Messages

Hallo zusammen,

ich betreibe eine OpnSense auf Proxmox und hab aktuell das Thema, dass ich nach einer Änderung der virtuellen NIC (z.B. E1000 zu ViroIO) in einer Art Endlosschleife auf der Konsole festhänge. Die Sense erkennt im Startvorgang, dass sich das Interface geändert hat und der Dialog die LAN & WAN Schnittstellen festzulegen läuft los. Ich trag alles brav ein, Sense sagt die Daten wurden gespeichert und dann geht`s wieder von vorn los mit dem Countdown von 5 auf 1, um die Interfaces zu konfigurieren.

Wenn das einmal eintritt, hilft es auch nicht, den Treiber auf den alten Wert zurückzustellen. Ich muss dann auf das Backup zurückgreifen, sonst bin ich in der Schleife gefangen...

Any clue was da los ist?

VG und Danke
Markus

[gar keinen]

@Tuxtom007: Schön dass es bei dir jetzt raund läuft!

Frage: Du gibst den Clients also im Bereich Services->DHCP-v4 und DHCPv6 auf deinen Interfaces gar keinen DNS mit? Richtig? Macht es nicht  aus Gründen der Redundanz Sinn, hier mindestens einen 2. DNS Server zu setzen?

Ich hab wieder den Fall, dass sich (zumindest unter Windows), obwohl ich ihn nirgendwo bewusst setze, ein DNS-Server-Eintrag mit der IPv6 Adresse der Opensense einnistet. Der wird immer bevorzugt, egal was ich per DHCP als 1. oder 2. DNS Server aktiv einsetze.

Ahh... Danke für den Hinweis :-)

Also nix, worüber man sich Sorgen machen müsste.  8)

Ganz OT: Ich bin in den letzten Jahren irgendwie in so eine "Management" Rolle in der IT gerutscht und darf nur noch Kostenstellen planen, Verträge prüfen oder anderen Orga-Schaizz machen. Ich habe lange nicht mehr so viel Spaß gehabt, wie mit diesem kleinen Home-Net Projekt. :D

Hi,

noch eine Anfänger-Frage...

Ich sehe im FW-Log häufig blocks die folgende Charakteristik haben:  dir: [in], src:  eine LAN Adresse, dst: eine Internet Adresse, action: block

Was ist das??? Default ist, dass aller Traffic aus dem LAN erlaubt ist, die IPs, die hier auftauchen sind alle möglichen Devices im lokalen Netz (Smartphones, Sonos etc.)

Die Direction "In" ergibt für mich keinen Sinn... Es müsste doch immer ein "Out" sein, oder nicht?

Beispiel

__timestamp__   2022-02-07T21:53:10
ack   273400872
action    [block]
anchorname   
datalen   24
dir    [in]
dst   142.250.185.106
dstport   443
ecn   
id   43935
interface   vtnet0
interface_name   lan
ipflags   DF
ipversion   4
label   Default deny rule
length   76
offset   0
protoname   tcp
protonum   6
reason   match
rid   02f4bab031b57d1e30553ce08e0ec131
rulenr   10
seq   2583076251:2583076275
src   192.168.1.76
srcport   44034
subrulenr   
tcpflags   FPA
tcpopts   
tos   0x0
ttl   64
urp   212

Ich habe das Ganze nach ChrisChros Anleitung eingerichet. Läuft :-)

@Toxtom007: Habe einen lokalen DNS-Server (mit Reverse Lookup Zone) für die wichtigen lokalen Hostnamen eingerichtet... In Adguard werden die Namen korrekt angezeigt, wenn ich in Adguard unter "Settings" --> "DNS" --> "Private reverse DNS servers" eben diesen lokalen DNS Server eintrage. Vielleicht hilft dir das ja.

ach ja: Die Forward Auflösung klappt auch mit [/%domain%/]%ip_lokaler_dns-server% im Bereich Upstream DNS Servers

Fazit: Alles geklärt, alles läuft wie erhofft. DANKE!!!

Hey! Ich bin schwer begeistert, wie hilfsbereit das Forum ist. Danke an alle, die hier Tipps geben.

Ich habe gestern Nacht meine opnsense neu installiert und den DNSResolver im Setup-Wizard abgewählt. So kommt es schon mal nicht mehr zu dem ungewollten IPv6 DNS Server Eintrag über DHCP und mein bisheriger Adguard DNS auf der Synology erledigt das Conditional Forwarding für die lokale DNS Zone. Also ist zumindest der funktionale Stand vor Installation der Sense wieder gegeben.

Werde morgen Nacht das Projekt Adguard auf der Firewall angehen (diesmal sichere ich das System VORHER... :-X) Der "alte" Adguard DNS bleibt dann als Backup bestehen und wird als 2. DNS per DHCP verteilt.

Installiere doch adguard Home per opnsense plugin direkt auf der Maschine, wo auch opnsense läuft. Dafür musst du das Community Repo in der opnsense einrichten.
Den unbound der sense verlegst du auf den Port 53053 und trägst diesen als upstream DNS in adguard ein.
Die Ip der opnsense Maschine wird dann automatisch per dhcp verteilt und adguard lauscht auf allen interfaces auf DNS Anfragen das klappt auch mit ipv6.

Hey, Danke für den Tipp. Das probiere ich aus. Ich hatte schon eine recht komplizierte Anleitung gefunden, bei der es jemand anders herum einrichtet (Client an Unbound, Unbound an Adguard Home, von da ins Netz)Dein Ansatz erscheint mir logischer/weniger komplex. Oder gibt es gute Gründe, es so rum einzurichten? Hier der Artikel.
https://forums.torguard.net/index.php?/topic/2545-opnsense-adguardhome-total-control-mode-doq/

P.S.:  Mit "nicht verheiratet" wollte ich zum Ausdruck bringen, das ich auch gerne ein gänzlich anderes Setup aufbaue, wenn es sinnvoller ist. "Grüne Wiese" ist also eine Option!

Ich kann dafür Docker-Container auf der Synology verwenden oder LXC-Container, bzw. VMs auf dem Proxmox Host einrichten, der auch auch die Opensense beheimatet. Ein Raspi 4 wäre ansonsten (als Fallback oder so) auch verfügbar.

Hallo zusammen,

das Thema opnsense ist neu für mich und ich verliere mich gerade völlig dabei, folgendes zu erreichen:

- Ich habe eine opnsense als Router zwischen Kabelmodem und LAN installiert.
- Ich möchte lokale Ressourcen via lokalem DNS-Server auflösen und habe eine entsprechend DNS-Zone auf einer Synology eingerichtet. (+ Slave-Zone auf 2. Synology)
- Ich möchte einen netzwerkweiten Ad-Blocker nutzen und kann entweder Adguard Home oder Pi-Hole dazu verwenden

Bevor ich die Sense eingebaut haben, lief mein DHCP Server ebenfalls auf der Synology und hat den Clients die IP eines Ad-Blockers (Adguard-Home) als DNS-Server mitgegeben. In Adguard habe ich ein Conditional Forwaring der lokalen DNS-Domain Richtung lokalem Synology DNS eingerichtet und alles andere an einen Unbound geschickt. Somit war es möglich, lokale Namen aufzulösen und den Rest über Unbound abzufackeln.

Genau das klappt jetzt nicht mehr...

Mit der opnsense-Installation habe ich DHCP auf die sense verlagert und auch wieder die IP des Adgaurds an die Clients übermittelt. Leider wird - warum auch immer - ein IPv6 DNS Server verteilt, der auf die Sense selber zeigt. Den nutzen die Clients mit Vorrang und damit funktioniert die Auflösung der lokalen Domain und das Ad-Blocking nicht mehr, weil Adguard umgangen wird. Offenbar "reden" die Clients mit dem Unbound, der standardmäßig auf der Sense aktiv ist.

Ich bin mit nichts verheiratet und kann gern alles neu bauen, falls das so eine Sackgasse ist.... Was wäre ein gutes Design, um das "richtig" zu bauen? Ich finde etliche ähnliche Fragen, aber blicke echt nicht mehr durch bei den Antworten, zumal diese oft tiefe Kenntnisse zu opnsense voraussetzen.

Ich weiß, dass ist ein Expertenforum und ich bin auf Noob-Level unterwegs. Hoffe, man kann mir trotzdem helfen. Bitte killt mich nicht...