Messages

Kea has a hook to Unbound for static mappings only. And none to DNSmasq if I am not mistaken.

For dynamic leases to be registered in DNS the current standard way is to use DNSmasq for DHCP and for DNS for the local domain. If you use Unbound as the client facing server and configure a forward for the local domain to DNSmasq of if you have DNSmasq answer to the clients and forward all recursive lookups to Unbound is a matter of taste, IMHO.

If the google thingy uses 192.168.1.0/24 you must change your OPNsense LAN to a different network.

I dont see smart plugin or widget in plugins or packages.

It's called os-smart. Did you enable the community plugins?

Wahrscheinlich dadurch, dass der ACME-Client doch nur auf dem aktiven Knoten läuft und die Zertifikate repliziert werden.
Wenn ein Failover passiert, ist das ja kein Zustand, der Wochen anhalten soll. Und wenn doch, kann man dann dir Zertifikatsausstellung auf dem Ex-Standby, jetzt Master aktivieren, bis der andere Node repariert ist.

Es geht ja erst mal nur darum, dass bei einem unerwarteten Failover mitten in der Nacht alle Anwendungen weiter laufen.

Tricksy NATsesss ...

You need to use DNSmasq for DNS, too.

.100 to .199 is the range that will be handed out to dynamic clients. Make sure that:

- your OPNsense IP address is outside of that range - it is
- any other system you configure statically is outside
- any static reservation in DHCP is outside

You can obviously use addresses from .1 to .99 and from .200 to .254 for all of these as you see fit.

That's why there are two "ranges".

Reporting - Netflow oder so ähnlich (aus dem Kopf).

Make sure to create the mandatory FreeBSD GPT partition structure and use partitions of type freebsd-zfs. Also you will need to copy the boot loader to the new drives. Simply replacing one part of the mirror with an entire raw disk, and then the second part, will lead to an unbootable system.

Easiest way but with more downtime:

- create a configuration export/backup
- shutdown system, change both SSDs
- boot from USB and perform a fresh installation
- if you pick both SSDs in the installer it will create a mirrored setup automatically
- perform config restore

Done.

Ich bin recht zufrieden mit Netflow und Elastiflow. Netflow ist ein Format von Cisco, mit dem ein Router (oder eine Firewall) Verbindungsdaten exportieren kann. In OPNsense ist das eingebaut. Man kann eingeschränkt die Visualisierung der Daten auch direkt auf der OPNsense und dann im Web UI laufen lassen, davon würde ich aber abraten. Netflow schreibt einfach verdammt viel. Man erzeugt mit dem Collector (das ist das Teil, wo die Daten zur Auswertung landen) extrem viel Last und schreibt sich unter Umständen seine SSD kaputt - je nach Hardware.

Besser ist m.E. nur den Exporter (das Teil, das die Daten generiert) auf der OPNsense zu aktivieren und die Daten an ein externes System wie Elastiflow zu schicken.

Elastiflow ist für kleine Installationen kostenlos. Man muss die Lizenz einmal im Jahr erneuern, aber es kostet halt nichts. Die möchten nur wissen, wer den Kram benutzt. "Klein" bedeutet bis zu 4000 Flows (Verbindungen) pro Sekunde. Das schafft nicht mal ein kleiner Hoster wie wir.

Du brauchst eine Linux-Maschine oder VM mit mindestens 16 GB RAM und idealerweise 4 Kernen für die Software.

https://www.elastiflow.com

Click on the tiny + first.

EDIT: One other suspicion I have is that my ISP may have changed something else. The WAN interface IP I have on opnsense is in the range 100.xx.xx.xx/18 but the response from `curl ifconfig.me` shows an IP in the range 178.xx.xx.xx. I'm not sure if this indicates that they've added some layer of CG-NAT to my connection?

It does. You do not have a publicly reachable IPv4 address, anymore.

Something with the fact that you have two additional repos configured. I would try to disable mimugmail and sunnyvalley, retry the update, then re-enable.

If you are using only AGH from Michael's community repo he's got a dedicated one with only that package.

FreeBSD pkg does not play well with multiple repositories and different package versions/dependencies. Then neither does apt, so 🤷�♂️

I am going to try them in AdGuard Home because blocklist management and logging in AGH is great, so why not.

RIPE recommends to give every residential line, even for consumers, a /48. 🙄

A /56 is fine for most, though.

I don't get it. It's not like IPv6 addresses were scarce ...