Messages

Versuche mal eine Neuinstallation.

Ist nicht ordentlich runtergefahren, kann das Filesystystem zerschossen haben.

Sicher, dass Du im richtigen Forum bist?  ;)

Wenn OPNsense auf einer alten Barracuda installiert ist, ja.  :)

@chatphilipp

Wenn Du seriell verbunden bist, kannst die Interfaces neu einrichten? Zumindest für LAN, daß das Webinterface wieder funzt.

Mike

@Sunzi

Was hast du eigendlich vor?

Je nach Profil reicht schon eine FritzBox. Soll snort/suricata, squid und/oder ein VPN-Server bereitgestellt werden, brauchst Du was potenteres. Da wir nicht wissen, was Du vorhast, ist das wie fischen im trüben. :)

Mike

Ihr seht, ich tue mich schwer eine gute Lösung zu finden. Mehr Schutz und Struktur ohne sich tot zu administrieren, das wäre das angestrebte Ziel.

Tja,
ist wie so oft Ansichtssache. Ich bevorzuge zu Hause eine eher flache Struktur.
Ich habe daher nur mein LAN/WLAN und ein Gast-WLAN. Auf Grund des weiblichen Einflusses läuft unser gesamtes Heimnetz ohnehin nur per WLAN.  ;)
Grundsätzlich sind alle Ports nach extern erstmal zu. Dazu kommen dann noch einige IP-Sperrlisten.
Die einzelnen Geräte sind dann per Alias-/Dienstgruppen reglementiert. So habe ich z.B. auf der FW 3 Portgruppen für WhatsApp. Diesen Gruppen sind dann nur die Smartphones zugeordnet. Folglich können auch nur die Smartphones WA nutzen. Ähnliches gibt es dann auch für Laptop, Tablet und Smart-TV.
Damit kann ich dann recht gut steuern, welches Gerät wohin kommunizieren darf bzw. welche Dienste genutzt werden dürfen.
Der Vorteil ist, dass alle Geräte im internen WLAN untereinander vollkommen problemlos funktionieren. Z.B. Streaming vom Tablet/Smartphone/Laptop auf das Smart-TV, usw.
Ein neues Gerät im Netz muss dann natürlich erstmal den einzelnen Gruppen zugeordnet werden, damit z.B. das Internet funktioniert oder Mails abgerufen/versendet werden können.

Das Gast-WLAN kommt natürlich nur ins Internet! Hier habe ich auch den einfachen Weg ohne Captive-Portal gewählt. Sprich unsere Freunde bekommen das WLAN-Kennwort mitgeteilt und können ins Gast-WLAN.
Ist auch kein Problem, da sich um eine sehr überschaubare Anzahl handelt.

Gruß
Dirk

Vielen Dank für Deine Antwort!

Tja, hier wird es laufend mehr. :)

LAN:  Das private Grundnetz
GUESTS:    Für Gäste inkl Captive Portal
VOIP:   Für die Fritze als DECT Basis im Telekom Netz.
SECURITY:  IP-Cams zur Sicherung der Aussenanlagen wie Carport, Garage usw
MEDIA:  Alles was mit Smart TV, Sonos, MusicCast, Kodi, DLNA usw zu tun hat.
GAMING:  Für die Spielkonsolen, ist nicht notwendig, haben aber im LAN nichts zu suchen.
MGMT:  Switches, APs, USV, Host mit installiertem Unifi Controller und Freeradius.  Authentifizierung im WLAN mittels WPA2-Enterprise inkl. VLAN Zuweisung in das richtige Netz.

Das ist der aktuelle Stand. Für Privat bissl oversized, aber wenn es geht, warum nicht.
Zumindest LAN, VOIP und dieses Smart Geraffel inkl. IoT Gelumpe würde ich persönlich trennen.

Perfekt, so muss es sein.  :D

Die Fritze macht ja die Ports selber auf, die sie braucht. Schön, das es klappt. :)

Mahlzeit.

Ist ein bisschen mager, OpenVPN nutzt zwar nur einen Kern, sollte aber bei 1GHz die 60 Mbit/s überschreiten: https://teklager.se/en/knowledge-base/apu2-vpn-performance/

Unter "Anschlusseinstellungen ->  Sicherheit"  die Haken raus, sonst gibt es keine ausgehenden Gspräche, zumindest bei uns nicht. Ganz unten den Haken bei "Portweiterleitung des Internet-Routers für Telefonie aktiv halten" setzen. und 30 Sekunden einstellen, damit die Fritzbox den Port 5060 offen hält.

Moin.

Gib mal "fritzbox voip" in die Forensuche ein, das Ergebnis erschlägt Dich. :)

Bei einigen reicht es, unter NAT/Outbound einen Mappingeintrag mit der IP der FB inkl. Haken bei "static port", einige benötigen noch weitere Portfreigaben. Hier bei uns reicht der Mappingeintrag.

Der Einfachheit wegen, die Bilder zeigen die Konfig, die bei uns looft.

Unter Zugangsdaten deine T-Online Mail und Passwort eintragen, da die Fritzbox sich nicht selber einwählt, weiß die Telekom nicht wem der Account gehört.

Kenne mich nicht gut mit iptables aus, könnte klappen. :)

Hallo @white_rabbit

Wie @CoolTux schon geschrieben hat, greift die Firewall nicht innerhalb eines Subnetzes. Somit wäre deine Frage ja beantwortet. :)
Kannst aber auf dem Host, wo der Unifi Controller läuft, mit iptables arbeiten und die zugehörigen IPs blocken.

Zum anderen Thema hier müssten wir wissen, wie deine Topologie aussieht. Damit es nicht Off-Topic wird, eröffne am besten einen neuen Thread hier.

Mike

Hallo.

Zeig mal die kompletten Rules.

Würde  gerne wissen, was sich der Threadersteller zugelegt hat. ::)

Ist seit Sep. '18 raus aus seinem Thread.  :D :D

Hallo @darkness_08

Idealerweise kommt die Opnsense zwischen FritzBox/ Modem und dem Switch. Also WAN an die Fritz.Box und LAN zum Switch.
VLAN auf der Sense einrichten und den Switch entsprechend taggen. Dann übernimmt die Sense das Routing und der Switch kann VLAN technisch im Layer 2 laufen.

Ob dein Gedankengang überhaupt funktioniert, da bin ich, ehrlich gesagt, überfragt.

Mike

Ist zwar Off Topic, aber um die FB als Telefonanlage laufen zu lassen, gibt es im Netgate Forum ein Thread dazu.
https://forum.netgate.com/topic/106986/howto-telekom-voip-einstellungen
Kannst Du quasi 1 zu 1 übernehmen.
Bei vielen reicht das schon, hier looft es seit über einem Jahr einwandfrei. Aufpassen bei der FB, die FW 7.12 ist buggy.

@micneu
AVMs Schlachtschiff zur Telefonanlage degradiert, geil. ;D

ne aber checke doch mal deine Clients - einer hat es wohl eingetragen.

... ich vermute ein zusätzlich es Leak. Entweder von irgendeiner Software oder eines der drei Android Smartphones(wäre sogar plausibel google<->android).

Naja, ein Leak ist das nicht. Android nutzt bevorzugt seine Google DNS-Server. Hast ja danach alles richtig gemacht. :)