Messages

Auf derselben Hardware oder wie jetzt?

Sorry - etwas falsch ausgedrückt denke ich.

Ja - gleiche Hardware meinte ich. Aber hat sich ja dann jetzt mehr oder weniger erübrigt.

Muss mir dann wohl doch neue Hardware anschaffen für die OPNSense - oder ich lagere den Controller dann doch aus. Muss ich noch schauen jetzt.

Läuft der Controller denn gut auf der OPNSense - oder betreibt man den lieber doch separat?

Hi Zusammen,

wenn ich das richtig verstanden habe, kann ich auf meine OPNSense direkt den UniFi Controller installieren (als Plugin?).

Doch es gab ja Umstellungen bei UniFi und MongoDB.

In meinem Proxmox kann ich nicht den aktuellen Controller mit der aktuellen DB mehr betreiben. Hier ist diese Meldung:
For non-AVX CPUs, MongoDB 4.4 is installed. Please note this is a legacy solution that may present security risks and could become unsupported in future updates.

Das dürfte dann auch bei OPNSense der Fall sein, oder?

Kann jemand hier helfen, was die optimalen Werte sind, damit man das richtig betreiben kann?

Probe Interval = 1

Standard Setting der OPNsense - dürfte Sekunden-Intervall sein.

Was empfiehlt sich denn da als Wert eher?

Hi Zusammen,

habe mich die Tage mal wieder an ein OPNsense setup gewagt. Soweit ist da alles super, jedoch habe ich Probleme mit Pakerverlust/Spikes (zumindest im Health Report).

Was genau kann das sein, und wie/was kann man da tun?

Aktuell hängt die OPNsense (Intel NICs mit einem 5105 Prozessor) hinter einem UniFi Router. Der Router selbst hat zu den Zeiten keinen Paketverlust. Während die Verluste kommen habe ich auch nicht wirklich Traffic auf der Leitung (Geräte dahinter nahezu Idle).

Eingestellt ist 1.1.1.1 als Health Check (andere IPs bringen auch keine Besserung).

Code Select Expand

Probe Interval = 1
Time Period = 60
Loss Interval = 4
Data length = 0

Wo kann man noch nachschauen, woran das evtl. liegt?

Hi,

kann OPNsense mittlerweile Secureboot, oder muss man das noch ausstellen? Was sollte man im BIOS noch alles einstellen, damit es mit OPNsense richtig läuft?

Wenn ich mein Problem mit TP Link gelöst habe und auch getaggte VLAN wieder per WLAN erreichbar sind, wird das Privileg auf alle Schnittstellen zuzugreifen nur noch der Management- Schnittstelle zuteil werden und auch dort nur bestimmten Clients.

Hast Du Probleme mit TP-Link EAPs und IPv6? Falls ja, dann bist Du nicht alleine. TP-Link hat damit generell große Probleme. Man findet in den TP Link Foren dazu diverse Berichte und die bekommen es seit ewig nicht hin, dass das Problem richtig gelöst wird. Aktuell gibt es da Beta-Firmware-Versionen welche das Problem angehen und wohl auch beheben (zumindest zum Teil). Aber Achtung: Beta Versionen bei TP-Link bedeutet sehr viel Tracking etc.

Du musst dir schon überlegen, was du genau möchtest, wobei meiner persönliche Meinung ist, dass speziell viele Privatanwender viel zu kompliziert denken. Die meisten wären mit einem LAN und "allow" all prima bedient. Dann noch DNS-Filter via AdGuard Home und gut ist.

U.s.w. ...

Danke Dir für das gute Statement und die Worte. Ja in der Tat ist es so, dass man auf einmal auch viel mehr Möglichkeiten hat und dann auch versucht alles bis ins Ultimo zu optimieren bzw. auszureizen an Stelle von mal etwas kleiner fahren.

Bei mir ging es in dem Fall wirklich um die Dual Stack Variante bzw. das hinzukommen von IPv6 was ich so noch nicht hatte/kannte bzw. kenne.
Daher die Frage in dem Bereich.

Bzgl. VLANs und Nutzung etc. muss ich mir natürlich auch noch Gedanken machen. Genauso ob ich den internen Unbound DNS AdBlock nutzen soll/werde oder auf AdGuard gehe (evtl. dann extern oder direkt in der OPNSense).

Szenarien sind ganz einfach:
- Familie
- Gästenetz (wir haben eine ausländische Gastfamilie, welche ich mit einem extra Freifunk-Netz versorge und die sollen auch wirklich separiert sein)
- IoT (Philips Hue und Heizungssteuerung und vor allem mein TV wollte ich schon gern separieren - und den Kram brauche ich schon)
- ext. erreichbare Services (die natürlich auch nochmal separat)

Leider doch ein wenig mehr. Bzw. überlege ich noch ob ich IoT wirklich separiere. Aber ich denke mal schon.

Wenn ich alles über ein Netz laufen lasse, dann kann ich das auch an ne fritz.box hängen ;-)

Ah - du hast mehr als ein internes Interface. Und VLANs. Das hattest du nicht geschrieben  ;)

Ja - sorry, das habe ich vergessen.

Ich check das mal. Macht man das denn auch so? Sprich für jedes Interface dann überhaupt IPv4 und IPv6 freigeben? Im Grunde brauche ich/will ich IPv6 ja nur ins Internet haben, damit ich Dienste auch via IPv6 erreiche neben IPv4.

Lokal brauche ich an den Clients eigentlich kein IPv6 - da müsste ich ja dann auch noch Firewall-Regeln etc. umsetzen.

Danke für das ganze Feedback.

In meinem Fall wird es Glasfaser sein, aber da ist es ja auch PPPoe von der Telekom und sollte keinen Unterschied machen, da es dort dann auch Dual Stack gibt.

Was ich meinte ist, ob ich an den einzelnen Interfaces (VLANs) dann noch IPv6 jeweils freischalten soll/muss?

Danke Dir. Da steht es gut beschrieben.

Klappt es denn ohne Probleme, oder gibt es hier irgendwie Schwierigkeiten? Die einzelnen Networks muss ich dann ja auch noch als IPv6 freischalten, oder?

Hi Zusammen,

bei dem kommenden Anschluss wird es für uns dann Dual Stack der Telekom geben und ich überlege, was hier dann die richtigen Settings (außer natürlich PPPoe Daten und VLAN7) sein werden, damit die OPNsense auch richtig IPv4 und IPv6 macht.

Könnt Ihr mir helfen oder evtl. auf etwas verlinken, wo es richtig beschrieben ist/steht?

Danke und Grüße

Was generell auch sein kann ist, dass er am Telekom Anschluss einfach nur schlechtes/kein Peering hat. Als Telekom-Kunde kann man (fast) nichts anderes machen, als direkt kündigen! (oder einen VPN mit schlechterem Ping nutzen).

Bei mir ist es unter dem aktuellen Release auch so, dass ich unter Packet im Health Reporting leide.

Habe den "Probe Interval" auf 2 gestellt mittlerweile - jedoch habe ich immer noch loss im Health Reporting für das WAN Interface.

Wenn ich es mit einer pfSense vergleiche (selbe Hardware), dann habe ich dort keinen loss - scheint also irgendwie mit OPNsense zusammenzuhängen.

Yes - good idea.

I also only have custom blocklists as the default list is not a good one (for me).

I use and love Hagezi's Blocklists - maintained well and fast https://github.com/hagezi/dns-blocklists

But it's only showing 'custom' at the moment.

Not a big deal at all - but would be nice to have a naming for them.