1
General Discussion / Re: Forum login timeout very aggressive?
« on: November 21, 2024, 11:22:31 am »
Yes, the timeout is quite short. I've been locked out while replying several times.
Show Posts
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
2
German - Deutsch / Re: Firewall / Routing funktionieren nicht wie erwartet.
« on: October 30, 2024, 06:01:16 pm »
Ich würde gerne weiter helfen, verliere aber den Überblick. In meiner Gedankenwelt stelle ich mir erstmal die Frage, wozu brauche ich ein Netzwerk eigentlich. Dann kann man anfangen, die Regeln für dieses Netzwerk hinzuschreiben (z.B. keine Verbindungen in andere Subnetze initiieren). Dann kommen die Host-spezifischen Regeln, z.B. DMZ Server X darf mit Server Y in einem anderen Subnetz reden und als Letztes kommt dann Refactoring ala Regeln umverteilen, Interface-Gruppen bilden und Aliases einfügen.
Nach jedem Schritt kann man dann die Ergebnisse prüfen, und weil man immer nur an einer Schraube gedreht hat, ist auch klar warum etwas nicht mehr funktioniert.
Nach jedem Schritt kann man dann die Ergebnisse prüfen, und weil man immer nur an einer Schraube gedreht hat, ist auch klar warum etwas nicht mehr funktioniert.
3
General Discussion / Re: Can't find mdns and udprelay plugins
« on: October 30, 2024, 04:57:57 pm »
It's available in the business version, too
4
German - Deutsch / Re: Firewall / Routing funktionieren nicht wie erwartet.
« on: October 29, 2024, 02:05:21 pm »
Sind das alle FW Regeln, die wir da sehen?
Falls Du kannst, formuliere das Problem mal um:
Statt einer Pass Regel für nicht lokale Netzwerke, bilde
1) eine Pass Regel für Traffic zur FW selbst
2) eine Block Regel für Traffic mit Ziel "lokale Netzwerke" gefolgt von
3) einer Regel, die alles erlaubt.
Der Unterschied ist, dass Deine Lösung auch Verkehr mit der FW selbst verhindert. Warum Pakete trotzdem mal durchgelassen werden und mal nicht, verstehe ich allerdings auch nicht. Könnte an den Aliases liegen. Ich beobachte so ein Verhalten auch mit Hosts, die bei jeder DNS Query eine andere Adresse zurückliefern, weil der Paketfilter der FW die IP Adressen vergleicht.
Zu Problem 2 müsstest Du die FW Regeln angeben.
Falls Du kannst, formuliere das Problem mal um:
Statt einer Pass Regel für nicht lokale Netzwerke, bilde
1) eine Pass Regel für Traffic zur FW selbst
2) eine Block Regel für Traffic mit Ziel "lokale Netzwerke" gefolgt von
3) einer Regel, die alles erlaubt.
Der Unterschied ist, dass Deine Lösung auch Verkehr mit der FW selbst verhindert. Warum Pakete trotzdem mal durchgelassen werden und mal nicht, verstehe ich allerdings auch nicht. Könnte an den Aliases liegen. Ich beobachte so ein Verhalten auch mit Hosts, die bei jeder DNS Query eine andere Adresse zurückliefern, weil der Paketfilter der FW die IP Adressen vergleicht.
Zu Problem 2 müsstest Du die FW Regeln angeben.
5
24.7 Production Series / Re: How to allowlist outgoing traffic from IPv6 static privacy (RFC7217) addresses
« on: October 29, 2024, 10:29:05 am »
Patrick’s solution is the way to go unless the number of hosts is really small. Keep in mind that any host may have multiple at any time, depending on your network configuration.
If you do want host based rules, you may use (DHCPv6) static address assignments and base your rules on those.
If you do want host based rules, you may use (DHCPv6) static address assignments and base your rules on those.
6
General Discussion / Re: Champagne anybody?
« on: October 28, 2024, 01:51:00 pm »
The article is referring to the situation in the Asia-Pacific-Region that is largely dominated by China and India.
China is well on its way to IPv6. Mobile traffic is overwhelmingly IPv6 already. Recently, the government mandated the move to IPv6 even for the if-it-aint-broke-dont-fix-it IPv4 networks.
In India, double and even triple NAT within ISP networks used to be the norm. That's why they have moved to ~50% IPv6 already, but for many customers a new router is a significant investment and thus postponed until they don't have a choice.
In Germany, there are major ISPs that sell current model business routers that can't do prefix delegation in 2024. forum.opnsense.org has no IPv6 address while opnsense.org does...
The USA got the lions share of available IPv4 address space. That's why many ISP and network equipment makers simply didn't bother to support IPv6. They didn't feel the squeeze. Ubiquiti is making essential IPv6 features user configurable in their software only now.
China is well on its way to IPv6. Mobile traffic is overwhelmingly IPv6 already. Recently, the government mandated the move to IPv6 even for the if-it-aint-broke-dont-fix-it IPv4 networks.
In India, double and even triple NAT within ISP networks used to be the norm. That's why they have moved to ~50% IPv6 already, but for many customers a new router is a significant investment and thus postponed until they don't have a choice.
In Germany, there are major ISPs that sell current model business routers that can't do prefix delegation in 2024. forum.opnsense.org has no IPv6 address while opnsense.org does...
The USA got the lions share of available IPv4 address space. That's why many ISP and network equipment makers simply didn't bother to support IPv6. They didn't feel the squeeze. Ubiquiti is making essential IPv6 features user configurable in their software only now.
7
German - Deutsch / Re: Probleme mit der Nutzung von DHCPv6
« on: October 21, 2024, 01:41:25 pm »
Klar, das habe ich auch so verstanden. Meine Frage ging dahin was passiert, wenn die automatischen Einstellungen genutzt werden? Wenn Deine OPNsense IPv6 Präfixe bekommt, reicht es für dessen allgemeine Nutzung aus, für die relevanten Interfaces IPv6 auf "Track Interface" zu setzen und eine eindeutige Präfix ID zu wählen, z.B. beginnend mit 0x0.
Wenn das manuelle Einstellen der DHCPv6 Parameter an ist und die Fehlermeldung kommt, was steht denn in Subnet und Subnet mask? Hier mal ein Screenshot, wie es aussehen kann, wenn kein Präfix verfügbar ist.
Nur der Vollständigkeit halber: Ist Interfaces: Settings: Allow IPv6 gesetzt?
Wenn das manuelle Einstellen der DHCPv6 Parameter an ist und die Fehlermeldung kommt, was steht denn in Subnet und Subnet mask? Hier mal ein Screenshot, wie es aussehen kann, wenn kein Präfix verfügbar ist.
Nur der Vollständigkeit halber: Ist Interfaces: Settings: Allow IPv6 gesetzt?
8
German - Deutsch / Re: Probleme mit der Nutzung von DHCPv6
« on: October 16, 2024, 02:02:33 pm »
Die Fehlermeldung kann daher kommen, dass das gewählte Interface kein Präfix bekommen hat. Was steht denn beim DHCPv6 Service im Feld "Subnet"? Wenn das leer ist, ist die Subnetzgröße zu gering
Was passiert denn wenn das Häkchen bei "Allow manual adjustment of DHCPv6 and Router Advertisements" nicht gesetzt ist? So lange Du nicht in die DHCPv6 Info eingreifen oder Präfixes weiterdeligieren möchtest, ist SLAAC völlig ausreichend und DHCPv6 kann abgeschaltet werden.
Was passiert denn wenn das Häkchen bei "Allow manual adjustment of DHCPv6 and Router Advertisements" nicht gesetzt ist? So lange Du nicht in die DHCPv6 Info eingreifen oder Präfixes weiterdeligieren möchtest, ist SLAAC völlig ausreichend und DHCPv6 kann abgeschaltet werden.
9
German - Deutsch / Re: VLAN und LAN im gleichen Subnet
« on: October 16, 2024, 09:27:59 am »
Wenn ich dich richtig verstehe sollen LAN (L2) und VLAN10 (L2) das selbe Subnetz (L3) sein. Dann solltest du ganz einfach nur LAN oder VLAN nutzen, nicht beides.
10
General Discussion / Re: Can't access opnsense.org
« on: October 15, 2024, 05:08:04 pm »
Connectivity is back again for me without restarting anything on my end. Looking at the traceroute outputs during the day, it seems to me that Leasenet is or has been working on their IPv4 routing. Unfortunately, forum.opnsense.org does not offer IPv6 connectivity which has been fine all day to opnsense.org even though it shares the IPv4 address with forum.opnsense.org. Deutsche Telekom is routing IPv6 to Leasenet via twelve99.net while IPv4 goes directly to Leasenet.
Edit: LeaseWeb actually, not Leasenet
Edit: LeaseWeb actually, not Leasenet
11
General Discussion / Re: Can't access opnsense.org
« on: October 15, 2024, 02:49:51 pm »
Having the same problem today but it looks like a routing problem at Deutsche Telekom / RIPE. Can't traceroute for opnsense.org there, but it's fine with Telefonica as ISP. Connections to opnsense-update.deciso.com are fine with both providers.
12
General Discussion / Re: Floating rule doesn't apply to the OPNSense itself
« on: October 14, 2024, 02:43:49 pm »
There's a setting "Disable force gateway" at Firewall: Settings: Advanced. Set the check mark to disable an automatic policy route.
This setting has a very non-descriptive name, uses double negation and is at best not helping the system. I would like to see it and its policy route go away.
This setting has a very non-descriptive name, uses double negation and is at best not helping the system. I would like to see it and its policy route go away.
13
General Discussion / Re: New Install can't connect to internet
« on: October 10, 2024, 05:46:01 pm »
What do you mean with "WAN DHCP is 192.168.1.1"? Is this your default route? Do you have one?
14
General Discussion / Re: OPNsense IPv4 only -
« on: October 10, 2024, 05:35:16 pm »
Under Interfaces: Settings uncheck "Allow IPv6"
May I ask why IPv6 should be disabled?
May I ask why IPv6 should be disabled?
15
German - Deutsch / Re: Unbound und Adguard übertrieben?
« on: October 09, 2024, 10:44:04 am »...wobei Alle 13 Rootserver in USA stehen...
Tatsächlich? RIPE NCC (zuständig für Europa) war bisher in Amsterdam. Außerdem sind die Root DNS Server nur logische Server, die sicher alle aus mehreren Servern in mehreren Regionen bestehen.