Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - stefanpf

#1
Hi,

mittels des Plugins
os-udpbroadcastrelay
die Ports 6666 und 6667 aus dem Iot in das HA Netz übertragen.

https://github.com/rospogrigio/localtuya/issues/1507

Aber Vorsicht, dass macht süchtig.
Wenn man dann Sonos, YouTube, Netflix für Verschiedene Devices darüber realisiert hat, sind irgendwann soviele High Ports freigegeben, dass man sich die Netztrennung fast schenken kann :)

Alternativ einmal darüber nachdenken den HA mit zwei NICs ausstatten. 
#2
Wegen dynamischem IPv6 Präfix bin ich auf eine Firewall Gruppe LOCAL_VLANS mit den entsprechenden Mitgliedern gewechselt.

Das deckt sowohl ULA als auch GUAs lokal ab.
Link-Local dürfte irrelevant sein, da die ja eh nicht geroutet werden.

Aber ja - auch hier müsste ein neues Interface manuell ergänzt werden.
#3
Hi,

It sounds like a DHCP range is missing for the second LAN interface.
Take a look at the relevant sections in Dnsmasq.
Also check the interface binding settings for Dnsmasq and Unbound.
I'm not entirely sure about this, but you might need to add a rule for the DNS destination "this firewall" on UDP port 53 on the second interface.
#4
Das klingt so als wäre in den Allowed IPs in der Client config ein /24 statt /16 angegeben.
#5
Möchte das nicht als die absolute Wahrheit verkaufen, aber folgendes scheint bei mir geholfen zu haben:
- router advertisments nicht über dnsmasq, sondern wieder über radv (Services / Router advertisements)
  Dort in den erweiterten Einstellungen
  deprecate prefix on
  shutdown prefix on
  Minimum interval 20
  Maximum interval 60
  Default Lifetime 60
  Preferred Lifetime 600
  Valid Lifetime 1800
 - Wifi: z.B. bei Unifi sicherstellen, dass Multicast nicht geblockt wird, DTIM auf 3

Zwischendurch hatte ich die RAs über dnsmasq verteilen lassen und habe es damit nicht dauerhaft zum laufen bekommen - primär ist das bei den Stubenhockern (Ipad, LG TV) aufgefallen.
#6
Hi,

Unbound nutzen und nur interne Anfragen an dnsmasq weiterleiten

https://docs.opnsense.org/manual/dnsmasq.html#dhcpv4-with-dns-registration

Mit nur dnsmasq als Resolver für alles kam es bei mir auch zu merkwürdigen Phänomenen - kann mich aber leider nicht mehr an die Details erinnern :(
#7

Ich habe es nie probiert, aber das soll wohl über Openvpn-Group Aliase funktionieren. Die kann man dann in den Rules verwenden.
https://docs.opnsense.org/manual/aliases.html#openvpn
#8
A wild guess:
Have a look under /Services/UDP Broadcast Relay.
Every entry generates a service witch is named with the content of the description field.

 
By the way, it would be much easier if you told us which plugins are installed on the machine.
#9
You Can use the Overrides in unbound for example.


Services: Unbound DNS: Overrides
#10
Have a Look at ,,nat reflection for portforward"
and ,, Automatic outbound NAT for Reflection"
https://docs.opnsense.org/manual/firewall_settings.html#network-address-translation

#11
Ich hatte gestern etwas ähnliches beobachtet und habe
- Acme Erweiterung erneut installiert
- dort die einzelnen konfigurierten Punkte löschen (vermutlich ist es die Automation).
- Acme Erweiterung deinstalliert

#12
21.1 Legacy Series / Re: Dynamic dns and '@' record
April 15, 2021, 08:19:46 PM
Maybe I don't understand your Problem, but a MX Record should Point to
an A / AAAA record.
So you create a static MX record that Points to the a record that would by updated dynamic.
#13
Merkwürdig, ich nutze ausschließlich Rules UDP 51280 auf dem WAN Interface (PPPOE) f. IPv4 & IPV6, kein Portforwarding. Das scheint mir eigentlich auch der sinnvollere Weg zu sein.
WG horcht hier auch auf allen Interfaces (ich nutze das z.B. auch intern um in das abgetrennte IOT VLAN zu kommen).

root@gw:~ # netstat -u -l -p udp | grep 51820
udp6       0      0 *.51820                                       *.*
udp4       0      0 *.51820                                       *.*
root@gw:~ #



Bzgl deines zweiten Peers:
Nach dem Hinzufügen unter "Endpoints" musst du den noch unter deiner Local Config als Peer ausählen (Register Local/Edit).
#14
Sorry, bin was das die Fehlersuche angeht da auch überfordert (ist halt nicht so gesprächig oder ich habe noch nicht den richtigen Weg gefunden).
Bis dato hatte ich immer den Eindruck, dass sobald auf dem Client unter empfangen ein paar KiB auftauchen alles im Lot ist.
Gerade der Windows-Client geht sonst auch auf aktiv obwohl er gar nicht verbunden ist.
Hast du die Schlüssel schon Mal kontrolliert / neu vergeben? Eventuell ist da beim Copy/Paste ein Zeichen abgeschnitten worden oder ähnliches.
Und, falls ich nicht richtig erinnere: die Sense ruhig einmal neu starten. Ich meine, dass es bei mir auch erst nach einem Restart funktionierte.
#15
Sorry für den getrennten Post - der Editor hier spackt auf meinem Telefon immer ab
und editiert irgendwo im Post herum.
Oben Mal meine Konfig, wobei
10.11.10.254 die lokale IP der Sense
10.11.100.0/24 das Wireguard Tunnelnetzwerk

Auf dem Endgerät habe ich dann die 3 benötigten VLANs
10.11.10.0/24, 10.11.22.0/24, 10.11.23.0/24 in den AllowedIPs