Messages

Wenn man IPv6-Only Preferred verwendet (also die entsprechende Option im DHCPv4-Server konfiguriert

Jetzt verstehe ich was du meinst. Ein designiertes "IPv6 mostly" Netzwerk. [1]

Aber das habe ich halt nicht. Und auch meine Empfehlung dem OP gegenüber basiert auf der Annahme, dass man DHCPv4 und SLAAC im betrachteten Netz vollständig kontrolliert und dann ist dual stack einfach gut nachvollziehbar und bequem.

[1] https://www.ietf.org/archive/id/draft-link-v6ops-6mops-01.html

viele Clients (z. B. Android) verwenden nun aber ausschließlich IPv6 - auch für DNS.

Wie denn, wenn es keinen lokalen Server auf IPv6 gibt und man DNS ausgehend sperrt? Was man natürlich tun sollte, wenn man OPNsense, AGH etc. am Start hat, um zu filtern.

Wenn dein Client nur genau einen IPv4-DNS-Server kennt, benutzt er auch nur den. Dann sorg dafür, dass das dein AGH ist und das Problem ist gelöst. Habe ich hier überall genau so am laufen.

Wenn deine Clients dual stack sind, können sie AdGuard über IPv4 nutzen. Sind sie IPv6 only, dann brauchen sie natürlich einen IPv6-DNS-Server.

Open an issue at bugs.freebsd.org.

Dann setz doch Authentication containers auf die Base DN und filter nur mit dem Extended query nach der Gruppe.

The server your clients should use goes into the DHCP options for the respective interface.

How about adding to root's .cshrc something like e.g.

Code Select Expand

test -x /usr/local/bin/bash && exec /usr/local/bin/bash -l


Ah ... so blocking based on X-Forwarded-For: or similar as received from Cloudflare - get it.

Why would you prefer to bounce in Caddy instead of just blocking the IP address in pf on WAN? I am not arguing against acquiring via Caddy and Caddy logs - I specifically implemented the "plain text access log" feature for that. But once you register a malicious host, I'd block it at the frontmost point of my network available before it even reaches and application. That's firewall on WAN.

nur mal ganz schnell....
das ist doch ULA!?

Hätte auch nochmal lesen können statt nachzufragen - natürlich ist das ULA: fc00::/7.

Damit als Source-Adresse kommt man nicht ins Internet. Ist wie ein Transfernetz mit RFC 1918 in IPv4.

@balkemueller probier mal eine einzelne Adresse aus dem /64 an LAN mit einer /128 Prefixlänge als Alias auf WAN zu legen. So machen wir das mit unseren Hosting-Servern bei Hetzner.

Ist das Transfernetz denn GUA? Hast du den ISP mal gefragt, ob man mit dem ins Internet raus kommen sollte?

Man kann natürlich Gruppenmitgliedschaften abfragen. Bei mir sieht das folgendermaßen aus (Active Directory):

Base DN: DC=intern,DC=meinefirma,DC=de
Authentication containers: OU=Mitarbeiter,DC=intern,DC= meinefirma,DC=de

Das bedeutet natürlich, sowohl die Mitarbeiter-Konten als auch die Gruppen müssen in dieser OU sein.

Extended Query: memberOf=CN=VPN-Users,OU=Mitarbeiter,DC=intern,DC= meinefirma,DC=de


Funktioniert so - nur Mitarbeiter in der Gruppe "VPN-Users" können sich authentifizieren.

HTH,
Patrick

I seem to have to create a specific firewall rule to allow devices on the subnet to talk to the DNS server on their own gateway IP?

Yes. Apart from the LAN interface which comes with a default "allow all" rule on a newly installed OPNsense any additional interface (VLAN or physical) you create does not have any rules at all which means nothing is allowed. You need to create rules for Internet access as well as for all local services the firewall provides.

Only rules for a selected few services like DHCP or IPv6 neighbour discovery are in the "automatic rules" because these are difficult and error prone to get right.

Everything else: DNS, NTP, SMTP, ... needs explicit rules.

HTH,
Patrick

OU und Gruppen sind unterschiedliche Dinge. Natürlich kannst du eine bestimmte OU als Base DN verwenden, dann werden nur Objekte unterhalb dieser OU überhaupt berücksichtigt.

Eine Gruppenmitgliedschaft kann man über

- memberOf Attribut beim User oder
- member Attribut in der Gruppe

umsetzen. Active Directory tut vollautomatisch beides. Ich weiß nicht, was OPNsense erwartet.

Grüße, hoffe das hilft etwas,
Patrick