Messages

Hallo.

Ich will es jetzt endlich einmal angehen und meine beiden OPNsense-VMs (die ganz prima laufen, aber dennoch...) gegen Appliances ersetzen, habe aber zwei Fragen dazu:

• Welche kaufe ich am besten? Die "Originale", also DECxxx? Ich frage, weil der Gockel auf die Frage nach OPNsense-Appliances auch ganz viele andere Anbieter, teilweise deutlich günstiger, auswirft.
• Wenn ich eine DECxxx nehme, wo kaufe ich die am besten? Auf Anhieb sehe ich shop.opnsense.com und landitec.de. Helfe ich den Entwicklern, wenn ich bei opnsense direkt kaufe? Oder ist das egal?
• Was brauche ich überhaupt? Ich habe aktuell eine VM mit 4 GB, laut Dahsboard zu 20% genutzt, und eine 128 GB-VDI, laut Dashboard zu 8% genutzt. Mir reichen wohl drei Netzwerkkarten (WAN, LAN und DMZ). Ich habe nur den "Standard" laufen, möchte allerdings DNS und DHCP noch aktivieren. Soll ich dann die DEC677 nehmen? Oder spricht trotzdem etwas für die DEC697?
• Wie richte ich das Ding dann ein? Könnte oder wird es ausreichen, die Konfiguration der VM zu exportieren, auf die Appliance zu importieren und die Namen der Netzwerkkarten anzupassen? Oder muss ich mit Problemen rechnen? Na gut, rechnen muss man immer damit... aber sind welche zu erwarten?

1. Ja, danke, das habe ich vermutet, war nur unsicher, weil dort "diese Schnittstelle" steht. Aber offenbar ist damit gemeint "für den DHCP-Server auf dieser Schnittstelle".

2. Dann muss ich "Unbound DNS" ANSTELLE des Dnsmasq-DNS-Diensts nutzen? Aber bei "normalem" Dnsmasq geht es, wie gesagt, ganz einfach über die Hosts-Datei, und "wer lesen kann, ist klar im Voretil": dort steht ja wörtlich "Do not read hostnames in /etc/hosts", dann passt das.

3. Ja, die festen IPs (die der Server) habe ich auch jetzt auf beiden Dnsmasq, es geht mir eher um die DHCP-Clients. Da das aber nicht so unendlich oft vorkommt, kann ich wohl damit leben.

Danke!

Danke, wäre interessant, wie der Tarif heißt.

Da steht dran "Business Mobil Data XS".

... und wenn ich danach suche: https://www.startpage.com/do/dsearch?q=%22Business+Mobil+Data+XS%22&cat=web&language=deutsch

komme ich zu: https://geschaeftskunden.telekom.de/mobilfunk

Ich habe jetzt herausgefunden, dass es tatsächlich am "Finden der eigenen IPv4 liegt:

Wenn ich auf meinem Ubuntu-Host aufrufe

Code Select Expand

sudo ddclient -daemon=0 -debug -verbose -noquiet -ip <meineIP>,
dann funktioniert das Update.

Mit

Code Select Expand

ifconfigfinde ich heraus, wie meine Interfaces heißen (dachte ich zumindest), aber wenn ich dann

Code Select Expand

sudo ddclient -daemon=0 -debug -verbose -noquiet -if enp3s0aufrufe, steht unten wieder die Fehlermeldung

Code Select Expand

WARNING:  found neither ipv4 nor ipv6 address
DEBUG:    get_ip: using ip, ip reports <undefined>
WARNING:  unable to determine IP address

Auf meiner OPNsense ist die richtige Schnittstelle eingetrage, und ich sehe, dass am 11.01.2025 das Update geklappt hat, seitdem aber immer wieder die beiden Meldungen stehen.

NB: Ich nutze INWX als Provider und "DynDNS-Dienst". Was mache ich denn bloß falsch?

Ok, meine Fragen waren ungeschickt gestellt, deshalb noch einmal:

1. Wenn ich möchte, dass manche DHCP-Clients immer die selbe IP bekommen (Adressreservierung), wo und wie trage ich das ein? ALso nicht dort unten?

2. Hier bin ich gesprungen von DHCP zu DNS: Wie trage ich die festen IPs ein (also die Rechner im lokalen Netz, auf deren Karten eine feste Nicht-DHCP-IP eingetragen ist)? Bei dnsmasq auf meinem Ubuntu muss ich dazu die Datei hosts füllen. Ist das hier auch so? Wenn ja, wo muss diese Datei liegen?

3. Wenn beide Subnetze zur selben lokalen Domain haben, geht es also nicht? Ok, ich kann das verstehen, hatte aber die Hoffnung, dass man einstellen könnte, dass ein weitergeleiteter Aufruf nicht an den Aufrufer (zrück-)weitergeleitet wird. Aber das ist wohl zu viel verlangt.

Ich habe meinen Zugang bei der Telekom (allerdings ein Business-Vertrag), und die haben mir letztens genau dafür eine SIM-Karte zugeschickt. Ich habe das zwar noch nicht ausprobiert, aber ich meine, das ist tatsächlich eine Prepaid-Lösung, die normalerweise keine Kosten verursacht.

... funktioniert nicht mehr - hat es aber vorher.

"Plötzlich" funktioniert sowohl auf meiner OPNsense (VBox-VM) als auch auf dem darunterliegenden Host der "ddclient" nicht mehr. Bei beiden erhalte ich nacheinander die beiden Meldungen "WARNING: found neither IPv4 nor IPv6 address" und "WARNING: Could not determine an IP for <myDomain>". Die hinterlegten Credentials sind sehr sicher richtig, und der Client HAT ja auch funktioniert. (Allerdings gebe ich zu, dass ich nicht weiß, wie lange er schon nicht mehr korrekt arbeitet - vielleicht seit einem der letzten OPNsense-Updates?)

Hallo.
Ich habe aktuell ein separates Ubuntu mit DNSMASQ laufen, aber wenn ich es richtig verstehe, kann ich mir das ja "schenken" und die beiden Dienste stattdessen auf meiner OPNsense nutzen?

Da ich die OPNsense nur über die Web-GUI konfigurieren kann, habe ich dazu aber ein paar Fragen:

1. DHCP-Adressreservierungen nehme ich im unteren Teil unter "Statische DHCP-Zuweisung für diese Schnittstelle" vor?
Mich verwirrt das "diese Schnittstelle" ein bisschen, das kann an der GUI liegen oder an mir.

2. Wo trage ich für den DNS-Server die fest vergebenen IPs ein? Irgendwo in der GUI? Oder mit einer hosts-Datei (die dann wo liegen muss)? Oder ganz anders?

3. Ich habe zwei Standorte (mit Tunnel dazwischen), und hatte zuerst die beiden DNSMASQs auf meinen Ubuntus so eingerichtet, dass sie jeweils auf den anderen weiterleiteten, um auch Namen im anderen Subnetz aufzulösen. Dabei hatte ich dann das Problem, dass die beiden bei externen Adressen "Pingpong spielten" ... bis zu einem lange dauernden Timeout. Kann ich das verhindern? Wenn ja: Explizit irgendwo? Oder indem ich NICHT ankreuze "DNS-Server equentiell abfragen? Oder kann DNSMASQ das einfach niemals?

Na ja, es gibt ein Für und Wider für alles, und genau deshalb habe ich ja nach Euren Meinungen gefragt.

Allerdings kann ich das "Herumgehacke" auf Virtualbox nicht so ganz verstehen. Selbstverständlich habe ich nicht irgend eine Windows-Kiste mit VirtualBox, sondern das läuft auf einem GUI-less Ubuntu-Server und wird ausschließlich aus der Shell bedient.
Mehrere Netzwerkkarten einzubinden ist vollkommen unproblematisch, und der Zugriff auf laufende VMs gelingt mit xfreerdp auch sehr gut. Das was ich brauche, nämlich stabil laufende VMs, Snapshots, Verwaltung über die Shell bzw. Skripte und die Möglichkeit, Backup und Restore per Kopieren auf dem Dateisystem zu machen, kann VirtualBox, und das reicht mir.

(Es mag sein, dass ich "noch Schlechteres" gewohnt bin, weil ich ursprünglich von Hyper-V komme, aber zumindest gegen das MS-Zeugs ist VirtualBox viele Klassen besser.)

Ich wüsste nicht, warum ich unbedingt ESXi oder PVE nutzen sollte. Und KVM, gebe ich zu, habe ich mal probiert, aber nicht auf Anhieb zum Laufen gebracht und es deshalb damit aufgegeben.

Ich benutze für daheim im Homeoffice eine DEC740 mit Zyxel vmg3006-d70a als Modem. Das Internet ist zu 99.99% stabil. Und wenn nicht ist der DSLAM der Telekom manchmal schuld.

Ich hatte ein VMG1312, aber weil das "nur" 100 MBit/s kann, habe ich jetzt ein VMG4005. Das ist auch recht stabil.
Du nutzt das Zyxel also auch nur als Modem und überlässt die Einwahl der OPNsense?

Ja, ok, davon bin ich ja wie schon geschrieben mittlerweile überzeugt. Deshalb habe ich ja meinen Folgefragen-Katalog gepostet ;-)

Würde ich für privat immer wieder so machen.

Mir geht es schon um mein Firmennetz.

Auf alle Fälle sage ich schon jetzt: "Vielen Dank für Eure Meinungen!" Genau solche Argumente wollte ich haben und tendiere nun auch eher zum Kauf einer Appliance (bzw. zwei davon).

Sollte man dann die Dinger hier kaufen? Für mich reicht wahrscheinlich die "kleinste", also DEC677. Wobei ich zugebe, gar nicht richtig zu verstehen, was der Unterschied bei der DEC697 ist? Wozu ist der "größere" oder "andere" Speicher gut? Was sind die dort genannten "Disk Writes"? Wenn ich z.B. meinen DHCP- und DNS-Server dort laufen lassen will (sind aktuell virtuelle Ubuntus))?

Ich nehme an, dass man mit einer solchen "speziellen" Appliance einfacher und vielleicht auch besser fährt als mit selbst zusammengestellter Hardware?

Vielleicht sage ich einfach, was ich brauche:

Ich habe die OPNsense zur Zeit als Firewall, und sie stellt auch die Telekom-Einwahl her, d.h. mein Zyxel ist nur DSL-Modem? Oder wäre es "besser", wenn das Zyxel sich einwählt, und man die OPNsense dort nur anstöpselt? (OT: Ich gebe zu, dass das historisch gewachsen ist, denn ganz früher hatten wir den unsäglichen MS-TMG laufen, und der konnte keinen Tunnel bauen, wenn er nicht selbst auch die Einwahl vornahm - jetzt sind wir MS-frei, könnten das also ändern.)

Zusätzlich muss ich einen Tunnel zwischen meinen beiden Standorten aufbauen (aktuell IPSec, ich habe aber verstanden, dass ich den auf OpenVPN umstellen soll) und die xterne EInwahl ermöglichen (ist jetzt schon OpenVPN).

Wenn das möglich ist, würde ich mittelfristig dort auch meinen DNS- und DHCP-Server laufen lassen wollen (oder gehören die von der Philosophie her nicht auf die Firewall?). Und wie wäre es mit einem späteren LDAP (oder gehört der erst recht nicht dorthin?)?

Bitte nicht böse sein über die vielen Fragen - oder sollte ich dafür einen neuen Thread aufmachen?

das XML umgeschrieben von den alten HW/VM Interfaces zu den neuen der neuen Box

Die Änderung der Interfaces ist klar, aber mit der XML habe ich (noch) Probleme, ich kann bisher alles nur über die (Web-)GUI machen. Gibt es irgendwo eine schöne Stelle zum Nachlesen, wie man die OPNsense "direkt" mit Hilfe der Konfigurationsdatei bearbeitet?

Eine Virtual Box ist prima, wenn man mal fix etwas ausprobieren möchte.
Für den Betrieb aber ungeeignet
[...]
Dazu Snapshots und echtes Backup der VM alles unabhängig und automatisch, auf jedes Medium das ich will.

Jetzt verstehe ich aber nicht, was Du favorisierst? VBox ist ungeeignet - bietet aber flexiblere Möglichkeiten?