Messages

Ich halte es ebenso wie Patrick. Raus darf jeder Client. Nur eingehend ist auf dem WAN dicht. Zusätzlich habe ich das VLan, in dem meine Rechner und vor allem mein NAS (mit 2 ..3 kleinen virt. Servern) hängen ausgehend dicht gemacht. Damit kann ich sehr sauber kontrollieren wer mit seinem Gerät (Laptop, Handy etc.) auf welche Resource (u. a. Rezept-Datenbank, paperless ) in dem Vlan zugreifen darf. Zusätzlich ist auf meinem Hauptrechner, auf dem paperless läuft, jeglicher Zugriff mit der Firewall des PC eingeschränkt.

DNS halte ich genauso wie Patrick. (kein Wunder, habe das Konzept letztlich von ihm übernommen,-). Nur das ich auf dem unbound auf der OpnSense zusätzlich die DoH-Filterliste von hagezi und 2 ..3 manuell eingetragende Blockaden verwende. Ob das bei DoH 100%-ig funktioniert, wage ich zu bezweifeln, aber besser als nichts. Habe an der Stelle bislang nicht das Gefühl, das da etwas zuviel geblockt wird.

Ich habe vor kurzem (vor/letzte? Woche) von ISC / unbound / AdGh umgestellt.

Nutze jetzt AdGh zusammen mit dnsmasq und unbound. Das funktioniert stabil.
AdGh leitet an unbound weiter. Dnsmasq macht DHCP und ist autoritativer DNS-Server für meine interne Domain. Anfragen dazu werden von unbound dorthin umgeleitet. Funktioniert im dnsmasq mit statischen Überschreibungen und auch mit dynamischen IPs.

Ich bin derzeit dabei, von ISC auf dnsmasq umzustellen. Ich habe die Konfiguration von DHCP weitgehend nach diesem Beitrag vorgenommen. 
Soll heißen- DHCP-Interfaces und Adressbereiche eingerichtet, Host-Überschreibungen und auch feste IP-Zuweisungen eingetragen. Einstellungen bis auf AR (nutze kein ipv6) eingetragen.
dnsmasq startet auch, wenn ich ISC stoppe. So weit so gut. Allerdings kann ich derzeit nicht prüfen, ob dnsmaq auch als DNS-Server fungiert. Wie kann ich den Dienst gezielt unter Linux "befragen"?


Was ich derzeit habe:
Ich habe AH-Home installiert (port 53053, der leitet derzeit direkt an unbound  (port 53) weiter. In unbound sind die Überschreibungen von Geräten mit fester IP (ohne DHCP auf dem vlan) eingetragen., IP-Zuweisungen in ISC.

Künftig:
Soll AGH an dnsmasq weiterleiten, dort sollen auch die festen Adresszuordnungen und Überschreibungen für Clients liegen.  dmsmasq wiederum soll dann an unbound weiterleiten.

Wie  muss ich das konfigurieren, geht das überhaupt?
Bin für jede Hilfe dankbar.

Vielen Dank für die Erklärung. 
Ich versuche immer noch etwas dazu zu lernen. Ist halt kein Vergleich als HeimNetzwerkadmin im Vergleich zu euch Fachleuten, die beruflich bedingt die Netzwerkmöglichkeiten und Eigenheiten bis in die hintersten Winkel kennen.

Und ja, die Regeln auf dem WAN sind vorhanden. 

Du stellst Unbound auf "alle Interfaces" und Port 53 ein.
[...]
Das sind die 4 Einstellungen, die du machen musst.

Warum stellst du unbound auf "alle Interfaces" ? Ist es nicht besser, den WAN-Anschluss da auszuschließen? Ich habe es jedenfalls so gemacht und das Duo unbound/AGH tut brav seinen Dienst.

Vielen Dank für die Gedanken!
Bisher war ich der Meinung, dass nur diese Dienste echte Firewalldienste mit Mehrwert sind. Gerade solche "Extended Detection Systeme" sind es doch, die Angriffe erkennen und ggf. abwehren lassen? Alles andere macht ja der hier häufig erwähnte Baumarkt-Router von Haus aus.
Oder verwechsle ich da was?

Nein. Fritte und Co. machen das nicht. Nur das was Patrick schon beschrieben hat. 
Es sind ganz sicher Mehrwert-Dienste. Die sind auch nicht per-se zu verteufeln. Aber man muss sich bei der Nutzung über die Risiken im klaren sein, insbesondere wenn die direkt auf der Firewall laufen. 
Man kann allerlei Dienste auf die OpnSense packen. Das funktioniert auch. Aber wenn man alles und jeden Dienst auf der Sense hat muss man die Konsequenzen bedenken. Das kann dann ggf. zu einer 24/7 Überwachung der Sense ausufern... 

Ich sehe in dem Aufbrechen der Verschlüsselung ganz allgemein 2 gewaltige Sicherheitsprobleme:

1. ISD und TLS-Inspektion sollte m. E. nicht auf der Firewall selber laufen. Denn die ist die erste Verteidigungslinie für das lokale Netz. Wenn dann gut gesichert dediziert auf einem separatem System. Denn wenn die Firewall fällt, liefert Ihr so einem Angreifer auch gleich Zugriff auf die Zertifikate aller dahinter liegenden Systeme. Dieser Punkt gilt genauso für solche Spässe wie ein AD etc.

2. ISD und TLS-Inspektion haben den großen Nachteil (kenne ich aus eigener Erfahrung mit der EDV meiner Dienststelle) das der Anwender niemals das Zertifikat der aufgerufenen Seite im Browser angezeigt bekommt und es demzufolge nicht prüfen kann.  Er sieht nur das Zertifikat der Sense. Denn dort wird die verschlüsselte Übertragung ja faktisch beendet. Heißt für den Anwender und für Euch als Admins: Ihr habt keinerlei Kontrolle ob nicht hinter eurer Firewall der Anwender mittels BGP oder anderweitig auf Fakeseiten geschickt wird. Problematisch, wenn da jemand Sozial-/Personendaten rüberschickt oder Bezahldaten oder gar Homebanking....

[...]
Das muss ich nicht - ich will ja nicht den absoluten Wert berechnen. Mein Hinweis auf P = U² / R bezog sich darauf, dass die Leistung quadratisch von der eingespeisten Spannung abhängig ist. Dummerweise ist es auch so, dass die Leistung auch quadratisch mit der Taktfrequenz steigt (das liegt an der konstanten Steilheit der Taktflanken). Wenn man also den Takt auf 120% erhöht, steigt die Leistung auf 144% - muss man dazu noch die Spannung auf 110% erhöhen, um Stabilität zu erreichen, kommen da nochmals 21% drauf, insgesamt also erhöht sich die Leistung auf 174% des ursprünglichen Werts (für eben nur 20% mehr Performance).

Umgekehrt ist eine Reduktion der Spannung um 10% (wenn es trotzdem stabil läuft) eben eine Einsparung von 19% in der Leistung (bei gleicher Taktfrequenz). Mehr wollte ich damit gar nicht sagen.
[...]

Danke für deine einleuchtende Erklärung.  Allerdings spielt beim Takt nicht nur die Steilheit der Taktflanke als solche eine Rolle. Denn die verringert sich zwangsläufig mit steigendem Takt.

In jeder Schaltung und selbstverständlich auch auf einem Chip findest du nebeneinander verlaufende Leiterbahnen und auch einzeln verlaufende Leiterbahnen die auch mal etwas länger sind. Was auf einem Chip zwar nur Nano- oder bestenfalls Mikrometer sind. In der Folge bilden erstere Kapazitäten (in dem Fall eher unerwünscht/parasitär)  und Leiterbahnen als solche besitzen eine Induktivität. Beim Chip zwar nur mit winzigen Werten. Aber auch die Summieren sich bei Millionen oder gar Milliarden Transistoren.
Kondensatoren - und nichts anderes sind ja die störenden Kapazitäten - besitzen einen "kapazitiven Blindwiderstand" und der nimmt mit steigender Frequenz ab.
Bei den Induktivitäten (= Spulen) nimmt hingeben der "induktive Blindwiderstand" mit steigender Frequenz zu. Beides "verschleift" oder "verwischt" sowohl die steigenden als auch die fallenden Taktflanken. Und die kapazitiven Blindströme sorgen für zusätzliche Leistungsaufnahme bei steigendem Takt - auch ohne zusätzliche Erhöhung der Kernspannung. Die ist u. a. auch aus diesen Gründen so gering. Aber ein Siliziumhalbleiter benötigt recht genau 0,7 Volt um überhaupt leitend werden zu können. Man kann an dieser Schraube also nur recht wenig weiter drehen.

Danke @meyergru  für deine ausführlichen Hinweise. Ich habe die Liste vorhin in Ruhe "abgearbeitet".

Punk 1
Externe Kühlung hatte ich ja bereits erledigt.

Punkt 2 
Die Werte konnte ich problemlos herunter stellen. Allerdings zeigt das BIOS die Werte an mehreren Stellen an. Da muss ich mal sehen, ob ich ein Handbuch zu fassen bekomme.
Auch den GPU-Takt konnte ich direkt runter stellen.

Punkt 3
Da gab es einen kleinen Aha-Effekt. Beim Abbau der Platine habe ich einen winzigen CPU-FAN-Stecker gefunden. Von oben ohne Handbuch nicht sichtbar. Auf dem Gehäuse war keine Kupferplatte sondern eine aus Aluminium verschraubt. Leider nicht sauber. An einer Seite konnte man zwischen Platte und Gehäuse hindurch sehen. Aber alles immerhin mit anständiger Silber-Wärmeleitpaste (WLP). So habe ich das auch wieder sauber und vor allem fest zusammen geschraubt. Hatte zum Glück noch WLP zu liegen.
An der CPU-Kernspannung habe ich nicht rumgedreht. Nur mal eine Frage zu dem Punkt: Woher nimmst du bei deiner Berechnung die Werte für R (oder alternativ I) ? Die dürftest du kaum messen können? Was aber natürlich nichts an der Energieeinsparung an sich ändert.

Punkt 4
Geht bei meiner Intenso-SSD nicht. Die kennt nur einen Eintrag mit 6 Watt.

ABER:  Die Maßnahmen zusammen haben die CPU-Temperatur von bisher 70 - 75 °C auf durchschnittlich 23 ° C gesenkt. Leistungsaufnahme aktuell  insges. ca. 12,5W; dürfte vorher mehr gewesen sein.

 

[...]
Finde das Produkt trotz "Billig-Kram" ziemlich genial:

https://www.amazon.de/dp/B08QYY87XW

3 wählbare Drehzahlen, selbst in der höchsten Stufe leise, per USB hängt man den Lüfter idealerweise direkt an das zu kühlende Gerät. Die Gummi-Füße sorgen für guten Stand egal ob horizontal oder vertikal.

Grüße,
Patrick

"Nichts ist so haltbar wie ein Provisorium." -- mein Physiklehrer

In der Tat. Eine simple aber universell einsetzbare Lösung. Die schlägt meine Lösung beim Aufwand natürlich um Längen :-))
Wieder was dazugelernt.

[...] Nur noch keine rechte Idee, wie ich beide Seiten kühlen kann.

Eine Idee habe ich inzwischen gehabt und sie jetzt umgesetzt:

Für meinen TopTon-MiniPC mit den Gehäuse-Abmessungen B=135mm; T=125mm habe ich eine Lösung gefunden. Ist etwas aufwendiger gewesen als gedacht, aber da ich gesundheitlich bedingt viel Zeit habe und zudem Spass am Basteln....  Man kann das sicher auch einfacher lösen.

Ich habe im Netz passende 3D-Druckdateien gefunden:

- Gehäuseunterschale als Ersatz für den Originalboden, vorbereitet für einen 80mm Lüfter; da passt ein 25mm dicker Lüfter problemlos rein.
- Untergestell, damit der Lüfter in der Gehäuseunterschale etwas frei über dem Boden steht und ungehindert Luft ziehen kann
- Befestigungsstege für den 120mm Lüfter

Die beiden Befestigungsstege  haben zu meinem Gehäuse nicht ganz optimal gepasst, deshalb außen die 4 Federn. In der Gehäuseunterschale habe ich den 80mm Lüfter für die "Innereien" sowie 2 kleine Spannungsregler eingebaut. Ich musste feststellen, das der MiniPC lediglich einen Anschluss für eine SATA-SSD bietet (+12V, +5V), aber keinen Lüfteranschluss. Das ist aber anscheinend bei unterschiedlichen Herstellern/Modellen auch z. B. von Protectli der Fall - soweit es die jeweils verfügbaren Bilder nahe legen. Teilweise besitzen solche Geräte nicht mal einen SATA-Anschluss. Da muss man dann notfalls die Lüfter fremd mit Strom versorgen.

Ich habe in meinem Gerät die 12V angezapft. Funktioniert mit den beiden Spannungsreglern tadellos- natürlich nur mit fest eingestellter Drehzahl.

Ich erreiche an statt der bisherigen ca. 75° Kerntemperatur jetzt im Leerlauf durchaus Werte von Anfang 30°. Jetzt bei voller Auslastung Down (100MBit) sind es 51°. Also durchaus besser und mit etwas Probieren bei den Lüfterdrehzahlen sicher noch etwas zu verbessern.

Nachtrag: Ich habe es endlich hinbekommen, die Bilder einzufügen.

You cannot view this attachment.

You cannot view this attachment.

Nur mal so ein Einwurf, ich habe nicht alles gelesen: Redet Ihr aneinander vorbei, wenn Ihr über "Trunks" sprecht?

[...]

Das will ich nicht ausschließen. Ich verstehe einen Trunk als einen Zusammenschluss bzw. Kaskadierung von 2 oder mehreren Switchen. Ggf. auch über Portaggregation auf beiden Switchen.
Wenn das verkehrt ist, berichtigt mich bitte. Ich lerne gern dazu. Bin leider nicht der große Netzwerkspezi. Netzwerken hat man uns vor Ort im RZ einer bundesweiten Behörde nicht gelassen. Konnte mir also Netzwerkkenntnisse nur selbst aneignen.

Bei meinem Netgear GS116Ev2 kann ich die PortVID 1 problemlos von allen Port's herunternehmen. Und da alle Regeln der OpnSense greifen, muss der Switch die Einstellungen wohl korrekt akzeptieren.

[bevor]

[...]

// Hab gerade gesehen das der AP selbst die Pakete taggt, dann muss ich den Switchport am GS105E gar nicht auf das VLAN einstellen. Ich befürchte jedoch das dann die Kommunikation zum GS308E nicht funktioniert über das VLAN und ich mir eine aktuelleren Switch holen muss.

Ich weiß nicht, wie du auf die Idee kommst, den Port für den AP keiner PVID zuzuweisen oder warum du einen anderen Switch kaufen willst. Das System, was bei den Geräten hinter den PVID's steckt ist doch ganz einfach. PVID=Vlan - eins oder mehrere je Port, je nach Anwendungsfall. Entweder getaggt, oder ungetaggt für Geräte die das selbst nicht können. Was weiß ich, älterer PC , IoT-Hardware , Fritzbox für Telefonie etc. Ich habe bei mir alles 24er Subnetze. Das 3. Oktett ist bei mir gleichlautend zur PVID (192.168.125.0 / PVID 125 usw.). Du musst es nur sauber einstellen. Ich hatte damals was zu vlans u. a. bei Administrator(.de  .com ?) gefunden - bevor ich damit angefangen habe. Suche einfach mal.

Selbst habe ich den NETGEAR GS116Ev2 im Einsatz. Deine Switches dürften da auch problemlos funktionieren. Allerdings  war/ist das Eintragen/Ändern der PVID bei meinem GS116Ev2 immer etwas Frickelei - aber es geht. Allerdings habe ich den Switch auch bei mir zu Hause "eingesperrt", weil ich es absolut nicht leiden kann, wenn die Dinger alles "nach Hause telefonieren".

Der Port des 1. Switch zur zur Sense bekommt alle PVID's als getaggt. Der Trunk-Port am 1. Switch und der Trunk am 2. Switch bekommen alle PVID's getaggt, die auch am 2. Switch benötigt werden.
Du musst auf jeden Fall dem Switchport für den AP genau die eine oder mehrere Port-VID als getaggt zuweisen, die der AP bedienen soll. Und natürlich eine weitere getaggte PVID für die Administration des AP. Was du da im Zusammenhang mit dem AP machen willst, wird nicht funktionieren.

Was du da schreibst, ist leider nur die halbe Miete. Mach dir mal die Mühe, und schraube das Ding auf. Du wirst staunen, wie pottenwarm auf der Platine u. a. SSD usw.  sind. Die wollen bestimmt auch nicht so "braten". Habe die Feststellung auch bei meinem Router gemacht. Nur noch keine rechte Idee, wie ich beide Seiten kühlen kann.

[WARNUNG]

...
Nun haben wir ein Kabel vom Nachbar seiner Fritzbox an meine OPNsense gezogen
...

Ich kann dir in der Sache nicht wirklich helfen, weil ich keine vergleichbare Konfig habe.

Aber ich muss eine klare WARNUNG aussprechen:
Man verbindet unter keinen Umständen einfach mal so zwei getrennte Elektroanlagen miteinander. Du hast das aber indirekt mit den Geräten gemacht. Im einfachsten Fall bekommst du bei ungünstigen Potentialdifferenzen beider Elektroanlagen unerklärbare (und ggf. sporadische) Fehler auf der Verbindung. Im weniger günstigen Fall verabschiedet sich deine deine oder Nachbars Routerhardware oder Teile derselben ins Nirwana.

Der nicht sehr wahrscheinlich aber mögliche SUPERGAU  wäre, wenn durch Hardwaredefekt Fremdspannung von einer Elektroanlage auf die im anderen Haus gelangt. Das kann im Extremfall tödlich enden weil 1. keiner damit rechnet und 2. eine E-Anlage durch so etwas nicht spannungsfrei durch Ausschalten der Sicherungen wird (durch Fremdstromeinspeisung hinter den Sicherungen) .


Wenn du das ordentlich und absolut risikofrei machen willst, verlege so eine Kunststoff-LWL-Leitung von FUBA. Nicht so preiswert wie deine Lösung aber 100% elektrisch sicher.