Messages

Ist das nicht möglich oder weiß nur niemand, wie es geht?

Hallo,

aufgrund der Peering-Problematik der Telekom mache ich Policy-Based-Routing zum Cloudflare CDN über mein VPS via Wireguard VPN. Dafür habe ich Firewall-Regeln implementiert, die den Traffic dorthin über das Gateway meiner VPN-Verbindung schicken.

Was muss ich konfigurieren, damit auch der Squid dieses Gateway nutzt? Die OPNSense selbst soll weiterhin das Default Gateway nutzen.

Isn't exactly this explained here? https://forum.opnsense.org/index.php?msg=257544

Die Firewall-Regeln sehen wie automatisch erstellte Regeln aus, die durch NAT-Regeln generiert wurden. Wenn du eine (Port Forward) NAT-Regel erstellst, wird automatisch eine Firewall-Regel auf dem Interface angelegt.

Diese Regeln lassen sich nicht duplizieren oder bearbeiten. Das musst du unter Firewall -> NAT machen.

As far as I know, MacOS handles .localdomain the same way as .local. This is reserved for mDNS and is answered via Multicast, not via a central DNS service.

You should not use any domains starting with local as DNS name in your network. Use home.arpa instead which is reserved for exactly that purpose.

use .home.arpa. This is a local zone by default in Unbound.

If you want to use .internal, you may add it manually to local zones via config file in /usr/local/etc/unbound.opnsense.d

Code Select Expand

server:
  local-zone: "internal." static


I just found it very convenient being able to add the hostnames to the table with a click. Now that click removes the IP addresses which are my primary reference when using the live log. I do not necessarily know in the first place to which subnet a hostname belongs. So I have to disable / enable that checkmark multiple times while looking at the logs. In my eyes this is a step backwards in terms of usability.

Maybe this can be optional?

Can we somehow get the old behavior back?

Hi,

prior to the 25.7.10 release, when ticking the "Lookup hostnames" checkbox in the firewall live log, a new column appeared. Now, when that box is ticked, the "Source" column is replaced by the "Source Hostname" column. This means we can no longer see both the IP address and the hostname simultaneously in the live view.

Is this a bug or an intended change?

Zweite Frage habe ich wohl beantwortet. Ich konnte von einem anderen Gerät ein Portmapping auf die 192.168.100.20 anlegen, nicht jedoch auf andere Adressen. Die ACL bestimmt also nur, welche Ports auf welchen Geräten geöffnet werden können.

Wie kann ich also das Gerät 192.168.100.20 zum "Master" machen, so dass es Portweiterleitungen auf alle anderen Geräte im Netzwerk anlegen kann?

Hallo,

mit dem 25.7.9 Update gibt es neue Optionen für das UPnP IGD & PCP Port Mapping.

Erste Frage:

"The access control list (ACL) specifies which IP addresses and ports can be mapped. IPv6 is currently always accepted unless disabled."

Also kann ich hier keine Regel für IPv6 definieren? Ich habe ACLs definiert, damit nur bestimmte Hosts bestimmte Ports öffnen dürfen. Ich muss also IPv6 Mapping komplett deaktivieren, wenn ich nicht möchte, dass irgendwelche Geräte irgendwelche Regeln erstellen dürfen?

Zweite Frage:

"Allow third-party mapping: Allow adding port maps for non-requesting IP addresses."

Bedeutet das, ich lege nun eine ACL an, z.B. "allow 1-65535 192.168.100.20/32 1-65535" und dieses Gerät darf dann Port Mappings auf jede IP-Adresse anlegen? Oder lege ich damit komplett die ACLs lahm?

Kurze Rückmeldung zum Thema: Seit dem DSLAM Line-Reset ist das Problem vollständig verschwunden. Alles funktioniert seit Juli wieder einwandfrei.

Das Problem lag offensichtlich auf Seite der Telekom und nicht bei mir.

Das schon. Aber auch in einem Platzhalter sollte man doch Beispiele verwenden, die sich zumindest an gängigen Standards orientieren. meinedomain.internal oder meinedomain.home.arpa wären da als Platzhalter besser geeignet, finde ich 😉

Auf dem Host dahinter laufen mehrere Dienste die zum Teil viele Ports benötigen. Daher wäre mir das zu fummelig für jeden Port einzeln eine NAT-Regel anzulegen.

Dafür gibt es Aliase. Du bündelst die Ports in einem Alias und legst mit diesem dann eine NAT-Regel an.

Woher der DNS Suffix kommt "local" erschließt sich mir nicht. Habe das nirgends eingetragen.

.local ist mDNS https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS

Offiziell vorgesehen für Heimnetze ist .home.arpa; .internal kommt neu dazu und ist in der Standardeinstellung noch keine local-zone in Unbound.