Messages

1

German - Deutsch / Re: Problem mit OPNSense Hinter Modem an Vodafone Anschluss

« on: November 12, 2024, 09:30:35 pm »

Schau mal nach dem vlan-Tagging. Scheint laut I-Net bei VF auch die 7 zu sein. Am einfachsten im Modem setzen, falls du es nicht auf der OpnSense bereits gemacht hast.

2

German - Deutsch / Re: Dect Mit Fritzbox und OpnSense möglich?

« on: October 27, 2024, 06:31:30 pm »

Bei dem Telefon handelt es sich um ein Gigaset E290, hoffe es Hilft erstmal weiter.
...

Das ist ein analoges Telefon. Die Fritzbox managt die gesamte Signalumsetzung  von dem Telefon hin zum Netz (VOIP). Deine Probleme mit der Telefonie dürften sehr wahrscheinlich an der Konfiguration der Fritzbox, eher an der der OpnSense liegen. Die Fritzbox ist eigentlich sehr solide hinsichtlich Telefonie ausgelegt. Suche mal im Forum. Das Thema Telefonie bei der Telekom ist hier schon öfter aufgetaucht. Da kann ich dir leider nicht weiterhelfen, bin bei einem anderen Provider.
Aber die Konfiguration "Fritzbox hinter OpnSense" als solche nutze ich seit 2 1/2 Jahren völlig problemlos und dauerstabil.

3

German - Deutsch / Re: Dect Mit Fritzbox und OpnSense möglich?

« on: October 23, 2024, 12:15:28 pm »

Ok habe jetzt ein wenig noch Rumprobiert anscheinend brauchen verschiedene DECT Telefone verschiedene Ports, musste neben den Standard Ports die ich finden konnte noch 3 weitere setzen.

Danke für die Hilfe 

DECT hat mit den Port's von VOIP absolut nichts zu tun. DECT ist ausschließlich der Funkstandard bzw. das Funkprotokoll  zwischen Schnurlostelefon und Basisstation (Fritzbox) und nur dafür zuständig. Alles was dann darüber hinaus ins Netz geht ist VOIP. Die Fritte "übersetzt" quasi. Die Port's, die du freigeben musstest, braucht offenbar der VOIP-Anbieter, um mit der Fritte sauber zu kommunizieren.
Anders ist das natürlich, wenn du auch VOIP-Telefone verwendest.

4

German - Deutsch / Re: Dect Mit Fritzbox und OpnSense möglich?

« on: October 15, 2024, 09:40:56 pm »

Funktionieren alle Telefone dahinter die DECT anbieten, oder funktionieren nur spezielle Telefon Geräte?

Das ist nun wiederum ein Fritzbox und kein OPNsense-Thema. Keine Ahnung. Ich habe nur Fritz!Fon Geräte. Die funktionieren.

Normalerweise sollten alle DECT-Telefone funktionieren, die den GAP-Standard unterstützen. Der ist dann sozusagen der kleinste gemeinsame Nenner bei den Funktionen. Das bedeutet dann allerdings, das einige AVM-spezifische Funktionen nicht funktionieren werden.

5

German - Deutsch / Re: problem mit ssh

« on: October 10, 2024, 09:30:28 am »

Evtl. weiter oben was, dass die lokale SSH auf der Sense den Key nicht benutzen mag? Wenn der Directory-Pfad bis zum Key an irgendeiner Stelle schreibbar und/oder der Key für irgend jemanden außer dem User selbst lesbar sein sollten, sagt die OpenSSH "nö".

Danke für die Hinweise. Aber es liegt letztlich doch an meinem TrueNAS-System. Das sagt seit gestern zu allen ssh-Benutzern außer dem Admin  "nö"   
Ich werde daher mit dem Problem im TrueNAS-Forum vorstellig werden...

6

German - Deutsch / Re: problem mit ssh

« on: October 09, 2024, 05:22:03 pm »

ssh -v ist dein Freund 

...und der hat etwas "ausgespuckt":
Ich habe parallel mal in 2 Konsolen ssh -v -i ... aufgerufen.
In beiden Fällen:
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Will attempt key:  blakeks@...

ABER: bei der bereits benutzten Kennung:
Authenticated to nas1.bla.kes ([192.168.8.180]:22) using "publickey".   
debug1: Server accepts key:                                  >> danach normale ssh-Sitzung

bei der neu angelegten:
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: password           >> Passwortabfrage

Scheint doch am NAS zu liegen? Die Schlüssel habe ich entsprechend eingetragen, die sind auch in der authorized_keys vorhanden.

7

German - Deutsch / Re: problem mit ssh

« on: October 09, 2024, 02:11:36 pm »

Wenn du den Schlüssel mit `-f` an einer anderen Stelle als dem Default speicherst, gibst du beim Versuch, SSH zu benutzen, dann auch diese Datei mit `-i` an?

Im Normalfall lässt du das `-f` komplett weg und `ssh-keygen` speichert den Schlüssel im Homeverzeichnis des Benutzers in `.ssh/id_ed25519` und `.ssh/id_ed25519.pub` - dann wird er beim Aufbau einer Verbindung von der OPNsense aus auch automatisch benutzt.

genau das mache ich "ssh -i  opnsense@nas.domain.tld opnsense@nas.domain.tld" (aus ~/.ssh heraus, wo die Schlüssel ordnungsgemäß abgelegt sind)

8

German - Deutsch / [erledigt] - problem mit ssh

« on: October 09, 2024, 01:59:55 pm »

Ich habe gestern versucht, mittels mittels ssh und ssh-Schlüssel von der OpnSense aus eine ssh-Verbindung zu meinem TrueNAS (Linux) aufzubauen.

Jedes mal wird nach dem Passwort gefragt.
Sinngemäß "Passwort für opnsense @nas.domain.tld"
Das ssh-Schlüssel habe ich auf der OpnSense ohne Passwort generiert (ssh-keygen -a 100 -t ed25519  -f  opnsense @nas.domain.tld). Und das der Kennung auf dem TrueNAS ist es anscheinend auch nicht.  An TrueNAS kann es m. E. nicht liegen, dort tun es weitere ssh-Kennungen von meinen anderen Linuxsysteme aus absolut klaglos.

Gibt es da evtl. Besonderheiten auf der Sense bzw. seitens BSD?

9

German - Deutsch / Re: Probleme mit AdGuardHome auf der OPNSense gehabt

« on: October 08, 2024, 06:03:17 pm »

einfach Shellscript was täglich per cronjob ein komplettes TAR-File von den AdGuard-Ordner erstellt und das lege ich an anderer Stelle auf der OPNSense ab.
Wenn meine NAS online ist, wird der Ordner dann auf die NAS gesync, ist nicht kompliziertes:

Es nervt, die Filterlisten manuell einzutragen, daher mache ich das so :-)

Code: [Select]

#!/bin/sh

# delete Backup-files older than 36days
/usr/bin/find /mnt/Config_Adguard/ -name 'AdguardHome*' -mtime +36 -exec rm -rf {} \;

# create new Backup-Files from AdGuardHome-Folder
/usr/bin/tar zcvf /mnt/Config_Adguard/AdguardHome_`date +"%Y%m%d_%H%M%S"`.tgz /usr/local/AdGuardHome/

# copy Backup-Folder to NAS with rsync
if ping -t 5 -c 1 10.0.10.10 > /dev/null; then
    echo "##### Starte Synchronisation #####"
    /usr/local/bin/rsync --delete -avz  /mnt/Config_Adguard/ admin@$10.0.10.10:/share/Backup/OPNSense/AdguardHome/
else
    echo "##### NAS nicht erreichbar #####"
fi

exit


Danke für die bereits erledigte Denk-Arbeit  Damit brauche ich dein Script nur an meine Gegebenheiten anzupassen. Auf der Konsole habe ich mir vorhin manuell ein Tar-Archiv erstellt und nach /home verschoben. Aber deine Lösung ist natürlich um Längen besser. Muss mir mal das rsync über ssh ansehen. Habe es bisher immer nur lokal benutzt.

10

German - Deutsch / Re: Welcher Mini-PC von Protectli für Zenarmor

« on: October 08, 2024, 05:56:30 pm »

NRG-Systems bietet übrigens mittlerweile auch Systeme mit dem intel N100 an. Preislich ab etwa 380,- also etwa dort wo bei Protectli die Systeme mit 4 NIC und N5105 beginnen.

11

German - Deutsch / Re: Probleme mit AdGuardHome auf der OPNSense gehabt

« on: October 08, 2024, 11:06:31 am »

......
- Adguard neu installiert
- Backup vom Adguard eingespielt um die Filterlisten nicht manuell eintragen zu müssen.
....

Wie hast du das Backup gemacht?

Ich hatte auf der Konsole versucht, die yaml-Datei mittels cat  zu kopieren und danach wieder mit nano neu zu erstellen. Das hat nichts gebracht. Die Verfahrensweise funktioniert sonst unter Linux und auch BSD ( TrueNAS) eigentlich sehr gut.

12

German - Deutsch / Re: [gelöst] - Fragen zu AdGuardHome - Nutzung ohne DOH

« on: October 08, 2024, 12:10:07 am »

Wenn deine Clients bei AGH aufschlagen, dann kannst du DoH an der Stelle blocken, z.B. mit HaGeZis Liste. 100% geht bei DoH nicht - du bist immer auf aktuelle Blocklisten angewiesen.

Das Repo auf Github von HaGeZi ist genial, m.E. Aktuell, gut dokumentiert, transparent - benutz es einfach 

HTH,
Patrick

Die Liste habe ich bereits aktiviert. Und ja, ich bin mir durchaus bewusst, das dieser Weg nie zu 100% "wasserdicht" sein kann. Aber die allermeisten Fälle von DoH dürfte ich damit erschlagen.

Habe mal diese Listen heruntergeladen:
- https://adguardteam.github.io/HostlistsRegistry/assets/filter_52.txt,
- https://raw.githubusercontent.com/dibdot/DoH-IP-blocklists/master/doh-ipv4.txt,
- https://raw.githubusercontent.com/dibdot/DoH-IP-blocklists/master/doh-ipv6.txt

und sie in Libreoffice-Calc eingelesen und mal kurz drüber geschaut. Die Liste von AdGuardHome scheint die umfangreichste zu sein.

13

German - Deutsch / Re: [gelöst] - Fragen zu AdGuardHome - Nutzung ohne DOH

« on: October 07, 2024, 11:35:31 pm »

Ich danke allen Tipgebern für die teils sehr ausführliche Hilfe. Habe es damit mühelos hinbekommen. Derzeit funktioniert schon mal der AdGuardHome so, wie ich mir das vorgestellt habe.

Was das Blockieren der DoH-Server betrifft, muss ich mal sehen, wie ich die Listen am elegantesten in die OpnSense rein bekomme. Da melde ich mich sicher nochmals.

14

German - Deutsch / Re: Fragen zu AdGuardHome - Nutzung ohne DOH

« on: October 07, 2024, 04:57:23 pm »

lies mal
https://forum.opnsense.org/index.php?topic=43222.0

Danke. Die Links in dem Beitrag

Ah, danke. Gehe ich dann richtig der Annahme, dass dieser dann auch DoH / DoT blocken kann?

nein, die Annahme ist falsch, du kannst aber Regeln erstellen das zb DoH Server(ip's) und Dot Port 853 geblockt werden....
eleganter weise DoH abgelehnt und Port 53 umgeleitet.

hier ein paar Adressen:

https://raw.githubusercontent.com/dibdot/DoH-IP-blocklists/master/doh-ipv4.txt
https://raw.githubusercontent.com/dibdot/DoH-IP-blocklists/master/doh-ipv6.txt

sind genau das, was ich suche. Das ich DoT problemlos blocken/umleiten kann, war mir klar. Der eigentliche Problemfall ist DoH.

15

German - Deutsch / Re: Fragen zu AdGuardHome - Nutzung ohne DOH

« on: October 07, 2024, 04:51:12 pm »

Ich habe zum Test in der DNS-Konfig des AGH alle Upstream-Server auf den unbound (127.0.0.1:53) umgebogen. Da bekomme ich aber keinerlei DNS-Auflösungen, wenn ich die DNS-Anfragen auf Port 53053 des AGH umleite (NAT-Regel). Die NAT-Regel selbst kann es nicht sein, denn im Protokoll des AGH werden die Anfragen geloggt, kommen also dort an und werden auch beantwortet.

Verstehe nicht so ganz, was du da mit einer NAT-Regel machst.

Genau das, was Patrick hier vor 3 Tagen beschrieben hatte:

AdGuard Home braucht zwingend einen rekursiven Upstream-Server. Dafür nehme ich meinen lokalen Unbound? Was schlägst du sonst vor?

@loaded

Bei mir ist Unbound der Default-Nameserver auf Port 53 überall. AdGuard Home liegt auf 127.0.0.1:53530 und hat 127.0.0.1:53 als einzigen Upstream.

Auf allen Interface, bei denen ich will, dass die Clients AGH benutzen, habe ich eine NAT Port Forward Regel von TCP/UDP, Destination: this firewall:53 nach 127.0.0.1:53530.

Klappt ausgezeichnet. Statische Overrides und Registrierungen vom DHCPd in Unbound funktionieren auch.

Nur halt einen anderen Port (53053) für AGH. Funktioniert nur leider nicht, was aber wie schon beschrieben, nicht an der NAT-Regel liegt.