Messages

die Option "upstream" ist bei beiden Gateways aktiviert?

Nein - nur das schnelle WAN. Und dieses hat auch eine niedrigere Metrik.

Die Ursache dafür liegt vermutlich nicht in OPNsense, aber da solltest du ansetzen.

Das weiß ich - nur kann ich an der Vodafone Problematik nichts machen....

Wenn du ein Gateway editierst und da den Advanced Mode aktivierst, kannst du Parameter wie "Latency Low Threshold", "Latency High Threshold", "Packet Loss Low Threshold", "Loss Interval" und weitere einstellen

Damit werde ich mal rum spielen

[1. WireGuard und Gateway-Wahl]

Moin zusammen,

bin nach längerer Pause (Unifi) wieder bei OPNsense gelandet und habe inzwischen fast alles so umgesetzt, wie ich es mir vorgestellt hatte - zum Teil sogar mehr - und bin damit recht zufrieden.

Allerdings stoße ich aktuell an zwei Punkte, bei denen ich nicht so recht weiterkomme:


1. WireGuard und Gateway-Wahl

Ich nutze für mein Gäste-VLAN einen VPN-Tunnel über WireGuard, zusätzlich auch für einen meiner Server. Im Setup habe ich zwei WAN-Anschlüsse:

• ein schnelles (Primär)
• ein langsameres (Backup, aber dafür stabiler)

Das langsamere WAN war damals mein erstes Gateway. Sobald ich nun die Verbindung über WireGuard starte (also vom Router zum VPN-Provider), landet der Traffic in ca. 80 % der Fälle auf dem langsamen WAN.

Eigentlich möchte ich, dass er ausschließlich das schnelle WAN verwendet oder - falls möglich - meine konfigurierte Gateway Group. In dieser ist das schnelle WAN als Tier 1 hinterlegt, das langsame nur als Backup. Außerdem ist das schnelle als Upstream Gateway definiert und hat auch die niedrigere Metrik. Trotzdem scheint OPNsense nicht konsistent das richtige WAN zu nehmen. Gibt es da noch eine Einstellung, mit der ich WireGuard oder das Routing klarer auf ein bestimmtes Gateway zwingen kann?


2. Gateway Groups / Failback

Grundsätzlich finde ich die Gateway Groups sehr praktisch. Allerdings habe ich bei meinem Kabelanschluss (Vodafone) das Problem, dass er bei Störungen wie ein Ping-Pong agiert:

• Leitung fällt kurz aus -> Failover auf WAN2
• nach ein paar Sekunden wieder da -> sofort zurück auf WAN1
• kurze Zeit später wieder weg -> erneut Umschalten ...

Das ist ziemlich unruhig. Mir fehlt dabei eine Option à la ,,Recovery Delay" oder ,,Hold-Down Timer", also eine Art Mindestzeit, die ein Gateway stabil online sein muss, bevor zurückgeschaltet wird. Gibt es so etwas in OPNsense oder übersehe ich da schlicht die richtige Einstellung?

Das weiß ich auch :)

Aber die Kamera kann von sich selber auch nach Hause telefonieren (China marken etc.) und genau deshalb will ich nicht, das sie im Internet ist.

Muss sie ja auch überhaupt nicht

Das mit den MAC Adressen ist ein guter Tipp.

Jetzt habe ich bei den IPv4 Leases immer noch oder meistens einen Hostnamen dabei der das einordnen recht zügig und leicht macht.
Gibt es sowas in der Art für ipv6 auch? Denn bei meiner Liste steht da nichts

Hi

ich habe es über das Wochenende endlich mal hinbekommen, mich damit zu beschäftigen und meinen Anschluss (Vodafone) ipv6 rdy zu bekommen.

Ich bekomme eine ipv6 Adresse mit 56 Prefix und mein LAN Netzwerk bekommt via "Track Interface" seine Adressen.

Jetzt komme ich an die stelle, wo mir das aber alles meine ipv4 Regeln umgeht ;)

Bsp. : Ich habe ein paar Kameras, diese sollen NICHT ins Internet sondern nur via NTP und ICMP zum Router erreichbar sein. Jetzt holen die sich ipv6 Adressen und sind Online.

Anderes Beispiel - ein bestimmter Client soll nur über eine der Internetverbindungen raus gehen - ist via ipv6 jetzt über beide Online.


Wie gehe ich also am besten vor? Gibt es sowas wie "wenn die ipv4 rule für dich gilt, sperr ich auch deine ipv6"?

Frage direkt selber beantwortet.

Im Update log schlugen eine Fehler auf bezüglich eines Plugins "Free Radius" und da er diesen Part nicht abarbeiten konnte ging es nicht weiter.

Da finde ich könnte die GUI aber ruhig auch mal Fehler anzeigen.

Grüße

Moin

mich hatte gewundert, das ich länger nach den Update die Box nicht neu starten musste und schaute heute mal kurz rein, welche Version aktuell sei - Uff!

Ich weiß noch nicht warum aber ich hänge auch der 22.7.6 fest und bis auf kleinere Updates auf den Plugins etc kommt da nichts.

Hat wer nen Tipp?

Grüße

this is your only rule for Sonos?

Not working for me

Hey


since a long time I try to get my Sonos Player in my IoT VLAN and running between my VLANs.

For testing purposes, the players are still in the LAN and my cell phone is in the UntrustedLAN.


UDP Broadcast Relay--> IoT,LAN,UntrustedLAN   239.255.255.250       1900   2   Sonos


Firewall rules:
sonosTCP_2app - 3400, 3401, 3500, 4444
sonosUDP - 40000-60000
sonosTCP_2device 1400, 1433, 1443, 4444

What am I missing?

Moin

wollte das Thema schon länger mal angehen und alles in ein IoT VLAN stecken, was in mein LAN nicht rein soll.
Aber Sonos hat mich da immer ein wenig abgeschreckt.


Hier mal was ich schon eingestellt habe:
(zum testen da es so für mich einfach ist, sind die Player noch im LAN und ich befinde mich mit dem Handy im UntrustedLAN. Später sollen die Player ins IoT)


UDP Broadcast Relay--> IoT,LAN,UntrustedLAN   239.255.255.250       1900   2   Sonos
** Hier einfach als Broadcast zwischen den 3 VLANs die es später werden sollen.

Firewall rules:
sonosTCP_2app - 3400, 3401, 3500, 4444
sonosUDP - 40000-60000
sonosTCP_2device 1400, 1433, 1443, 4444

Und - hast du es hinbekommen?

Wollte nun auch mal mein Sonos über VLAN betreiben.

Habs.

1. Falsches Addon  -  UDP Broadcast Relay (Relay Port 5353 // Interfaces Verbinden // Broadcast Adresse = 224.0.0.251 // rest lassen)

Firewall:

Printer VLAN:
   IPv4 *   192.168.10.10   *   224.0.0.251   *   *   *   Allow AirPrint

Privat LAN:
   IPv4 UDP   LAN net   *   224.0.0.251   Apple_AirPrint     *   *   

Apple AirPrint ist nur der Port 5353

Aloah

ich versuche aktuell mein LAN in VLANs zu trennen (main // IoT // usw)

Soweit kann ich auch schon auf den Drucker zugreifen. Nun komm ich aber an meine grenzen mit AirPrint.

Soweit ich das verstanden habe, brauche ich ein mDNS Repeater - den hab ich auf LAN und IoT gesetzt.


Und nun braucht der Printer aus dem IoT noch eine Firewall Rule um über Port 5353 sichtbar zu sein?!

Mein versuch war aus dem IoT Net:
IPv4 UDP   *   *   224.0.0.251   5353   *   *   Allow Bonjour Multicast

oder

auch IPv4 UDP   *   *   Lan Net   5353   *   *   Allow Bonjour Multicast

Beides klappt nicht :)

Ich denke (bin mir nicht sicher) ich hatte damals unter Unbound DNS eine custum Option.

Die scheint jetzt mit dem neuen Update aber weg zu sein.


Benötige ich die oder kann ich das anders einstellen?

Moin



ich habe aktuell das Problem, das mir durch ein Update von OPNsense alles zerschossen wurde und ich meine Firewall leider vor 6 Monaten gebackupt hatte :/. (war ein bios Problem / nach bios Update ging auch das Update)



Nun bin ich gerade wieder dran alle änderungen die ich schon hatte wieder einzurichten.



Nur bei einer sache hackt es und ich weiß nicht nach welchem Begriff ich googlen könnte. Nun zum Problem:





Ich lasse via Nginx Proxy Manager ein paar Dienste nach Aussen zu. Soweit so gut Funktioniert.

Nur nicht aus dem LAN - Da hakt es und es passiert einfach nichts. "Die Website ist nicht erreichbar".



Hat da wer eine Idee? Benutze die neuste Version von OPNsense - da pfsense ähnlich ist würde mir davon was aber auch helfen.



Merci ❤️