Messages

Supi... vielen dank.
Hab da kurz 8.8.8.8 und 1.1.1.1 eingetragen und dahinter "Use gateway" ausgewählt, damit OPNsense das Gateway benutzt. Jetzt funktioniert es!
TOP! 👍
DANKE!

Hi zusammen,

sry.. das ich mich jetzt erst wieder zu Wort melde.
Hab nun alles nochmals neu aufgesetzt und von vorne begonnen.

Was soll ich sagen, der Fehler lag ca. 30cm. vor dem Bildschirm :-)
wenn ich nun http://freenas.homelab eingebe komme ich auch auf die gewünschte Page.

Hab nun aber das was pmhausen (danke nochmals), gesagt hat eingerichtet und siehe da, funktioniert direkt ohne Eingabe des http://

Internet, DHCP, DNS Weiterleitung, AdGuard funktioniert nun super! 👍

Nun hab ich, denk ich, ein General OPNsense Config Problem.
Wenn ich unter System -> Firmware -> Status "Check for updates" anklicke, lädt es dauerhaft, wie wenn jetzt die OPNsense selbst nicht mehr ins Internet kommt.

Bevor ich das mit Unbound und AdGuard eingerichtet hab, hat das "Check for updates" einwandfrei funktioniert.
(Sry... für die dumme Frage).

Hi,
ich glaub ich hab n anderes Problem....

da das mit den Upstream-DNS-Server auch nicht funktioniert hat, hab ich kurzerhand AdGuard runtergeschmissen und in Unbound DNS ein Host Override erstellt.
Zusätzlich hab ich wie im angehängten Bild unter General das soweit eingestellt.

Ergebnis bleibt das gleiche. Ich kann über die CMD einen Ping sowie erfolgreich ein nslookup ausführen und mir wird mit dem Namen die richtige IP angezeigt. Sobald ich das in den Browser eingebe, kommt sofort Google mit dem DNS Namen.
Einzig unter nslookup ist der Hinweis "Nicht autorisierende Antwort:" nicht mehr vorhanden.

Glaub eher so langsam, dass ich hier ne fehlerhafte Grundkonfig habe.

Im DHCPv4 Service hab ich im DNS Server und im Gateway die 192.168.178.1 drin.
Ansonsten noch die Range und den NTP eingetragen (192.168.178.1). Ansonsten nichts.

Ich schnalls nicht mehr, warum die Anfrage über den Browser direkt an google gesendet wird... 

Hi Tuxtom007,

im Anhang ein Screenshot, was ich nun eingestellt hab (also den listen Port 53053) und DHCP Registration bzw. Register DHCP leases aktiviert.

Nun komm ich aber nicht so ganz mit, wo ich in Adguard noch was eintragen soll. In Adguard hab ich nichts eingetragen außer ein paar Blacklists und die DNS-Umschreibung.

[Nicht autorisierende Antwort:Name: freenas.homelabAddresse: 192.168.178.133]

Hi,
danke für die schnelle Unterstützung.
Hier der Netzwerkplan:

      WAN / Internet
            :
            : Telekom Hybrid Anschluss
            :
      .-----+-----.
      |  Gateway  |  Speedport Hybrid Pro 192.168.101.1
      '-----+-----'
            |
        WAN | IP 192.168.101.111
            |
      .-----+------. 
      |  OPNsense|
      '-----+------'   
            |
        LAN | 192.168.178.1
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers)


Hab leider noch nen Speedport Hybrid Pro im Einsatz, wo aber Mitte/Ende des Jahres rausgeschmissen wird, da endlich Glas bei mir einziehen wird.

Die OPNsense ist Physikalisch mit einem Netzwerkanschluss (eth0) an dem SPHP angeschlossen und mit einem anderen Netzwerkanschluss am Switch (eth1).

Die OPNsense ist bei mir der DHCP, Gate, DNS für die Clients.
Hatte bevor ich das Hybrid bekommen habe ne Fritzbox, deswegen noch die IP Adressen der Fritzbox an den Clients.

UPDATE:
ein nslookup auf freenas.homelab zeigt mir als Server die OPNsense mit 192.168.178.1 und darunter kommt:

Nicht autorisierende Antwort:
Name:        freenas.homelab
Addresse:    192.168.178.133

[freenas.homelab]

Hi zusammen,

nach neu Installation der aktuellsten OPNsense und Update auf 22.7.10_2 hab ich das AdguardPlugin installiert.
Unbound läuft auf Port 5353 und Adguard auf 53. 

Da ich einen lokalen DNS benötige hab ich nun schon versucht, unter Adguard -> Filter -> DNS-Umschreibungen eine Domain einzutragen, z.B. freenas.homelab mit der IP: 192.168.178.133

Der Eintrag steht drin, aber wenn ich nun freenas.homelab in den Browser eingebe, springt das direkt zur Suchmaschine weiter (Google).
Wenn ich nun aber einen Ping ausführe auf freenas.homelab wird mir die IP 192.168.178.133 angezeigt. Also eigentlich alles richtig.

Jetzt muss "nur" der Browser mir die Domain auch auf die IP auflösen, um auf das Dashboard zu kommen.

Hab ich hier was vergessen zu aktivieren oder zu setzen?

Danke schon mal im Voraus.

Grüße ✌️

Hi,

weis nicht, ob es Interessant ist, für den ein oder anderen....
Da das "Problem" noch bestand, mit Windows, dass u.a. auch der Store nicht mehr ging (wenn Windows sagt, kein Internet, geht kein Spotify und kein Store), hab ich nach längerem googlen erfahren, dass 2 Seiten geblockt werden von den Blocklisten, wo Windows aber eine Antwort erwartet (leider sind die Log files von Unbound nicht so toll, auch nach hochstellen des Log-Levels ist es eher noch unübersichtlicher geworden (und ja, man kann suchen...).

Also hab ich bei Unbound in die "Whitelist" folgende Domains eingefügt:
dns.msftncsi.com
msftncsi.com

und hab auf speichern gedrückt... nach ca. 30Minuten kam immer noch keine Rückmeldung (bzw. der Ladebalken war oben zu sehen), und die OPNsense reagierte nicht mehr. Ping auf die Adresse ging problemlos. Adresse noch mal im Browser eingegeben nichts...
Nach nem Neustart noch mal im Unbound unter Whitelist "vorsichtshalber" speichern gedrückt... Nun kam ein Error (1)... ok. System mal runter gefahren und danach wieder hoch gefahren... selbe von vorne Whitelist gespeichert und nun kam Error (99)...

Zu guter Letzt wurde nun das System nochmals neu aufgesetzt (heute Nacht) und von Anfang an Unbound als DNS Resolver deaktiviert. Aktuell erledigt BIND seinen Dienst tadellos.
Testweise ein paar andere Domains in die Whitelist von BIND eingetragen und siehe da, keine Probleme...
Logfiles sind besser geordnet wie bei Unbound.
Die 2 Domains für Windows hinzugefügt und siehe da, funktioniert wunderbar (nicht nur das speichern, nein, sondern auch mit Windows als Client).

Vielen Dank nochmals für die Hilfe.
Evtl. konnte ich jemanden nun mit meiner Erfahrung und Info iwi n bissle weiterhelfen.

Grüße
High-Tower

Hi,

danke für die Ausführliche Erklärung.
Keine Sorge, hab keine 172.33er IP´s, sry.. dummes beispiel :-)

Hab nach dem aufsetzen kein BIND mehr aktiv oder installiert, sondern "nur" noch Unbound und Sensei.
Agguard hab ich auch nun aktualisiert über das Web Interface.

PS:
Konnte eine Homepage nicht mehr öffnen und habe testweise die Homepage über LTE aufgerufen, was funktionierte.
Also muss es iwo an meinem System "hängen".
In den Logs von Adguard war alles ok, im Log vom Sensei auch.
Dachte mir, dann muss es an Unbound "hängen".
Die Blocklisten hab ich mal deaktiviert und nur den Dienst neu gestartet. Nichts, die Seite ging immer noch nicht auf. Komisch. Hab dann Schlussendlich die Blocksiten wieder aktivieren, unter "Blocklist" in der "Whitelist Domains" die Homepage eingetragen, gespeichert, Dienst neu gestartet, geht immer noch nicht.

Komisch, also, die Firewall mal neu gestartet (und auch mal zu sehen, ob alles automatisch startet, oder ich auch die Probleme habe mit dem Autostart der Dienste). Siehe da, die Homepage funktioniert.
Um hier sukzessiv Fehler eingrenzen zu können, such ich das detaillierte Log File von Unbound (in Adguard und Sensei ist das ja echt super Aufbereitet). In dem Logfile unter dem Dienst Unbound sehe ich keine Detaillierten Anfragen, Blocks, etc... gibt es hier noch ein erweitertes LogFile oder ein Zusätzliches PlugIn für eine detaillierte Log von Unbound?

PS: Seit dem ich das u.a. eingerichtet habe, inkl. dem WebProxy mit i-CAP und ClamAV zeigt mir Windoof in der Taskleiste an, dass ich kein Internet mehr habe, obwohl alles wunderbar funktioniert. Ist wahrscheinlich irgendein Windows Dienst, wo nun geblockt wird, oder?

Danke nochmals! Echt klasse!

Hi KH,

vielen Dank für deine Hilfestellung.
Hab mittlerweile das System nochmal neu aufgesetzt und glaub, dass ich es jetzt geschnallt hab als vollhonk.

Standardmäßig ist in OPNsense kein DNS hinterlegt und Unbound als "eigener" DNS eingeschaltet. Wenn man Unbound deaktiviert und keinen anderen DNS einträgt, kann OPNsense und alle andere Clients im Netzwerk kein DNS mehr auflösen.
Hab testweise in System-Settings-General den 8.8.8.8 als DNS eingetragen und Unbound abgeschalten und den haken bei ""Do not use the local DNS service as a nameserver for this system" gesetzt. Funktioniert wunderbar.

Die Frage, warum BIND zusätzlich zu Unbound, hab hier im Forum einiges gelesen und mal am Rande aufgeschnappt, das BIND irgendwas mit Secure kann, wo Unbound nicht kann.
Wenn das absoluter Blödsinn ist und Unbound BIND ersetzt, lass ich BIND weg...

Hab dann "nurnoch" das Thema mit AdGuard.
AdGuard läuft ja als PlugIN auf der OPNSense.
Nehmen wir mal an ich hab die fixe IP 172.33.33.1 der OPNsense zugeordnet.
Muss ich dann nach der Inbetriebnahme von Adguard (läuft ja als Localhost auf der selben IP) die 172.33.33.1 im DNS eintragen (System-Settings-General).
Darunter gibt es ja die Option (zum anhaken):
"Do not use the local DNS service as a nameserver for this system"

Theoretisch ist das ja der "locale" DNS (Adguard)... Bin dort leider sehr verwirrt, da es ja ein PlugIN ist....
Oder muss ich hier den Zugangsport anpassen (172.33.33.1:8888) und diesen dann auch im DNS mit :8888 eintragen?
DoT war nicht aktiv.



EDIT: Ich komm so langsam immer mehr in das Thema rein.
Glaub auch, dass ich den Fehler gefunden habe, warum OPNsense selbst nicht mehr ins Internet kam.
Hab in AdGuardHome unter "Bootstrap DNS-Server starten" den Unbound und den BIND eingetragen, warum auch immer, aber in den Beiden das DoT nicht aktiviert.... das kann nicht gehen.
Hab nun im AdGuardHome die Standard Adressen drin gelassen und im Upstream-DNS-Server den geänderten Port mit angegeben für Unbound.
Siehe da, funktioniert tadellos...

Vielen Dank noch an yeraycito :-)
https://forum.opnsense.org/index.php?topic=22162.15

EDIT 2: Ich könnt euch knutschen :-) jetzt funktioniert das so wie das wollte, mit allen Sperrlisten und eigenem Upstream DNS  ;D :D

Hallo zusammen,

komme seit 2 Tagen nicht mehr weiter.
1.tes Problem, keine Verbindung mehr von OPNsense zum Internet (SYSTEM - Firmware - Status lädt nicht mehr)
2. bild.de kommt nun die Meldung "Werbeblocker deaktivieren"

Unbound, BIND und AdGuard Home ist aktiv (alle ales PlugIn auf der OPNsense).
Zenarmor Sensei ist auch installiert :-)

Zur Grundkonfiguration:

Selbstbau OPNSense HW (Asus Board, i5-8500t, 16Gig ram, 240gig NVME, Intel X520 Glas PCIe), OPNsense 21.7.4-amd64 ist frisch installiert unter Dateisystem ZFS.

Da leider mein Internet (noch) aus einem Hybrid Telekom Tarif besteht, muss ich wegen der Miserablen Geschwindigkeit den Speedport Hybrid benutzen (mit externen Antennen, da der Empfang grottig ist).
Zukünftig soll Glas ins Haus gelegt werden (und die OPNsense als Router dienen) und bin durch die X520 Karte schon mal drauf vorbereitet (direkt GLAS Anschluss ohne Medienkonverter).


       Internet
            :
      .-----+-----.
      |  Gateway  |  (Speedport Hybrid)
      '-----+-----'
            |
        192er Netz
            |
      .-----+------.  RJ45 Anschluss mit Static 192er Adresse und Gateway Static eingetragen von SPH
      |  OPNsense |
      '-----+------'   GLAS Anschluss mit 172er Static Adresse
            |
        LAN 172er /24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers)


Auf der OPNSense ist Unbound aktiv mit "Listen Port" 5353 ; Blocklist Enabled / DNSBL alles
BIND aktiv DNSBL und RPZ aktiv, Type of DNSBL: alle
Listen Port 53530

AdGuard Home als PlugIn Aktiv und in den DNS Einstellungen beide DNSBL PlugIns eingetragen (Upstream-DNS-Server / Bootstrap DNS-Server
127.0.0.1:5353
127.0.0.1:53530

Funktioniert auch fast alles so wie es soll, außer die 2 Punkte von oben.

zu Punkt 1. Wenn ich AdGuard Home deaktiviere und Unbound wieder auf Listen Port 53 setze, funktioniert auch die Status Abfrage inkl. den Aktualisierungen für die PlugIn´s wieder in OPNsense.
D.h. dass theoretisch die OPNsense selbst nicht direkt über den WAN Port ins Internet connected und sich die Daten zieht, sondern über den internen Unbound DNS...

Bei Punkt 2 hab ich versucht, die Seiten als Domain direkt in Unbound und in BIND zu hinterlegen unter  Whitelist Domains, hat aber nicht wirklich funktioniert...

Kann mich hier evtl. einer aufschlauen, damit ich nicht dumm sterbe?
Danke schon mal im Voraus.


EDIT: Das Thema mit Bild hab ich in den griff bekommen... war ein falscher Gedanke, "nur" diese auf die Whitelist zu setzen.
Leider komm ich nicht auf das problem mit dem Interface, bzw. dass OPNsense noch Internet besitzt, wenn in Unbound der Hörende Port geändert wurde...

PS: Unbound hängt sich dauernd auf, und spuckt Fehler aus. Denke das hat damit zu tun, weil einfach keine aktive Internet Verbindung mehr besteht... Hat jemand einen Tipp für mich?

Hab das mit den JDownloader selbst hin bekommen....

Warum ich das mache mit der OPNsense hinter einem SPH?
Ganz einfach, da ich nicht auf jedem Gerät eine Firewall installieren möchte, sondern Zentral alles soweit Regeln und im Blick haben möchte.

Glaub nicht, dass es irgendwas mit dem SPH zu tun hat. Ich weis, dass doppel Nat schlecht ist, aber hab ich aktuell eine Wahl? Nein.
Wenn irgendwann mal das versprochene Glasfaser kommt, hol ich ein dummes Modem und möchte mit der OPNsense Hardware alles Regeln.

Aller Anfang ist schwer, ich geb nicht auf, wenn jemand das Wissen in die Wiege gelegt worden ist, finde ich das toll... mir leider nicht, aber ich will es wissen und umsetzen können.

Dann dauert es halt eine Zeit.
Das wichtigste hab ich noch vergessen. Wenn mal Glasfaser da ist, würd ich gern das VPN benutzen. Zentral.

Trotzdem Danke. 

PS: Sry... hatte gerade nebenher neue Freigaben auf dem Unraid erstellt.... SMB... hab mich vertan beim schreiben.
Hab das mit den Kameras jetzt hin bekommen.

Thread kann geschlossen werden.
Danke.

Hi,
ich kann Mac basierend entscheiden, was nur die DSL Leitung nutzt.
Aber die MAC erkennt der SPH nicht, da die IP in nem anderen Netz ist.

Ich zieh die Tage ein Kabel, nur für das Telefon..... =)

PS: Aber es bleibt noch das Problem mit dem SMTP der Kameras.
Die Kameras schicken mir normalerweise über den Zugang meines Googlemails accounts, bei Alarm eine Email an eine andere Adresse. Das hat immer super funktioniert.
Was muss ich machen, damit das auch wieder funktioniert?!

Hab zusätzlich noch das Problem, dass ich auf Unraid einen Docker mit dem JDownloader benutze (gerade auch wegen dem Brutalen Internetgeschwindigkeit...). Dieser will nun auch nicht mehr....

Gibt es nicht iwo n Handbuch auch Deutsch, wo alles erklärt!? Will nicht immer fragen müssen, komme aber diesbezüglich nicht weiter...  :-[

Das mit dem dummen Modem wäre mir am aller liebsten, aber ich bin auf das Hybrid angewiesen. Ohne Hybrid bekomme ich MAX ~5Mbit´s mit dem Hybrid geht es wenigstens ab und zu auf ~16Mbits.

Hab nun noch eine Sache gefunden. Man muss im SPH unter den Internet Ausnahmen zum LTE eine Ausnahme für das VoIP Telefon hinzufügen, damit dass Telefon "nur" die DSL Leitung benutzt, hatte das voll vergessen...

So, hab das versucht über die MAC Adresse... Da ich aber 2 verschiedene IP Adressenbereiche habe, findet der SPH die Mac des Gigasets nicht....

Wäre es sinnvoll, den SPH in den selben Netzwerkbereich des LAN´s zu bringen, oder ein 2.tes Kabel ziehen vom SPH zum Gigaset?

Mich hat das nun so gefuchst, dass ich die Telefon IP geändert hab auf die Range des SPH und das Gateway sowie den DNS auf den SPH eingestellt habe (so wie es ja vorher immer funktioniert hat).
Hab die einzigste Verbindung zum SPH dann am Telefon angeschlossen.

Ergebnis beim anruf aufs Handy:

Hab nichts gehört beim Handy noch beim Gigaset...
Das würde bedeuten, dass es irgendwas im dem SPH verändert hat, bzw. nicht korrekt ist...

@lfirewall1243
schätze, dass ich auf das DoppelNat angewiesen bin, solange bis endlich mal der "schnelle Ausbau" was schon seit 6 Jahren versprochen wird, kommen wird (Glasfaser). Solange bin ich am Hybrid der Telekom gebunden, da es nichts vergleichbares gibt (Geschwindigkeit, Ping, kosten)... leider...

Hab nochmal neu gestartet, da ich noch 2 Regeln im LAN hatte....  :-\

Ergebnis ist nun, dass ich am Lautsprecher des Gigasets nichts höre.
Beim anruf über das Handy höre ich am Handy einmal ein Wort und danach nicht mehr... nach 10 sekunden legt es dann automatisch auf..