Messages

Und mir fehlt die Sachkenntnis, wieso das so ist.

Da kann ich dir leider auch nicht weiterhelfen, mit SIP-VLAN auf der clientseite hab ich zum Glück bisher nichts zu tun gehabt.

Da muss mal einer der OPNSense-Spezialisten evtl. helfen, ob das funktioniert mit den VLAN-ID zum WAN durchreichen, weil mit mit speziellen VLAN für SIP haben ja etlichen Provider.

Ich hab bei mir am Wochenende das ganze wieder um eine Fritzbox erweitert ( FB 4050 ), weil ich DECT-Telefon anschliessen will.

Die beste Lösung, die ich bisher hatte, war beim Kabel-Internet die Fritzbox vor dem OPNSense und im BridgeModus, dann reicht die ihre WAN-IP an die OPNSense durch und hat selber ne weitere IP für Telefonie.
Dann eine VLAN für Telefon und das auch auf den ersten LAN-Port der Fritzbox und alles war wunderbar.

Ist aber ne Besonderheit der Kabel-Fritzboxen.

Ich habe ein Snom Tischtelefon ( D865 ) und eine Snom M900 DECT-Basis mit zwei Snom M85.

Kann man zwei VoIP-Telefone direkt beim Provider anmelden, ich weis es nicht und habs nie probiert.

Bei ist es nun seit kurzen ( Vodafone-Kabel mit SIP ), ich hab ein SNOM-Telefon in ein extra VLAN gepackt, das bekommt DHCP usw. von der OPNSense, allerdings hab ich den DNS für das VLAN auf den von Vodafone gesetzt.
- Aliase angelegt für die SIP-Ports und IP-Adresse des Telefon bzw. jetzt eine Fritzbox
- Ports 5060, 7070-7109, 6078-6079 ( können bei anderen SIP-Providern anders sein )
- Firewall-Rule im VLAN  erlaubt die Ports zum Internet
- outbound NAT-Regel IP der Telefone mit UDP zum Internet mit "Static Port"

vielleicht geht es noch einfacher ( Tips gerne willkommen ), aber das funktioniert bei mir und hab ich mir auch im Netz zusammen gesucht.

Das würde bei mir eben krachen, weil ich bspw. 172.27.0/1 nutze und da kann ich schlecht VLAN ID 0/1 nehmen ;) Zudem geht man bei VLANs gern aus den Einstelligen/kleinen IDs raus, da da gerne andere Geräte mal reingrätschen. Siehe DSL mit seinem VLAN 7 Geraffel.

Das Managementnetz ist eben x.x.0.0/24 ( wegen Unifi Zeugs )
Die VLAN gehen dann bei 10 los im 10er Schritten.

Moin,

Dann noch VLANs drunter, die man schön mit 24 (2. Teil der IP), xx (3. Teil der IP) vereinfachen kann. Also bspw. 2400, 2401, 2402 jeweils zu den Netzen. Ja das klappt nur bis 99 und nicht immer. Aber wenn man schon alles neu macht, kann man das auch "handlich" machen, damit man an Hand der IP auch gleich das VLAN hat und damit einfacher debuggen :)

Ich mache weiterhin so, wie mein aktuelle Netz im 10.0.x.y - Bereich, wobei x = die VLAN-ID ist, nur nehme ich eben jetzt den 172.20.x.y Bereich.
Zwar sind /24 komplett übertrieben, in einzelnen VLAN sind nur wenige Geräte drin - Büronetz z.b. nur das Firmennotebook, aber ist mir egal.

Und da ich über das Configfiles alle DCHP-Reservations und Aliase mit geändert habe, sind auch direkt alle Firewall-Regeln aktuell, weil auf Aliasen basieren.

[/12]

Moin,

1. Es ist 172.16.0.0/12, nicht 172.16.0.0/8 - Eine 1:1-Übertragung von 10/8 ist also per se problematisch.

ist ja mein Netz zuhause, da hab ich 10 VLAN's a /24 , ergo kein Problem.
Docker nutze ich eh nicht zuhause, daher kein Problem.


Die Umstellung per Configfile war übrigens problemlos möglich, Client bekamen sofort neue IP's nach einem Restart.
Da aber mein Proxmox-Server ein HW-Problem hat, kann ich das Unifi-Zeug nicht umstellen ( Controller läuft auf dem Proxmox ) und bin wieder zurück auf die alten IP's bis der Proxmox wieder läuft.

Network 10 considered harmful. 🙂

Wird bei uns in der Firmengröße aber nicht anders machbar sein

...solange auf keinem Client NTP, DNS oder ähnliches im 10.0.x.x fest gesetzt sind...

Überschaubare Anzahl, Proxmox-Server, NAS, das wars schon.
Schlimmer wird eher nach die Änderung der Smarthomegeräte die z.b. für MQTT eine IP als Ziel drin haben, aber die sind erst mal nicht Lebensnotwendig und kann ich nach und nach ändern.

Dann werde ich das am Wochenende mal angehen.

Hallo,

ich möchte bei mir zuhause die kompletten IP-Netze ändern, weil ich Probleme mit der Nutzung von
lokalen Anwendungen von meinem Firmennotebook aus habe, Drucker, etc.
Ich nutze aktuell 10.0.x.x IP-Netze, in der Firma aber genauso und alles mit 10.x.x.x
geht demnach in den VPN rein.

Mein Idee - ich weiss nicht ob das funktioniert, daher mal die Frage:

- ich exportiere mit die Config der OPNSense
- editiere diese und ersetzte alle IP-Adressen mit 10.0. beginnend durch 172.16.
- damit würde ich die VLAN aber auch alle DHCP-Pools, Reservations, Aliase usw. mitnehmen.
- spiele die Config wieder ein
- Reboote und hoffe, das es funktioniert.

Notfalls hätte ich noch einen LAN-Port an der OPNSense mit einem 192.168 IP als Notfallzugang und könnte
auf ne vorherige Sicherung zurück.


Was denkt ihr, würde das funktionieren ?

Die Client müssten sich dann eben nach einem Zeit neue IP's holen über DHCP-Reservation, Server, NAS etc. würde ich ausschalten für die Zeit bzw. vorher editieren, dort wo statische IP's eingetragen sind.

Hallo,

wollte nur mal ein kurzes Update geben, wie ich das bei mir aktuell nun laufen habe:

DHCP:  dnsmasq
DNS:  client -> AdGuardHome -> Unbound -> Internet  ( lokale Host-Auflösung per Query-Forwarding zu dnsmasq )

Das funktioniert stabil und schnell wie vorher auch, zwischenzeitlich hab ich meinen Internetanschluss auch umgestellt von FritzBox im BridgeModus zu einem reines Kabel-Modem.

IPv6 funktioniert auch

Wenn dnsmaqs den DNS-Teil macht, wird es elendig langsam, egal wie ich es konfigurieren, hab alle Optionen aus der Doku durch - daher hab ich das Thema abgehackt.

Client->Dnsmasq->Unbound->Internet

Wo sagst du dem Dnsmaqs den, das er an Unbound weiterleiten soll, sprich
zu "127.0.0.1:Port xyz" ?

In der Standart-Konfig nutzt er ja die DNS-Server, welche in der globalen Einstellung drin stehen.

Die Verzögerung kommt soweit ich das aus den Logs bisher sehen kann, eindeutig aus dem dnsmaqs-Teil oder gar von den externen DNS-Servern, ob mit oder ohne AdGuard davor, macht keinen Unterschied.

Es gibt keine Subnetze. Alle Interfaces bekommen ein /64.

Das ist klar.

Wozu sind dann die Settings unter Kea DHCPv6 -> Subnets ( siehe Screenshots ) ?

Wie gesagt, so weit war ich noch nicht in der Doku

Moin,

ich glaube ich habe eine Lösung für mich gefunden.

Hab mich nochmal mit KEA beschäftigt, das ganze IPv6 erst mal weggelassen und aktuell nun folgende Konfiguration die bisher sehr gut funktioniert:

DHCP: Kea mit DHCP-Reservations
DNS: Client -> AdGuardHome -> Unbound -> Internet

lokale Hostauflösung funktioniert und auch DNS-auflösung Richtung Internet ist normal schnell, selbst wenn ich z.b. 20 Webseiten gleichzeitig öffne.


IPv6 werde ich später mich mit beschäftigen, wenn ich verstanden habe, wie ich Subnetze bei Dynamischen Prefixen konfiguriert bekomme.

Hallo zusammen,

ich wollte mal endlich das ISC-EOL angehen und da mit Kea nicht sonderlich zusagte bei ersten Test, hab ich Dnsmaq eingerichtet für DHCP und DNS.

Beim Konfiguration war vorher:

DHCP ISC mit DHCP-Reservations
DNS:  Client -> AdGuardHome -> Unbound -> Internet

das funktioniert bisher sehr gut.

Neu nun:
DHCP: dnsmasq mit DHCP-Reservations
DNS:  Client -> AdguardHome -> dnsmasq -> Internet

das ganze funktioniert für den DHCP-Teil problemlos, aber DNS macht Probleme.
Lokale Adressen werden problemlos aufgelöst, aber alles was Richtung Internet geht ist extrem langsam. Teilweise dauert es 10 bis 15 sec, bis Seite sind öffnen.
Ganz extrem ist das beim TV-schauen, das Umschalten von Sender ist sowas von langsam, das man fast noch nen Kaffee holen kann.

DNS auf der OPNSense sind eingerichtet: Quad9 & Cloudflare, jeweils IPv4 und IPv6, hab schon unterschiedliche Konstellation und auch mit Google-DNS getestet, keine Veränderung.

--

Ich hab nun temp. die Konfig umgestellt:

DHCP:  weiterhin dnsmasq  mit DHCP-Reservations
DNS:  Client -> AdGaurdHome -> Unbound -> Internet
Unbodung leitet nur Anfragen zu lokalen Hostnamen an dnsmasq weiter per "Query Forwarding", so wie in der Doku beschrieben.

Das funktioniert bisher auch wieder so wie vorher, DNS ist wieder "normal" schnell, einzig lokalen Host-Auflösungen muss ich noch beobachten, das hatte gestern zeitweise nicht funktioniert, im Moment sieht es aber gut aus.

OPNSense ist auf Softwarestand 25.7.3_7

Ist das euch auch schon mal aufgefallen und hat jemand eine Idee, woran das liegen könnte, das dnsmaqs so extrem langsame DNS-Auflösungen macht.
Konfig kann ich gerne nachliefern.

VLAN tag: 2

Ändere mal das VLAN auf einem Wert größer / gleich 10
Unifi rät davon ab VLAN-ID zwischen 2 und 9 zu nutzen, da die diese selber intern nutzen, das macht immer wieder Probleme.

Hat da jemand nen spontanes Feedback für mich?

Ich hab meine VLAN nach Gerätegruppen eingerichtet, z.b.:
- Server
- Privat ( alle Notebooks, Smartphones )
- Buero ( Firmennotebook, Smartphone ), weil auch andere DNS-Konfig
- Media ( AppleTV, usw. )
- Smarthome
- IoT
- Telko ( VoIP-Telefone )
- Secure ( evtl. für Kamera usw. , nutze ich aber nicht )
- DMZ
- LoRaWAN ( für mein LoRaWAN-Gateway only )
- paar Test-Netze für virtuelle OPNSense-Installationen zum spielen

Am Ende kommt es drauf an, was du benötigst und an Geräten hast
Am besten ist es immer, sich erst mal einen Zettel zu nehmen und in Form einer Tabelle auszuschreiben, welche System mit welchen Kommunizieren dürfen / nicht dürfen und Internetzugriff bekommen. Nennt sich dann Kommunikationsmatrix. Hilft dann die Firewall-Regeln zu erstellen.

Ich habe einen MiniPC eines anderen Herstellers, da sind von Anfang an bereits zwei Lüfter drauf, die per Thermostat bei über 30°C Kühlkörper-Temperatur eingeschaltet werden und bei 25°C erst wieder ausgehen.

Alleine schon weil das Teil in einem engen Rack steck, ist die Luftzirkulastion ohne Lüfter absolut nicht ausreichend.

Probleme damit bisher:  Null

Macht es mehr Sinn mit localhost zu arbeiten, weil man ansonsten einen delay hat?

Kann gut sein.

Du bleibst ja lokal, dann trag doch die Localhost-Adresse besser ein.

Überirgens - Private IP-Adressen kann ruhig hier reinschreiben, da kann keiner was mit anfangen, weil die im Internet eh nciht geroutet werden.
Öffentliche IP's wie vom WAN-Anschluss sollte man aber schon unkenntlich machen.