Messages

Ok, jetzt wird es mir etwas klarer.
Habe das gerade mal getestet.... auf dem openwrt AP ist der CLient verbunden, hat aber keine IP, so wie erklärt wurde.
Wenn ich den IP Bereich kenne gebe ich mir eine feste IP auf dem Client und ich bin im internen Netz trotzdem drin.

Ok, nehme dann da Deny unknown wieder raus.
Weil wenn das gesetzt ist macht der DHCP Range Bereich ja eigentlich keinen Sinn, oder?
Der DHCP vergibt dann ja keine IP aus dem Range wenn nicht im Static Mapping eingetragen.

Danke für die gute Erklärung :-)

Aber der bösartige Client muss dann ja immerhin die MAC Adresse kennen die auf der opnsene im DHCP static mapping erlaubt ist.
Ich mache die opnsense für mich als Hobby zu hause an einem privaten Anschluss mit insgesamt 3 CLients, 2 WLAN und einer per LAN.

An der opnsense habe ich einen AP mit openwrt dran der das WLAN austrahlt. Wenn der bösartige Client das Passwort kennt, kann dieser sich
mit dem AP verbinden. Aber der bösartige Client bekommt dann doch keine IP von der opnsense weil auf der opnsense die MAC Adresse nicht eingertagen ist. Und wenn der bösartige Client sich eine feste IP selber einträgt ist die MAC doch immer noch unbekannt.

Vielleicht denke ich zu kompliziert :-(

Ich habe das gerade mal mit ausgeschaltetem DHCP getestet.
Jetzt verstehe ich das auch.
Dachte wenn die IP statisch dort eingetragen ist spielt der DHCP keine Rolle, aber das läuft ja nun mal über den DHCP-Dienst.
Mein Denkfehler war wohl das ich es so verstanden habe wie wenn ich am Client im OS eine feste IP einstelle.
Habe den Bereich jetz ausserhalb des static mapping gesetzt.


Preisfrage: was soll das Ganze? Sicherer macht es nichts.
Ich will damit bezwecken das sich nur Clients mit dem WLAN verbinden können die mir bekannt sind.
Weil unter static mapping muss ja die MAC mit eingetragen werden und das jedes Gerät immer die selbe IP bekommt.
So jedenfalls mein Gedanke.

Danke :-)
Bei mir ist jetzt so, das ich auf der Schnittstelle WLAN den ISC DHCP aktiv habe.
Mein Range ist von 192.168.2.10 bis 192.168.2.20

Ich habe nur 3 CLients insgesamt, deshalb habe ich das so eingestellt.

Den Haken bei "Deny unknown clients" habe ich gesetzt.

Ganz unten bei "DHCP Static Mappings for this interface." habe ich meinen 3 WLAN Clients per MAC eine feste IP in diesem Range von
192.168.2.10 bis 192.168.2.20 vergeben.

also 192.168.10 bis 192.168.2.12

Das sollte ich also nicht so machen weil die IP in dem DHCP-Range ist.
Also lieber eine IP vergeben ab 192.168.2.21 ?

Da ich ja nur diese 3 Geräte habe, muss ich für das "DHCP Static Mappings for this interface." den Haken bei Enable DHCP server on the WLAN interface"
dann überhaupt setzen?
Weil dann wäre DHCP ja quasi aus, ich hätte somit auch nicht den Range. Die "DHCP Static Mappings for this interface." würde aber weiter greifen?

Hallo,

ich habe eine Frage zu dem Punkt "Deny unknown clients" im ISC DHCPv4.

Unter Services --> ISC DHCPv4 --> InterfaceName gibt es den Punkt "Deny unknown clients"
Als Beschreibung steht dort: If this is checked, only the clients defined below will get DHCP leases from this server.

Ist damit gemeint das nur Clients eine IP per DHCP bekommen wenn ich diese vorher unter "DHCP Static Mappings for this interface"
fest eintrage, also die MAC-Adresse des clients und die IP dort hinterlege.
Und muss die fest eingestellte IP dann in dem Range vom DCHP-Server sein?

Ich habe das in openwrt bei meinem AP über die Datei /etc/ethers gemacht.

Da wird die WLAN-MAC und der zugehörigen Host-Name eingetragen.

62:52:aa:16:AE:A2 Client1.internal

Das .internal ist meine locale Domain, kann auch wegelassen werden.
So sehe ich am Namen welches Gerät mit dem AP verbunden ist.
Eine andere Lösung ist mir leider nicht bekannt.

Hallo,

nutze selten den ssh Zugriff auf meine opnsense im LAN.
Jetzt ist mir folgendes aufgefallen, der ssh Zugriff ist nicht mehr möglich wie früher vor einigen Updates.
Nach dem Login fliegt mein Benutzer sofrt raaus mit folgender Meldung: This account is currently not available.

Habe extra einen Benutzer für ssh angelegt und diesen in die Gruppe SSH eingetragen.
Das klappt aber jetzt anscheinend nicht mehr.

Wenn ich meinem ssh Benutzer jedoch die Gruppenmitgliedschaft des admins gebe funktioniert der Login wieder.

Ist das so gewollt und richtig?
Warum hat man dieses geändert?

Vielen Dank für die gute Erklärung.

Leider konnte mir die Telekom noch nicht mal sagen ob ich Glasfaser bis direkt in die Wohnung bekommen oder nur bis in den Gemeinschaftskeller. Glasfaser bis direkt in die Wohnung wäre das beste.

Vodafone Kabel ist ansich hier ganz brauchbar, jedoch ist  der upload eine katastrophe, von 50 Mbit/s zu Stosszeiten nur 10 bis 15.

Ich werde mich vorher besser noch mal genau bei der Telekom erkundigen.

Danke für die Rückmeldungen.

An sowas wie die VP6630 habe ich auch gedacht, vielleicht nur eine Nummer kleiner weil nur kleines Netzwerk zu hause.
Wollte Glasfaser von 1und1 nehmen, aber leider steht da nichts wie der Anschluss dann aussieht, also ob Kupfer in die Wohnung oder Glasfaser. Wohne in einem Mehrfamilienhaus. Bin im Ausbaugebiet für 2025.
Weil es gibt ja soweit ich weiss Fiber to Home und Fiber to Building.
Ich vermute das in meinem Fall nur mit der Glasfaser in den Keller gegangen wird.

AccessPoint für WLAN anschliessen, das ist mir verständlich.
Ein Problem habe ich dann nur noch mit dem Telefon Festnetzanschluss, ich selber könnte darauf verzichten,
aber Familie hat Festnetz und dann wird es ja schnell sehr teuer wenn Festnetz an Mobil gerufen wird.

Die Opnsense denke ich mal kann kein VOIP, oder? Also muss ich dann hinter die opnsense eine Fritzbox betreiben die dann für das DECT Telefon zuständig? Dann kann die FritzBox ja auch den AccessPoint ersetzen?

Guten Tag,

aktuell habe ich einen Kabelanschluss bei Vodafone.
Um ins Internet zu kommen nutze ich einen VodafoneStation die ich im BridgeMode betreibe, an dieser ist
auch mein Festnetztelefon angeschlossen. Von der VodafoneStation im BridgeMode gehen ich dann auf das WAN-Interface (Kupfer) der Opnsense.

Jetzt gibt es bei mir Glasfaser und ich überlege zu wechseln.
Will aber dann eine opnsense weiterhin nutzen.
Brauche ich für einen Glasfaseranschluss von 1und1 oder auch Telekom zwingend ein Glasfasermoden oder eine Glasfaserfritzbox? Oder kann ich direkt vom Glasfaser-Teilnehmeranschluss auf die WAN-Schnittstelle der opnsense gehen? Da weiss ich dann aber nicht ob das Kupfer ist oder Glasfaser.

Danke

Perfekt, so klappt es  :)

Vielen Dank

Mit ping pc-dhcp.localdomain funktioniert es.

Ich muss also am PC-Statisch den Domain-Namen mitgeben, so wie Ihr das schon geschrieben habt.
Habe unter Services: Unbound DNS: Overrides den PC-Statisch hinzugefügt, so klappt es :-)

Bei den PCs die über DHCP die IP bekommen muss ich den Domainen-Namen nicht mit geben, das erledigt der DHCP-Dienst.

Danke nochmal an alle für die Hilfe :-)

Vielen Dank für die Unterstützung.

Bei mir ist der Domain Name unter Gerneral | Settings localdomain.

Ich werde das in laufe der Woche mal testen und eine Rückmeldung geben,
die Hardware steht nämlich bei einem Bekannten, ich betreue das "nur" ein wenig.

Ich gebe dann eine Rückmeldung.

statischer PC = PC-Statisch
DHCP PC = PC-DHCP

wenn ich einen ping von PC-DHCP per Name auf PC-Statsich mache klappt die Auflösung.
Wenn ich einen ping von PC-Statsich per Name auf PC-DHCP mache kommt:

ping: PC-DHCP: Der Name oder der Dienst ist nicht bekannt

Wenn ich das aber per IP mache wird der Ping aufgelöst.

Ich vermute es ist wohl eher eine Client-Sache als opnsene.
Bei dem PC-Statsich handelt es sich um ein ArchLinux, eventuell muss da noch was in der Netzwerkkonfig angepasst werden.

In der /etc/resolv.conf steht die IP der opnsense drin: nameserver 192.168.1.1
Der PC-Statisch hat die IP: 192.168.1.10
Internet und alles andere per IP klappt.

Da muss ich mich wohl noch mal bei Arch einlesen wenn es nicht die opnsense ist.

Die PCs per DHCP befinden sich alle im WLAN mit 192.168.2.x
Von 192.168.2.x klappt es mit dem Eintrag Unbound DNS: Overrides > Host Overrides

Wenn ich den Eintrag Host Overrides (PC-Statisch) entferne kann ich auch nicht mehr per Name von
PC-DHCP auf PC-Statsich pingen, dann kommt auch diese Meldung : Der Name oder der Dienst ist nicht bekannt

Oder fehlt vielleicht doch in der opnsense noch ein Eintrag damit es auch in die andere Richtung funktioniert?

Ich habe unter Services: Unbound DNS: Overrides > Host Overrides den PC mit der statischen IP eingetragen.

Vom PC mit DHCP erreiche ich diesen jetzt auch per Name, jedoch umgekehrt nicht.
Also der PC mit der festen IP den ich fest unter Services: Unbound DNS: Overrides > Host Overrides eingetragen habe erreicht keinen PC der per DHCP über unbound läuft.

Testweise habe ich auch unter Services: Unbound DNS: Overrides > Host Overrides zusätzlichen einen PC der per DHCP einen IP bekommt eingetragen, jedoch ändert sich nichts.

Mein Ziel ist eigentlich genau anders herum, der PC mit der statischen IP soll per Name die PCs mit DHCP erreichen.