Messages

Hello,

I use Unbound on my OPNsense, currently in the standard configuration.

I have an average of 1,500 - 2,000 WiFi clients in the network. Is this a size that requires further settings or is the standard configuration sufficient.

I had a similar problem. In my case it was probably due to the "Firewall" and/or "Interface Statistics" widgets. I used all 4 "Reset" buttons under Reporting > Settings and deactivated the widgets. I can't say what the exact solution was, but after that it worked smoothly again.

Der Minisforum hat einen i226-V und einen i226-LM Chip. Der i226-V ist auch bei vielen der IPUs und anderen Geräten verbaut und funktioniert (bei mir) zuverlässig mit OPNsense.

Die IPUs sind häufig die gleichen Geräte wie Topton, Protectli oder wie die ganzen China-Geräte auch heißen, nur mit etwas anderem Gehäuse und von einem deutschen Zwischenhändler. Die werden bei Amazon, Ebay, AliExpress, etc. unter vielen verschiedenen Namen verkauft.

Guck mal hier:

https://www.ipu-system.de/
Ich habe davon einige im Einsatz und bin sehr zufrieden.

IPU651 mit 16GB RAM für Umgebungen mit mehreren hundert Clients.
IPU613 mit 32/64GB RAM für über 1.500 Clients. CPU bei 40-50%. (Zenarmor ist aktiviert)
Aktuell würde ich den IPU624S mit 2xSFP+ wählen.

Alternativ:Protectli (gleiche oder ähnliche Hardware, teilweise mit OpenCore, dafür teurer als die IPUs.
https://eu.protectli.com/product-comparison/

Hardware Requirements: zenarmor
https://www.zenarmor.com/docs/introduction/hardware-requirements

Ähnlicher Thread ein paar Einträge unter Deinem:
https://forum.opnsense.org/index.php?topic=41984.0

1. Source: Gäste-LAN, Destination: LAN, Action: deny
2. Source: Gäste-LAN, Destination: any, Action: allow

Ich benutze nur eine Regel:

Source: Gäste-LAN, Destination: !RFC1918, Action: Pass

Damit ist auch direkt der Zugriff auf die OPNsense geblockt.

Erreiche ich damit nicht das gleiche Ergebnis oder was habe ich übersehen?

Ich möchte Devices im WLAN automatisch in deren zugeordnetes VLAN routen, um die Anzahl an SSIDs möglichst gering zu halten.

Warum nutzt Du nicht einfach PPSK (Private Pre-Shared Keys)?

Hallo zusammen,

ich habe ein Netzwerk mit mehreren VLANs. Die einzelnen VLANs sind unterschiedliche Zonen und sollen nur bedingt miteinander kommunizieren können. Soweit funktioniert auch alles.

Jetzt habe ich z.B. Hardware mit 11 RJ45-Ports (einer für WAN) und 1 SFP+ 10G Port.

Aktuell geht jedes (V)LAN / Interface über einen RJ45-Port untagged aus der OPNsense auf einen Switch (UniFi) in das entsprechend konfigurierte VLAN.

Ich kann natürlich auch alle VLANs auf einem Interfaces auf der OPNsense konfigurieren und tagged über einen 10G SFTP+ Port auf den Switch bringen.

Was macht mehr Sinn?
Was sind die Vor- und Nachteile?

Es geht um neue Hardware. Wähle ich ein Gerät mit mehreren RJ45-Ports oder ein Gerät mit 1 RJ45-Port (für WAN) und 1-2 SFP+ Ports?

Unabhängig von der Geschwindigkeit, geht es mehr um die allgemeine Frage, ob separate Ports besser oder schlechter sind als ein Port für mehrere VLANS / Interfaces.

https://www.ipu-system.de/

Hier gibt es passende Systeme für alle Größen, habe einige davon im Einsatz.

Danke, so einfach kann es sein.

Wird folgender Fehler auch irgendwo in den Logs dokumentiert?

sonewconn: pcb 0xfffff8024e42e570: Listen queue overflow: 151 already in queue awaiting acceptance (225 occurrences)

Hallo zusammen,

wie und wo finde ich die Konsolenmeldungen, die auf dem Bildschirm (VGA / HDMI / etc.) angezeigt werden?

z.B. die Meldungen für Link down, USB angesteckt oder auch Fehlermeldungen.

Ich habe dauerhaft "Listen queue overflow" angezeigt bekommen, konnte dies aber in keinen Log-Dateien finden.

Kann man die Konsolenausgabe irgendwie Remote angezeigt bekommen?

Danke.

Noch gar nicht.

Ich habe das Script hier zufällig gesehen, hatte nichts zu tun und wollte es einfach einmal testen.

Da ich in Zukunft aber ~20 Installationen betreuen werde, fand ich die Idee interessant, die Backups von einer zentralen Stelle abzurufen.

Bei mir funktioniert das Script leider nicht...

... erst wenn ich folgende Zeilen an den Anfang setze, funktioniert es.

Code Select Expand

add-type @"
using System.Net;
using System.Security.Cryptography.X509Certificates;
public class TrustAllCertsPolicy : ICertificatePolicy {
    public bool CheckValidationResult(
        ServicePoint srvPoint, X509Certificate certificate,
        WebRequest request, int certificateProblem) {
        return true;
    }
}
"@
[System.Net.ServicePointManager]::CertificatePolicy = New-Object TrustAllCertsPolicy

Ich habe wenig Erfahrung mit Powershell und bin mir nicht sicher, ob Du dies einfach vorausgesetzt hast.

Der Code stammt nicht von mir, ich habe diesen in einem anderen Script gefunden.

Danke für die Antworten.

Danke für die Umfangreiche Antwort.

Die Konfiguration ist und war kein Problem und es läuft ja auch alles wie gewünscht.

Die Frage war nur, ob es irgendwelche Vorteile mit sich bringt, das Tagging bereits auf der OPNsense zu machen oder erst ab dem Switch.

Die Probleme mit FreeBSD und Tagging habe ich auch mitbekommen, deshalb die Frage.

Ich habe aber auch, wie Du bereits schreibst, Interfaces mit mehreren VLANs und die funktionieren auch problemlos.

Dann werde ich wohl dabei bleiben, untagged auf den Switch zu gehen und dort erst mit VLANs zu starten.

Danke.

Hallo,

aktuell habe ich physische 3 Interfaces (ohne VLAN). Jedes Interface ist mit einem "untagged" Switch-Port (UniFi) im entsprechenden VLAN verbunden. Es funktioniert alles wie gewünscht.

Ist dies der richtige Weg, oder sollte ich die VLANs bereits auf der OPNsense erstellen und entsprechend beim Switch auf einen "tagged" Port (UniFi z.B. "All") gehen?

Was wären Vor- oder Nachteile der jeweilige Variante?