Messages

Thank you very much for your quick and clear answer. You understood correctly.
I will now start migrating the DHCP server. Thanks to Snapshot, I have a fallback.

In OPNsense 26.1.2, ISC DHCPv4 is declared legacy. So I should switch to a different DHCP server.

I have decided to use dnsmasq for the time being. However, my OPNsense is NOT operated as a DNS server and is not intended to be in the near future. Dnsmasq must therefore be configured as a pure DHCP server.
I disable the DNS server by setting the listener port to 0.

For dynamic IP address assignment, I configure a DHCP range for each subnet that listens on an interface. For the corresponding default gateway and DNS server, I configure DNS options that are also mapped to an interface.

So far, so good, I think. What is less clear to me is how I now assign MAC addresses to IP addresses statically. Especially when a device can communicate via different interfaces and should be assigned different IP addresses for the same MAC address.
Am I right in thinking that I have to do this under Hosts? And that I have to make several entries with the same MAC address? One per IP address? What confuses me is that I can't define an interface there.

In short: How can I assign different static IP addresses to a device with a MAC address in dnsmasq depending on the OPNsense interface?

In OPNsense 26.1.2 wird der ISC DHCPv4 als veraltet deklariert. Ich sollte also auf einen andern DHCP-Server wechseln.

Ich habe mich vorerst für dnsmasq entschieden. Meine OPNsense wird jedoch NICHT als DNS-Server betrieben und soll das auch in nächster Zukunft nicht. dnsmasq muss also als reiner DHCP-Server konfigureirt werden.
DNS-Server schalte ich aus, indem ich den Listener-Port auf 0 setze.

Für die dynamische vergabe der IP-Adressen konfiguriere ich pro Subnet einen DHCP-Bereich welcher auf ein Interface hört. Für die entsprechenden Standard-Gateway und DNS-Server konfiguriere ich DNS-Optionen, welche auch wieder auf ein Interface gemappt sind.

Soweit so gut denke ich. Weniger klar ist mir, wie ich nun die statische Zuordnung von MAC-Adresse zu IP-Adresse mache. Vor allem, wenn ein Device über unterschiedliche Interfaces kommunizieren kann und dabei unterschiedliche IP-Adressen zur selben MAC-Adresse bekommen soll.
Liege ich richtig, dass ich diese unter Hosts machen muss? Und dass ich dafür mehrere Einträge mit der selben MAC-Adresse machen muss? Also pro IP eine? Was mich dabei irritiert ist, dass ich dort kein Interface definieren kann.

Kurz: Wie kann ich in dnsmasq einem Device mit einer MAC-Adresse abhängig vom OPNsense Interface unterschiedliche statische IP-Adressen zuordnen?

Also stabiel läuft das Dashboard bei mir noch nicht. Es gibt irgendwann einen Punkt an dem sich die Widgets wieder zu verabschieden beginnen. Für mich ist dabei nicht ersichtlich was diesen Punkt auslöst.

Auch nicht klar ist für mich was es braucht, dass die Anzeige zurück kommt. Wenn ich mich später erneut einlogge (Stunden später) läuft es erst mal wieder gut.

Nun habe ich den Hotfix drauf.
Und als erstes wurden die Widgets angezeigt. Konnte sie neu arrangieren und auch weiter zufügen.

Was auffällt ist, dass es beim Speichern recht lange dauert (dreht endlos) und die Widgets wieder nicht mehr angezeigt werden können. Wenn es so lange dauert, werden die Änderungen am Ende nicht übernommen.
Scheint so, dass wenn zu viele Änderungen gleichzeitig gemacht werden kann er diese nicht übernehmen. Wenn ich nur ein zwei Änderungen mache und diese gleich speicher gibt es weniger Probleme.

Zumindest ein Schritt weiter.



Zur anderen Diskussion über Bussines oder Community Edition äussere ich mich hier nicht. Das ist nicht Thema dieses Threads und die Aussagen sind ziemlich aus der Luft gegriffen.

Das überrascht mich jetzt. Ich habe 6 Firewalls aktualisiert, auf einer dieses Problem, und halte das für recht "kosmetisch" - also ob's heute oder übermorgen gefixt ist, ist mir eigentlich herzlich wurst.

Naja, bin gerene komisch. Das Dashboard gibt mir beim Einstieg eine schnelle Übersicht was der Status der Firewall ist. Und der Fehlt. Bekomme diese Info jetzt nur, wenn ich mich durch etliche Menus durchhangel. Bin kaum der einzige Nutzer, der das so handhabt und empfindet.

Und, wenn ich ein Update einspiele und bekomme als erstes eine solches Dashboard, gibt das kein Vertrauen in das eingespielte Update. Bringt nicht viel eine Hochverfügbare Firewall mit Redundanz zu betreiben um dann gleich alle parallel mit dem Update zu bespielen.  Da wird erst mal eine Hochgezogen und wenn die dann einige Zeit problemlos läuft werden die anderen nachgezogen. Aber kann natürlich jeder machen wie er lustig ist. Für mich muss es zuverlässig laufen, sonst darf gerne mal die letzte Version noch ein wenig weiter arbeiten.

> Ich hab auf meinem APU4 diesen Timeout-Wert von 1.000 auf 10.000 erhöht, aber das allein hat das Problem nicht behoben.

Interessant, bei mir laufen auch APU4!

Dann warte ich mal auf den Hotfix und werde dann sehen was sich ändert. Die andere Opnsens bleibt vorerst auf 24.1.

Danke für die schnelle Reaktion.

> Bekanntes Problem, gibt bereits X Threads im Forum dazu.

Ich konnte da nichts finden was gepasst hätte. Gibt es einen Thread, der dieses Problem im Deutschen Forum trackt und in dem ich weiter verfolgen kann wie sich das entwickelt. Dann kann man diesen hier gerne schliessen.

Aus Nutzersicht nicht gerade ein banales Problem, müsste eigentlich irgendwo weit oben getrackt werden.

Hallo zusammen

Nach dem Update auf 24.7 können bei mir die Dashboard Widgets nicht geladen werden. Das heist in den Widgets wird "Failed to load widget" angezeigt.
Weder Restore default layout, noch neu Widgets hinzuzufügen ändert dabei etwas.

So sieht das Dashboard bei mir nun aus.


Was ist hier das Problem und wie löse ich das?

Bei mir lief es vorhin auch sauber durch. Habe ein etwas komplexeres setup laufen in einem HA-Cluster. Im Moment läuft mal eine mit 22.1. Wenn das ohne Probleme bleibt kommt die zweite dran.

Das funktioniert hier mit einem HA-Pärchen aber einwandfrei. Einzige Bedingung ist, dass nur "reintelefoniert" wird, die OPNsense also die Verbindung nicht aufbaut sondern alle Peers dies von sich aus tun. Dann einfach beim Peer die HA/CARP-Adresse des OPNsense-Clusters angeben und fertig. Dass der Wireguard-Dienst auf beiden Firewalls läuft, stört nicht weiter.

Tönt interessant, muss ich mir noch mal ansehen. Wobei mein Brume das ganz gut standalone macht.
Danke für diesen Hinweis!

Persönlich würde ich das Admin Netz so weit wie möglich schliessen und nur per VPN zugreifen. Beim VPN wäre meine erste Wahl WireGuard. Je nach Konstelation über den WireGuard-Server auf OPNsens. Dazu muss nur ein einziges Port geöffnet werden.

Selber kann ich meinen WireGuard Server nicht auf der OPNsense konfigurieren, da meine OPNsense in einem HA Setup läuft und WireGuard darüber nicht synchronisiert werden kann. Ich habe deshalb einen extra kleinen Server nur für WireGuard eingerichtet. Muss dann einfach noch ein Portforwarding zum WireGuard Server eingerichtet werden.

Möchte mich bei Dir bedanken. Habe mir jetzt zwei EdgeSwitch 18X von Ubiquiti geholt und mit Deinen Hinweisen recht schnell das Problem gelöst gehabt.
Herzlichen Dank!

Naja, der Netzplan braucht ein wenig Zeit, da es nicht eine 0815 Installation ist...

Zumindest ist es von der Verkabelung im Gebäude nicht möglich nur über die WiFi Router zu gehen.

Aus meiner Sicht geht der Mischbetrieb zumindest halb. Wie sonst sollten die Geräte am getaggten WLAN in der OPNsense auf das richtige Interface gelenkt werden und am Captive Portal ankommen. Während die Geräte im untaggeten WLAN daran vorbei geroutet werden. Aber anscheinend funktioniert das mit DHCP nicht. Da wird dann nicht auf den richtigen DHCP Server geroutet.

Bedeutet für mich, dass getaggter Traffic problemlos über die unmanaged Switches bis zur OPNsense fliesst.
Auch die anderen WLAN zu taggen wäre kein Problem.
Vielleicht könnte ich mit dem Austausch von 2 bis 3 Switches (möglichst direkt bei der OPNsense) die kabelgebundenen Geräte einbinden, da ja an einem getaggten Port wieder ein Switch (unmanaged) hängen kann. Richtig?

Genau da liegt wohl jetzt mein Problem. Ja ich habe im Moment ein Mischbetrieb. Grundsätzlich sind hier alle Switches unmanaged.

Daran hängen unter anderem WiFi-Router, die haben managed Switches. Deshalb konnte ich ein WLAN mit VLAN einrichten und das auch mit der OPNsense verbinden. Bis auf die DHCP Problematik läuft das auch. Sonst würde ja das Captive Portal von den Geräte am Gäste WLAN nicht gefunden.

Alle Geräte an meinen Switches laufen jetzt direkt auf dem DHCP Server des physikalischen Interfaces. Wir sprechen hier über ca. 10 Switches, welche verteilt im ganzen Haus installiert sind. Die müsste ich also alle ersetzten, damit ich allen Ports dieser Geräten das entsprechende VLAN Tag mitgeben könnte. Richtig?

Dann wird beim Einschalten auch der richtige (dem VLAN zugeordnete) DHCP Server angesprochen. Richtig?

Oder stehe ich immer noch auf dem Schlauch?