Messages

Ich danke Dir für die Hilfe.

Genau das mag ich eigentlich auch vermeiden, dass man dann die ganzen MAC Adressen da sieht. So wie von Dir beschrieben würde ich diese dann nur auf dem Switch sehen, oder?

Ja.

Rein in der Theorie: Könnte ich denn das eth3 interface der OPNsense nicht so einstellen, dass es wie ein Switch das Freifunk Netz aufnimmt? Oder geht das einfach überhaupt nicht und ich muss es direkt an einen Switch hängen?

Jein. Du kannst es ranhängen und dann in ein anderes VLAN (das existierende) weiterleiten. Das sorgt aber nur für viel Müll auf der OPNsense. Zumindest im Freifunk Rhein-Neckar war es so, dass man da alle Netzwerkteilnehmer sah, d.h. du hast Unmengen MAC-Adressen da rumschwirren. Bringt in meinen Augen keinen Mehrwert.
Und den Traffic misst du auch falsch, da der Overhead des VPNs fehlt.

EDIT: Kurz zur Erklärung, warum ich das will.... Ich hätte halt gerne ein wenig einen Überblick, was eben an Traffic über das Netzwerk geht in der OPNsense - und würde mir das gerne entspr. einfach darstellen lassen. Daher der Gedanke, dass über die Sense laufen zu lassen.

EDIT2: Mehr oder weniger so etwas wie die Interface Statistics hätte ich gerne - das würde mir völlig ausreichen. Oder geht es nur mit den Switch-Statistiken einzusehen?

Wenn du wissen willst, was das Freifunk-Netz für Traffic erzeugt, dann hänge das WAN des Freifunk-Offloaders an dein eth3. Dann bekommst du den Traffic zwischen dem Offloader und den VPN-Gegenstellen mit. Und das ist genau der Traffic, den das Freifunk-Netzwerk über deine Internetverbindung benötigt.
Ich würde das wie ein Gast-Netzwerk einrichten, komplett getrennt von allen anderen Netzwerken.

Gruß
KH

Hi,

Die UniFi UDM ist ein Router und Switch in einem. Das ist die OPNsense normalerweise nicht.

Zur Funktionsweise der Freifunk Offloader: über einen Internetzugang an NIC 1 (WAN) baut er einen VPN Tunnel zu den Freifunk Gateways auf und bietet dann an NIC 2 (LAN) das Freifunk Netz an, welches dann auf APs als WLAN angeboten werden kann, meist auf einer SSID Freifunk-...

D.h. Das was auf NIC 2 des Freifunk Offloaders rauskommst brauchst du und willst du nicht auf der OPNsense. Das geht nur in den Switch auf ein eigenes VLAN wie bisher. Dieses musst du nicht in der OPNsense anlegen. Das verwirrt da nur.

Auf NIC 1 bauchst du eigentlich nur Internetzugang. Am besten ins Gäste-Netzwerk damit. Ob das direkt an der OPNsense oder an einem Switch hängt ist egal.

Gruß
KH

Hi,

the way I removed such unwanted addresses on a Linux client, was to edit the /var/lib/dhcp/dhclient6.<ifname>.conf and remove the address there. I stopped the dhclient6 process before. After a restart (ifup) of the dhclient6, the old address was gone.

KH

Hi,

ich frage mich, ob der Adguard vor dem Wireguard startet und das Interface nicht da ist ...
Was nehmt ihr denn für eine IP der Firewall um Adguard Home anzusprechen? Eine aus dem Wireguard Netz oder eine aus dem LAN/internes Netz? Sind irgendwelche Regeln im Weg?
Ich habe bei mir Adguard Home in ein eigenes VLAN verbannt, d.h. er läuft nur auf diesem Interface, und Regeln eingerichtet, dass er per DNS/DoH/DoT und DoQ erreicht werden kann. Und es klappt aus dem WireGuard VPN problemlos. Nachteil ist halt, dass ich für jedes (V)LAN im DHCP und in den Router Advertisments die IP des DNS-Servers anpassen muss.

Und warum man Port 5353 UDP nicht nehmen sollte: Der wird für mDNS Broadcast (Bonjour, ZeroConfig, AVAHI und wie sie alle heißen) verwendet. Falls man mal Apple Airplay bzw. Chromecast über Netzwerkgrenzen betreiben will sollte dieser Port dafür frei sein.

Gruß
KH

[Block private networks]

Hi,

DS Lite heißt, dass du eine öffentliche IPv6 und eine Carrier Grade NAT IPv4 oder Private IPv4 bekommst. D.h. Du musst auf dem WAN den Hacken bei Block private networks rausnehmen. Wozu brauchst du da GIF?

And in English, if you do not speak German. Which you should have mentioned.
DS Lite means you get a public IPv6 and a Carrier Grade NAT IPv4 or private IPv4. You need to disable on WAN Block private networks. Why you need GIF here?

KH

[ändern]

Eine blöde Frage habe ich auch.

Ich habe es für IPv4 auch zum Laufen gebracht, dass AGH mir auf der Web UI die Namen der Geräte anzeigt. Aber wie mache ich das, dass das auch für IPv6 geht?
Bei "Private reverse DNS servers" habe ich nun auch noch die link lokale IPv6 meiner Sense in einer extra Zeile eingetragen. Allerdings scheint sich hier selbst nach einer Weile nichts zu tun. Die Namen der Geräte werden mir nur dann angezeigt, wenn AGH sie mit einer IPv4 anzeigt.

IPv6 DNS Auflösung der eigenen IPv6 Adressen aus dem Heimnetzwerk ist schwierig. Ich gehe jetzt mal von Unbound oder Dnsmasq aus. Du musst ja in der OPNsense entweder die Overrides eintragen oder der DHCP-Server registriert die IP-Adressen und Namen. Mit IPv4 hast du ja bei den Overrides statische Adressen und mit DHCP dynamische (oder dort statisch zugewiesen) aus deinem von dir gewählten privaten Netzwerkraum der sich nicht ändert.
Mit IPv6 hast du in der Regel einen dynamisch von deinem Provider zugewiesenen Prefix der sich ändern kann. Diesen verteilt die OPNsense dann auf ihre internen Netzwerke. Bei SLAAC wählen ja die Rechner selbst ihre Adresse, nach welchen Regeln hängt vom Betriebssystem ab. Ob es Software gibt, die aus der NDP (Neighbor Discovery Protocol) die Adressen im DNS registriert weiß ich nicht, wäre ja mal ein interessantes Projekt. Und bei Verwendung von DHCPv6 ist das registrieren im DNS soweit ich weiß auch nicht implementiert. Ich verwende DHCPv6 nicht und bin mir da nicht sicher.
Das einzige was man machen kann ist ULA (Unique Local Addresses) zu verwenden und zumindest die Server und Ähnliches von Hand in die Overrides einzutragen. Für die klappt dann auch die DNS-Auflösung.
Das Grundproblem ist also woher die Daten kommen. Wenn der DNS-Server auf der OPNsense keine IPv6 Adressen kennt, dann kann Adguard Home auch keine bekommen und weitergeben.
Die Link Local IPv6 deiner OPNsense brauchst du nicht einzutragen. Die Adressen von IPv6, sofern vorhanden, bekommst du auch, wenn du nur die IPv4 in Adguard Home eingetragen hast. Ich habe bei mir nur die IPv4 (127.0.0.1) eingetragen und bekomme die ULA-IPv6-Adressen meiner Server, wenn ich eine Abfrage nach AAAA Einträgen schicke.

Gruß
KH

I'm not sure what happened here so I'm just going to list out the facts as I know them and hopefully someone can point me in a good direction to investigate.

A domain name on my network stopped resolving.  None of my machines would resolve it.  My network is configured to use an upstream DoT provider and block all other DNS queries.

Going to the DNS Lookup page on OPNSense showed that it was unable to resolve the domain.  If I put my upstream DoT IP in the Server field OPNSense was able to resolve the domain.

I'm using the Steven Black blocklist in the Unbound DNS settings, but checking the list showed that the domain wasn't on there.

At this point I had to do some errands and when I came back later, OPNSense was able to resolve the domain without putting my upstream DoT provider in the Server field of the DNS Lookup page.

Any ideas what could have happened?  I don't think the DNS Lookup page uses DoT but I'd be surprised if the provider served different responses over DoT than the standard protocol.  Could Unbound have gotten a bad resolution attempt and cached it?

Thanks.

You are using a blocklist in Unbound. Any small error in this blocklist will bring Unbound down.
My personal advice: Do not use Unbound with blocklists. Use either bind or Adguard Home with the blocklists.

KH

[du]

es reicht vollkommen in das Feld Private reverse DNS servers die IP des lokalen DNS-Server einzutragen. Die eckigen Klammern mit Inhalt sind nicht notwendig

Okay, das stammt dann wohl noch aus der Zeit wo es diese extra Einstellung nicht gab. Denn auf den Videos wo ich das gesehen habe gab's die anderen Felder noch nicht

Wahrscheinlich.

Für eine normale Namesauflösung sollte in den Upstream-DNS-Servern stehen: [/meine.tolle.locale.domäne/]1.0.1.1.

Was meinst du mit normaler Namensauflösung? Meinst du jetzt wenn ich die OPNsense z.B. mit "firewall.fuehlmichsicher.intra" aufrufen will?

Ja, wenn du alle Geräte in deinem Netzwerk so aufrufen möchtest.
Währe dann: [/fuehlmichsicher.intra/]1.0.1.1
Sofern eben diese Geräte im DNS-Server auf der OPNsense definiert sind. Da du die Reverse-Auflösung so haben möchtest, kann man gleich alles an einer Stelle verwalten.

Wird bei dir aber auch nicht klappen, denn wer soll da Antworten, wenn du den Unbound auf der OPNsense deaktiviert hast? Da du auch Dnsmasq und bind nicht erwähnt hast, gehe ich davon aus, das kein DNS-Server auf der OPNsense läuft. Und ohne einen DNS-Server bekommst du keine Antwort auf Anfragen.

DANKE das wars! Ich dachte eigentlich das man die ganzen DNS Geschichten auf der OPNsense deaktivieren muss, da man ja sonst 2 DNS Server hat. Habe jetzt mal Dnsmasq aktiviert und siehe da ein paar Namen wurden schon aufgelöst.

Aber wie läuft das jetzt, ich habe Videos gesehen gesehen wo bei Unbound einfach der Port auf 53053 geändert wurde. Das klappt bei Dnsmasq aber nicht, der akzeptiert nur Port 53.
Nur so habe ich ja 2 aktive DNS Server laufen oder?

Ja, macht ja nichts. Bei mir laufen 2 auf der OPNsense. Adguard Home und Unbound.
Soweit ich weiß soll der Unbound den Dnsmasq ersetzen. Darum habe ich diesen gewählt. Den Port must du nicht Ändern, da bei dir andere Bedingungen sind. Dein Adguard Home läuft auf einem anderen Rechner (ein QNAP NAS ist auch nur ein Rechner) also kommen sich Adguard Home und Dnsmasq (oder Unbound oder bind) bei dir nicht in die Quere.

Unter System: Settings: General habe ich nichts eingetragen und den Hacken bei "Do not use the local DNS service as a nameserver for this system" gesetzt. Bei den einzelnen Netzen habe ich die IP Adressen der AdGuard Server als DNS drin. Wäre es hier sinnvoller Unbound (oder Bind) zu nutzen und den Port auf 53053 zu ändern?

Wie gesagt, den Port brauchst du nicht ändern. Hintergrund dafür ist, das Dnsmasq und Unbound immer auch auf localhost aktiv sind. Wenn man dann einen weiteren DNS-Server (Adguard Home oder bind oder DNScrypt) auf Port 53 laufen lassen will klappt das nicht. Daher soll man in den Anleitungen den Port ändern. Da deine Clients die Blocklists des Adguard Home nutzen sollen sollte die Einstellung in den Interfaces so bleiben. Sonst brauchst du den Aufwand nicht treiben ;).

Unter System: Settings: Bzw was ist denn hier der sinnvollste bzw. beste Einstellung in Kombination mit AdGuard bzw. hat irgendein Dienst Besonderheiten oder Vorteil oder ist das reine Geschmackssache.

Ich habe unter System: Settings: General keine DNS-Server eingetragen. Ausserdem Allow DNS server list to be overridden by DHCP/PPP on WAN nicht gesetzt und auch Do not use the local DNS service as a nameserver for this system nicht gesetzt. Die OPNsense selbst soll ja die Namen problemlos auflösen können, für die Firewall brauche ich keine Blocklist. Daher nutzt die OPNsnese den Unbound bei mir direkt.

Dnsmasq hat weniger Einstellungen, also wohl etwas einfacher. Kann DHCP Registrierungen annehmen. Soll wohl irgendwann nicht mehr als Default installiert werden.
Unbound kann DoT für Upstream und DHCP Registrierungen annehmen. Ineffizient und fehleranfällig mit Blocklisten.
Bind ist mächtig, kann keine DHCP Registrierungen annehmen.
Welchen du auf der OPNsense nimmst, ist Geschmacksache und hängt ein wenig von den Anforderungen ab.

Unter System: Settings:
Bin ziemlich neu beim Thema OPNSense also sorry wenn die ein oder andere Blöde Frage dabei ist.

Gruß
Patrick

Blöde Fragen sind ok. Wie soll man sonst was lernen?

Gruß
KH

Hi,

es reicht vollkommen in das Feld Private reverse DNS servers die IP des lokalen DNS-Servers einzutragen. Die eckigen Klammern mit Inhalt sind nicht notwendig. Vielleicht noch der Port. Z.B. 1.0.1.1:53.
Für eine normale Namesauflösung sollte in den Upstream-DNS-Servern stehen: [/meine.tolle.locale.domäne/]1.0.1.1.

Wird bei dir aber auch nicht klappen, denn wer soll da Antworten, wenn du den Unbound auf der OPNsense deaktiviert hast? Da du auch Dnsmasq und bind nicht erwähnt hast, gehe ich davon aus, das kein DNS-Server auf der OPNsense läuft. Und ohne einen DNS-Server bekommst du keine Antwort auf Anfragen.

Gruß
KH

[hsi_use_wan_vlan = yes;]

Bin mir eigentlich sehr sicher das es der Teil ist:

Nö, das ist um mit einem LTE/5G USB Modem via T-Mobile ins Internet zu kommen.

config:

Code Select Expand

ar7cfg {
        ...
        ethmode = ethmode_bridge;
        ...
        bng_arch = yes;
        hsi_use_wan_vlan = yes;
        hsi_vlancfg {
                vlanencap = vlanencap_none;
                tagtype = vlantagtype_customer;
                vlanid = 0;
                vlanprio = 0;
                tos = 0;
        }
        ...
        }

Das ist der Interessante Teil. Da steht hsi_use_wan_vlan = yes;. D.h. es wird ein VLAN benutzt um ins Internet zu kommen. Wenn du also nur einfach die OPNsense einsteckst und das WAN nicht auf das korrekte VLAN einstellst, klappt es nicht.

Logs:

Code Select Expand


...
0: iface wan RBE/18/dsl 50:e6:36:2f:b4:80 stay online 1 vlan 700 prio 0 (prop: default internet)
0: IPv6: off
0: IPv4: native
0: IPv4: connected since 2022-11-06 14:46:36 (setup time 1 secs) (connect cnt 5)
0: IPv4: disconnect prevention disabled
0: IPv4: ip 91.106.18.10 mask 255.255.252.0 gw 91.106.188.1 dhcp mtu 1500
0: IPv4: masqaddr 91.106.188.10
0: IPv4: dns 91.106.128.162
0: route 91.106.18.0/22 protocol iface
0: route 91.106.128.162/32 via 91.106.18.1 protocol dns
...


Und hier steht praktischerweise das es VLAN 700 für das Internet ist.

Code Select Expand


1: name voip+tr069 (attached)
1: sync_group: sync_ata
1: iface wan RBE/18/dsl 50:e6:36:2f:b4:81 stay online 1 vlan 850 prio 0
1: IPv6: off
1: IPv4: native
1: IPv4: connected since 2022-11-06 14:46:35 (setup time 0 secs) (connect cnt 5)
1: IPv4: disconnect prevention disabled
1: IPv4: ip 172.21.187.178 mask 255.255.240.0 gw 172.21.176.1 dhcp mtu 1500
1: IPv4: masqaddr 172.21.187.178
1: IPv4: dns 172.16.0.4
1: IPv4: ntp 172.16.0.5
1: route 172.21.176.0/20 protocol iface
1: route 172.16.0.4/32 via 172.21.176.1 protocol dns
1: mc from wan 172.21.176.1, Received: Sun Nov  6 14:48:18 2022
...


Und VLAN 850 für VoIP.

Also must du jetzt die OPNsense so konfigurieren, dass das WAN auf VLAN 700 ist. Ich habe es noch nicht so gemacht, aber du musst wahrscheinlich WAN unassignen, als ein OPTx wieder assignen, keine IPv4 und IPv6 Adresse. Dann unter Interfaces -> Other Types -> VLAN ein VLAN mit ID 700 anlegen und das als WAN assignen. Was da an Regeln angelegt werden muss und Routen und so, weis ich nicht. Eventuell must du auch auf die Konsole und da als root das WAN neu assignen damit alles korrekt läuft. Ob du jetzt die MAC spoofen must oder nicht, muss man ausprobieren.

Gruß KH

Ich verstehe es nicht... Wo kommt NAT her? Das Modem muss ja bereits eine private IP an seinem LAN haben, woran wiederum die Sense mit dem WAN hängt.

Nicht notwendigerweise, wenn sich das Modem im Bridge-Mode befindet. Dann hat das Modem unter Umständen keine IP auf dem Anschluss an dem die OPNsense hängt und die auf dem WAN eine öffentliche IP.
Und falls das Modem doch eine IP hat braucht die OPNsense dann zusätzlich eine aus diesem privaten Adressbereich auf dem WAN. Weitere Infos dazu sind in dem Link von chemlud.

Gruß KH

Lass mich raten, du hast Glasfaser. Und einen Medienumsetzer auf Ethernet. Der merkt sich die MAC-Adresse. Den kannst du normalerweise nur zurücksetzen, indem du ihn vom Strom nimmst. Am besten so 5 - 15 Minuten. Dann sollte es mit der OPNsense gehen.
Falls nicht, kannst du die MAC-Adresse des WAN-Anschlusses der Fritz!Box am WAN-Interface der OPNsense spoofen. Das ist aber nicht optimal.

Gruß KH

[Internet > Online-Monitor]

Hi,

as pmhausen already mentioned, the smallest IPv6 Prefix is /64. And I am sure you got a bigger prefix than /64 from your ISP. You can check that in the Fritz!Box in the Menu Internet > Online-Monitor. It will tell you since when you are connected and what IPv6 Address the Fritz!Box has on its WAN and the IPv6-Prefix is including size.
You can select the Prefix size the Fritz!Box requests from the ISP in the Menu Internet > Zugangsart. Blow Verbindungseinstellung should be the checkbox Bestimmte Länge für das LAN-Präfix anfordern. If checked you can then type in the Prefix size. The input field might be a little be short for showing the content, but you can edit it. The availability of the checkbox might depend on the Fritz OS release and if the box is your own or one provided by your ISP.

You already set Fritz!Box to work as DHCPv6 server and to provide a IPv6 prefix (IA_PD). If you are using exposed host in the Fritz!Box this is needed.

For IPv6 to work behind the OPNsense you need the following:

• The OPNsense must ask the Fritz!Box of a prefix delegation
• The OPNsense must split the prefix delegation to its client networks

You need to set the WAN in the OPNsense to get its address via DHCPv6, which I assume you already did. In this WAN Interface settings you need to set then Prefix delegation size which the OPNsense should request from the Fritz!Box. This Prefix delegation size must be at least one smaller than the one in the Online-Monitor of the Fritz!Box. If the Fritz!Box has e.g. /59 you should use /60 or /61. The bigger you can choose the better. If the prefix size in the Fritz!Box is just /62, then you should try to increase the requested one it in the Fritz!Box.

In the LAN and all other Interfaces you set the IPv6 Configuration to Track interface and select a unique prefix ID. The maximum prefix ID you can select depends on the Prefix delegation size you selected in the WAN Interface on the OPNsense. None of your devices in the LAN and the other networks behind the OPNsense is allowed to use a IPv6 Address from the Fritz!Box LAN and Guest-Net.

In the German forum somebody had a similar issue issue.

KH

Derzeitiges Setup:
- Red Business Internet & Phone 500 Cable
- Fritz!Box 6600 Kaufgerät Bridge-Mode auf LAN5 aktiv
- OPNsense Firewall erhält öffentliche IPv4 Adresse von VFKD
- SIP wird über eine 3CX Telefonanlage gelöst
- Feste öffentliche IPv4 Adresse
- Festes öffentliches IPv6 Adresse mit Präfix /56

Wie läuft das eigentlich bei IPv4? Hat die Fritz!Box oder die OPNsense die feste IP?

Auf der Fritz!Box muss ich wahrscheinlich IPv6 aktivieren und das Präfix /56 mitangeben oder?

Deaktkviere ich dann denn DHCPV6 Server auf der Fritz!Box und lasse die OPNsene DHCPV6 für meine Client VLANs spielen?  ???

Du must IPv6 in der Fritz!Box aktivieren. Zumindest bekomme ich keine IPv6 mit der OPNsense, wenn es nicht in der Fritz!Box aktiv ist.

Ich habe bei mir in der Fritz!Box den DHCPv6-Server deaktiviert.
Ich würde erst mal testen, was die Fritz!Box macht und welches IPv6 Prefix sie bekommt. Alles weitere sieht man dann.

Gruß
KH