Messages

eigentlich sieht es gut aus, ich habe ähnliche konfig die so läuft.

Was sagt denn Livelog dazu gibes einträge? bitte bei Regeln protokollierung einschalten.

ich schätze dafür brauchst du "statische" IPv6 adressen zb. eigene ULA's....

wie willst du sonst Clients pflegen?

eventuell kennt einer andere Wege.

Am besten Captive Portal einrichten auf dem "freien" WLAN.

https://docs.opnsense.org/manual/captiveportal.html

Zusätzlich alle DNS Server blockieren außer dnsmasq auf der OPNsense und dann mit ipset eine strikte allowliste oder blockliste führen für Domains. Das blockt härter als DNS blackhole.

https://docs.opnsense.org/manual/dnsmasq.html#firewall-alias-ipset

Das kann sozusagen on top auf Unbound blocklisten betrieben werden wenn man nach Unbound weiterleitet (auch beschrieben ein punkt über ipset)

Ob dann ein Gerät die MAC ändert oder nicht ist egal, die müssen einen Validen Voucher für Captive Portal haben und auch so wird fast alles geblockt was man nicht Kindern geben will. Und wenn Kind böse wird der Voucher entzogen.

genauso macht man das, habe etwas abgewandelt bei mir umgesetzt und kein mac kuddel-muddel.

nun ja ich habe keine IOS erfahrung, aber ich schätze du brauchst einen UDP/Multicastrelay
so wie:

System>firmware>erweiterungen>os-mdns-repeater und/oder os-udpbroadcastrelay (show community pluins) anhaken.

Damit solltest du mDNS/Bonjour von einem zum anderen Vlan durchleiten können so sollte der Drucker auch gefunden werden...

Enschuldige bitte.. aber der Zusammenhang was der Drucker mit Umbound zu tun hat fehlt mir....

ich nutze zwar einen Brother Drucker im Vlan und greife auf den von allen anderen Vlans zu,
dafür benötige ich aber kein DNS dienst.

Was möchtest du erreichen? über ddns auf die Duckerdienste zugreifen von aussen? Drucker über DNS Namen ansprechen?

Nun das HW Offload probleme bei IPS/IDS oder Zenarmor macht ist längst bekannt... manche empfehlen offload gar abzuschalten.

Es kommt aber auch darauf an welche HW benutzt wird, bei Intel NT mach Offload wohl die wenigsten probleme.

Aber das Umbound damit probleme hat höre ich zum ersten mal...

Man kann Offload auch per Interface abschalten und nicht global:

Schnittstellen>Globale Einstellungen überschreiben.

[die zugehörige Regel erstellen oder einfach "Erlauben" wählen.]

tut mir leid, villt bin ich ein bissl blöd... :)

aber was ist der unterschied zwischen Default NAT wo quelle jeder und und ziel Schnittstellenadresse ist
und deiner wo du nur Port Static anhakst, was mmn in dem Fall keine Bedeutung hat.

Die weiterleitungregel sieht gut aus und da kann man bei filter zuordnung:

die zugehörige Regel erstellen oder einfach "Erlauben" wählen.

Die Firewall Regel die gepostet wurde passt irgendwie nicht denn es sollte Ziel definiert werden und nicht quelle.

ich würde 1 alias mit Clients erstellen die zuviel connecten und dann 2
tcp regeln.

die 1. mit Alias ausnahme als quelle       (gültig für alle ausser alias)

die 2 mit Alias als quelle und begrenzung. (gültig nur für Alias)

Du kannst bei der FW Regel für TCP unter Erweitert
folgendes einstellen:

 Max Status

 Max Quellknoten

 Max etabliert
    
Maximale Quellstatus

und schliesslich bei Maximale neue Verbindungen, "conn per sek" einstellen.

ja so.

der PC  soll ja Ausnahme bilden, also alles raus/rein ausser diesem.

(Häkchen setzen bei der Regel>protokol)

Du kannst ja mit einem Anderen testen zb Handy....
Einfach mac vom Handy nehmen alias erstellen und schauen ob du danach Auf dem Handy surfen kannst.

bei Firewall>Protokoll>liveansicht müsstest du einträge dazu finden.

du brauchst keine ausgehende NAT Regel hierfür, bitte auf Default/automatisch belassen.

du brauchst eine Port Forward regel mit ziel dein Fritze port 5060 (Dein Telefonie Provider)

und eine Firewall Regel die eingehenden Verkehr auf der Schnittstelle erlaubt wo deine Fritze angeschlossen ist. (Zugriff Fritze)


sonst schaut man in den Firewall Log nach wo es doch nocht an Freischaltungen mangeln kann.


Ich bezweifle aber das es nur mit port 5060 getan ist mmn braucht es etwas mehr.....

bei Source musst du "quelle umkehren" anhacken und dein Alias mit Inhalt Mac Angeben.

Action: allow
Interface: LAN
Protocol: any
Source: "dein Alias" mit anhaken Quelle umkehren.
Destination: any
Log: x
Description: Alles erlauben ausser "dein Alias".

Variante 4:

Alias mit Mac Adresse von der Maschine erstellen und eine lan pass regel erstellen mit Quelle Ausnahme
dem Alias.

Schon mal an die statische Route gedacht?

Auf der Fritze vom Nachbar route (Ziel netzwerk mit kameras) zu deiner Sense (Gateway IP die deine Sense bezieht)
und natürlich Regel die den Zugriff vom Nachbars Router auf deine Sense/bzw Netzwerk erlaubt.

vielleicht habe ich die Überschrift nicht deutlich genug gestaltet....

Es geht um folgendes:

ich habe gemerkt das solche dienste wie AWS Global Accelerator und ähnliches zb von Clodflare nichts andres tun als alle Anfragen
an irgenwelche Server in USA senden als auf dem Kürzesten Weg zum Ziel.
Das Äussert sich auch in Ping und Zugriffszeiten...

Die bekannte Seite um Bufferbloat zu testen ist zb. Waveform und mein Anschluß hatte immer 10ms+ beim Download, nachdem ich bestimmte Dienste per
ASN blockiert habe habe ich nun 5ms statt 10 also A+ Rating Statt A.
Das hat sich auch bei Zugriffen auf andere Seiten bestätigt.

Die Frage nun, kann ich beeinflüssen welche Wege mein Traffik nimmt? Möglichkeiten der OPNSense?

Denn warum soll ich nach Köln über Santa Clara surfen?