Messages

Oh, vielen Dank - manchmal sieht man den Wald vor lauter Bäumen nicht - oder ohne funktionierenden Upstream DNS natürlich auch nicht ;)

@JeGr

Danke für deine Antowrt - diese Überlegung kam mir dann direkt auch schon, und die Entscheidung ist schon Richtung Baremetal gefallen.

Nach weiteren Überlegungen ist die Entscheidung Richtung virtuelle Installation gefallen - Basis ist eine PVE-Umgebung mit der ich gerade teste :)

Installiere einfach mal beide und vergleiche sie. Dann entscheide welches du benutzen willst.

Dies klappt scheinbar nicht - die offizielle Erweiterung ist installiert - bei der Installation von os-caddy-maxit bekomme ich folgendes:

***GOT REQUEST TO INSTALL***
Currently running OPNsense 25.1.7_4 (amd64) at Wed Jun 11 08:13:42 CEST 2025
Updating OPNsense repository catalogue...
OPNsense repository is up to date.
Updating mimugmail repository catalogue...
mimugmail repository is up to date.
All repositories are up to date.
pkg: os-caddy-maxit has a missing dependency: caddy
Checking integrity... done (0 conflicting)
Nothing to do.
***DONE***

Daher meine direkte Fragen zu den beiden Community-Plugins von mimugmail:

• beinhalten diese sämtliche Features der offiziellen Versionen oder sind diese abgespeckt?
• wie wird das mit den Updates gehandhabt? Diese werden sicherlich immer händisch durch mimugmail bereitgestellt?

Die installierte AdGuard Home Version via "os-adguardhome-maxit" Erweiterung ist die Version: v0.107.57 - diese ist vom Februar 2025, seitdem gab es fünf weitere Versionen.

Ein Update auf die aktuellste Version via AdGuard Home Webinterface, wie hier zu sehen:

https://opnsense.max-it.de/unsere-plugins/adguard/

scheint nicht (mehr) verfügbar zu sein.

Welche Möglichkeiten hätte man jetzt um die aktuellen Versionen von AdGuard Home zu installieren? Kann man hier zuarbeiten/unterstützen?

@Patrick M. Hausen - danke :)

DNS und DoT nach außen ist blockiert, DoH ist per Blockliste im AGH so weit blockiert wie das möglich ist.

Hallo,

über welche Blockliste lässt sich denn DoH hier blockieren?

Danke und beste Grüße

Wo meine Meinung aber stark abweicht ist DNSmasq als alleinigen DNS Forwarder zu haben. Forwarding gibt m.M.n. effektiv das DNS aus der Hand und zentralisiert einen DER Dienste, die von Grund auf dezentral sein sollten. Ich weiß, jetzt sind vielleicht schon einige kurz davor, in die Tasten zu hauen: man hat seine eigenen geprüften, getesteten, geliebten DNS Server, die garantiert safe, privat, non-logging und datensparsam sind. Und das dürfen sie auch gerne sein, dagegen argumentiere ich ja gar nicht. Und wenn ihr das möchtet, könnt ihr gern sämtlichen DNS Traffic verschlüsselt dorthin blasen. Aber DNS wurde dezentral gebaut um eben genau das eigentlich nicht zu tun. Unbound in Resolver Konfiguration mit aktivem DNSSEC ist hier m.E. die wesentlich bessere Antwort. Ja komplexer, gebe ich gern zu. Aber bei einem Forwarder kann ich ohne weiteres keinem DNSSEC glauben, da ich nur die Antwort vom Upstream bekomme - und der kann mir alles erzählen. Und selbst wenn ich 4 gute privacy DNSe als Upstream habe, kann man mir da trotzdem Streiche spielen. Oder deren Cache versaut sein. Oder sie werden eben wie Quad9 o.ä. einfach mal wieder verklagt und verdonnert, Antworten zu geben, die nicht korrekt sind. Einen Resolver kann man so einfach hier keine falsche Antwort unterjubeln, denn er fragt eben via DNS Roots, TLD Nameserver am Ende den SOA Server der Zone selbst. Und der muss die korrekte Antwort kennen. Direkt von der Quelle.

Danke, dem gibt es nichts hinzuzufügen :)

@JeGr

Danke für deine Antowrt - diese Überlegung kam mir dann direkt auch schon, und die Entscheidung ist schon Richtung Baremetal gefallen.

Aktuell habe ich nämnlich schon das Problem, dass Adguard Home inkl. Unbound via Docker laufen und ich den Host darunter regelmäßig offline updaten muss, da ist dann das Internet auch für ca. 5-10 min weg - kann ich aktuell noch handlen, aber möchte ich eben in Zukunft nicht mehr ;)

Das gesamte Projekt verschiebt sich jetzt aber erstmal - es gibt einfach noch ein paar andere Projekte die eine höhere Prio haben...

Da ich momentan nicht nachvolziehen kann, was du erreichen willst, nimm doch alte HW und deine 7490 und baue dir eine Testumgebung auf.

Ich möchte "einfach" die OPNsense zum primären Routers machen und die bisherige Fritzbox als IP-Client dahinter im LAN betreiben...

Ok, wo ist denn der Unterschied zum Plugin os-caddy-maxit von mimugmail?

Nachtrag:

Cloudflare DDNS würde ich mit der OPNsense gerne auch nativ nutzen - sollte laut der Anleitung jedoch kein Problem sein oder?

https://www.reddit.com/r/OPNsenseFirewall/comments/1bgdpnk/how_to_set_up_cloudflare_dynamic_dns_ddns_on/

Hallo zusammen mal wieder,

aktuell stehe ich vor meinem dritten, und hoffentlich finalem Versuch von einer FritzBox zu OPNsense zu wechseln.

Die ersten Versuche sind von 2019 und 2021 sind noch hier im Forum auffindbar ;)

Ich hole mal etwas aus...

Der mögliche neue Versuch resultiert u.a. aus der Möglichkeit Adguard Home (+unbound etc.) und Caddy direkt auf der OPNsense laufen zu lassen, daher auch die Vorüberlegungen ob mein Vorhaben so umsetzbar wäre bzw. sinnvoll ist :)

Die Ausgangslage zu damals hat sich nur unwesentlich verändert, anstatt der 7490 ist jetzt an beiden Standorten eine 7590 aktiv - als Modem teste ich gerade das Zyxel VMG4005-B50A, warte aber noch auf das RJ11 DSL-Kabel ;)

Die beiden 7590 sind via Wireguard S2S Tunnel verbunden und zu den einzelnen Standorten wird eine VPN-Verbindung via Wireguard von den Clients nativ zur 7590 aufgebaut.

Neu im LAN sind Adguard Home und unbound via Docker auf dem NAS - Caddy läuft auf einer separaten VM auf dem NAS und sollte sowieso planmäßig den integrierten nginx auf dem NAS ablösen.

Die Möglichkeit Adguard Home direkt auf der OPNsense zu nutzen war mir schon ein wenig länger bekannt, die Möglichkeit Caddy via Plugin (kudos @mimugmail) nun auch direkt auf der OPNsense nutzen zu können, würde zwei Fliegen mit einer Klappe schlagen :)

Daher meine direkte Fragen zu den beiden Community-Plugins von mimugmail:

• beinhalten diese sämtliche Features der offiziellen Versionen oder sind diese abgespeckt?
• wie wird das mit den Updates gehandhabt? Diese werden sicherlich immer händisch durch mimugmail bereitgestellt?

Weitere Überlegen für den neuen Versuch wären?

• OPNsense BareMetal oder via ProxMox? Vorteile, Nachteile beim jeweiligen Szenario

Als Hardware würde ein (vorerst überdimensionierter) Mini-PC von CWWK mit Intel N150 und 16GB RAM und m.2 SSD in Frage kommen - oder gibt es sinnvolle Alternativen mit aktuellen CPUs?

• Lässt sich Zenarmor problemlos in Kombination mit AdGuard Home betreiben

Die vorhandene 7590 soll wieder als IP-Client hinter der OPNsense laufen und WLAN und VoIP-Telefonie via DECT bereitstellen - hier sehe ich keine akuten Probleme dieses Setup so umzusetzen...

Ich hoffe es ist noch übersichtlich genug, falls nicht einfach Bescheid geben...

Freue mich auf Euren Input :)

Bis dahin

opnboi

Danke @JeGr

Besser hätte man es nicht beschreiben können ;D

Danke für deine Antwort :)

Nutzt du da auch SPD-Einträge?

Die FritzBox auf der Gegenseite kann man ja eigentlich ausschließen oder?

Nachdem "Schluckauf" geht ja der Traffic eben nicht mehr über das IPsec Interface, sondern über das WireGuard Interface, dies ist ja auf der OPNsense definitiv ersichtlich - daher sehe ich den Fehler hier auf der OPNsense, gerade auch wegen diesem omniösem Schluckauf....

Der "Schluckauf" müsste doch auch irgendwo in den Logs der OPNsense zu finden sein ???

So, zumindest steht der Tunnel selbst zur FritzBox wieder stabil - das Hauptproblem mit dem Traffic vom WireGuard Tunnel besteht weiterhin...

Hat keiner eine Idee?

Ich habe DoT konfiguriert und nicht DoH - über Vorteile/Nachteile kann man sicher auch streiten;)

Habe jetzt am Tunnel den Mode von Main auf Agressive geändert, mal schauen ob er jetzt wieder stabiler läuft...

Das andere Problem mit dem WireGuard Traffic sollte nichts mit dem Moder oder DoT/DoH zu tun haben...

Sorry,

aber du solltest dir erstmal bei den Basics sicher sein, bevor du hier weiter machst...

Du wirbelst hier SMTP und SMB durcheinander und wirfst jetzt auch noch den jDownloader mit rein :o

Es gibt kein Handbuch auf Deutsch, nur die englische Doku...

Frage mich ernsthaft, warum du unter diesen Voraussetzungen - deine Skills und die quasi erzwungene Nutzung des Hybrid-Speedports - eine OPNsense betreibst? Dies birgt aufgrund des Doppel-NATs eh schon mehr Probleme mit sich, als du eh schon hast...

Welche Vorteile/Verbesserungen erhoffst du dir denn vom Einsatz der OPNsense, speziell an diesem Anschluss?
Soll kein Angriff sein, sondern nur eine ernstgemeinte Frage....