Messages

1

German - Deutsch / Re: Hardware oder Virtual

« on: January 07, 2022, 03:44:25 pm »

Dann wirf auf die Maschine einfach Proxmox drauf. 3 bis 4 VMs wird der schon schaffen, wenn du es mit dem RAM nicht übertreibst. Opensense läuft damit auf jeden Fall.

2

German - Deutsch / Re: FQDN Zertifikat für die Firewall - Let's Encrypt Wildcard certificat mit IONOS

« on: June 28, 2021, 11:06:56 pm »

Bei IONOS kannst du dir auch ein Wildcard-cert "manuell" besorgen, welches 1 Jahr lang gültig ist. Vielleicht ist das ja eine mögliche "Übergangslösung"

3

21.1 Legacy Series / Re: QEMU Guest Agent not starting automatically

« on: June 09, 2021, 08:49:58 pm »

https://forum.opnsense.org/index.php?topic=23284.0

works for me

4

German - Deutsch / Re: Bitwarden_RS (Raspi / Docker) und OPNSense Absicherung

« on: May 30, 2021, 06:07:08 pm »

Ich nutze dafür HA Proxy. Funktioniert sehr gut. Wenn du es entsprechend konfigurierst, kannst du alles über 443 TCP laufen lassen (Bitwarden, Nextcloud,...) und SSL dort terminieren. Dann ist die Zertifikatsverwaltung einfacher.

5

20.7 Legacy Series / Re: Traffic Shaper: Weights over 50 MBit/s faulty

« on: October 18, 2020, 02:30:24 pm »

Are you sure host1 is able to saturate the pipe? What happens when you remove the second queue? Does host1 deliver 100MBits?

6

German - Deutsch / Re: WAN Gateway überwachen

« on: August 30, 2020, 10:23:18 pm »

unter Reporting>Health>Quality kann ich z.B. 77Tage oder auch 6Jahre wählen...
8.8.8.8, 1.1.1.1, DNS-Server deines Providers wären sinnvolle Ziele. Besser das Probe intervall etwas hochsetzen, sonst pingt es sekündlich

7

German - Deutsch / Re: WAN Gateway überwachen

« on: August 30, 2020, 09:59:29 pm »

Du kannst dir unter System>Gateways>Single Gateways definieren. Das kann auch eine beliebige externe IP sein. Die kannst du regelmäßig pingen lassen (ggf. Advanced options). Im Dashboard kannst du dir dann den Status der Gateways anzeigen lassen.

8

German - Deutsch / Re: Grundkonfiguration opnsense hinter fritzbox

« on: August 22, 2020, 05:44:08 pm »

Du kannst auf der Fritzbox deine Opnsense als "Exposed host" vereinbaren. Du musst dann nichts mehr irgendwie doppelt einstellen. Du hättest danach die Telefonie noch auf der Fritzbox, der ganze Rest wird einfach auf die sense durchgereicht. Die ist dann deine (einzige) Firewall.
Ich hab das so (wahrscheinlich geht es auch anders auf der Fritte). Ich sehe bei mir keinen Nachteil im Doppel-NAT (ich merke es nicht). Da ich keine statische IP habe, war das für mich einfachste Lösung. Das funktioniert auch, wenn du eigene Serverdienste bereit stellen willst (siehe HAProxy)... da musst du dich aber reinlesen.

9

German - Deutsch / Re: Wireguard Handshake erst nach Reboot

« on: August 19, 2020, 11:08:03 am »

Hab meine Opnsense nicht in einer VM laufen, aber auf meinem kleinen i3 mobile ist der Durchsatz ok. Wenn ich vom Handy einen Speedtest mache, wird mein 40MBit Upstream gesättigt. Ohne auffällige Prozessorlast.
Was ich gelegentlich erlebe (so auch nach dem Update auf 20.7) ist der scheinbare Verlust der Internetverbindung auf dem remote verbundenen Endgerät. Letztlich war Unbound die Ursache. Aus irgendeinem Grund hatte ich kein DNS mehr auf dem WG Interface.

10

German - Deutsch / Re: haproxy plugin - Zugriff auf SSL Webserver dahinter

« on: June 14, 2020, 04:13:14 pm »

Der interne Verzicht auf SSL ist keine Option? Ich hab bei mir die Zertifikatsverwaltung auf den HAProxy gelegt (LetsEncrypt). Der terminiert dann die von außen kommenden Verbindungen (SSL offloading) + Weiterleitung auf die internen Server entsprechend Subdomain oder Pfade in den Anfragen.

11

German - Deutsch / Re: Realisierung mehrer WLAN SSID mit eigenem Ethernet

« on: May 11, 2020, 10:08:57 am »

Hast du auf deinen VLAN Interfaces in der OPNsense den DHCP Server enabled und parametriert?

12

German - Deutsch / Re: Realisierung mehrer WLAN SSID mit eigenem Ethernet

« on: May 09, 2020, 10:36:23 pm »

Also wenn dein Zyxel so ähnlich parametriert wird wie mein Netgear (Bezeichner in deiner Tabelle sind quasi gleich), dann dürfte das so gar nicht konfigurierbar sein. Du hast bei allen Ports als PVID =1, d.h. alle ungetaggten Pakete, die in den Switch reingehen, erhalten als Tag die 1 (VLAN1 zugeordnet). Es gibt (zumindest bei mir) pro Port genau 1 Möglichkeit, ungetaggte Pakete zu taggen: mit der PVID. Port 12 zB kann danach gar nicht ungetaggt in VLAN20 sein.
Der Trunk-Port leitet einfach ALLE VLANs weiter, Ports mit E sind dagegen NICHT in allen VLANs und würden getaggte "fremde" Pakete einfach droppen.

13

German - Deutsch / Re: Realisierung mehrer WLAN SSID mit eigenem Ethernet

« on: May 09, 2020, 11:11:40 am »

Ich war mir im Nachhinein tatsächlich nicht ganz sicher bzgl. der (un)?getaggten Kommunikation für die AP Config.
Da aber in meinem Controller das "Corporate LAN" keine VLAN-ID gelistet hat, hab ich's mal so unterstellt
Ja, ich hab die APs an einem Unifi 8P  hängen...

Ich hab desweiteren bei meinen Switches und der OPNsense drauf geachtet, mindestens einen ungetaggten Port zu haben, über den die Management-Oberfläche erreichbar ist. Ich hatte mich mal aus meiner alten Sophos UTM ausgesperrt nach einer verunglückten VLAN Konfiguration, war nicht schön

14

German - Deutsch / Re: Realisierung mehrer WLAN SSID mit eigenem Ethernet

« on: May 09, 2020, 10:03:23 am »

Vielleicht noch ein paar Details zum besseren Verständnis:
Du kannst für jeden einzelnen Switch-Port einstellen, wie er getaggte und ungetaggte Pakete behandelt.

Im obigen Bsp. von stefanpf:

(a) ein ungetaggtes Paket an P1 wird vom Switch mit 1 getaggt und intern weiter geleitet. Verlässt es den Switch an P2, wird das Tag entfernt. Das Paket erreicht als "normales ungetaggtes" Paket den AP.

(b) ein ungetaggtes Paket an P4 wird mit 2 getaggt. Verlässt es den Switch an P2, wird das Tag NICHT entfernt. Der AP ordnet es deshalb der SSID zu, die mit VLAN2 konfiguriert ist.

(c) ein mit 3 getaggtes Paket an P1 behält sein Tag. Es könnte den Switch an P2 (weiterhin getaggt) oder an P8 (danach ungetaggt) verlassen. Alle anderen Ports sind für das Paket gesperrt, da sie nicht zu VLAN3 gehören.

Der Unifi AP erwartet für seine Konfiguration immer ungetaggte Pakete. Du musst deinen Switch deshalb so einstellen, dass die Pakete des Controllers den AP ungetaggt erreichen (im Bsp. als VLAN1 realisiert).

Wenn du auf der OPNsense zusätzliche VLAN Interfaces (zB IF2, IF3) anlegst und sie dem "physischen" Interface  zuordnest, kann sie über das physische If ungetaggt, über IF2 und IF3 getaggt kommunizieren. Du würdest deshalb den Controller über das physische Interface ansprechen, das "normale LAN" über IF2 und das "Gäste LAN" über IF3. Genauso würden deine beiden WLAN SSIDs auf IF2 bzw. IF3 abgebildet werden.

Warum sind P3..P8 ungetaggt?
Da "gewöhnliche PCs" erst mal nicht VLAN-fähig sind, würden sie getaggte Pakete nicht verarbeiten können.

Zur Wahl der VLAN-IDs:
Ich habe (abgesehen von PVID1) erst ab >= 10 genutzt, da mein Netgear Switch diverse einstellige IDs standardmäßig für protokollbasierte Dinge verwendet (zB. VoIP Traffic)...

15

German - Deutsch / Re: Realisierung mehrer WLAN SSID mit eigenem Ethernet

« on: May 07, 2020, 03:27:30 pm »

Ich hab mit dem Wechsel auf Unifi mein "Heim-LAN" in ein VLAN gepackt. Dann die verschiedenen WLANs (SSIDs) ebenfalls alle in getaggte VLANs. Das "Heim-WLAN" nutzt entspr. dieselbe VLAN-ID wie das "Heim-LAN". Auf der OPNsense VLAN-Interfaces + FW-Rules angelegt (der Aufwand dafür ist sehr überschaubar).
Ich hab bei mir den Controller als Docker-Image auf ner Synology laufen. Nutze allerdings kein Ticketsystem, sondern nur die Konfiguration + Logging.
Der Controller läuft im Managent-VLAN. Das ist das einzige ungetaggte VLAN in meinem Netz.