Messages

Thanks a lot  ;D

I have looked a few hours why a can´t reache my vlan´s.

The "Interface", "Settings" "VLAN Hardware Filtering" was set to "Disable Hardware Filtering" which brokes the vlan due the update vom 22.x to 22.7.

Set this setting before upgrade to "leave default" solved the problem on my Intel X520-DA2 ix0 10Gbit NIC.

The upgrade than works like expected absolutly seamless :-)

Thank´s all for this information!

Thx @ pmhausen für deine schnelle und kompetente Antwort!

Ich habe mir das schon fast so gedacht, dass es seit dem Upgrade nicht mehr anders möglich ist.

Dann werde ich die Vlan´s löschen und neu anlegen. Dann sollte das Naming ja wieder einheitlich sein.

Früher war das "Naming" der Vlan Device ID´s ja immer z.B. bge1_vlan1.

Also bge1 für den Ethernetadapter und dahinter angehangen das Vlan Tag.

Wenn ich jetzt nach dem hochpatchen auf das aktuellste OPNsense ein Vlan anlege bekommt es "nur" die Device ID vlan01, vlan02 usw.

Kann man das irgendwie ändern? Das ist jetzt etwas inkosistend, wenn man VLAN´s früher angelegt hat und nun neue dazu anlegt. Diese werden dann nämlich auch unterschiedlich sortiert.

Hat da einer nen Tip für mich wie ich das umgehen kann?

Hat keiner eine Idee wie ich das Logging der Auflösungen deaktiviere?

Gibt es eine Möglichkeit die Protokollierung der Auflösung von Hostnames im Systemlog abzuschalten?

Ich habe diverse Hostname´s als Aliase in der Firewall angelegt und jetzt tauchen im System Logfile unzählige Einträge von der Hostname Auflösung auf. Das spamt das ganze Logfile zu und wichtige Nachrichten gehen evtl. unter.

Kann ich das irgendwo unterbinden, dass er diese Einträge ins Logfile schreibt?

Code Select Expand

resolving 1 hostnames (1 addresses) for EXAMPLESERVER took 0.03 seconds

Danke @pmhausen, du hast mich auf den richtigen Weg gebracht ;-)

ich hätte mal nach dem Ordner suchen sollen  :-X

In dem Ordner gibt es die AdGuardHome.yaml.

In dieser ist das Passwort abgelegt. Einfach auf einer Debian / Ubuntu Maschine ein

Code Select Expand

apt install apache2-utils

durchführen. Dann folgendes Kommando ausführen:

Code Select Expand

htpasswd -B -n -b USER PASSWORD

Als Terminalausgabe erhält man dann den Passworthash und den kann man dann in die AdGuardHome.yaml kopieren.

Code Select Expand

users:
- name: root
  password: INSERT_HERE

Dann AdGuard neu starten und schon passt das ;-)

Danke für das in die richtige Richtung stubsen ;-)

Wie kann ich in AdGuard Home welches ich über das Repository von Mimugmail installiert habe das Passwort ändern?

Ich Webinterface finde ich dazu leider keinen Punkt :-/

Danke!  :)

Ich danke euch für eure Antworten :-)

Ich habe das Ding am Wochenende jetzt komplett umgerissen und mein Transfernetz aufgelöst und per Trunk jetzt alle VLAN´s vom Switch auch auf der OPNsense und ich bereue diese Entscheidung keine Sekunde :-) Das Routing macht jetzt also nicht mehr der L3 Switch, sondern nur noch die OPNsense.

Auf der OPNsense habe ich dann alle VLAN´s angelegt, jedem VLAN ein Interface mit einer IP x.x.x.1 zugewiesen und dann für jedes Interface / VLAN eine DHCP Konfig erstellt.

Und jetzt klappt es mit der lokalen Namenauflösung und einen weiteren Vorteile habe ich dadurch auch gewonnen: Ich kann jetzt zwischen den VLAN´s mit der OPNsense die Rules viel granularer definieren. Das Cisco Webinterface ist eh ein graus und saulangsam :-D Desweiteren habe ich jetzt an einem Punkt alle Interface Statistiken und sehe komplett was los ist :-)

Also ich kann es nur jedem empfehlen. Das einzige Problem ist jetzt: Wenn mir die OPNsense aus irgendeinem Grund down geht, dann geht im kompletten Netzwerk nichts mehr, weil kein Routing mehr vorhanden ist. Die OPNsense läuft hier in einer VM. Wie könnte ich das Problem noch irgendwie umschiffen? Hat da einer ne Idee?

Wenn die OPNsense jetzt aus welchen Gründen auch immer down geht, könnte ich ja nicht mal mehr auf den Proxmox drauf und das Ding wieder neu starten..

Wie hast du dich hier jetzt entschieden?  Ich stehe gerade genau vor der gleichen Umstellung.

Ich habe auch den SG350x als L3 Switch für Vlan Routing und DHCP im Einsatz und auch ich will wegen DNS jetzt den DHCP auf die Opnsense umziehen für die lokale Namensauflösung ..

EDIT: Ich habe bei mir jetzt alles umgestellt und es keine Sekunde bereut. Die Administration ist da schon 3x schneller als auf dem Cisco SG350 mit seinem trägen Webinterface.

Achso, ich dachte DHCP ist DHCP und das wäre in gewisser Weise standartisiert und ich müsste dem DNS "nur" sagen wo der DHCP läuft um die Daten abzuholen?!

Besteht noch eine andere Möglichkeit die Hostnamen in den DNS zu bringen? Den DHCP auf die OPNsense zu bringen, würde wohl mein komplettes Netzwerksetup über den Haufen werfen bedeuten. Ich habe zum Cisco Switch ein Transfernetz und darüber geht ausschließlich Internettraffic. Das inter VLAN Routing macht alles der Layer3 Switch.

Wenn ich das ändern wollen würde, müsste ich den ganzen Traffic ja zur OPNsense durchlassen, bevor er wieder an lokale Clients zurück zum Switch darf, wenn den DHCP die OPNsense macht, oder?

Dynamisch sind sie bei mir im Prinzip nicht, da ich zwar alles per DHCP verteile, ich aber per MAC fixe IP´s zuweise im DHCP. Wirklich dynamisch sind bei mir nur neue Geräte von Freunden oder ähnliches.

Oder welche Möglichkeit gäbe es, dass Layer 3 inter VLAN Switching bestehen zu lassen und lediglich den DHCP auf die OPNsense zu bringen? Die OPNsense müsste sich dann ja um die verschiedenen VLAN DHCP IP Ranges kümmern..

Im Unbound kann man ja einstellen, dass die DHCP Leases im DNS registriert werden.

Bei mir läuft aber DNS auf der OPNsense und um den DHCP kümmert sich mein Cisco SG350x Switch.

Kann mir einer sagen, wie ich mit diesem Setup meine Hostnamen auch im DNS registriert bekomme, damit ich Hostnamen auflösen kann?

Im DHCP des Cisco Switch habe ich in der Option 15 den Domain Namen OPNsense.lan eingetragen, welcher auch auf der OPNsense eingetragen ist. Das verbindungsspezifische Suffix passt auch laut ipconfig /all.

Aber dann weiß ich leider nicht mehr weiter. :-(

Ich müsste quasi dem Unbound DNS irgendwie sagen, dass der DHCP Server auf IP 10.10.1.1 läuft (Switch IP) und er von dort die Hostnamen mit der jeweiligen IP abholen soll.

Geht das so wie ich mir das vorstelle, oder ist das völlig falsch? :-D

Oh ich habe noch etwas vergessen zu erwähnen. Ich setze einen Layer 3 Switch ein, der das interVLAN Routing erledigt.

Auf die OPNsense kommt lediglich der Internettraffic. Der Port am Switch steht somit auf Access und nicht auf Trunk! Die OPNsense weiß daher nichts über die diversen VLAN´s.

Wie verhält es sich dann hierbei?

Ich betreibe in meinem LAN einen Nextcloud Server. Diesen will ich per Domain von außen erreichen. Das klappt. Ich erreiche ihn aber nicht aus dem LAN. Hier ist das Stichwort ja NAT Reflection soweit ich weiß.

NAT Reflection klappt aber hier nur, wenn der LAN Client im selben Subnet liegt, wie die OPNsense. Komme ich aus einem anderen LAN Subnet, bekomme ich einen Timeout auf meiner Domain. Die Domain löst korrekt auf die WAN Adresse auf.

Ich denke hier ist das Problem wieder Routing/Outbound Rules oder wo muss ich da ansetzen? Ich denke er bekommt bei der NAT Reflection eine IP aus einem falschen Subnet zugewiesen. In den Firewall Logs findet man dazu nichts auffälliges. Keine dementsprechenden Blocks.

OPNsense IP im VLAN2: 10.10.2.2
Nextcloud IP im VLAN3: 10.10.3.8
Client PC im VLAN10: 10.10.10.15      // NAT Reflection geht nicht und per Domain kommt keine Antwort.

OPNsense IP im VLAN2: 10.10.2.2
Nextcloud IP im VLAN3: 10.10.3.8
Client PC im VLAN10: 10.10.2.100     // NAT Reflection arbeitet korrekt und ich komme auch per Domain auf die
                                                          Nextcloud.

Im WAN ist nur die Rule für den Webserver offen. Im LAN gibt es eine Scheunentor Rule für die 10.10.0.0/16er Netze.

Die Outbound Rule habe ich im Screenshot mal angehängt.

Vielen Dank schon mal für deine Antwort :-)

Oh das wusste ich nicht, dass es nur eine Behelfslösung ist. Ich Frage mal parallel wegen NAT Reflection nach. Würde schon gerne wissen, was ich da falsch mache :-) Aber ich gehe mal schwer davon aus, dass die NAT Reflection irgendwie ein falsches Subnet zuweißt.

Wenn es eine bessere Methode gibt, implementiere ich auch gerne diese :-)

Mein Netzwerk ist leider noch nicht komplett auf IPV6 umgestellt, von daher fällt das raus.

Wie sähe die Split DNS Lösung aus?


EDIT: Ich glaube ich hab es schon richtig - siehe Screenshot?! :-) Wo liegen hier im Vergleich zur NAT Reflection die Vorteile?

Maurice kannst du mir vielleicht nochmal auf die Sprünge helfen?  ;D

Ich habe noch ein Problem mit dem ich nicht weiter komme.

Ich betreibe in meinem LAN einen Nextcloud Server. Diesen will ich per Domain von außen erreichen. Das klappt. Ich erreiche ihn aber nicht aus dem LAN. Hier ist das Stichwort ja NAT Reflection soweit ich weiß.

NAT Reflection klappt aber hier nur, wenn der LAN Client im selben Subnet liegt, wie die OPNsense. Komme ich aus einem anderen LAN Subnet, bekomme ich einen Timeout auf meiner Domain. Die Domain löst korrekt auf die WAN Adresse auf.

Ich denke hier ist das Problem wieder Routing/Outbound Rules oder wo muss ich da ansetzen?

OPNsense IP im VLAN2: 10.10.2.2
Nextcloud IP im VLAN3: 10.10.3.8
Client PC im VLAN10: 10.10.10.15      // NAT Reflection geht nicht und per Domain kommt keine Antwort.

OPNsense IP im VLAN2: 10.10.2.2
Nextcloud IP im VLAN3: 10.10.3.8
Client PC im VLAN10: 10.10.2.100     // NAT Reflection arbeitet korrekt und ich komme auch per Domain auf die
                                                          Nextcloud.


Vielen Dank schon mal für deine Antwort :-)