Messages

VLAN und subnetz sind nicht das selbe. Für unterschiedliche VLANs brauchst du geeignete Hardware. Der Switch muss VLAN fähig sein und der WLAN AP auch. Die Fritz Produkte können kein VLAN.

Oh.  I thought your screenshot was a joke.  Why do you need so many of the same blocking rules?  Aren't these rules blocking stuff?  Are those outbound or floating rules?

My screenshot was not a joke.
The idea was to have several VLANs and put the devices that shoud be seperated in these VLANs. E.g. my office PC and the NAS are in one VLAN, the smartphones, Apple TV and stuff like this in an other VLAN. Each VLAN has the blocking rules to block access to every other VLANs and in the end an allow all rule for Internet Acces. When I need a communication between the VLANs I add a allow rule in front like in the Screenshot for the Remote Desktop Port.
Maybe there are simpler solutions, but this one worked for me and separates devices like me office PC from the smartphones and the NAS...
The idea should also work for IPv6 because for the sole separation between the VLANs no direct IPv6 based rule is needed. And for devices without internet access the allow all rule on the end can be removed for a VLAN without Internet.

Try something like this.

Installiere doch adguard Home per opnsense plugin direkt auf der Maschine, wo auch opnsense läuft. Dafür musst du das Community Repo in der opnsense einrichten.
Den unbound der sense verlegst du auf den Port 53053 und trägst diesen als upstream DNS in adguard ein.
Die Ip der opnsense Maschine wird dann automatisch per dhcp verteilt und adguard lauscht auf allen interfaces auf DNS Anfragen das klappt auch mit ipv6.

Hallo,

wenn ich es richtig verstanden habe, funktioniert die HomeKit Kommunikation über eine Zentrale (mit Homepod oder AppleTV) über die iCloud. also die Zentrale verbindet sich mit der iCloud und deine Geräte (z.B. iphones) von unterwegs auch. Keine Ahnung über welche Kanäle sich die Homkit Zentrale mit der iCloud verbindet bzw. ob es da spezielle Ports gibt, die man blocken könnte und die auch nur für Homekit da sind.
Um den Homekit Zugriff von unterwegs zu blockieren müsstest du die Kommunikation der Homepods/AppleTVs mit der iCloud unterbinden. Das macht wahrscheinlich keinen Sinn, weil die Geräte dann vermutlich auch anderweitig nicht mehr richtig funktionieren.

Denke auch daran, dass alle evtl. zwischengeschalteten Switche VLAN fähig sein müssen. Die billigen unmanaged Switche beherrschen das nicht. Ein Switch, der mit VLAN  funktioniert ist z.b. der TP-Link TL-SG108E. 

Wie schon geschrieben muss dein AP auch VLANs unterstützen. Das ist unabhängig von der Frequenz. Du legst am LAN Port wo der AP angeschlossen ist zwei tagged vlans an und in der Konfigurationsoberfläche des AP ordnest du der jeweiligen SSID das VLAN.zu. Dein günstiger ASUS kann das aber wahrscheinlich nicht.

Hallo,

kommt auf deinen Access Point an. Es gibt Geräte, die können mehrere SSIDs bereitstellen und diese jeweils einem anderen VLAN zuordnen. Unifi sollte das können, grandstream GWN7660 kann das oder eine FRITZ!Box 4040 mit Openwrt geflasht geht auch. Die Aufzählung ist nicht vollständig.

I would also appreciate very much if the IPV6 Tracking issue with virtual IPs would be solved in 20.1.

That bug makes it a mess using Opnsense with VLANs and IPv6 on any DSL line with changing IPV6 prefix:
https://github.com/opnsense/core/issues/3310

Is there a way to contribute to the solution of this issue?
To me it seems that there is some kind of sorting that determines the order of the IPv6 addresses and after a reboot the sorting brings the ULA/virtual IP on the first position -> tracking broken.
Shouldn't be so complicated to fix that sorting function.

Ich kenne mich mit OpenVPN nicht aus und weiß daher nicht, ob du NPTv6 dafür wirklich brauchst. Mir ist jegliches NAT bei IPv6 irgendwie suspekt. IPv6 macht man doch eigentlcih um NAT loszuwerden...
Du kämpfst aber vermutlich mti zwei Problemen:
1) Dynamisches NPTv6
https://github.com/opnsense/core/issues/2544

2) Deine Virtuelle IP ULA auf dem LAN Interface kann das Tracking des WAN Interface stören (falls du bei LAN Track WAN als Methode eingestellt hast, um die Prefix Delegation vom LAN in's WAN zu machen). Das Problem tritt nach einem Reeboot auf:
https://github.com/opnsense/core/issues/3310

Also meine NAS ist ein einem anderen VLAN als der Desktop PC. Gerade habe ich per SMB eine 18GB große Datei auf den Desktop kopiert und gleichzeitig den AVM Zack Speedtest der Internetverbindung laufen lassen.
Der Kopiervorgang bleibt laut Explorer konstant über 100MB/s und die Geschwindigkeit der Internetverbindung bricht auch nicht ein. LAGG verwende ich nicht. Bei mir kommt die CI329 hauptsächlich wegen eingeschränkten Platzverhältnissen zum Einsatz. Das Gerät muss zusammen mit Modem uns Switch in ein kleines Patchfeld neben dem Sicherungskasten passen...
In der ct gab es auch mal einen Test der CI329 mit pfSense. In dem Artikel wurden auch Geschwindigkeitsmessungen veröffentlicht:
https://www.heise.de/select/ct/2019/4/1549881662539854

Gibt es denn einen Hinweis, ob der Bugfix in 20.1 kommt?

Nach den letzen Release Notes zur 19.7.8 scheint die 20.1 ja nicht mehr alzu weit entfernt:

We are almost at the point of a 20.1-BETA release with an isolated images for early bird testing as a special present at this time of year. Stay tuned. :)

In dem Stadium wissen die Entwickler vermutlich schon, ob der Bug in 20.1 behoben wurde oder nicht.
Ist das irgendwie in Erfahrung zu bringen oder fällt das unter streng geheime Verschlusssache?  8)

Ich würde das nur gerne vorher wissen, bevor ich selbst Aufwand in die Behebung des Problems stecke.

Habe eine Zotac Zbox CI329 nano mit der OPNsense im Einsatz. Die NICs sind keine Intel sondern Realtek, funktionieren aber tadellos. Ich habe sie allerdings nicht als LAGG im Einsatz, sondern ein Anschluss als WAN mit einem Draytek DSL Modem, den anderen Richtung LAN mit einem VLAN fähigen Switch daran angeschlossen. Auf der LAN Seite laufen aktuell problemlos 10 VLANs.

So der Tipp mit der Virtual IP hat erst mal funktioniert.

Für das VLAN99 habe ich eine Virtual IP ala fd00::9900/64 eingestellt.
Das LAN eine Virtual IP fd00::1000/64
Der Server im VLAN99 bekommt direkt am Gerät die fd00::9915/64

Damit kann ich aus dem LAN den Server im VLAN99 unter der IPv6-Adresse fd00::9915 erreichen.

Sobald ich die OPNsense neu starte schlägt der zitierte Bug https://github.com/opnsense/core/issues/3310 leider voll zu.
Die VLANs bekommen dann als primäre IPv6 die ULA zugewiesen. Die globale Adresse vom Provider steht am Interface dann nur noch an zweiter Stelle und wird über die Prefix Delegation auch nicht mehr an die Clients weitergereicht.

Gibt es irgendeine Möglichkeit das Problem zu umgehen? Vielleicht ein Skript schreiben, das immer nach dem Startup ausgeführt wird und den Interfaces nach erfolgter Prefix delegation nohe eine IPv6 ULA erzeugt...

Hallo zusammen,

ich möchte in meinem Heimnetz für einen Serverdienst eine lokale statische IPv6 vergeben.
Dafür eignet sich ja eine Unique Link Local Adresse (ULA).
Auf meinem Linux Server geht das ganz leicht mit z.B.:

Code Select Expand

ip addr add fd00::9915/64 dev eth0

Jetzt benutze ich mehrere VLANs und die neue ULA IPv6 ist nur im selben VLAN erreichbar, in dem der Server steht.
Die Firewallregeln sind soweit korrekt, ich kann die globale IPv6 des Servers aus anderen VLANs erreichen.

Mein Setup sieht grundsätzlich so aus:
DSL Anschluss mit Dualstack, ich bekomme ein ipv6 Prefix mit einem 56er Subnet.
Die Opnsense wählt sich über ein DSL-Modem beim Provider ein (WAN Interface).
Am Lan Interface sind mehrere VLANS eingerichtet.
Die VLANs bekommen über "Track Interface" die wechselnden Prefixes vom Provider durchgereicht. Die Clients würfeln sich dann über SLAAC den Rest der Adresse aus.

Wie bekomme ich in diesem Setup eine statische interne IPv6 ULA für den Server hin, die auch über VLAN Grenzen erreichbar ist?

Danke schon mal