Messages

Mein Plan wäre, am Switch (CRS305-1G-4S+IN) zwei Ports zu bridgen, den Port, an dem der GPON Stick steckt sowie den Port, der zum Router geht. So dass die OPNSense direkt auf Layer 2 den GPON Stick sieht. Dann Einwahl über die OPNSense.

Das geht natürlich auch. Wobei das nur Sinn ergibt, falls Du auch Verwendung für die anderen Switch-Ports hast. Ansonsten wäre das Standalone-ONT der Telekom (Glasfasermodem 2) oder ein einfacher Media-Converter (1x SFP, 1x RJ45) naheliegender.

Ich habe ja den ONT-Stick der Telekom, also den Zyxel PMG3000-D20B. Mein Ziel ist es, den I226-V im Router gar nicht zu verwenden, also kein RJ45. Den Switch würde ich nur als externes Gehäuse verwenden wollen, um der Hitzeentwicklung entgegenzuwirken. Den würde ich auch extra dafür anschaffen.

Externe ONTs mit SFP-Uplink zum Router scheint es ja nicht zu geben? Ich habe zumindest bisher keine gefunden.

Also baut der Switch bei dir die PPPoE Verbindung auf?

Das würde ich explizit nicht wollen. Mein Plan wäre, am Switch (CRS305-1G-4S+IN) zwei Ports zu bridgen, den Port, an dem der GPON Stick steckt sowie den Port, der zum Router geht. So dass die OPNSense direkt auf Layer 2 den GPON Stick sieht. Dann Einwahl über die OPNSense.

Mit meinem Netzwerk würde ich den Switch mit dem RJ45 Port verbinden und darüber zugleich via PoE speisen.

Dann auf der OPNSense eine VIP aus dem Subnetz des Sticks, damit ich auf die WebUI des Sticks komme.

Klingt der Plan so umsetzbar?

Ich habe hier auch ein Zyxel PMG3000-D20B für den kommenden Telekom Glasfaser-Anschluss rumliegen.

Mein Router hat keine aktive Kühlung und wird so schon ziemlich heiß. Die SSDs kämpfen bei jedem Scrub oder SMART-Test mit der Hitze.  Wär das dann eher eine schlechte Idee, das Ding im SFP-Port zu verwenden?

Ich würde eigentlich gerne den I226-V komplett umgehen und alles über den X553 laufen lassen.

Wäre es möglich, einen kleinen Switch wie den Mikrotik CRS305 quasi als "externes Gehäuse" für das SFP-Modul zu verwenden? Mit Bridge auf dem Switch über die beiden Ports?

Ansonsten in "Firewall: Settings: Normalization" bei einer Normalisierungsregel als "Protocol -> IPv6" wählen anstatt TCP.

Da wäre ich nicht drauf gekommen, in der Liste der Protokolle nach IPv6 zu suchen. Genau das wars, jetzt passt alles. Danke!

Hallo,

in den Normalization Settings kann man nicht zwischen IPv4 und IPv6 wählen. Wie kann ich unterschiedliche MSS Werte setzen?

Aktuell habe ich 1432 gesetzt und das greift für IPv4 und IPv6.

Eine Fritzbox z.B. macht automatisch: IPv4 1452, IPv6 1432.

Wie stellt man das in der OPNSense ein?

Danke, ich habe ein Feature Request aufgemacht https://github.com/opnsense/core/issues/9918

Hallo,

scheinbar kann man v6-only-preferred (108) in Kea nur für ein Subnetz setzen, nicht aber für einzelne Hosts.

Ist das eine Einschränkung von Kea oder fehlt eine solche Option nur in der OPNSense WebUI?

TURN wäre doch nur nötig, damit die OPNSense als Proxy zwischen den Geräten fungiert, wenn keine direkte Verbindung möglich ist. Das brauchst du hier doch gar nicht.

Was sagt denn das Live-Log? Werden irgendwelche UDP-Pakete gedroppt, wenn du das Kamerabild im Browser aufrufst?

Hast du schon ein Feature-Request auf Github erstellt?

Meiner Erachtens sollte es einfach ein Feld für Custom DHCP Options geben, wo man dann einfach händisch einträgt, was benötigt wird.

EDIT: Laut Github Kommentar ist 114 für Kea Work-in-Progress https://github.com/opnsense/core/issues/8261#issuecomment-3998514198

I use the following NAT rule for this:

Interface: LAN
Version: IPv4
Protocol: UDP
Destination Address: !LAN net
Destination Port: 123
Redirect Target IP: 192.168.100.1
Redirect Target Port: 123

Working fine so far. But I haven't been able to achieve this for IPv6. So I blocked IPv6 NTP completely:

Action: Reject
Interface: LAN
Direction: In
TCP/IP Version: IPv6
Protocol: UDP
Source: Any
Destination: !LAN net
Destination port range: 123-123

Ist das nicht möglich oder weiß nur niemand, wie es geht?

Hallo,

aufgrund der Peering-Problematik der Telekom mache ich Policy-Based-Routing zum Cloudflare CDN über mein VPS via Wireguard VPN. Dafür habe ich Firewall-Regeln implementiert, die den Traffic dorthin über das Gateway meiner VPN-Verbindung schicken.

Was muss ich konfigurieren, damit auch der Squid dieses Gateway nutzt? Die OPNSense selbst soll weiterhin das Default Gateway nutzen.

Isn't exactly this explained here? https://forum.opnsense.org/index.php?msg=257544

Die Firewall-Regeln sehen wie automatisch erstellte Regeln aus, die durch NAT-Regeln generiert wurden. Wenn du eine (Port Forward) NAT-Regel erstellst, wird automatisch eine Firewall-Regel auf dem Interface angelegt.

Diese Regeln lassen sich nicht duplizieren oder bearbeiten. Das musst du unter Firewall -> NAT machen.

As far as I know, MacOS handles .localdomain the same way as .local. This is reserved for mDNS and is answered via Multicast, not via a central DNS service.

You should not use any domains starting with local as DNS name in your network. Use home.arpa instead which is reserved for exactly that purpose.