Topics

Hallo,

ich möchte bei mir zuhause die kompletten IP-Netze ändern, weil ich Probleme mit der Nutzung von
lokalen Anwendungen von meinem Firmennotebook aus habe, Drucker, etc.
Ich nutze aktuell 10.0.x.x IP-Netze, in der Firma aber genauso und alles mit 10.x.x.x
geht demnach in den VPN rein.

Mein Idee - ich weiss nicht ob das funktioniert, daher mal die Frage:

- ich exportiere mit die Config der OPNSense
- editiere diese und ersetzte alle IP-Adressen mit 10.0. beginnend durch 172.16.
- damit würde ich die VLAN aber auch alle DHCP-Pools, Reservations, Aliase usw. mitnehmen.
- spiele die Config wieder ein
- Reboote und hoffe, das es funktioniert.

Notfalls hätte ich noch einen LAN-Port an der OPNSense mit einem 192.168 IP als Notfallzugang und könnte
auf ne vorherige Sicherung zurück.


Was denkt ihr, würde das funktionieren ?

Die Client müssten sich dann eben nach einem Zeit neue IP's holen über DHCP-Reservation, Server, NAS etc. würde ich ausschalten für die Zeit bzw. vorher editieren, dort wo statische IP's eingetragen sind.

Hallo zusammen,

ich wollte mal endlich das ISC-EOL angehen und da mit Kea nicht sonderlich zusagte bei ersten Test, hab ich Dnsmaq eingerichtet für DHCP und DNS.

Beim Konfiguration war vorher:

DHCP ISC mit DHCP-Reservations
DNS:  Client -> AdGuardHome -> Unbound -> Internet

das funktioniert bisher sehr gut.

Neu nun:
DHCP: dnsmasq mit DHCP-Reservations
DNS:  Client -> AdguardHome -> dnsmasq -> Internet

das ganze funktioniert für den DHCP-Teil problemlos, aber DNS macht Probleme.
Lokale Adressen werden problemlos aufgelöst, aber alles was Richtung Internet geht ist extrem langsam. Teilweise dauert es 10 bis 15 sec, bis Seite sind öffnen.
Ganz extrem ist das beim TV-schauen, das Umschalten von Sender ist sowas von langsam, das man fast noch nen Kaffee holen kann.

DNS auf der OPNSense sind eingerichtet: Quad9 & Cloudflare, jeweils IPv4 und IPv6, hab schon unterschiedliche Konstellation und auch mit Google-DNS getestet, keine Veränderung.

--

Ich hab nun temp. die Konfig umgestellt:

DHCP:  weiterhin dnsmasq  mit DHCP-Reservations
DNS:  Client -> AdGaurdHome -> Unbound -> Internet
Unbodung leitet nur Anfragen zu lokalen Hostnamen an dnsmasq weiter per "Query Forwarding", so wie in der Doku beschrieben.

Das funktioniert bisher auch wieder so wie vorher, DNS ist wieder "normal" schnell, einzig lokalen Host-Auflösungen muss ich noch beobachten, das hatte gestern zeitweise nicht funktioniert, im Moment sieht es aber gut aus.

OPNSense ist auf Softwarestand 25.7.3_7

Ist das euch auch schon mal aufgefallen und hat jemand eine Idee, woran das liegen könnte, das dnsmaqs so extrem langsame DNS-Auflösungen macht.
Konfig kann ich gerne nachliefern.

Hallo,

nur kurz mal als Infos, weils Problem konnte ich lösen, wobei ich aber dir Ursache noch nicht weiss.

Am Sonntag morgen funktionierte bei mir kein einziger Webseitenaufruf.
Als Ursache hatte schnell AdGuardHome ausgemacht ( läuft als AddOn auf der OPNSense ).
Ich konnte nicht mal mehr dessen WebGUI aufrufen, lief in Timeout

Selbst den Dienst über die OPNsense zu stoppen / neu starten ging nicht mehr, Fehler im Logfile  "Timeout stopping Adguardhome" oder so ähnlich, hab die Meldung leider nicht mehr.


Selbst ein Reboot der OPNSense ging nicht mehr, weil der den Dienst nicht gestoppt bekommen hat. PowerOff/On wollte ich vermeiden.

Hab mir jetzt so beholfen:
- Adguard deinstalliert ( das ging zum Glück )
- Unbound auf Port 53 gelegt um DNS zu haben
- reboot OPNsense
- Adguard neu installiert
- Backup vom Adguard eingespielt um die Filterlisten nicht manuell eintragen zu müssen.

stoppen / starten Adguard ging danach wieder
Reboot lief auch einwandfrei wieder durch.

Komischer Fehler, wie geschrieben, ich weiss nicht, woran es lag. Ich hatte weder Updates noch sonst welche Änderungen an der OPNSense gemacht in den Tagen zuvor.

Falls jemand mal das selbe Problem hat, vielleicht hilft es jemanden

Hallo,

ich habe vorhin ein merkwürdiges Verhalten meiner OPNSense erlebt:

- Netzwerk komplett down
- kein Zugriff mehr auf die OPNSense
- hab die dann per PowerOFF/ON neu gestartet, die kam auch wieder zürück

- nach dem Login sehe ich, das die neu Firmware installiert ist ( 24.1, Filedatum von gestern auf dem Downloadsever ) und ich hab die definitiv nicht installiert.
- zwei Pakete nicht mehr verfügbar ( os-firewall, os-wireguard ), hab die Inkonsistenzen aufgelöst
- Wireguard ist zwar noch installiert, funktioniert aber nicht mehr, das ist aber egal, kann ich mir später ansehen

Das ist doch nich normal, das die OPNsense selber ne neue Firewall installiert, zumindest ist mir das bei keiner vorherigen Verison untergekommen, ich warte nämlich immer einige Zeit

Hallo,

auf meiner OPNSense läuft AdGuard mit Unbound zusammen für den DNS-Teil.

Mir ist in den letzten Tagen wiederholt aufgefallen, das AdGuard im Dashboard als meist angefragten Domains "speed.flawcra.cc" auflistet ( knapp 16% der DNS-Anfrage ), alle 6min ein neuer Schwung

Schaue ich ins AdGuard Log rein, steht das schön als Source "127.0.0.1 / localhost" und ich kann die URL auch auf die Blackliste setzen, da passiert mal rein garnichts, die wird weiter munter angefragt.

Mir stellt sich die, wer oder was verursacht die Unmengen an DNS-Anfragen zu diese ominösen Adresse und wie bekomme ich das raus ?

Es kann ja eigentlich nur etwas direkt auf der OPNSense sein, weil sonst würde ja kein localhost als Source da stehen.

Hat jemand eine Idee, wie ich da weiter kommen, den Verursacher zu lokalisieren oder weiß jemand sogar vielleicht wer / was das anfragt ?


EDIT:  ich habe den Übeltäter gefunden.
Es kommt in der Tat von der OPNsense und zwar Telegraf-Addon, dort war Speedtest aktiviert und der macht all 6min einige Test.
Warum es aktiviert war, weiss ich nicht, ich mache zwar Speedtest aber mit dem Ookla-Client und das auch nur einmal stündlich.

Problem erledigt, etliche tausend DNS-Anfragen weniger pro Tag

Hello all,

I would like to ask here in the large group if anyone has any ideas about the behaviour of my OPNSense, so far there has been no feedback in the German subgroup:

I have a question about the behaviour of the OPNSense with IPv6:

- OPNSense lastest Version on a Single-PC with 8 NIC
- Internetprovider "Vodafone Cabel Internet" - DUAL-Stack ( IPv4 + IPv6 )
- Fritzbox in bridge mode, forwards the public IP addresses to the OPNSense, the router works in modem mode like this
- WAN interface runs on DHCP for IPv4 and IPv6, prefix /59 is assigned - everything o.k.
- Router Advertisements on the OPNSense is active for each VLAN and distributes fd00 addresses - works fine
- DHCPv6 is active and distributes DNS and public addresses from one /64 network per VLAN - works fine.

I am currently trying to set up a DynDNS but the update of the IP address does not work for IPv6 (IPv4 works without problems).

If I query my local IP from different clients in the network via dig over IPv6, it works without any problems:
I always get the IPv6 address assigned to the client from the subnet

Code Select Expand


dig @resolver1.ipv6-sandbox.opendns.com AAAA myip.opendns.com +short -6
2a02:8071:6310:xxxx:......


If I do the same on the OPNSense shell, it always times out:

dig @resolver1.ipv6-sandbox.opendns.com AAAA myip.opendns.com +short -6
;; communications error to 2620:0:ccc::2#53: timed out
;; communications error to 2620:0:ccc::2#53: timed out
;; communications error to 2620:0:ccc::2#53: timed out

; <<>> DiG 9.18.16 <<>> @resolver1.ipv6-sandbox.opendns.com AAAA myip.opendns.com +short -6
; (1 server found)
;; global options: +cmd
;; no servers could be reached

traceroute6 does not look any better:

traceroute6 resolver1.ipv6-sandbox.opendns.com
traceroute6 to resolver1.ipv6-sandbox.opendns.com (2620:0:ccc::2) from 2a02:908:f000:xxxxxxxxxx, 64 hops max, 28 byte packets
1  * * *
2  * * *
3  * * *
.....

The WAN interface has a v6 address:

WAN (igb0)      -> v4/DHCP4: 84.xxx.xxx.xxx/22
                    v6/DHCP6: 2a02:908:xxxxxxxxx/64

The WebGUI shows me the public v6 address but only the fe80 address of the interface ( sees screenshot )

Under System -> General -> Setting the same picture, as WAN only the public IPv4 or the IPv6 fe80 address is displayed for DNS ( see screenshot )

Then someone can explain to me why the Sense ignores the public IPv6 address.
"Prefer to use IPv4 even if IPv6 is available" is deactivated.

Thanks in advance

Hallo,

ich hab da mal eine Verständnisfrage zu einem Verhalten der OPNSense bei IPv6:

- Vodafone Kabelinternet DUAL-Stack
- Fritzbox Bridgemodus
- IP4 / IPv6 aktiv
- WAN-Interface läuft auf DHCP für IPv4 und IPv6,  Prefix /59 wird zugewiesen
- Router Advertisements auf der OPNSense ist für jedes VLAN aktiv und verteile fd00-Adressen
- DHCPv6 ist aktiv und verteile DNS und öffentliche Adressen aus je einem /64 Netz pro VLAN

das funktioniert alles wunderbar.

Ich versuche gerade ein DynDNS einzurichten aber der Update der IP-adresse funktioniert für IPv6 nicht ( IPv4 geht problemlos )

Mache ich von einem meiner Clients im Netz per dig über IPv6 eine Abfrage meiner lokalen IP, funktioniert diese problemlos:

Code Select Expand

dig @resolver1.ipv6-sandbox.opendns.com AAAA myip.opendns.com +short -6
2a02:8071:6310:xxxx:......

mache ich das selbe auf der Shell der OPNSense, läuft das immer in einen Timeout:

Code Select Expand

dig @resolver1.ipv6-sandbox.opendns.com AAAA myip.opendns.com +short -6
;; communications error to 2620:0:ccc::2#53: timed out
;; communications error to 2620:0:ccc::2#53: timed out
;; communications error to 2620:0:ccc::2#53: timed out

; <<>> DiG 9.18.16 <<>> @resolver1.ipv6-sandbox.opendns.com AAAA myip.opendns.com +short -6
; (1 server found)
;; global options: +cmd
;; no servers could be reached

traceroute6 sieht auch nicht besser aus:

Code Select Expand

traceroute6 resolver1.ipv6-sandbox.opendns.com
traceroute6 to resolver1.ipv6-sandbox.opendns.com (2620:0:ccc::2) from 2a02:908:f000:xxxxxxxxxx, 64 hops max, 28 byte packets
1  * * *
2  * * *
3  * * *
.....

Das WAN-Interface hat eine v6-Adresse:

WAN (igb0)      -> v4/DHCP4: 84.xxx.xxx.xxx/22
                    v6/DHCP6: 2a02:908:xxxxxxxxx/64

Die WebGUI zeigt mit aber die öffentlich v6-Adresse an sondern nur die fe80-Adresse des Interfaces:

Unter System -> General -> Setting gleiche Bild, als WAN wird mir für DNS nur die öffentlich IPv4 oder eben die IPv6 fe80-Adresse angezeigt:


Dann mir das mal einer erklären, warum die Sense die öffentliche IPv6 Adresse ignoriert
" Prefer to use IPv4 even if IPv6 is available" ist deaktiviert

Danke im Voraus

... mit dem Happy-End, ich hab IPv6 bei mir abgeschaltet  >:(

Kurzfassung:
Ich hab seit einiger Zeit - genau kann ich es nicht mal sagen, Probleme mit IPv6 am Kabel-Internet ( Vodafone West NRW )
Zugang erfolgt per Miet-Fritzbox 6591 im BridgeModus, somit sehe ich im Fritzbox-Log auch nicht, ob IPv6 für den Bridge-Anschluss funktioniert oder welche IP/Prefix ich bekomme.

Das WAN auf der OPNSense zeigt eine IPv6 Adresse an, genauso wie auch den Prefix, DHCPv6 und RA laufen und verteilen die Adresse über die VLAN's - das lieft Monatelang einwandfrei.

Allerdings:
über die ssh-Shell bekomme ich keine IPv6-Adresse auf dem WAN-Interface mehr angezeigt ( über WebGUI sehr wohl aber ), der IP-check in der OPNsense zeigt keine IPv6 an, genauso wenig externe Testseiten.
Updates der Paketlisten in der OPNSense laufen nicht durch oder brauchen ewig lage oder gehen in Timeouts.

Nachdem ich jetzt Stunden damit verbraucht, das halbwegs einzugrenzen, hab ich aufgegeben und IPv6 fürs erste komplett deaktiviert - und das bleibt jetzt auch erst mal so.

Hallo,

ich suche mir gerade einen Wolf nach einer Möglichkeit, ob man Firewall-Regeln automatisch ( per cronjob ) aktivieren / deaktivieren ) - gibt es da eine Möglichkeit ?

Alternativ währe auch eine Option per Commandline ausreichend.

Hintergrund:
Ich möchte LetsEncrypt Certificate nutzen und die müssen nun mal regelmässig aktualisiert werden. Ich möchte aber gleichzeitig nicht meine OPNSense auf dem Internet erreichbar machen, sondern nur für die Zeit des Updates

Hallo,

kann man mit der OPNSense einzelnen VLAN eigentlich Bevorrechtigungen geben, QoS sozusagen geben.

Hintergrund, wir schauen TV über Internetstream und SkyQ und FireTV sind per WLan angebunden.
Wenn ich nun mit dem Notebook im WLan größere Datenübertragungen mache, fängt immer wieder das TV-Bild zu ruckelt oder der Stream bricht ab.
Notebook und TV sind in unterschiedlichen WLAN und somit auch unterschiedlichen VLAN's, aber eben auf dem selben Access-Point.
Ich würde dem TV und auch anderen in dem VLAN daher gerne Bevorrechtigungen geben.

Hallo,

ich nutze auf der OPNSense das Speedtest-Plugin um mehrfach täglich die Bandbreite meines Kabelanschlussen zu messen ( gab in letzten Zeit einige Probleme damit ).

Die Daten werden zwar in der WebGUI über Reporting -> Speedtest über das Log angezeigt als Tabelle.

Kennt jemand eine Möglichkeit, die Werte ins Monitoring zu bekommen, z.b. über Netdata oder besser noch als SNMP-Trap ?

Hallo,

ich habe diese Wochenende schon zweimal einen Ausfall meiner OPNSense gehabt.

Gestern nachmittag, fiel beim TV-schauen auf, das Bild stand auf einmal und hatte vom Notebook keine Internetverbindung mehr.
Zugriff auf die WebGUI der OPNSense ging nicht mehr, es kam nur der Login, aber dann war Ende, ssh-Zugang war möglich. ( darüber habe ich die dann rebootet )

Heute morgen auch wieder, da war machte ich gerade sehr große Downloads, welche meien GBit-Leitung auf komplett ausnutzen.
Wieder das selbe Verhalten, keien Zugriff mehr auf die WebGUI, ssh ging dennoch.

Netdata und Observium hatte ich gerade sogar auf, die CPU-Load war bei rund 20%, CPU-Temperatur im normalen Rahmen, ansonsten nichts auffälliges zu sehen.
Systemlog zeigt auch nichts auffälliges.

Im Moment hab ich noch keine Idee, was die Ursache war.

Hardware:  IPU882 mit Intel Core i5-8250U Kaby Lake, 32 GB Ram, 8x GBit-NIC, 250GB SSD
Das Gerät ist zwar Lüfterlos, ich habe aber einen 12cm Lüfter drauf liegen, der auf 5v läuft und somit immer für einen Luftstrom durch den Kühlkörper sorgt.

Hallo,

ich hab da gerade so eine Idee im Hinterkopf.

Ich will wieder komplett auf PiHole umschwenken, weg von AdGuard ( de rbisher auf der OPNSense lief )

Meine PiHole's ( 2 aktuell  ) laufen derzeit als Linux-Container ( LXC ) auf einem kleinen Proxmox-Server udn sind untereinander im Sync, was die Konfig betrifft.

Die DNS-Einträge in den VLAN's habe ich aufgeteilt, das mal er eine, mal der andere an erster Stelle steht, das verteilt die Last halbwegs gut.
Aber eben nur halbwegs - ich habe ein zwei Server-Container, die aber extrem viele DNS-Anfrage zu internen Adressen machen und die stechen gewaltig in der Statitik raus, die würde ich gerne besser verteilen.
Auch im mehr Sicherheit zu haben, falls mal eines der nächtliche Update der Container fehlschlägt und der danach nicht mehr startet - leider schon passiert.

Ist das mit Nginx oder Traefik direkt auf der OPNSense möglich und hat das schon jemand gemacht ?

Hallo,

läuft bei euch IPv6 auch so wahnsinnig gut und stabil ?

Ich nutze Vodafone Kabel im ehemaligen Unitymedia-Land NRW, habe ein FritzBox 6591 von Vodafone, bei der der BridgeModus seitens Vodafone aktiviert ist, hinter dem BridgePort hängt die OPNSense.
Ergo ist die öffentliche IPv4/IPv6 Adresse an der Firewall anliegend.

Zusätzlich macht die FritzBox bei mir den Telefonie-Part und bekommt dazu vom Netz ein eigen IPv4/IPv6 -Adresse und auch ein /59 Prefix - das sieht man ja auch im Log.
Leider kann man im Logfile aber nicht sehen, was auf dem Bridge-Port passiert.

Jetzt hatte ich seit ca Anfang letzter Woche mal wieder keine IPv6-Adresse an der OPNSense und ich hatte keinerlei Änderungen an der Config seiten FritzBox / OPNSense gemacht, Reboots von beiden brachten auch keine Änderung. Da hab ich das ganze aber erst am liegen lassen, weil andere Sachen wichtiger sind.

Ich hatte zwar Vodafone über die Facebook-Gruppe angeschrieben, aber mit dem tollen Cahtbot zu schreiben ist das selbe wie mit einer Parkuhr zu reden, das kann man sich sparen.

Gestern abend oh wie Wunder, der WAN-Port der OPNsense hat eine IPv6 Adresse und /59 Prefix und siehe da, alle Clients haben auch wieder IPv6 Adressen.


IPv6 bei deutschen Providern, speziell bei Vodafone ist ein Trauerspiel, die bekommen es einfach nicht stabil zum laufen.
Und zudem sind die nicht mal in der Lage, einen statischen Prefix bereitzustellen. Statische IPv4 kein Problem, statische IPv6 - wie geht das ?
Ich würde gerne meinem PiHole feste IPv6 Adressen geben, damit die aus allen VLAN's erreichbar sind, aber mit dem städnig wechselnden Prefix-Delegation nicht machbar.

Mal sehen wie lage das jetzt läuft.

Hallo,

mal eine Frage in die Runde:  Wie macht ihr Backups eurer OPNSense.

Klar, ich mache Backups der Config.

Dazu speicher ich einen Anzahl der Configfiles syncronisiere den Ordner auf einen zweiten Laufwerkspfad und schicke die dann einmal täglich per RSYNC auf meine NAS.
Das selbe macht ich mit dem kompletten Ordner von AdGuard, der gepackt und auf die NAS kopiert wird.

Hintergrund:
Ich hab gerade die SSD meiner OPNSense ausgetauscht, das OS neu installiert und das letzte Config-File eingespielt.
Das funktioniert ja alles wunderbar, aber es werden z.b. die ganzen Plugins nicht installiert, das muss man händisch machen ( wäre ein guter Feature-Request, soweit ich mich erinnere, installiert die PfSense alle Plugins nach einem Restore automatisch neu )
Zudem war Adguard natürlich platt und musste neu konfiguriert werden inkl. aller Filterlisten, das hab ich über mein Backup gemacht, genauso wie den Unifi-Controller.

Was ich mir wünschen würde, ein komplettes Snapshot der Installation und die externe auslagern, vielleicht auch als Kopier zu einer zweiten SSD in der OPNSense ( währe bei mir noch möglich )

Also wie macht ihr das ?

Hallo,

gibt es die Möglichkeint, einzelne Ziele auf IPv4 zu zwingen ?

Ich habe gerade das Problem, das einige meine Systeme keine Verbindung zu Repository von github.com bekommen, weil die IPv6 nutzen, was auch in Ordnung ist, aber in dem Fall nicht funktioniert.

schon beim wget bekomme ich Timeouts, http/https geht problemlos

Hallo,

ich hab auf meiner OPNSense das zusätzliche Repository von routerperformance.net. eingebunden, da ich "Adguard" und "unifi" darüber eingebunden habe.

Mit ist aufgefallen, wenn das Repository eingebunden ist, der "Check for Updates" extrem langsam ist ( 5 min und länger ) und am Ende die Plugins-List nicht vollständig ist, da fehlen etliche Paket drin und ich kann auch keine installieren, die nicht-installierten fehlen alle in der Liste.

Nehm ich das Repo wieder raus, läuft es alles recht schnell durch, die Liste ist vollständig u, einzig eben die beiden Paket aus dem obigen Repsitory werden als "missing" angezeigt.

nslookup oder curl auf die Domain des Repos sind normal schnell, da ist kein Problem.


Hat jemand eine Idee, was das sein kann.

Hallo,

gestern abend zum besten TV-Zeit ein nerviges Problem mit unbound bekommt.

Ich hatte plötzlich keine DNS-Auflösung mehr und als Übertäter hat sich unbound rausgestellt.

Der ist ausgestiegen und lässt sich auch nicht mehr starten - Eintrage im Debug-Log:

"unbound - daemonize unbound dhcpd watcher"


Als ersten Workaround habe ich "unbound" erst mal aus der AdGuard Config rausgenommen und gehe direkt auf DNS-Server im Internet.

Werde mal auf die Suche nach dem Fehler gehen.


EDIT:  Problem ist noch größere als ich dachte - auch bekomme die Clients per DHCP keinen DNS-Server mehr mitgeteilt.
Der Eintrage im DHCP ist leer, was dann als die IP der OPNSense gewertet wird, das war auch bisher in Ordnung.

Aber heute haben die ersten Clients keinen DNS mehr, u.a. mein Notebook.

Ich hab nun auch Adguard deaktiviert und meine beiden PiHoles wieder eingeschaltet und als DNS eingetragen, die funktionieren seit Monaten störungsfrei.
Muss ich eben nur mal das IPv6 Thema anders angehen.

Die Problem haben angefangen mit dem Update auf die neue OPNSense Version 22.1

Hallo,

mir sind bei der Kontrolle des AdGuard-Logs auf der OPNsense eine Reihe von DNS-Anfragen aufgefallen, die mir unbekannt sind ( Bekannte Domains aber die ich nie genutzt habe ) und alle 10sec angefragt werden.
Ich würde da gerne den Auslöser herausfinden, nur steht im AdGuard-Live-Log als Ursprung nur die Localhost-IP: 127.0.0.1

Hat jemand ggf. eine Idee, wie ich diese eingrenzen kann ?

Sperre ich die Domain wir morgen eine andere angefragt - etwas strange.

Clients schließe ich im Moment aus, die kommen mit ihrer IP (v4 oder v6 ) rein.

EDIT:  Kommando zurück - ich denke ich habe den Auslöser gefunden - ntp, ich hab diverse de.pools eingetragen und die habe ich nun rausgeworfen und schon ist Ruhe im Karton.

Hallo,

meine OPNSense als Ersatz für die Unifi-DreamMachinePro ist mittlerweile im Betrieb.

Einrichten der VLAN's war am Ende kein Problem, man muss es einfach stur auf der Unifi-Seite als VLAN-only einrichten und fertig, dann das Profil den Switchports zuweisen und läuft.
Auf dem LAN-Port läuft nur das Admin-Lan direkt mit festen IP's und daruf alle VLAN mit DHCP.

Probleme macht mir aktuell nur noch IPv6:

Ich würde IPv6 gerne nutzen, aber mit der Prefix-Delegation und Zuweisung feste IPv6-Adressen ( per DHCP-reservation ) gibt es Problem ( für PiHole usw. )  da in den letzten Tagen sich der IPv6 Prefix von der WAN-Seite mehrfach geändert hat und somit die DHCP-Setting nicht mehr stimmen und der DHCPv6 aussteigt.

Auch noch offen ist die Einrichtung von LACP zwischen OPNSense und meinem Unifi-Switch, ich würde gerne das LAN-Interface auf 2,3 oder 4  GBit-Interfaces erweitern - hab ja noch welche an der OPNSense frei.