Messages

Hi all,

I'm running Adguard (v0.107.43, mimugmail) and OPNSense (23.7.10_1).

• Unbound listens on 5353
• Adguard's UI is running on 8080, listening on 53 (and "Primary DNS" checked)

My clients can't resolve any IP anymore. This happened several times in the last 2 weeks. After a while it just returned working.

This morning, I had the same. While I'm browsing rom one second to another no website is reachable, anymore. Pinging an IP still works.

Even switching off Adguard in its GUI doesn't resolve the issue.


I do have a VLAN that does not use AdGuard. Once connected to that: Everything works as usual (Services->DHCPv4->[NameofVLAN]->DNS Servers set to 1.1.1.1 + 8.8.8.8)

Here's a list of my Upstream DNS Servers:

Code Select Expand

8.8.8.8
[/wald/]192.168.1.1:5353
https://dns10.quad9.net/dns-query
1.1.1.1
h3://dns.cloudflare.com/dns-query

dns10.quad9.net/dns-query was down this morning and I had a short period of success, when I added 8.8.8.8. to the top, but now I'm facing the same issue, again.

Not sure, where to start digging for a solution. I'd love to have a stable environment, so my family can use the internet as they are used to, when I'm not at home fixing stuff.

Any help pushing me in the right direction is appreciated!

One thing to add:

I do use VLANS, managed by OPNSense.

• All clients and the printer are on my standard LAN: 192.168.1.XXX
• UNRAID, though, has one physicall NIC, but I'm running a VM on it running Home Assistant on three VLANS: 192.168.1.XXX/192.168.80.XXX/192.168.20.XXX

Thanks for the fast reply!

What is a Omada system including a switch?

All of my traffic (WIFI and LAN) runs on the TP-Link Omada system. The switch between opnsense and UNRAID is a TL-SG2218 v1.0

No brigdes.

Are the Unraid and the client copying the large file on the same interface/switch? Then the traffic should not flow through the sense...

Each one is connected directly to that switch mentioned (UNRAID->SWITCH; OPNSENSE->SWITCH; CLIENTS->SWITCH).
Right, that is what I was thinking, too. But my impression is, that the issue came up after the last update.


That is why I was looking for help to find the bottleneck. I'm not a network expert and get all my knowledge from tutorials, etc. Keen to go thorough it, but I don't even know where to start.

[the network speed starts at a solid 100mb/s but quickly slows down, eventually hitting zero]

Hi,

I've been running OPNsense as the main router for my network, with a separate server running Unraid as my NAS. In between, I have an Omada system, including a switch.

Since the latest OPNsense update, I've noticed a peculiar issue: when copying large files from the NAS to a client machine, the network speed starts at a solid 100mb/s but quickly slows down, eventually hitting zero for a few seconds. After a pause, the speed returns to 100mb/s. Additionally, sending larger files to the LAN printer results in an extended delay before they actually get printed.

I'm a bit lost on how to troubleshoot and isolate the root cause of this problem. Here's a quick overview of my setup:

• OPNsense: Main router for network traffic.


• Unraid NAS: Running on a separate server.


• Omada System: Includes a switch.

What steps should I take to narrow down and identify the issue?
Are there specific logs or diagnostic tools I should be checking on OPNsense, Unraid, or the Omada System? I'd appreciate any guidance or suggestions on how to tackle this. Thanks a bunch in advance for your expertise!

GROSSARTIG!

Herzlichen Dank, das war die Lösung!

Update:
(Anmerkung: Auch vorhin habe ich nach allen og.g Schritten OPNSense und die Devices neu gestartet.)
Mittlerweile haben doch alle Clients wieder das gleiche Verhalten:

• Keine DNS wird aufgelöst, wenn ich in einem der anderen Interfaces/VLANs bin
• Nur in dem, das bei Services-DHCP4 den 8.8.8.8 Eintrag hat, klappt es
• Habe den Eintrag erneut in einem anderen Interface getestet (mein Standard WLAN): also ebenfalls hart 8.8.8.8 eingetragen.
• Wieder Neustart von OPNSense und devices
• Jetzt sind auch diese Clients wieder "online". Aber irgendwas scheint bei Unbound oder den FW rules nicht (mehr) zu stimmen

Hallo zusammen,

ich bin etwas verzweifelt. Habe heute Früh ein Upgrade durchgeführt (weiß die alte Version nicht mehr 100%, letztes Update war Ende April).

• Bei mir laufen Unbound und Adguard (auch aktuell: v0.107.36).
• Ich nutze mehrere VLANs, eines davon heißt (ohne Adblocker = oAB). Hier habe ich in bei Services-DHCP4 andere DNS Server drin: 1.1.1.1 und 8.8.8.8

Nach dem Upgrade beklagte sich jeder Client, dass er offline sei.
Ich hatte keine Konfiguration, o.ä. geändert. Firewall Rules waren ebenfalls unverändert.

Ich habe dann über pings festgestellt, dass es ein DNS Thema sein muss (ping auf 8.8.8.8 ging, google.*, nicht)

Wähle ich mich über WLAN in das "oAB" ein, klappt alles.

In anderen VLANS/Interfaces nicht.

Habe dann AdGuard ausgeschaltet- ohne Veränderung
Habe dann einmal in einem der anderen Interfaces ebenfalls feste DNS Server eingetragen- kein Erfolg.

Jetzt wird es besonders absurd:

• Vor dem Upgrade habe ich die Konfiguration als Backup gespeichert.
• Wieder hochgeladen.
• Für fast alle clients funktioniert es wieder
• Nur zwei Devices haben nach wie vor das gleiche Problem (trage ich am Client feste DNS Server ein, sind sie online)
• Und: Adguard scheint mir nicht mehr zu blocken (habe ein paar Testseiten aufgerufen)

Ich bin absoluter Neuling und schaffe mir jeden Schritt mit Tutorials drauf. Aktuell weiß ich leider noch nicht einmal, wo ich mit der Fehlersuche anfangen soll.

Freue mich sehr über Eure Hilfe.
Danke

Danke, das hatte ich auch so verstanden.
Ich habe noch einen managed switch von Netgear übrig, aber, wenn das Diagramm oben grds. Sinn ergibt, dann brauche ich den ohnehin nicht und komme komplett mit den TP Switches aus.

Was haltet Ihr grds. von dem Aufbau, wie gezeichnet?

Doch noch eine Verständnisfrage hierzu:

OMADA macht nur dann wirklich Sinn, wenn du alle Netzwerkgeräte, also Switch und AP im OMADA-Controller verwaltest.
Wenn du mehrere VLAN's anlegen willst, ist das der sinnvollste Weg, diese dort auch zentral einzurichten und den SwitchPorts die VLAN's zuzuweisen.

Andere *managed* switches als Nebenswitch sind aber grds. denkbar?

Stolpere über das "sinnvollste Weg, diese dort auch zentral einzurichten": Routing, FW, usw. mache ich am besten aber nach wie vor über OPNSense, oder? Du meinst lediglich die Port-Zuweisung im Omada Switch, richtig?

Super, herzlichen Dank!

Dann bin ich ja zumindest nicht auf einem völlig falschen Pfad unterwegs.

[Some background on the devices:]

Hello everyone,

As a reader I am very impressed with the remarkably positive and helpful support here. This is not a given in such forums, anymore!

I would like to get your feedback on the following setup that I am currently implementing (image attached).

   
• The hardware is already there (and I have decided on OPNSENSE + Omada)
• Single-family home, 3 floors. Cables for access points are installed
• My main motivation for the network is not increased security compared to a standard home network (with the exception of 1 "VPN" and exception 2 "IoT Untrusted", see below). Therefore, my focus in the setup is mainly on stability, performance, and user-friendliness for the rest of the family.

Some background on the devices:

   
• On my UNRAID, I have a NAS and Docker running, which are important for other network participants (e.g., Plex or a surveillance camera solution "Frigate"). It should therefore function as a fast NAS in the LAN, be able to interact with HASS, and make some Dockers accessible from the internet (UNRAID has its own firewall and VLAN management, which has worked well so far with port forwarding)
• Home Assistant (HASS) runs on a separate Intel NUC, which we use extensively (including voice commands via Alexa, etc.). It also needs to be accessible from the internet and be able to interact with numerous LAN/HOME user devices (access the web GUI, but also detect presence, etc.)

Two special segments that I marked in the network plan:

   
• IoT Untrusted: I use Home Assistant completely to control our IoT locally. This also includes WLAN-capable parts that might be easier to hack or that the manufacturer might want to phone home (e.g., Xiaomi air purifiers or almost all vacuum cleaners)
• VPN Streaming: We sometimes watch international content. For this, I have installed a FireTV Stick with a VPN client and kill switch. However, this binds us to this device. Ideally, I would like to have a dedicated VLAN that sends all devices to the outside world over a VPN (including kill switch)

My questions:

A)   Physically

   
• Does the setup make sense, especially with regard to performance?
• In the current version, my OPNSENSE build has still 3 NIC ports available. Should I connect certain devices directly there instead of to the main switch or should I group some of them together and connect them to the main switch as a LAG? I still have (presumably?) unnecessary switches -managed and unmanaged. Are there sensible uses for them to increase performance (possibly all OMADA devices like controller, 2x APs on one switch and only then into the main switch?, HASS/IPTV/UNRAID via an intermediate switch, etc.)?
• The 4 WIFI cameras run 24/7 and send data to UNRAID from time to time. Although I do not notice any performance limitations in the rest of the network, if I am already rebuilding everything... do you think I should use a simple Omada AP only for the cameras and connect it to UNRAID with an unmanaged switch?

B)   Logically

• I know that it would probably be wiser to further divide the LAN/home VLAN and possibly separate IoT and guests, as well as UNRAID, media, etc. However, I don't want to deal with multicast problems and have to provide IT support to family members when they want to send something from their phone to the TV via Chromecast on the Fire Cube, etc.
• I would then regulate specific candidates on the device level in the firewall, right? For example, HASS towards "IoT Untrusted" or UNRAID and HASS towards the Internet, etc. Or should I rather put all IOT devices in one VLAN and apply untrusted device rules at the device level (Xiaomi should never call home and certainly not spy on other network devices)?
• Do you think the rest is fine and doable? Any other suggestions for a VLAN segmentation?
• For "LAN/HOME" everything untagged or tagged?

Thank you very much!

[Ein paar Hintergründe zu den Devices:]

Hallo zusammen,

ich bin ganz begeistert von dem auffällig positiven und hilfreichen Support hier (als Mitleser). Das ist nicht mehr selbstverständlich in solchen Foren.

Hätte mal gerne Euer Feedback zu folgendem Aufbau, den ich gerade umsetzen möchte (Diagramm im Anhang).

   
• Hardware ist schon da (und Entscheidung für OPNSENSE + Omada gefallen)
• EFH, 3 Etagen
• Kabel zu Access Points liegen
• Meine Hauptmotivation für das Netzwerk ist nicht eine erhöhte Sicherheit gegenüber einem Standard-Heimnetz (mit Ausnahme 1 ,,VPN" und Ausnahme 2 ,,IoT Untrusted", s.u.).
  Mir geht es im Aufbau also vor allem um Stabilität, Performance und Anwenderfreundlichkeit für den Rest der Familie

Ein paar Hintergründe zu den Devices:

   
• Auf meinem UNRAID laufen ein NAS sowie Docker, die für andere Netzwerkteilnehmer wichtig sind (z.B. Plex oder eine Überwachungskamera-Lösung ,,Frigate"). Er soll also im LAN schnell als NAS funktionieren, mit dem HASS interagieren können und manche Docker auch von außen über Internet erreichbar machen (auf dem UNRAID läuft eine eigene FW und eigenes VLAN-Management, das klappt bisher gut über Portfreigaben)
• Home Assistant (HASS) läuft auf einem eigenen Intel NUC, das wir sehr intensiv nutzen (inkl. Sprachkommandos über Alexa, usw). Auch der muss vom Internet erreichbar sein sowie mit zahlreichen Endgeräten der LAN Nutzer interagieren können (WebGUI aufrufen, aber auch Präsenz erkennen, usw).

Zwei besondere Segmente, die ich im Netzwerkplan markiert habe:

   
• IoT Untrusted: Ich nutze den Home Assistant komplett, um lokal unser IoT zu steuern. Dabei kommen auch teilweise WLAN fähige Teile zum Einsatz, die evtl. leichter zu hacken wären oder vom Hersteller gewollt nach Hause telefonieren möchten (z.B. Xiaomi Luftreiniger oder fast alle Staubsauger)
• VPN Streaming: Wir schauen teilweise internationalen Content. Dafür habe ich einen FireTV Stick mit einem VPN Client und Killswitch bespielt. Damit sind wir aber an dieses Device gebunden. Am liebsten hätte ich ein dezidiertes VLAN, das alle Geräte nach außen über einen VPN (inkl. Killswitch) sendet

Meine Fragen:

A)   Physikalisch

   
• Hat der Aufbau so, wie gezeichnet, Sinn? Vor allem mit Blick auf Performance?
• Am OPNSENSE wären in der aktuellen Version noch 3 NIC Ports frei. Soll ich bestimmte Geräte statt an dem Switch dort direkt anschließen oder lieber einige zusammenfassen und als LAG an den Hauptswitch führen?
• Ich habe noch (vermeintlich?) unnötige Switches über. Managed und Unmanaged. Gibt es dafür sinnvolle Einsatzfelder, um z.B. die Performance zu erhöhen (ggf. alle OMADA Geräte Controller, 2x AP an einen Switch und erst dann in Hauptswitch?, HASS, IPTV und UNRAID über einen Zwischen-Switch, o.ä.)
• Die 4 WIFI Kameras laufen 24/7 und senden immer mal wieder Daten an UNRAID. Ich spüre zwar keine Performance Einschränkungen im restlichen Netzwerk, aber wenn man schonmal alles umbaut...meint Ihr, ich sollte einen einfachen Omada AP nur für die Kameras nutzen und mit einem unmanaged switch in die UNRAID gehen?

B)   B. Logisch

   
• Ich weiß, dass es vermutlich klüger wäre, das LAN/Home VLAN noch weiter aufzuteilen und ggf. IOT und Gäste rauszunehmen, evtl. auch UNRAID, Media, usw. Aber ich will mich ungerne mit Multicast Problemen herumschlagen und Familienmitgliedern IT-Support geben müssen, wenn sie mal per Chromecast was aus dem Handy über den Fire Cube an das TV senden wollen, usw
• Spezielle Kandidaten würde ich dann auf Geräte-Ebene in der Firewall reglementieren, oder? Also z.B. Home Assistant in Richtung ,,IOT Untrusted" oder UNRAID und HASS in Richtung Internet, usw.
• Oder sollte ich lieber alle IOT in eines packen und den untrusted devices Regeln auf Geräte-Ebene auferlegen (Xiaomi soll möglichst nie nach hause telefonieren und schon gar nicht andere Netzwerkgeräte ausspionieren)?
• Ist der Rest dann Eures Erachtens so fein und machbar?
• Andere Vorschläge für eine VLAN Aufteilung?
• Alles tagged oder LAN/HOME untagged?

Ganz herzlichen Dank!