für die folgenden Zwecke nutzen:

  • Wenn Sie Probleme mit der IPv6-Konnektivität haben, kann die NDP-Tabelle dennoch hilfreich bei der Fehlersuche sein.
  • Suchen Sie nach Inkonsistenzen oder fehlenden Einträgen für Geräte, von denen Sie erwarten, dass sie über IPv6 kommunizieren.
  • Stellen Sie sicher, dass Ihre Netzwerkgeräte und Anwendungen bei Bedarf korrekt für die Verwendung von IPv6 konfiguriert sind.

Durch das Verständnis der NDP-Tabelle und ihrer Einschränkungen können Sie sie effektiv zusammen mit anderen Diagnosetools nutzen, um potenzielle Probleme zu beheben und ein gesundes Netzwerkumfeld in Ihrer OPNsense-Konfiguration aufrechtzuerhalten.

Netstat

Das Modul InterfacesDiagnosticsNetstat in OPNsense bietet verschiedene Abschnitte, die Einblicke in den Netzwerkverkehr und die Ressourcennutzung geben. Während Netstat in OPNsense keine konsolidierte Ansicht wie traditionelle Werkzeuge bietet, ermöglicht das Verständnis des Zwecks jeder Sektion und die Interpretation der angezeigten Informationen Ihnen:

  • Einblicke in Netzwerkverkehrsmuster und Ressourcennutzung zu gewinnen.
  • Potenzielle Engpässe, Fehler oder unerwartete Aktivitäten im Zusammenhang mit der Netzwerkkommunikation identifizieren.
  • Beheben Sie spezifische Probleme, die mit einzelnen Schnittstellen, Protokollen oder Netzwerkverbindungen zusammenhängen.

Hier ist eine Aufschlüsselung jeder Sektion und ihrer potenziellen Verwendung für Netstat-Diagnosen:

  1. Bpf: Dieser Abschnitt ermöglicht das Erfassen von Live-Netzwerkverkehr auf bestimmten Schnittstellen mithilfe von Berkeley Packet Filter (BPF)-Ausdrücken. Zeigen Sie Statistiken über bpf(4)-Peers an. Dies umfasst Informationen wie die Anzahl der übereinstimmenden, verworfenen und empfangenen Pakete durch das bpf-Gerät sowie Informationen über die aktuellen Pufferspeichergrößen und Gerätezustände. Es kann wertvoll sein, um Netzwerkpakete zu erfassen und zu analysieren, um tiefere Fehlersuche zu betreiben.

    Abbildung 9. OPNsense-Schnittstellen-Diagnose über Bpf Netstat

  2. Interfaces: Dieser Abschnitt zeigt Statistiken und Informationen zu jeder Netzwerkschnittstelle auf Ihrer OPNsense-Firewall an. Die Netstat-Schnittstellen-Seite zeigt die folgenden Details an:

    • Status: Ob die Schnittstelle aktiv oder inaktiv ist.
    • IP-Adresse und Subnetzmaske: Zugewiesene IP-Konfiguration.
    • Übertragene und empfangene Pakete: Verkehrsstatistiken für die Schnittstelle.
    • Fehler und verlorene Pakete: Mögliche Probleme, die während der Kommunikation auftreten.

    Sie können diese Statistiken analysieren, um potenzielle Probleme wie hohe Fehlerraten, übermäßigen Datenverkehr auf bestimmten Schnittstellen oder Schnittstellenfehler zu identifizieren.

    Abbildung 10. OPNsense-Schnittstellendiagnose über Interfaces Netstat

  3. Memory: Dieser Abschnitt bietet Informationen über die Speichernutzung im Zusammenhang mit Netzwerkoperationen. Die Netstat-Speicherseite zeigt die folgenden Details an:

    • Zugewiesener Speicher: Menge des Speichers, die von netzwerkbezogenen Prozessen und Strukturen verwendet wird.
    • Socket-Speicher: Speicherverbrauch speziell für Netzwerksockets.

    Sie können die Speichernutzung in diesem Abschnitt überwachen, um potenzielle Engpässe oder Ressourcenschwankungen zu identifizieren, die die Netzwerkleistung beeinträchtigen.

    Abbildung 11. OPNsense-Schnittstellen-Diagnose über Memory Netstat

  4. Netisr: Dieser Abschnitt bietet Einblicke in die Network Interrupt Service Routine (Netisr), eine Kernel-Komponente, die Netzwerkverkehrsunterbrechungen verarbeitet. Die Netstat Netisr-Seite zeigt die folgenden Statistiken an:

    • Warteschlangen: Anzahl der Warteschlangen, die zur Verarbeitung des Netzwerkverkehrs verwendet werden.
    • Pakete: Anzahl der Pakete, die von jeder Warteschlange verarbeitet werden.
    • Verluste: Anzahl der aufgrund verschiedener Gründe verworfenen Pakete.

    Sie können die Netisr-Statistiken analysieren, um potenzielle Probleme bei der Netzwerk-Interrupt-Verarbeitung zu identifizieren, die auf Leistungsengpässe oder Ressourcenbeschränkungen hinweisen könnten.

    Abbildung 12. OPNsense-Schnittstellendiagnose über Netisr Netstat

  5. Protocol: Dieser Abschnitt zeigt Informationen über verschiedene Netzwerkprotokolle und deren entsprechende Statistiken an. Die Netstat-Protokollseite zeigt die folgenden Details an:

    • Protokollname: z.B. TCP, UDP, ICMP.
    • Übertragene und empfangene Pakete: Verkehrsstatistiken für jedes Protokoll.
    • Fehler: Anzahl der während der Kommunikation für jedes Protokoll aufgetretenen Fehler.

    Sie können Protokollstatistiken analysieren, um potenzielle Probleme zu identifizieren, die spezifisch für bestimmte Protokolle sind, und Ihnen helfen, Probleme im Zusammenhang mit bestimmten Netzwerkdiensten oder Anwendungen zu isolieren.

    Abbildung 13. OPNsense-Schnittstellendiagnose über das Protokoll Netstat

  6. Sockets: Dieser Abschnitt zeigt Informationen über aktive Netzwerksockets auf Ihrem OPNsense-System an. Die Netstat-Sockets-Seite zeigt die folgenden Details an:

    • Lokale und entfernte Adressen und Ports: Beteiligte Parteien an der Kommunikation.
    • Protokoll: Protokoll, das für die Verbindung verwendet wird (TCP, UDP, etc.).
    • Status: Aktueller Zustand der Socket-Verbindung (z.B. hergestellt, lauscht, schließt).

    Sie können Socket-Informationen analysieren, um hergestellte Verbindungen und deren entsprechende Anwendungen oder Dienste zu identifizieren oder um potenzielle Probleme wie Verbindungslecks oder unerwartete Verbindungen zu untersuchen.

Paketaufzeichnung

Die Packet Capture-Funktion auf OPNsense ermöglicht es Ihnen, den Netzwerkverkehr auf bestimmten Schnittstellen zur Fehlersuche und Analyse zu erfassen.

Abbildung 14. OPNsense-Schnittstellendiagnose über Paketaufzeichnung

Sie können die Paketaufnahme in OPNsense verwenden, indem Sie die folgenden Schritte ausführen:

  1. Navigieren Sie zu InterfacesDiagnosticsPacket Capture im OPNsense-Web-UI.

  2. Wählen Sie die Schnittstelle aus, von der Sie den Datenverkehr erfassen möchten, indem Sie das Dropdown-Menü Interface verwenden. Dies könnte Ihr WAN, LAN oder eine andere verfügbare Schnittstelle sein.

  3. Sie können die Promiscuous-Option aktivieren, um den gesamten Verkehr auf der Schnittstelle zu erfassen, einschließlich des Verkehrs, der nicht für die Firewall selbst bestimmt ist. Dies kann hilfreich sein, um die Kommunikation zwischen Geräten in Ihrem Netzwerk zu erfassen, aber seien Sie vorsichtig, da es ein größeres Datenvolumen erfasst.

  4. Wählen Sie den Typ des Verkehrs aus, den Sie erfassen möchten, aus dem Dropdown-Menü Address Family aus. Die folgenden Optionen stehen zur Verfügung:

    • Alle: Erfassen Sie sowohl IPv4- als auch IPv6-Verkehr.
    • Nur IPv4: Erfassen Sie nur IPv4-Verkehr.
    • Nur IPv6: Erfassen Sie nur IPv6-Verkehr.

  5. Sie können Invert Protocol aktivieren, um Pakete zu erfassen, die nicht mit dem ausgewählten Protokoll übereinstimmen.(s).

  6. Wählen Sie spezifische Protocols zum Erfassen aus (e.g., TCP, UDP, ICMP). Wenn Sie es auf "any" belassen, werden alle Protokolle erfasst.

  7. Geben Sie die Host Address an, indem Sie IP-Adressen, MAC-Adressen oder Subnetze eingeben, um erfasste Pakete basierend auf Quelle oder Ziel zu filtern. Dieser Wert repräsentiert entweder die Quell- oder Ziel-IP/MAC-Adresse oder das Subnetz in CIDR-Notation. Die Paketaufnahme wird diese Adresse in beiden Feldern suchen. Um eine Übereinstimmung zu negieren, fügen Sie "not" vor dem Wert hinzu. Boolesche Ausdrücke können mehrere IP-Adressen oder CIDR-Subnetze enthalten. Wenn Sie dieses Parameterfeld leer lassen, werden alle Pakete auf der angegebenen Schnittstelle erfasst.

  8. Sie können Invert Port aktivieren, um Pakete zu erfassen, die nicht mit dem angegebenen Port übereinstimmen.(s).

  9. Geben Sie spezifische Port-Nummern ein, um den Verkehr auf diesen Ports zu erfassen. Es kann entweder der Quell- oder Zielport sein. Wenn Sie es leer lassen, werden alle Ports erfasst.

  10. Definieren Sie die maximale Anzahl von Bytes, die für jedes Paket im Feld Packet Length erfasst werden sollen. 0 erfasst das gesamte Frame.

  11. Stellen Sie die Anzahl der zu erfassenden Pakete in der Count-Option ein. 0 erfasst kontinuierlich, bis es manuell gestoppt wird.

  12. Fügen Sie eine Description für den Erfassungsauftrag hinzu, um die spätere Identifizierung zu erleichtern.

  13. Klicken Sie auf die Schaltfläche Start, um mit der Erfassung von Paketen zu beginnen.

Nachdem die Erfassung abgeschlossen ist, können Sie die erfassten Pakete im Jobs-Tab anzeigen. Sie können die erfassten Daten im pcap-Format herunterladen, um sie mit externen Tools wie Wireshark weiter zu analysieren.

Was sind die Tipps für das Packet Capturing auf OPNsense? Was sind die Tipps für das Paket-Capturing auf OPNsense?

Einige hilfreiche Tipps zum Paketcapturing auf OPNsense sind wie folgt:

  • Das Erfassen großer Datenmengen kann erheblichen Speicherplatz und Ressourcen verbrauchen.
  • Achten Sie auf die Filteroptionen, um unnötige Daten zu vermeiden und sich auf den spezifischen Datenverkehr zu konzentrieren, den Sie analysieren müssen.
  • Verwenden Sie externe Tools wie Wireshark, um die erfassten Pakete zu decodieren und zu inspizieren, um detaillierte Einblicke in die Netzwerkkommunikation und zu Troubleshooting-Zwecken zu erhalten.

Was sind die Vorteile der Paketaufzeichnung auf OPNsense?

Durch die effektive Nutzung der Packet Capture-Funktion in OPNsense können Netzwerkadministratoren eine Fülle wertvoller Einblicke in die Netzwerkaktivität, Verbindungsprobleme, Sicherheitsbedrohungen und die allgemeine Netzwerkintegrität gewinnen. Dieses leistungsstarke Werkzeug ermöglicht das Erfassen und Analysieren des Netzwerkverkehrs in Echtzeit oder basierend auf vordefinierten Filtern, wodurch Administratoren verschiedene netzwerkbezogene Probleme präzise identifizieren und diagnostizieren können.

Zunächst einmal dient die Packet Capture-Funktion als wichtiges Diagnosetool, das Administratoren detaillierte Einblicke in die Netzwerkaktivität bietet. Durch das Erfassen und Analysieren der über das Netzwerk laufenden Pakete können Administratoren die Quelle und das Ziel des Datenverkehrs, die Protokollnutzung, die Bandbreitenauslastung und die Kommunikationsmuster zwischen den Geräten identifizieren. Dieses detaillierte Maß an Einblicken ist unschätzbar wertvoll für die Fehlersuche bei Verbindungsproblemen, die Diagnose von Leistungsengpässen und die Optimierung von Netzwerkressourcen.

Darüber hinaus spielt Packet Capture eine entscheidende Rolle bei der Identifizierung und Minderung von Sicherheitsbedrohungen im Netzwerk. Durch die Überwachung des Netzwerkverkehrs auf verdächtige oder bösartige Aktivitäten können Administratoren potenzielle Bedrohungen wie unbefugte Zugriffsversuche, Malware-Infektionen, Datenexfiltration und Denial-of-Service-Angriffe erkennen. Dieser proaktive Sicherheitsansatz ermöglicht es Organisationen, schnell auf aufkommende Bedrohungen zu reagieren, die Auswirkungen von Sicherheitsvorfällen zu minimieren und sensible Daten vor unbefugtem Zugriff oder Kompromittierung zu schützen.

Zusätzlich erleichtert die Packet Capture-Funktion die Fehlersuche bei verschiedenen netzwerkbezogenen Problemen, die von Konfigurationsfehlern bis hin zu Protokollproblemen reichen. Administratoren können Pakete erfassen, die mit bestimmten Netzwerkdiensten, Anwendungen oder Geräten verbunden sind, wodurch sie Kommunikationsmuster analysieren, Anomalien erkennen und die Ursache von Problemen, die die Netzwerkleistung oder -funktionalität beeinträchtigen, genau bestimmen können. Egal ob bei der Fehlersuche von Verbindungsproblemen, Anwendungslatenz oder Netzwerküberlastung, Packet Capture bietet die notwendige Sichtbarkeit und Daten, um die Problemlösung zu beschleunigen und einen optimalen Netzwerkbetrieb zu gewährleisten.

Die Packet Capture-Funktion in OPNsense ist ein vielseitiges und unverzichtbares Werkzeug für Netzwerkadministratoren, das unvergleichliche Einblicke in Netzwerkaktivitäten, Sicherheitsbedrohungen und Leistungsprobleme bietet. Durch die Nutzung der Funktionen von Packet Capture können Organisationen ihre Netzwerk-Fehlerbehebung verbessern, die Cybersicherheitsabwehr stärken und die Integrität und Zuverlässigkeit ihrer Netzwerkinfrastruktur aufrechterhalten.

Ping

Das Ping-Tool in OPNsense ermöglicht es Ihnen, die grundlegende Konnektivität zu einem bestimmten Host zu testen, indem ICMP-Echo-Anfragen und -Antworten gesendet und empfangen werden.

Abbildung 15. OPNsense-Diagnose über Ping

Sie können auf das Ping-Tool in OPNsense zugreifen, indem Sie die folgenden Schritte ausführen:

  1. Gehen Sie zu InterfacesDiagnosticsPing auf der OPNsense-Weboberfläche.
  2. Geben Sie den Hostnamen oder die IP-Adresse ein, die Sie anpingen möchten, im Feld Hostname or IP ein.
  3. Optional können Sie Address Family auswählen. Standardmäßig ist IPv4 ausgewählt. Wählen Sie IPv6, wenn Sie eine IPv6-Adresse anpingen möchten.
  4. Optional können Sie die Source Address einrichten, die Sie als Quelle für die Ping-Anfrage verwenden möchten, falls erforderlich.
  5. Sie können die Anzahl der zu sendenden Datenbytes im Feld Packet Size angeben. Der Standardwert beträgt 64 Bytes.
  6. Sie können die Option "Fragmentierung nicht zulassen" anklicken, um die Fragmentierung zu deaktivieren. Es kann hilfreich sein, die maximale Paketgröße zu testen, die ein Netzwerk verarbeiten kann.
  7. Fügen Sie eine Description hinzu, um diesen spezifischen Ping-Job im Tab "Jobs" zu identifizieren.
  8. Klicken Sie auf Apply, um den Ping-Test zu starten.

Die Ergebnisse werden im Jobs-Tab angezeigt, wobei die Anzahl der gesendeten, empfangenen und verlorenen Pakete sowie die minimalen, durchschnittlichen und maximalen Round-Trip-Zeiten (RTT) in Millisekunden angezeigt werden.

Port-Überprüfung

Das Port Probe-Tool in OPNsense ermöglicht es Ihnen, einen grundlegenden Verbindungstest zu einem bestimmten Port auf einem entfernten Host durchzuführen. Dieses Tool versucht, eine TCP-Verbindung mit einem angegebenen Host an einem gewählten Port herzustellen. Es funktioniert nicht für UDP-Ports, da es keine zuverlässige Möglichkeit gibt, festzustellen, ob sie auf diese Weise Verbindungen akzeptieren. Es werden keine Daten an den entfernten Host während des Tests übertragen.

Kombinieren Sie das Port Probe mit anderen Diagnosetools wie Ping und Traceroute für ein umfassenderes Verständnis möglicher Netzwerkverbindungsprobleme.

Durch die effektive Nutzung des Port Probe-Tools in Kombination mit anderen Diagnosetechniken können Sie wertvolle Einblicke in die Netzwerkverbindung gewinnen und potenzielle Probleme im Zusammenhang mit Remote-Hosts und spezifischen Diensten beheben.

Abbildung 16. OPNsense-Diagnose über Port-Probe

Sie können das Port Probe Tool in OPNsense verwenden, indem Sie die folgenden Schritte ausführen:

  1. Gehen Sie zu InterfacesDiagnosticsPort Probe auf der OPNsense-Weboberfläche.
  2. Geben Sie die Hostname or IP des Remote-Hosts an, den Sie testen möchten.
  3. Geben Sie die Destination Port an, die Sie auf dem Remote-Host abfragen möchten.
  4. Wählen Sie entweder IPv4 oder IPv6 je nach Adresstyp des Hosts aus dem Dropdown-Menü Choose Address Family aus.
  5. Sie können bei Bedarf eine spezifische Source Address von Ihrer OPNsense-Firewall angeben.
  6. Sie können einen Source Port für die ausgehende Verbindung auswählen. (default is random).
  7. Sie können die Option Show Remote Text aktivieren, um jeden Text anzuzeigen, der vom Remote-Server bei der Verbindung gesendet wird. (might take longer).
  8. Klicken Sie auf Apply.

Sie sehen eine Nachricht mit der Aufschrift "Verbindung hergestellt!", wenn die Verbindung hergestellt wurde. Sie sehen eine Fehlermeldung, die den Grund erklärt (z.B. "Verbindungstimeout"), wenn die Verbindung fehlschlägt. Der Port-Scanner bietet nur eine grundlegende Anzeige der TCP-Konnektivität auf einem bestimmten Port. Es garantiert nicht die Funktionalität des Dienstes, der auf diesem Port läuft, oder die allgemeine Gesundheit des Remote-Hosts.

Traceroute

Das Traceroute-Tool in OPNsense hilft Ihnen, den Pfad zu visualisieren, den Pakete auf dem Weg zu einem bestimmten Host nehmen. Diese Informationen sind entscheidend für die Fehlersuche bei Netzwerkverbindungsproblemen und zur Identifizierung potenzieller Engpässe.

Abbildung 17. OPNsense-Diagnose über Traceroute

Sie können das Traceroute-Tool auf OPNsense verwenden, indem Sie die folgenden Schritte ausführen:

  1. Gehen Sie zu InterfacesDiagnosticsTraceroute auf der OPNsense-Weboberfläche.
  2. Geben Sie die Hostname oder IP-Adresse des Geräts ein, zu dem Sie die Route verfolgen möchten.
  3. Wählen Sie entweder IPv4 oder IPv6 je nach Adresstyp des Hosts aus dem Dropdown-Menü Choose Address Family aus.
  4. Wählen Sie das Protocol für den Traceroute:- UDP: Wird häufig für Traceroute aufgrund seiner Einfachheit verwendet.
    • ICMP: Kann verwendet werden, wenn UDP von Firewalls entlang des Pfades blockiert wird.
  5. Sie können bei Bedarf eine spezifische Source address von Ihrer OPNsense-Firewall angeben.
  6. Klicken Sie auf die Schaltfläche Apply, um die Verfolgung zu starten.

Die Ergebnisse zeigen eine Liste der Hops entlang des Pfades, einschließlich:

  • Hop-Nummer: Sequenzielle Nummer, die jedem Hop zugewiesen ist.
  • Hostname: (if available) Name des Geräts an diesem Punkt.
  • IP-Adresse: IP-Adresse des Geräts an diesem Hop.
  • RTT (Round-trip time): Zeit, die benötigt wird, damit die Probe jeden Hop erreicht und zurückkehrt.
  • Sternchen: Anzeigen von Zeitüberschreitungen oder unerreichbaren Hops.

Traceroute zeigt nur den Pfad der Pakete an und garantiert nicht die Funktionalität spezifischer Dienste auf dem Zielgerät. Interpretieren Sie die Ergebnisse sorgfältig, wobei Sie Faktoren wie potenzielles Lastenausgleich oder redundante Pfade berücksichtigen, die die angezeigte Route beeinflussen könnten.

Warum verwenden Sie Traceroute?

Sie können das Traceroute-Tool auf OPNsense für die folgenden Zwecke verwenden:

  • Identifizierung des Netzwerkpfads: Visualisieren Sie die Reihenfolge der Geräte, die Pakete durchlaufen, um das Ziel zu erreichen.
  • Fehlerbehebung bei Verbindungsproblemen: Lokalisieren Sie potenzielle Probleme wie unerreichbare Hops, hohe Latenz an bestimmten Punkten oder ineffiziente Routing-Pfade.
  • Isolierung von Netzwerksegmenten: Kombinieren Sie Traceroute mit Ping, um genau festzustellen, wo Verbindungsprobleme entlang des Netzwerkpfads auftreten könnten.

Durch die effektive Nutzung des Trace Route-Tools in OPNsense können Sie wertvolle Einblicke in die Netzwerkverbindung gewinnen und verschiedene netzwerkbezogene Probleme effizient beheben.

Die Ergebnisse zeigen eine Liste der Hops zwischen Ihrer Netzwerkschnittstelle und dem Ziel, zusammen mit der Antwortzeit für jeden Hop. (in milliseconds). Wenn die dazwischenliegenden Geräte dies unterstützen, können Sie dank der Rückwärtsauflösung deren Hostnamen sehen.

Denken Sie daran, dass die Ergebnisse je nach Netzwerkbedingungen und Konfigurationen variieren können.

Firewall-Diagnose

Der Abschnitt Firewall-Diagnose im OPNsense-Firewall-Menü bietet verschiedene Werkzeuge und Informationen zur Fehlersuche bei Netzwerkverbindungen und der Funktionalität der Firewall. Hier ist eine Übersicht über jedes Tool und seinen Zweck:

Aliase

Sie können die Diagnosedaten für Aliase anzeigen, indem Sie im OPNsense-Web-UI zu FirewallDiagnosticsAliases navigieren. Diese Seite bietet eine detaillierte Ansicht der definierten Aliase. (named groups of IP addresses or networks). Es zeigt Informationen wie Aliasnamen, Inhalt (IP-Adressen/Netzwerke) und Statistiken an. (if enabled). Es ermöglicht die manuelle Bearbeitung durch Hinzufügen, Löschen oder Finden von Verweisen auf spezifische Adressen innerhalb von Aliassen.

Abbildung 18. OPNsense Firewall-Diagnose über Aliase

Sitzungen

Die Seite "Firewall-Diagnose-Sitzungen" verwendet das Tool pftop, um Echtzeitinformationen über aktive Netzwerksitzungen anzuzeigen. Diese Seite zeigt die folgenden Details an:

  • Richtung (eingehend/ausgehend)
  • Verwendetes Protokoll
  • Quell- und Zieladressen und -ports
  • Gateway, das für die NAT-Übersetzung verwendet wird (if applicable)
  • Zustand der Sitzung (e.g., established, closing)
  • Alter und Ablaufzeit der Sitzung
  • Paket- und Byte-Zähler für die Sitzung
  • Regel, die mit der Sitzung verbunden ist (if applicable)

Abbildung 19. OPNsense-Firewall-Diagnose über Sitzungen*

Was ist das Ziel der Nutzung der Firewall-Sitzungsdiagnose?

Sie können die Seite "Firewall-Diagnosesitzungen" auf Ihrem OPNsense für die folgenden Zwecke nutzen:

  • Suchen Sie nach unerwarteten Verbindungen oder fehlenden Einträgen, die den gewünschten Diensten entsprechen.
  • Identifizieren Sie potenzielle Engpässe, indem Sie hohe Paketanzahlen oder langsame Übertragungsraten für bestimmte Sitzungen beobachten.
  • Filtern Sie den Datenverkehr nach Quelle, Ziel oder Port, um relevante Verbindungen zu isolieren.
  • Vergleichen Sie die beobachteten Verkehrsdetails mit dem beabsichtigten Regelverhalten.
  • Fehlende Sitzungen für den erwarteten Datenverkehr identifizieren, was auf potenzielle Regelprobleme hinweist.
  • Überprüfen Sie, ob die etablierten Sitzungen mit dem Zweck der entsprechenden Firewall-Regel übereinstimmen.

Zustände

Die Seite "Firewall Diagnostics States" bietet Einblicke in die Zustands-Tabelle der Firewall, die aktive Verbindungen verfolgt. Es ermöglicht das Suchen, Anzeigen von Details und sogar das Zurücksetzen der gesamten Zustands-Tabelle. Die Seite "Firewall-Diagnosezustände" zeigt die folgenden Details an:

  • Status-ID und Ursprung
  • Verwendete Schnittstelle
  • Richtung (eingehend/ausgehend)
  • Verwendetes Protokoll
  • Quell- und Zieladressen und -ports
  • NAT-Übersetzungsinformationen (if applicable)
  • Zustand der Verbindung (e.g., established, closing)
  • Regel, die mit dem Zustand verbunden ist (if possible)
  • Option, einzelne Zustände zu verwerfen

Abbildung 20. OPNsense Firewall-Diagnose über Zustände

Was ist das Ziel der Nutzung der Firewall-Zustandsdiagnose?

Sie können die Seite "Firewall-Diagnosedaten" auf Ihrem OPNsense für die folgenden Zwecke nutzen:

  • Um aktive Verbindungen und deren Zustände zu überprüfen.
  • Identifizieren Sie Verbindungen, die sich in unerwarteten Zuständen befinden (z.B. "FIN_WAIT_1" für lange Zeit), was auf potenzielle Probleme hinweist.
  • Überprüfen Sie, ob die Verbindungen den beabsichtigten Firewall-Regeln zugeordnet sind.
  • Setzen Sie die Zustandstabelle zurück (vorsichtig verwenden) unter bestimmten Fehlerszenarien, aber beachten Sie, dass dabei alle aktiven Verbindungen getrennt werden.
  • Um die Zustandskorrelation zur Fehlersuche bei Firewall-Regeln zu überprüfen

Statistiken

Seite der Firewall-Diagnose-Statistiken: Sie sammelt verschiedene detaillierte Statistiken im Zusammenhang mit dem Betrieb der Firewall. Diese Seite zeigt die folgenden Informationen an:

  • Paketzähler pro Schnittstelle (incoming, outgoing, dropped)
  • Speicherauslastung und -grenzen
  • Konfigurierte Zeitüberschreitungen für verschiedene Operationen
  • Liste der aktiven Firewall-Regeln mit detaillierten Informationen

Abbildung 21. OPNsense-Firewall-Diagnose über Statistiken

Was ist das Ziel der Nutzung der Firewall-Statistikdiagnose?

Sie können die Seite der Firewall-Diagnosedaten auf Ihrem OPNsense für die folgenden Zwecke nutzen:

  • Um die Firewall-Leistung zu überwachen
  • Um die Paketzähler pro Schnittstelle zu analysieren, wie Eingehend, Ausgehend oder Verworfen.
  • Um ungewöhnlich hohe Verkehrsvolumina auf bestimmten Schnittstellen zu identifizieren, die möglicherweise auf Netzwerküberlastung oder verdächtige Aktivitäten hinweisen.
  • Um hohe Verlustquoten zu untersuchen, die auf restriktive Firewall-Regeln oder Leistungsengpässe hindeuten.
  • Um die Ressourcennutzung zu bewerten
  • Um die Speichernutzung und konfigurierten Zeitüberschreitungen zu überwachen.
  • Um potenzielle Speicherengpässe zu identifizieren, die die Firewall-Leistung beeinträchtigen.
  • Passen Sie die Timeouts vorsichtig an, basierend auf Ihrer spezifischen Netzwerkumgebung und den Anforderungen der Fehlersuche.

Durch die effektive Nutzung der Diagnosetools in OPNsense können Sie wertvolle Einblicke in die Netzwerkaktivität gewinnen, verschiedene netzwerkbezogene Probleme beheben und sicherstellen, dass Ihre Firewall optimal funktioniert.

VPN-Diagnose

Virtuelle private Netzwerke (VPNs) bieten einen sicheren Tunnel für Ihren Internetverkehr, verschlüsseln Daten und anonymisieren Ihre Online-Aktivitäten. Jedoch können selbst bei einer gut konfigurierten VPN unvorhergesehene Probleme auftreten. Hier kommen die VPN-Diagnosen ins Spiel.

Diagnosen ermöglichen es Ihnen, proaktiv die Gesundheit und Funktionalität Ihrer VPN-Verbindung zu überwachen, um sicherzustellen:

  • Sicherheit: Überprüfung der sicheren Verschlüsselung und der ordnungsgemäßen Authentifizierungsprotokolle.
  • Zuverlässigkeit: Identifizierung von Verbindungsproblemen, Tunnelunterbrechungen oder Leistungsproblemen.
  • Fehlerbehebung: Identifizierung von Konfigurationsfehlern und Behebung spezifischer Probleme in Ihrer OPNsense-Konfiguration.

WireGuard

OPNsense bietet Werkzeuge, um Ihnen bei der Diagnose und Behebung von Problemen mit Ihrer WireGuard-Konfiguration zu helfen. Sie können WireGuard auf Ihrem OPNsense-Gerät beheben, indem Sie zu VPNWireGuardDiagnostics navigieren. Dieser Abschnitt zeigt Informationen über Ihre konfigurierten Instances und Peers in separaten Tabs an.

Die Seite der WireGuard-Instanzen stellt Ihre WireGuard-Serverkonfigurationen mit den folgenden Details dar.

  • Letzter bekannter Handshake: Zeigt den Zeitstempel der letzten erfolgreichen Kommunikation mit dem verbundenen Peer an.
  • Datenübertragung: Gibt die Menge der in beide Richtungen durch den Tunnel übertragenen Daten an.
  • Schnittstellenstatus (wgX): Gibt an, ob die zugrunde liegende Schnittstelle (z.B. wg0, wg1) aktiv und betriebsbereit ist. (depends on CARP configuration, if applicable).

Die WireGuard Peers-Seite zeigt die verbundenen Geräte innerhalb Ihres WireGuard-Netzwerks an. Es zeigt Letzte bekannte Handshake an, das den Zeitstempel der letzten erfolgreichen Kommunikation anzeigt.

Sie können die WireGuard-Protokolldatei auf OPNsense anzeigen, indem Sie zu VPNWireGuardLog File navigieren. Diese Protokolldatei enthält detaillierte Informationen über WireGuard-Ereignisse und mögliche Fehler. Sie können mit der Überprüfung der Protokolle beginnen, wenn Sie auf Konfigurations- oder Verbindungsprobleme stoßen.

OpenVPN

Obwohl OPNsense empfiehlt, für neue VPN-Setups zu WireGuard zu wechseln, bleibt OpenVPN für Legacy-Konfigurationen verfügbar.

Abbildung 22. OPNsense OpenVPN-Protokolle

Sie können die OpenVPN-Protokolldatei anzeigen, indem Sie zu VPNOpenVPNLog File navigieren.

Einige OpenVPN-Fehlerbehebungstipps sind unten aufgeführt:

  • Suchen Sie im Protokoll nach Fehlermeldungen, die sich auf Verbindungsversuche, Konfigurationsprobleme oder unerwartetes Verhalten beziehen.
  • Überprüfen Sie Ihre OpenVPN-Server- und/oder Client-Einstellungen basierend auf Ihrem Setup-Typ erneut. (Site-to-Site or Road Warrior).
  • Stellen Sie die korrekte Portnutzung sicher (Standard: 1194 UDP), Tunnelnetzwerke, Firewall-Regeln und Spezifikationen des entfernten Netzwerks.
  • Überprüfen Sie, ob der OpenVPN-Server läuft und zugänglich ist.
  • Überprüfen Sie, ob die Firewall-Regeln den Datenverkehr auf dem OpenVPN-Port (1194 UDP) und der Tunnel-Schnittstellengruppe zulassen. (OpenVPN).
  • Stellen Sie sicher, dass das Client-Gerät eine gültige Internetverbindung hat und den Server erreichen kann.
  • Wenn Zertifikate verwendet werden, überprüfen Sie deren Gültigkeit und ordnungsgemäße Konfiguration sowohl auf dem Server als auch auf dem Client bei Authentifizierungsproblemen.
  • Wenn Zertifikate verwendet werden, überprüfen Sie deren Gültigkeit und korrekte Konfiguration sowohl auf dem Server als auch auf dem Client bei Authentifizierungsproblemen. - Wenn die Authentifizierung mit Benutzername/Passwort erfolgt, stellen Sie sicher, dass die richtigen Anmeldeinformationen vom Client eingegeben werden. Wenn Sie die Authentifizierung mit Benutzername/Passwort verwenden, stellen Sie sicher, dass der Client die richtigen Anmeldeinformationen eingibt.
  • Wenn Sie Überschreibungen verwenden, überprüfen Sie die Protokolle auf Meldungen wie "unable to write client config" oder "overwrite not found", um Abweichungen zu identifizieren.
  • Überprüfen Sie, ob Ihre Overrides mit dem X.509-Common-Name (Standardübereinstimmung) oder dem Benutzernamen des Clients übereinstimmen. (if using specific settings).
  • Stellen Sie sicher, dass die virtuelle IP-Adresse (CARP) sowohl für den Server als auch für den Client (falls zutreffend) in einer Hochverfügbarkeitsumgebung ordnungsgemäß konfiguriert ist und überprüfen Sie, ob der Client aufhört, sich erneut zu verbinden, wenn er sich nicht im "MASTER"-Modus befindet. (new instances).

Indem Sie diese Schritte befolgen und die verfügbaren Diagnosetools verwenden, sollten Sie in der Lage sein, die häufigsten OpenVPN-Probleme auf Ihrer OPNsense-Firewall zu identifizieren und zu beheben.

IPsec

Verwenden Sie das Menü VPNIPsecStatus Overview, um alle konfigurierten IPsec-Tunnel anzuzeigen und deren Verbindungen zu überwachen. Der Abschnitt Statusübersicht bietet eine klare Übersicht über alle konfigurierten IPsec-Tunnel, einschließlich ihres aktuellen Status (verbunden, getrennt usw.), der Betriebszeit und anderer relevanter Informationen. Dies ermöglicht es Ihnen, die Gesundheit und Aktivität Ihrer VPN-Verbindungen einfach zu überwachen.

Abbildung 23. OPNsense IPSec-Diagnosen

Abbildung 24. OPNsense IPsec Statusübersicht

Die IPsec Security Policy Database (SPD) bietet detaillierte Einblicke in die registrierten Richtlinien, die mit Ihren IPsec-Tunneln verbunden sind. Die Seite der IPsec-Sicherheitsrichtliniendatenbank enthält die folgenden Informationen:

  • Quell- und Zieladressen: Gibt den erlaubten Datenverkehr zwischen den verbundenen Netzwerken an.
  • Protokolle: Identifiziert die Protokolle, die durch das Tunnel erlaubt sind (e.g., TCP, UDP).
  • NAT-Durchquerung: Gibt an, ob Network Address Translation (NAT) für den Tunnel verwendet wird und zeigt alle zusätzlichen SPD-Einträge im Zusammenhang mit NAT an.

Durch die Nutzung dieser Funktionen können Sie Ihre IPsec-VPN-Verbindungen effektiv überwachen und verwalten, um eine sichere und zuverlässige Kommunikation zwischen Ihren Netzwerken zu gewährleisten.

OPNsense bietet umfassende Protokollierungsfunktionen für seine IPsec-Tunnel, die wertvolle Einblicke zur Fehlersuche und Überwachung Ihrer VPN-Verbindungen bieten. Sie können die IPsec-Protokollfunktion für Diagnosen nutzen, indem Sie zu VPNIPsecLog file navigieren:

Die Protokolldatei zeigt die folgenden Einträge im Zusammenhang mit Ihren IPsec-Tunneln an:

  • Zeitstempel: Datum und Uhrzeit des protokollierten Ereignisses.
  • Schweregrad: Gibt die Schwere des Ereignisses an (e.g., info, warning, error).
  • Nachricht: Bietet eine detaillierte Beschreibung des Ereignisses, einschließlich:
  • Tunnelname: Der spezifische IPsec-Tunnel, der beteiligt ist.
  • Ereignistyp: Ob es sich um einen Verbindungsversuch, einen Authentifizierungsprozess, einen Datentransfer oder eine Fehlermeldung handelt.
  • Zusätzliche Details: Spezifische Informationen im Zusammenhang mit dem Ereignis, wie Fehlercodes, Paketdetails oder Verweise auf Sicherheitsrichtlinien.

Sie können die Protokolle zur Diagnose analysieren, indem Sie die folgenden Aufgaben ausführen:

  1. Relevante Einträge identifizieren: Filtern Sie die Protokolleinträge basierend auf dem Zeitstempel, dem Schweregrad oder spezifischen Schlüsselwörtern, die mit dem aufgetretenen Problem in Zusammenhang stehen.
  2. Interpretieren Sie die Nachricht: Analysieren Sie sorgfältig die in jedem Eintrag bereitgestellten Details. Suchen Sie nach Fehlermeldungen, Warnungen oder ungewöhnlichen Ereignissen, die auf potenzielle Probleme hinweisen könnten.
  3. Einträge korrelieren: Bei wiederkehrenden Problemen mehrere Protokolleinträge über verschiedene Zeitstempel hinweg analysieren, um Muster zu erkennen oder eine Zeitleiste der Ereignisse zu erstellen, die zum Problem führen.
  4. Ressourcen konsultieren: Konsultieren Sie die OPNsense-Dokumentation oder Online-Ressourcen für spezifische Anleitungen zur Interpretation von Fehlermeldungen und zur Fehlersuche bei häufigen IPsec-Problemen basierend auf den in den Protokollen gefundenen Informationen.
Letztes Update am von Zenarmor