Messages

You could just port-forward port 53 to your own DNS instance to block any other DNS server instead of relying on incomplete lists of any kind.

Yes. Some protocols need a predictable port. UDP is connectionless, so probably whatever this device uses needs an open port that is not translated, but known to the application.

You can actually achieve that effect in one of (at least) three ways:

1. You use DHCP to advertise the DNS server IP to the clients. How you do that depends on the DHCP service you use (ISC, Kea or DNSmasq). This does not change which DNS server OpnSense itself uses - also, you would have to set that DNS server in statically configured clients.

2. You configure an OpnSense DNS server, advertise this via DHCP, but forward the requests to your internal DNS. Again, you could use Unbound, DNSmasq or other DNS servers for this. You can look up each in the official docs.

3. You advertise OpnSense as the DNS server, but divert DNS requests on port 53 via port forwarding to your internal DNS server. There is a thread in the tutorial section on how to do this, but read it to the end. Also see https://forum.opnsense.org/index.php?topic=42985.0, point 29.

As you see, there is many ways that lead to Rome. We are talking a professional tool, not a consumer router here, so choose your poison.

The device seems to need static ports - some VOIP gateways need that, as well.

Even if you specify "Static Port: NO", you effectively get that when only one port is specified in the rule.

I guess use use "hybrid rules" where this single rule for that client is applied before the default automatic rules. You should probably change the rule such that both source and target ports are set to "any", but Statiic Port is set to YES.

Leider ist es so, dass das Verhalten von unmanaged Switches nicht genau definiert ist - im besten Fall verhalten sie sich so, als wenn alle Ports als "Trunk" konfiguriert sind, aber garantiert ist das nicht.

Mistyped it, I meant X520-DAx.

It does not even matter, AFAIK. I had 1/2.5/5/10 Gbps SFP+ modules running in an Intel X520-DAx with no problem.

The SFP+ module reports at 10 Gbps to the host, whilst happily doing 2.5 GBps on the line. The only thing is that you cannot control the line speed, it is always auto-negotiated.

Your observations are mostly correct, however, note that there are needed tunables for Intel N-type and Alder Lake / Twin Lake series CPUs as noted here, point 23.

The ill effects of the CPU idiosyncrasies become more visible with UFS than with ZFS. To fix this completely, apply the tuneables, install microcode updates AND use ZFS.

Yes, obviously, as evidenced by the fact that you cannot stream any videos or login on youtube.

Would should anyone make of this?

Anything more specific? Did you upgrade before things went awry? Did it work before? Do other sites work?

N.P., Cedrik, this just made it to https://forum.opnsense.org/index.php?topic=42985.0, point 29.

Really? I just tried and it did not work for me like that.

I used ::1 as redirect target and used: "nslookup -query=A www.google.de 2001:4860:4860::8888" and got a communications error from a Linux client. The same thing works when I use a routeable IPv6 alias for OpnSense as a redirect target. Note that by using Google's DNS IPv6 explicitely, I force the IPv6 forwarding rule to be applied.

I recently had a dicussion with Patrick over this where he was surprised as well that it did not work.

His posting is here and OpnSense seems to adhere to RFC4291: https://forum.opnsense.org/index.php?msg=246585

Maybe you got an answer over a redundant DNS over IPv4?

Ich denke, das Problem liegt in folgendem:

Hetzner empfiehlt für ein Setup mit OpnSense und nur einer IP eine "routed" Variante. Dabei werden alle Ports außer dem für Proxmox an die OpnSense weitergeleitet. Ich mache das nicht so, weil dabei die OpnSense wieder ihre eigene WAN-IP nicht kennt, aber das nur am Rande.

Bei einem Setup mit zwei IPs wird eine für die OpnSense und eine für Proxmox selbst genutzt.

Mein Vorschlag mit zwei MACs und zwei NICs für OpnSense funktioniert zwar, aber dazu muss das ganze Setup so aufgebaut werden, während der OP offenbar vorhat, im laufenden Betrieb umzustellen. Das klappt so eher nicht. Aus Erfahrung weiß ich, dass der Umbau schrittweise erfolgen muss, Downtimes beinhaltet und oft auch eine LARA benötigt, weil man sich aussperrt. Ich würde das anders machen und einen neuen Server mieten, dort alles aufbauen und zuletzt die Server auf die neue Plattform umziehen. Danach kann man den ersten Server kündigen. Kostet im Zweifel eine Monatsmiete Extra, erlaubt aber Flexibilität beim Umbau.

Trotz allem, wie ich zu dem Thema ja schon mehrfach schrieb: Nichts für Anfänger, hochkomplex. Proxmox mit OpnSense ist eh schon schwierig, aber remote beim Hoster einrichten (und dann noch Hetzner mit den MAC-Zuordnungen) ist Hardcore.

Using an N-Type Intel CPU oder Alder Lake or Twin Lake generation? Read this, point 23. ZFS will not keep the problems from occuring, only not crash your storage. You need to apply the tuneables, because FreeBSD, other than Linux, will not do that automatically.

Ich denke wenn die OPNSense als Exposed Host eingerichtet ist, sollte ja alles weiter so funktionieren.

Nein, tut es nicht. Nimm als Beispiel mal DynDNS: Die OpnSense "weiß" die WAN-IP nicht, das funktioniert also nur, indem man einen Dienst im Web anfragt, welche IP genutzt wird, nicht mit der normalen "Interface"-Methode. Je nachdem, ob der Request dann per IPv4 oder IPv6 gemacht wird, kann das Ergebnis unerwartet sein.

IPv6 wird ohnehin ein Problem, wahrscheinlich mit Sub-Delegation von Präfixen, aber keine Ahnung, man kann sich das Leben auch schwer machen.

Es gibt für andere Spezialfälle im Forum beliebig viele Beispiele, was dann alles nicht mehr so wie erwartet funktioniert. Aber das wirst Du dann Stück für Stück herausfinden...

Gerade, wenn Du sowieso einen externen ONT hast und nur Gast-WiFi brauchst, wäre doch "Fritzbox hinter OpnSense" die perfekte Lösung - offen gesagt, kann ich nicht verstehen, warum Du es nicht so machst, aber, wie Patrick oft sagt: you do you.

Geht zwar, würde ich aber nicht so machen. Besser wäre es, die Fritzbox als Gast-LAN-Client an die OpnSense anzuschließen. Wo die FB Telefonie macht (also LAN oder Gast-LAN) ist egal und im Gast-LAN könnte sie sogar als Access Point dienen, wenn kein "LAN"-WiFi benötigt wird.

Vorteil: OpnSense läuft nicht mehr in einer Router-hinter-Router Konfiguration - ich weiß z.B. nicht, ob IPsec auf der OpnSense hinter einer Fritzbox als Eingangsrouter laufen würde (neben anderen Problemen wie DynDNS usw.).

Potentieller Nachteil: Je nachdem, wie das WAN angebunden ist, braucht man ein separates DSL-Modem. Bei Glasfaser mit externem ONT wäre das z.B. kein Problem.