Messages

Ich vermute das auch, CPU ist einfach schon zu alt.
Plane deshalb auf neue Hardware uimzusteigen.

Was haltet Ihr von Protecli? https://eu.protectli.com/product/vp2430/
Ist für privaten Hausgebrauch, etwas wireguard, und zu Lernzwecken Einbruchserkennung.

Ich habe das Plugin installiert und ein reboot gemacht.
Per SSH habe ich mich dann auf die opnsense verbunden.

x86info -a | grep -i microcode
ergab --> /dev/cpuctl0: No such file or directory

nach dem Befehl "kldload cpuctl"
CPU microcode: no matching update found

Das heisst also CPU ist schon so alt das AMD nichts mehr anbietet?

x86info + cpuctl

Code Select Expand

x86info v1.31pre
Unknown CPU family: 0x16
Unknown CPU family: 0x16
Unknown CPU family: 0x16
Unknown CPU family: 0x16
Found 4 identical CPUs
Extended Family: 7 Extended Model: 3 Family: 15 Model: 48 Stepping: 1
CPU Model (x86info's best guess):
Processor name string (BIOS programmed): AMD GX-412TC SOC                               

Monitor/Mwait: min/max line size 64/64, ecx bit 0 support, enumeration extension
SVM: revision 1, 8 ASIDs, np, lbrVirt, SVMLock, NRIPSave, TscRateMsr, FlushByAsid, DecodeAssists, PauseFilter, PauseFilterThreshold
Address Size: 48 bits virtual, 40 bits physical
The physical package has 4 of 8 possible cores implemented.
 running at an estimated 1.00GHz


Danke für die Antwort

Ich habe es installiert, bekomme aber eine Meldung danach das dass Paket veraltet ist:

This port is deprecated; you may wish to reconsider installing it:

Abandoned upstream, fails to identify anything remotely new according to upstream issue reports.

It is scheduled to be removed on or after 2025-06-30.
Checking integrity... done (0 conflicting)
Nothing to do.
***DONE***

Das iritiert mich jetzt.
Ich habe die opnsense 25.7.8

Guten Tag,

ich habe eine APU Opnsense Firewall (25.7.8) mit der CPU AMD GX-412TC.
Es gibt unter System --> Firmware --> Plugins das Plugin "os-cpu-microcode-amd"

Ist das auch für meien CPU relevant und sollte ich das installieren, also für die AMD GX-412TC / APU?
Bis jetzt hatte ich dieses Plugin nie verwendet.

Ich frage lieber nach weil ich bei einem fehlerhaften Bootvorgang ohne Monitor schlecht eingreifen kann.

Vielen Dank, werde das dann erst importieren und dann unter Assignments die neue NIC hinzufügen.
Ist Protectli Hardware für den Heimgebrauch zu empfehlen?

Hallo,

aktuell habe ich ein klassisches APU Board mit der aktuellsten opnsense Version.
Das APU Board hat 3 Netzwerkanschlüsse.

Ich plane eine Neuanschaffung von Protectli --> https://eu.protectli.com/product/vp2430/
Oder gibt es für den Heimgebrauch mit wenigen Clients vielleicht was "besseres"?

Meine Frage:
Kann ich die Einstellungen vom APU Board einfach in die Protectli importieren? Ich wollte dann auch ZFS als Dateisystem nutzen
was alktuell auf dem APU Board nicht aktiv ist.
Das alte Board hat ja nur 3 Nics, das neu 4 Nics und dann das andere Dateisystem.
Ich will nicht alles neu konfigurieren, weil mein APU Board sich die Jahre bewährt hat, hat immer alles wunderbar funktioniert.

Vielen Dank

Ok, jetzt wird es mir etwas klarer.
Habe das gerade mal getestet.... auf dem openwrt AP ist der CLient verbunden, hat aber keine IP, so wie erklärt wurde.
Wenn ich den IP Bereich kenne gebe ich mir eine feste IP auf dem Client und ich bin im internen Netz trotzdem drin.

Ok, nehme dann da Deny unknown wieder raus.
Weil wenn das gesetzt ist macht der DHCP Range Bereich ja eigentlich keinen Sinn, oder?
Der DHCP vergibt dann ja keine IP aus dem Range wenn nicht im Static Mapping eingetragen.

Danke für die gute Erklärung :-)

Aber der bösartige Client muss dann ja immerhin die MAC Adresse kennen die auf der opnsene im DHCP static mapping erlaubt ist.
Ich mache die opnsense für mich als Hobby zu hause an einem privaten Anschluss mit insgesamt 3 CLients, 2 WLAN und einer per LAN.

An der opnsense habe ich einen AP mit openwrt dran der das WLAN austrahlt. Wenn der bösartige Client das Passwort kennt, kann dieser sich
mit dem AP verbinden. Aber der bösartige Client bekommt dann doch keine IP von der opnsense weil auf der opnsense die MAC Adresse nicht eingertagen ist. Und wenn der bösartige Client sich eine feste IP selber einträgt ist die MAC doch immer noch unbekannt.

Vielleicht denke ich zu kompliziert :-(

Ich habe das gerade mal mit ausgeschaltetem DHCP getestet.
Jetzt verstehe ich das auch.
Dachte wenn die IP statisch dort eingetragen ist spielt der DHCP keine Rolle, aber das läuft ja nun mal über den DHCP-Dienst.
Mein Denkfehler war wohl das ich es so verstanden habe wie wenn ich am Client im OS eine feste IP einstelle.
Habe den Bereich jetz ausserhalb des static mapping gesetzt.


Preisfrage: was soll das Ganze? Sicherer macht es nichts.
Ich will damit bezwecken das sich nur Clients mit dem WLAN verbinden können die mir bekannt sind.
Weil unter static mapping muss ja die MAC mit eingetragen werden und das jedes Gerät immer die selbe IP bekommt.
So jedenfalls mein Gedanke.

Danke :-)
Bei mir ist jetzt so, das ich auf der Schnittstelle WLAN den ISC DHCP aktiv habe.
Mein Range ist von 192.168.2.10 bis 192.168.2.20

Ich habe nur 3 CLients insgesamt, deshalb habe ich das so eingestellt.

Den Haken bei "Deny unknown clients" habe ich gesetzt.

Ganz unten bei "DHCP Static Mappings for this interface." habe ich meinen 3 WLAN Clients per MAC eine feste IP in diesem Range von
192.168.2.10 bis 192.168.2.20 vergeben.

also 192.168.10 bis 192.168.2.12

Das sollte ich also nicht so machen weil die IP in dem DHCP-Range ist.
Also lieber eine IP vergeben ab 192.168.2.21 ?

Da ich ja nur diese 3 Geräte habe, muss ich für das "DHCP Static Mappings for this interface." den Haken bei Enable DHCP server on the WLAN interface"
dann überhaupt setzen?
Weil dann wäre DHCP ja quasi aus, ich hätte somit auch nicht den Range. Die "DHCP Static Mappings for this interface." würde aber weiter greifen?

Hallo,

ich habe eine Frage zu dem Punkt "Deny unknown clients" im ISC DHCPv4.

Unter Services --> ISC DHCPv4 --> InterfaceName gibt es den Punkt "Deny unknown clients"
Als Beschreibung steht dort: If this is checked, only the clients defined below will get DHCP leases from this server.

Ist damit gemeint das nur Clients eine IP per DHCP bekommen wenn ich diese vorher unter "DHCP Static Mappings for this interface"
fest eintrage, also die MAC-Adresse des clients und die IP dort hinterlege.
Und muss die fest eingestellte IP dann in dem Range vom DCHP-Server sein?

Ich habe das in openwrt bei meinem AP über die Datei /etc/ethers gemacht.

Da wird die WLAN-MAC und der zugehörigen Host-Name eingetragen.

62:52:aa:16:AE:A2 Client1.internal

Das .internal ist meine locale Domain, kann auch wegelassen werden.
So sehe ich am Namen welches Gerät mit dem AP verbunden ist.
Eine andere Lösung ist mir leider nicht bekannt.

Hallo,

nutze selten den ssh Zugriff auf meine opnsense im LAN.
Jetzt ist mir folgendes aufgefallen, der ssh Zugriff ist nicht mehr möglich wie früher vor einigen Updates.
Nach dem Login fliegt mein Benutzer sofrt raaus mit folgender Meldung: This account is currently not available.

Habe extra einen Benutzer für ssh angelegt und diesen in die Gruppe SSH eingetragen.
Das klappt aber jetzt anscheinend nicht mehr.

Wenn ich meinem ssh Benutzer jedoch die Gruppenmitgliedschaft des admins gebe funktioniert der Login wieder.

Ist das so gewollt und richtig?
Warum hat man dieses geändert?

Vielen Dank für die gute Erklärung.

Leider konnte mir die Telekom noch nicht mal sagen ob ich Glasfaser bis direkt in die Wohnung bekommen oder nur bis in den Gemeinschaftskeller. Glasfaser bis direkt in die Wohnung wäre das beste.

Vodafone Kabel ist ansich hier ganz brauchbar, jedoch ist  der upload eine katastrophe, von 50 Mbit/s zu Stosszeiten nur 10 bis 15.

Ich werde mich vorher besser noch mal genau bei der Telekom erkundigen.

Danke für die Rückmeldungen.

An sowas wie die VP6630 habe ich auch gedacht, vielleicht nur eine Nummer kleiner weil nur kleines Netzwerk zu hause.
Wollte Glasfaser von 1und1 nehmen, aber leider steht da nichts wie der Anschluss dann aussieht, also ob Kupfer in die Wohnung oder Glasfaser. Wohne in einem Mehrfamilienhaus. Bin im Ausbaugebiet für 2025.
Weil es gibt ja soweit ich weiss Fiber to Home und Fiber to Building.
Ich vermute das in meinem Fall nur mit der Glasfaser in den Keller gegangen wird.

AccessPoint für WLAN anschliessen, das ist mir verständlich.
Ein Problem habe ich dann nur noch mit dem Telefon Festnetzanschluss, ich selber könnte darauf verzichten,
aber Familie hat Festnetz und dann wird es ja schnell sehr teuer wenn Festnetz an Mobil gerufen wird.

Die Opnsense denke ich mal kann kein VOIP, oder? Also muss ich dann hinter die opnsense eine Fritzbox betreiben die dann für das DECT Telefon zuständig? Dann kann die FritzBox ja auch den AccessPoint ersetzen?