"
@Patrick M. Hausen - danke :)
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
#2
German - Deutsch / Re: Adguard und Unbound DNS zusammen mal nicht
April 06, 2025, 10:29:17 AMQuote from: Patrick M. Hausen on April 02, 2025, 03:38:58 PMDNS und DoT nach außen ist blockiert, DoH ist per Blockliste im AGH so weit blockiert wie das möglich ist.
Hallo,
über welche Blockliste lässt sich denn DoH hier blockieren?
Danke und beste Grüße
#3
German - Deutsch / Re: Opnsense from the scratch, welcher DHCP und DNS Server wird nun empfohlen.
March 18, 2025, 06:38:44 AMQuote from: JeGr on March 17, 2025, 01:02:38 AMWo meine Meinung aber stark abweicht ist DNSmasq als alleinigen DNS Forwarder zu haben. Forwarding gibt m.M.n. effektiv das DNS aus der Hand und zentralisiert einen DER Dienste, die von Grund auf dezentral sein sollten. Ich weiß, jetzt sind vielleicht schon einige kurz davor, in die Tasten zu hauen: man hat seine eigenen geprüften, getesteten, geliebten DNS Server, die garantiert safe, privat, non-logging und datensparsam sind. Und das dürfen sie auch gerne sein, dagegen argumentiere ich ja gar nicht. Und wenn ihr das möchtet, könnt ihr gern sämtlichen DNS Traffic verschlüsselt dorthin blasen. Aber DNS wurde dezentral gebaut um eben genau das eigentlich nicht zu tun. Unbound in Resolver Konfiguration mit aktivem DNSSEC ist hier m.E. die wesentlich bessere Antwort. Ja komplexer, gebe ich gern zu. Aber bei einem Forwarder kann ich ohne weiteres keinem DNSSEC glauben, da ich nur die Antwort vom Upstream bekomme - und der kann mir alles erzählen. Und selbst wenn ich 4 gute privacy DNSe als Upstream habe, kann man mir da trotzdem Streiche spielen. Oder deren Cache versaut sein. Oder sie werden eben wie Quad9 o.ä. einfach mal wieder verklagt und verdonnert, Antworten zu geben, die nicht korrekt sind. Einen Resolver kann man so einfach hier keine falsche Antwort unterjubeln, denn er fragt eben via DNS Roots, TLD Nameserver am Ende den SOA Server der Zone selbst. Und der muss die korrekte Antwort kennen. Direkt von der Quelle.
Danke, dem gibt es nichts hinzuzufügen :)
#4
German - Deutsch / Re: Vorabüberlegungen vor neuem Versuch eines Wechsels zu OPNsense
March 17, 2025, 10:39:42 AM
@JeGr
Danke für deine Antowrt - diese Überlegung kam mir dann direkt auch schon, und die Entscheidung ist schon Richtung Baremetal gefallen.
Aktuell habe ich nämnlich schon das Problem, dass Adguard Home inkl. Unbound via Docker laufen und ich den Host darunter regelmäßig offline updaten muss, da ist dann das Internet auch für ca. 5-10 min weg - kann ich aktuell noch handlen, aber möchte ich eben in Zukunft nicht mehr ;)
Das gesamte Projekt verschiebt sich jetzt aber erstmal - es gibt einfach noch ein paar andere Projekte die eine höhere Prio haben...
Danke für deine Antowrt - diese Überlegung kam mir dann direkt auch schon, und die Entscheidung ist schon Richtung Baremetal gefallen.
Aktuell habe ich nämnlich schon das Problem, dass Adguard Home inkl. Unbound via Docker laufen und ich den Host darunter regelmäßig offline updaten muss, da ist dann das Internet auch für ca. 5-10 min weg - kann ich aktuell noch handlen, aber möchte ich eben in Zukunft nicht mehr ;)
Das gesamte Projekt verschiebt sich jetzt aber erstmal - es gibt einfach noch ein paar andere Projekte die eine höhere Prio haben...
#5
German - Deutsch / Re: Vorabüberlegungen vor neuem Versuch eines Wechsels zu OPNsense
March 11, 2025, 09:07:56 PMQuote from: osmom on March 10, 2025, 11:56:06 AMDa ich momentan nicht nachvolziehen kann, was du erreichen willst, nimm doch alte HW und deine 7490 und baue dir eine Testumgebung auf.
Ich möchte "einfach" die OPNsense zum primären Routers machen und die bisherige Fritzbox als IP-Client dahinter im LAN betreiben...
#6
German - Deutsch / Re: Vorabüberlegungen vor neuem Versuch eines Wechsels zu OPNsense
March 10, 2025, 10:45:24 AM
Ok, wo ist denn der Unterschied zum Plugin os-caddy-maxit von mimugmail?
#7
German - Deutsch / Re: Vorabüberlegungen vor neuem Versuch eines Wechsels zu OPNsense
March 09, 2025, 11:41:42 AM
Nachtrag:
Cloudflare DDNS würde ich mit der OPNsense gerne auch nativ nutzen - sollte laut der Anleitung jedoch kein Problem sein oder?
https://www.reddit.com/r/OPNsenseFirewall/comments/1bgdpnk/how_to_set_up_cloudflare_dynamic_dns_ddns_on/
Cloudflare DDNS würde ich mit der OPNsense gerne auch nativ nutzen - sollte laut der Anleitung jedoch kein Problem sein oder?
https://www.reddit.com/r/OPNsenseFirewall/comments/1bgdpnk/how_to_set_up_cloudflare_dynamic_dns_ddns_on/
#8
German - Deutsch / Vorabüberlegungen vor neuem Versuch eines Wechsels zu OPNsense
March 05, 2025, 02:54:56 PM
Hallo zusammen mal wieder,
aktuell stehe ich vor meinem dritten, und hoffentlich finalem Versuch von einer FritzBox zu OPNsense zu wechseln.
Die ersten Versuche sind von 2019 und 2021 sind noch hier im Forum auffindbar ;)
Ich hole mal etwas aus...
Der mögliche neue Versuch resultiert u.a. aus der Möglichkeit Adguard Home (+unbound etc.) und Caddy direkt auf der OPNsense laufen zu lassen, daher auch die Vorüberlegungen ob mein Vorhaben so umsetzbar wäre bzw. sinnvoll ist :)
Die Ausgangslage zu damals hat sich nur unwesentlich verändert, anstatt der 7490 ist jetzt an beiden Standorten eine 7590 aktiv - als Modem teste ich gerade das Zyxel VMG4005-B50A, warte aber noch auf das RJ11 DSL-Kabel ;)
Die beiden 7590 sind via Wireguard S2S Tunnel verbunden und zu den einzelnen Standorten wird eine VPN-Verbindung via Wireguard von den Clients nativ zur 7590 aufgebaut.
Neu im LAN sind Adguard Home und unbound via Docker auf dem NAS - Caddy läuft auf einer separaten VM auf dem NAS und sollte sowieso planmäßig den integrierten nginx auf dem NAS ablösen.
Die Möglichkeit Adguard Home direkt auf der OPNsense zu nutzen war mir schon ein wenig länger bekannt, die Möglichkeit Caddy via Plugin (kudos @mimugmail) nun auch direkt auf der OPNsense nutzen zu können, würde zwei Fliegen mit einer Klappe schlagen :)
Daher meine direkte Fragen zu den beiden Community-Plugins von mimugmail:
Weitere Überlegen für den neuen Versuch wären?
Als Hardware würde ein (vorerst überdimensionierter) Mini-PC von CWWK mit Intel N150 und 16GB RAM und m.2 SSD in Frage kommen - oder gibt es sinnvolle Alternativen mit aktuellen CPUs?
Die vorhandene 7590 soll wieder als IP-Client hinter der OPNsense laufen und WLAN und VoIP-Telefonie via DECT bereitstellen - hier sehe ich keine akuten Probleme dieses Setup so umzusetzen...
Ich hoffe es ist noch übersichtlich genug, falls nicht einfach Bescheid geben...
Freue mich auf Euren Input :)
Bis dahin
opnboi
aktuell stehe ich vor meinem dritten, und hoffentlich finalem Versuch von einer FritzBox zu OPNsense zu wechseln.
Die ersten Versuche sind von 2019 und 2021 sind noch hier im Forum auffindbar ;)
Ich hole mal etwas aus...
Der mögliche neue Versuch resultiert u.a. aus der Möglichkeit Adguard Home (+unbound etc.) und Caddy direkt auf der OPNsense laufen zu lassen, daher auch die Vorüberlegungen ob mein Vorhaben so umsetzbar wäre bzw. sinnvoll ist :)
Die Ausgangslage zu damals hat sich nur unwesentlich verändert, anstatt der 7490 ist jetzt an beiden Standorten eine 7590 aktiv - als Modem teste ich gerade das Zyxel VMG4005-B50A, warte aber noch auf das RJ11 DSL-Kabel ;)
Die beiden 7590 sind via Wireguard S2S Tunnel verbunden und zu den einzelnen Standorten wird eine VPN-Verbindung via Wireguard von den Clients nativ zur 7590 aufgebaut.
Neu im LAN sind Adguard Home und unbound via Docker auf dem NAS - Caddy läuft auf einer separaten VM auf dem NAS und sollte sowieso planmäßig den integrierten nginx auf dem NAS ablösen.
Die Möglichkeit Adguard Home direkt auf der OPNsense zu nutzen war mir schon ein wenig länger bekannt, die Möglichkeit Caddy via Plugin (kudos @mimugmail) nun auch direkt auf der OPNsense nutzen zu können, würde zwei Fliegen mit einer Klappe schlagen :)
Daher meine direkte Fragen zu den beiden Community-Plugins von mimugmail:
- beinhalten diese sämtliche Features der offiziellen Versionen oder sind diese abgespeckt?
- wie wird das mit den Updates gehandhabt? Diese werden sicherlich immer händisch durch mimugmail bereitgestellt?
Weitere Überlegen für den neuen Versuch wären?
- OPNsense BareMetal oder via ProxMox? Vorteile, Nachteile beim jeweiligen Szenario
Als Hardware würde ein (vorerst überdimensionierter) Mini-PC von CWWK mit Intel N150 und 16GB RAM und m.2 SSD in Frage kommen - oder gibt es sinnvolle Alternativen mit aktuellen CPUs?
- Lässt sich Zenarmor problemlos in Kombination mit AdGuard Home betreiben
Die vorhandene 7590 soll wieder als IP-Client hinter der OPNsense laufen und WLAN und VoIP-Telefonie via DECT bereitstellen - hier sehe ich keine akuten Probleme dieses Setup so umzusetzen...
Ich hoffe es ist noch übersichtlich genug, falls nicht einfach Bescheid geben...
Freue mich auf Euren Input :)
Bis dahin
opnboi
#9
German - Deutsch / Re: Erfahrungen mit Intel Celeron CPU's mit IPS/IDP
February 15, 2021, 07:27:21 PM
Danke @JeGr
Besser hätte man es nicht beschreiben können ;D
Besser hätte man es nicht beschreiben können ;D
#10
German - Deutsch / Re: IPsec Site2Site Problem - Traffic läuft trotz SPD-Eintrag nur kurz wie gewünscht
February 15, 2021, 09:22:18 AM
Danke für deine Antwort :)
Nutzt du da auch SPD-Einträge?
Die FritzBox auf der Gegenseite kann man ja eigentlich ausschließen oder?
Nachdem "Schluckauf" geht ja der Traffic eben nicht mehr über das IPsec Interface, sondern über das WireGuard Interface, dies ist ja auf der OPNsense definitiv ersichtlich - daher sehe ich den Fehler hier auf der OPNsense, gerade auch wegen diesem omniösem Schluckauf....
Der "Schluckauf" müsste doch auch irgendwo in den Logs der OPNsense zu finden sein ???
Nutzt du da auch SPD-Einträge?
Die FritzBox auf der Gegenseite kann man ja eigentlich ausschließen oder?
Nachdem "Schluckauf" geht ja der Traffic eben nicht mehr über das IPsec Interface, sondern über das WireGuard Interface, dies ist ja auf der OPNsense definitiv ersichtlich - daher sehe ich den Fehler hier auf der OPNsense, gerade auch wegen diesem omniösem Schluckauf....
Der "Schluckauf" müsste doch auch irgendwo in den Logs der OPNsense zu finden sein ???
#11
German - Deutsch / Re: IPsec Site2Site Probleme - Tunnel funktioniert nur ein paar Stunden
February 15, 2021, 08:22:22 AM
So, zumindest steht der Tunnel selbst zur FritzBox wieder stabil - das Hauptproblem mit dem Traffic vom WireGuard Tunnel besteht weiterhin...
Hat keiner eine Idee?
Hat keiner eine Idee?
#12
German - Deutsch / Re: IPsec Site2Site Probleme - Tunnel funktioniert nur ein paar Stunden
February 14, 2021, 11:04:11 AM
Ich habe DoT konfiguriert und nicht DoH - über Vorteile/Nachteile kann man sicher auch streiten;)
Habe jetzt am Tunnel den Mode von Main auf Agressive geändert, mal schauen ob er jetzt wieder stabiler läuft...
Das andere Problem mit dem WireGuard Traffic sollte nichts mit dem Moder oder DoT/DoH zu tun haben...
Habe jetzt am Tunnel den Mode von Main auf Agressive geändert, mal schauen ob er jetzt wieder stabiler läuft...
Das andere Problem mit dem WireGuard Traffic sollte nichts mit dem Moder oder DoT/DoH zu tun haben...
#13
German - Deutsch / Re: Port Freigabe VoIP Telekom & Kameras SMTP
February 13, 2021, 05:44:52 PM
Sorry,
aber du solltest dir erstmal bei den Basics sicher sein, bevor du hier weiter machst...
Du wirbelst hier SMTP und SMB durcheinander und wirfst jetzt auch noch den jDownloader mit rein :o
Es gibt kein Handbuch auf Deutsch, nur die englische Doku...
Frage mich ernsthaft, warum du unter diesen Voraussetzungen - deine Skills und die quasi erzwungene Nutzung des Hybrid-Speedports - eine OPNsense betreibst? Dies birgt aufgrund des Doppel-NATs eh schon mehr Probleme mit sich, als du eh schon hast...
Welche Vorteile/Verbesserungen erhoffst du dir denn vom Einsatz der OPNsense, speziell an diesem Anschluss?
Soll kein Angriff sein, sondern nur eine ernstgemeinte Frage....
aber du solltest dir erstmal bei den Basics sicher sein, bevor du hier weiter machst...
Du wirbelst hier SMTP und SMB durcheinander und wirfst jetzt auch noch den jDownloader mit rein :o
Es gibt kein Handbuch auf Deutsch, nur die englische Doku...
Frage mich ernsthaft, warum du unter diesen Voraussetzungen - deine Skills und die quasi erzwungene Nutzung des Hybrid-Speedports - eine OPNsense betreibst? Dies birgt aufgrund des Doppel-NATs eh schon mehr Probleme mit sich, als du eh schon hast...
Welche Vorteile/Verbesserungen erhoffst du dir denn vom Einsatz der OPNsense, speziell an diesem Anschluss?
Soll kein Angriff sein, sondern nur eine ernstgemeinte Frage....
#14
Virtual private networks / IPsec Site2Site problems - tunnel works only a few hours
February 13, 2021, 02:51:38 PM
Hello,
hoping the get some help here too - it's the translated thread from there:
https://forum.opnsense.org/index.php?topic=21489.0
I'll skip the problematic part now, because the actual problem has been solved and the goal has been reached:
https://forum.opnsense.org/index.php?topic=21385.0
Starting point: The IPsec Site2Site tunnel to the remote FritzBox is up and running, and it can also be reached from the local W(LAN) of the OPNsense, as well as from the WireGuard network due to the SPD entry.
This works for a few hours, until this ominous hiccup, where there seem to be local DNS problems - the devices in the (W)LAN of the OPNsense then report no Internet access.
After the hiccup the IPsec tunnel doesn't work properly anymore, the SPD entry is still there but the traffic from the WireGuard VPN doesn't go through the IPsec interface anymore - sometimes the whole IPsec tunnel breaks down and I have to restart the OPNsense and maybe even the remote FritzBox to rebuild the tunnel :-\
I wonder where the error devil is hidden here, I haven't configured anything unusual - Unbound DNS runs with DNS over TLS, otherwise I can't think of anything else that could play a role here.
Has anyone ever had similar problems and/or a tip for me?
Thanks and best regards
If you need further information, feel free to ask :)
Kind regards
hoping the get some help here too - it's the translated thread from there:
https://forum.opnsense.org/index.php?topic=21489.0
I'll skip the problematic part now, because the actual problem has been solved and the goal has been reached:
https://forum.opnsense.org/index.php?topic=21385.0
Starting point: The IPsec Site2Site tunnel to the remote FritzBox is up and running, and it can also be reached from the local W(LAN) of the OPNsense, as well as from the WireGuard network due to the SPD entry.
This works for a few hours, until this ominous hiccup, where there seem to be local DNS problems - the devices in the (W)LAN of the OPNsense then report no Internet access.
After the hiccup the IPsec tunnel doesn't work properly anymore, the SPD entry is still there but the traffic from the WireGuard VPN doesn't go through the IPsec interface anymore - sometimes the whole IPsec tunnel breaks down and I have to restart the OPNsense and maybe even the remote FritzBox to rebuild the tunnel :-\
I wonder where the error devil is hidden here, I haven't configured anything unusual - Unbound DNS runs with DNS over TLS, otherwise I can't think of anything else that could play a role here.
Has anyone ever had similar problems and/or a tip for me?
Thanks and best regards
If you need further information, feel free to ask :)
Kind regards
#15
German - Deutsch / IPsec Site2Site Problem - Traffic läuft trotz SPD-Eintrag nur kurz wie gewünscht
February 13, 2021, 08:42:47 AM
Hallo,
ich gliedere jetzt den problematischen Part mal aus, denn das eigentliche Problem wurde ja gelöst, bzw. das Ziel erreicht:
https://forum.opnsense.org/index.php?topic=21385.0
Ausgangspunkt: Der IPsec Site2Site Tunnel zur entfernten FritzBox steht, und diese ist auch auch dem lokalen W(LAN) der OPNsense zu erreichen, sowie aus dem WireGuard Netz dank SPD-Eintrag.
Dies funktioniert jeweils ein paar Stunden, bis zu diesem ominösen Schluckauf, bei dem es scheinbar lokale DNS-Probleme gibt - die Geräte im (W)LAN der OPNsense melden dann nämnlich kein Internetzugang.
Nachdem Schluckauf funktioniert der IPsec-Tunnel dann nicht mehr richtig, der SPD-Eintrag ist zwar noch vorhanden aber der Traffic aus dem WireGuard VPN geht dann nicht mehr über die IPsec Schnittstelle - teilweise bricht auch der ganze IPsec-Tunnel zusammen und ich muss die OPNsense und ggf. sogar die FritzBox neustarten um den Tunnel wieder aufzubauen :-\
Ich frage mich wo hier der Fehlerteufel versteckt ist, habe ja eigentlich nichts ungewöhnliches konfiguriert - Unbound DNS läuft mit DNS over TLS, ansonsten fällt mir ad hoc nix weiter ein was hier mit reinspielen könnte.
Hat jemand schonmal ähnliches gehabt und/oder einen Tip für mich?
Danke und beste Grüße
ich gliedere jetzt den problematischen Part mal aus, denn das eigentliche Problem wurde ja gelöst, bzw. das Ziel erreicht:
https://forum.opnsense.org/index.php?topic=21385.0
Ausgangspunkt: Der IPsec Site2Site Tunnel zur entfernten FritzBox steht, und diese ist auch auch dem lokalen W(LAN) der OPNsense zu erreichen, sowie aus dem WireGuard Netz dank SPD-Eintrag.
Dies funktioniert jeweils ein paar Stunden, bis zu diesem ominösen Schluckauf, bei dem es scheinbar lokale DNS-Probleme gibt - die Geräte im (W)LAN der OPNsense melden dann nämnlich kein Internetzugang.
Nachdem Schluckauf funktioniert der IPsec-Tunnel dann nicht mehr richtig, der SPD-Eintrag ist zwar noch vorhanden aber der Traffic aus dem WireGuard VPN geht dann nicht mehr über die IPsec Schnittstelle - teilweise bricht auch der ganze IPsec-Tunnel zusammen und ich muss die OPNsense und ggf. sogar die FritzBox neustarten um den Tunnel wieder aufzubauen :-\
Ich frage mich wo hier der Fehlerteufel versteckt ist, habe ja eigentlich nichts ungewöhnliches konfiguriert - Unbound DNS läuft mit DNS over TLS, ansonsten fällt mir ad hoc nix weiter ein was hier mit reinspielen könnte.
Hat jemand schonmal ähnliches gehabt und/oder einen Tip für mich?
Danke und beste Grüße
