Messages

du kriegst den N100 schon extrem tief, du musst halt aber auch dafür sorgen, dass z.B. die NICS keine tiefen Schlafzustände verhindern.

Da frage ich mich, inwieweit dieser Zustand überhaupt eintreten soll? Ein WAN, ein LAN und zwei LAG NICs. Da sehe ich jetzt nicht wann eine der NICs schlafen gehen sollte. Nach meiner Vorstellung kann es nur ein binärer Zustand sein: Traffic oder kein Traffic und entsprechend Tiefschlaf oder nicht. Kann mir nicht vorstellen, dass die NICs dann zwischen einzelnen Paketen dann einfach schlafen gehen..

Aber da bin ich nicht Experte drin.

Hallo zusammen,

mich beschäftigt immer noch, dass das Zurücksetzen des Interface via Cron nicht funktioniert und ich habe das Gefühl, das irgendetwas grundlegendes kaputt-konfiguriert wurde.

Gerne würde ich die OPNsense zurücksetzen und alles von Hand neu einstellen. Denn ich bin überzeugt, dass das Zurücksetzen und einspielen der alten Konfiguration nichts ändern wird.

Ich frage mich jetzt aber, ob es eine Alternative zu "alles von Hand aufschreiben, was ich eingestellt habe" gibt. Ist da vielleicht die exportierte Konfiguration so weit selbsterklärend? Wahrscheinlich steht das auf einer viel technischeren Ebene da drin oder?

Cool wäre, wenn es eine Art Dokumentation-Export gäbe, quasi im Format, wie man es tatsächlich im GUI vorfindet.

Der Königsweg wäre wahrscheinlich eine Ersatzbox zu haben und die neue quasi von Hand einzustellen, während die alte noch ihren Dienst verrichtet, aber dafür fehlt mir die Hardware. Zumal was mache ich dann mit der alten Box?

Könnten man vielleicht mit Proxmox eine OPNsense aufsetzen, dort alles konfigurieren und dann dessen Config in die echte einspielen? Wie sieht das aus, wenn mein Proxmox Server gar keine 4 NICs hat?

Ich freue mich auf eure Ideen!

Ah ok, schade, als entweder erwachsenen AP oder Mini AP nur für Gäste/iot

Das war bei mir ebenfalls die Übergangslösung. Ich hatte die Fritzbox und damals zwei Fritzbox APs. Jeweils einen AP für EG und OG. Eine Zeit lang habe ich beide im EG eingesetzt, damit einer Gäste- und der andere User-WLAN ausstrahlt. Da war natürlich im OG nur mit eingeschränktem Empfang zu rechnen.

Oh, das ist krass. Das hätte ich nicht gedacht. Damit kann ich ja meine Upgrade-Pläne begraben.. Mein Netzwerkschrank verbraucht insgesamt 28 Watt, wovon gut 6 Watt für die Lüfter sind. Ich hatte gehofft den Wert weiter reduzieren zu können. Mit im Schrank sind ein 16-Port Managed Switch, das ONT und eine Fritzbox.

Wenn man im Smart Home erstmal die Verbraucher sieht, dann schaut man natürlich auf die höchsten Verbraucher..

Hallo cottec,

willkommen im Forum. Explizit kann ich Dir leider nicht helfen, was deine Verbindungsdaten Informationen angeht. Meinen Vertragsdaten lagen 2019 die Anmeldeinformationen, wie Login und Password sowie eine sehr sehr grobe Übersicht bei. Wie du meinen Posts entnehmen kannst, war trotzdem nicht ganz ersichtlich, was davon und wie es eingetragen werden muss. Da sollte es bei o2 jedoch etwas leichter sein, als bei mir, Hilfe im Internet zu finden.

Grundsätzlich bin ich der Meinung dass du dich auf die Freie Routerwahl stützen kannst, um die Zugangsdaten zu erfragen. Das wirst du sicherlich hartnäckig bleiben müssen. Ich persönlich würde es erst einmal ganz allgemein versuchen, in dem ich schreiben würde, dass ich mir einen eigenen Router eines bekannten Herstellers angeschafft habe und für die Herstellung der Internetverbindung und Telefonie die Zugangsdaten benötige. Da diese nur in unzugänglicher Form im aktuellen Router vorlägen.

Zum Thema, ist das was für mich:
Ich persönlich habe im beruflichen Kontext viel mit Daten und Datenanalyse zu tun und privat habe ich mir vor OPNsense bereits mit Docker und Linux Server beschäftigt und bin seit wahrscheinlich mehr als zehn Jahren privat in Linux statt Windows unterwegs. Erst später kam OPNsense als weiteres Thema "Firewall & Netzwerktechnik" hinzu.
Mich persönlich haben die genannten Themen einfach interessiert und zum Thema Docker bspw. kam ich, weil ich gerne eine Nextcloud aufsetzen wollte.

Zu OPNsense kam ich dann, als ich meinen Nextcloud Server in einem eigenen Subnet platzieren wollte und gerne auch die IOT Geräte jeweils in einem anderen. Bis dahin, hatte ich rudimentär die Möglichkeiten von der Fritzbox mit dem Gast-WLAN genutzt.

Die OPNsense war der Einstieg für mich in das Thema Netzwerktechnik. Dazu kaufte ich mir ein neues Patchfeld, um die Verkabelung zu ändern und einen Netzwerkschrank, um das und alles weitere unterbringen zu können. Dann kaufte ich mir noch ein Managed Switch von TP-Link, um das Thema VLANs abzubilden und erst dann konnte ich mich erst mit der Konfiguration der OPNsense beschäftigen.

Deine Idee eine zweite Fritzbox für das Ausprobieren zu nutzen finde ich gut. So habe ich das damals auch gemacht, als die Fritzbox nur noch für DECT zuständig sein sollte. Das ist gerade was das Einstellen der Firewall usw. angeht echt angenehm. Einfach die normale Fritzbox abklemmen, OPNsense und Testfritzbox dran und dann kann schon der grundsätzliche Zugang, als auch die DECT Thematik getestet werden. Wenns nicht klappt, einfach wieder die normale Fritzbox dran und nächsten Abend probieren. Das erspart Stress im Haushalt, falls man nicht alleine wohnt.

Das einzige, was ich später dann nicht bedacht hatte war, dass ich mit meinen vorhandenen Fritzbox APs keine mehreren WLANs abbilden konnte. Denn ich wollte natürlich alle IOT Geräte jetzt irgendwie in das IOT VLAN bringen und das über WLAN. Parallel jedoch auch ein Gäste-WLAN aufspannen. Ich verkaufte letztlich meinen Fritzbox AP und kaufte stattdessen einen Ubiquiti U6, mit dem all diese Anforderungen möglich sind.

Zur Frage nach der Hardware: ich nutze einen Topton 41XX, mit vier 2.5G NICs. Allerdings möchte ich den perspektivisch wegen des hohen Stromverbrauchs durch einen Intel N100 ersetzen. Sehr wahrscheinlich wieder von Topton, den ich auf aliexpress bestellen werde.

Was mir als Einstieg geholfen hat war der Guide von HomeNetworkGuy.com, der das Zusammenspiel zwischen Managed Switch und OPNsense sehr gut erläutert und schon mal die Grundlage erklärt, damit es lauffähig ist. Danach war aus meiner Sicht nur noch das Thema Firewall Regeln für DECT die größte Herausforderung. Und klar: nichts unüberlegtes tun, da wenn Firewall falsch konfiguriert, ist halt die Tür offen.
Daher mochte ich auch in dem Zusammenhang Videos als Format nicht, denn das ist meist zu schnell und viel zu sehr auf "komm, ich nehme dich kurz mal mit". Da ist wenig Zeit das zu hinterfragen. Denn entweder muss man es erst noch verstehen oder schlimmer noch ist es sogar falsch..

[What is the appropriate way, to reset the WAN interface periodically?]

Hello guys,

I already asked a similar question in the German thread, but never got an answer. So I would like to ask my question more generic, in hope to get help.

What is the appropriate way, to reset the WAN interface periodically?

I have the following interfaces, that are derived of the WAN interface:

• WAN interface: igc1-device (not assigned)
• WAN_INT: pppoe0-device
• WAN_VOIP: pppoe1-device

The PPPoE devices:

• pppoe0: VLAN 101 on WAN interface
• pppoe1: VLAN 201 on WAN interface

Relevant VLANs:

• VLAN 101: Parent igc1
• VLAN 201: Parent igc1

Connection information:

• WAN_INT
• IPv4 Configuration Type: PPPoE (pppoe0)
• IPv6 Configuration Type: 6to4 Tunnel
• WAN_VOIP
• IPv4 Configuration Type: PPPoE (pppoe1)
• IPv6 Configuration Type: None
• The provider regularly disconnects the active connection once a day. In other words, WAN_INT and WAN_VOIP receive new IP addresses.

A long time ago, in my early days with OPNsense, I set up a cron job that resets the WAN interface at 5 am.

• System>Settings>Cron>Add Job
• [ENABLE]
• Hours: 5
• Command: Periodic interface reset
• Parameters: wan
• Description: Reset the WAN interface

That worked for a very long time. I'm not saying that the same configuration worked then and doesn't now. There have certainly been changes in my OPNsense settings in the meantime. Therefore, I am asking the question of how such a cron job would have to be set with my parameters in a more general way.

The thing is, I can't find any log entries at that time that would indicate that the IP address has been changed or has changed.
If I set the job to run five minutes later from now on, nothing happens either, or I can't find the logs that should appear. Perhaps someone can help me with this. In any case, the end result is that I don't get a new IP address and the provider's forced disconnect happens at (currently) 9 a.m., which is pretty annoying.

I would really appreciate input on this, because I simply cannot find a solution to this perhaps simple problem at the moment. I am currently running version 24.7.11_2.

Nach Lesen der Dokumentation, habe ich den Verdacht, dass mein Cron Job nicht funktioniert, weil ich das WAN Interface nicht assigned habe. Das ist in meinem Falle auch nicht nötig, weil ich auf das WAN zwei VLANs lege, mit denen ich mich über eine PPPoE einwähle. Das eine VLAN ist für das Internet und das andere für VoIP.

Ist das eventuell das Problem?

Hallo zusammen,

ich habe ein merkwürdiges Problem, bei dem der tägliche Reconnect ca. um 20 Uhr passiert.

Das Problem hatte ich damals, als ich mit OPNsense begann, mit der Anlage eines Cron-Jobs behoben, der das WAN Interface täglich um 5 Uhr morgens zurücksetzt.

Mir ist das Problem aufgefallen, weil mein Home Assistant Dashboard regelmäßig abends meldet, dass es auf den Kalender meiner Nextcloud nicht zugreifen kann. In den Logs der Nextcloud, dem Reverse und dem Caddy Plugin (OPNsense) konnte ich jedoch nichts finden. Erst ein `curl` auf die Domain meiner Nextcloud zeigte mir, dass dort die "alte" öffentliche IP-Adresse steht und beim DNS von IONOS bereits eine "neue" hinterlegt war.

Ich habe zur Überbrückung des Problems nun einen periodischen Neustart der OPNsense eingestellt, um dieselbe Uhrzeit und den Reconnect-Job erstmal deaktiviert.

Für Hilfe und Ideen wäre ich euch sehr dankbar.

Und übrigens: Frohes Neues alle zusammen!
Danke an diese tolle Community und einen guten Start ins neue Jahr!

Okay a really complex topic then. Would it be (in theory) possible, to let Caddy read the aliases of the firewall? Would it be a polling, or as it might be in the memory, on the fly change, if I would add the IPv6 address as an alias?

I guess, still out of scope. However, I am just curious.

Edit:
Would it be possible, to set dynamic DNS setting on the domain/subdomain? I mean if it should pass a IPV6 and/or IPv4 address? Maybe the module for dynDNS is not structured for this..

Oh, no. Please don't tell me that.. Yes, it is dynamic.. Could I override the Caddyfile then? I know, that for Caddy there might be such Plugin, but if I would write a script, that checks the current IP? Would that help?

Just a side note from my side: with one of the recent caddy releases on OPNsense, the description for domains and subdomains got a bit out of control. I personally find it problematic, to show the domain and the description, that results in a lot of text, in the selection GUI and on the overview. Do you know what I mean?

Thank you for the explanation.

I have noticed, that since I enabled IPv6 and using Track Interface, most of my subdomains, that are restricted to local IPs, won't work. This is because I only set IPv4 addresses to the access list. How can I allow "local" IPv6 addresses?

[nextcloud.example.com:3478]

Hey there, thank you very much, for bringing Caddy to OPNsense. It is a real pleasure, to such wonderful tool on the sense. I even like it that much, that I use Caddy as a webserver or reverse proxy in other projects as well.

I would like to add a TURN and STUN Server (Coturn: https://github.com/coturn/coturn) to my infrastructure. It is a requirement for my Nextcloud. At first I tried to an additional subdomain to Caddy, that extents to my nextcloud.example.com.

• nextcloud.example.com
• nextcloud.example.com:3478

However, that required to have a wildcard domain with the port 3478 and the actual subdomain nextcloud.example.com:3478. Not to mention opening another port on the firewall.

Would it be possible to use the Caddy: Layer4 Routes feature for my project? Is it an TLS (SNI) type then and moreover, is it still required to open the port 3478 for it?

Als ich das damals bei 1&1 Versatel eingerichtet habe (nutzt VLANs) hat mir das Live Log der Firewall sehr weitergeholfen. Wenn ich anrief oder rausrief, konnte man gut die Pakete sehen, die ankamen oder rausgingen. Dann war schnell klar, ob die Regeln richtig eingestellt waren.

I installed Crowdsec as a plugin on my OPNsense and changed the listening interface of Prometheus, in the config.yml:

Code Select Expand


prometheus:                                                                     
  enabled: true                                                                 
  level: full                                                                   
  listen_addr: 0.0.0.0                                                         
  listen_port: 6060

I try to scrape the data from a docker service with Prometheus. This is the config:

Code Select Expand


global:
  scrape_interval: 15s
scrape_configs:
  - job_name: 'firewall'
    static_configs:
      - targets: ['192.168.1.1:6060']
        labels:
          machine: 'firewall'


However, I am unable to get any data in Grafana..

I used this tutorial for reference: https://medium.com/@ravipatel.it/building-a-monitoring-stack-with-prometheus-grafana-and-alerting-a-docker-compose-ef78127e4a19

I have a similar problem. From time to time, my domains are not reachable. I restricted them to the LAN network. Some services and my vacuum robot. The only thing that helps, is to perform a restart of the OPNsense and to get a new IP and new Records for the domains. A restart of caddy won't work. The services are reachable by their IP, when the problem occurs.

Would it help to set caddy to debug and send the log from the beginning, when it's working until the moment it fails? It could be a lot of log data, because I don't know when it will happen. Moreover I think, that this is related to a problem with IPv6 prefix delegation. In general, would it be a good idea, to combine the caddy logs, with the logs of the OPNSENSE system? Is this only manually possible?