Messages

So it's working only when a monitor is attached? Maybe you need an HDMI dummy plug.

Ich habe mir hier auch einen Router gebaut und die Kühlung unterschätzt. Zum Glück nutze ich Enterprise-SSDs mit erweitertem Temperaturbereich, so dass die auch im Idle bei ~70°C noch funktionieren. Sobald ich aber nen SMART Test oder ZFS Scrub starte, erhitzen die sich schnell über alle Spezifikationen. Habe dafür auch bisher keine Lösung gefunden.

Was mich aber wundert ist, ich habe "qname-minimisation" in meinem selbst konfigurierten Unbound in dem LXC auch auf "yes", und dort klappt die DNS-Auflösung der beiden genannten Fälle.

QNAME Minimization und Strict QNAME Minimization sind zwei unterschiedliche Dinge.

qname-minimisation: <yes or no>

    Send minimum amount of information to upstream servers to enhance privacy. Only send minimum required labels of the QNAME and set QTYPE to A when possible. Best effort approach; full QNAME and original QTYPE will be sent when upstream replies with a RCODE other than NOERROR, except when receiving NXDOMAIN from a DNSSEC signed zone.

    Default: yes

qname-minimisation-strict: <yes or no>

    QNAME minimisation in strict mode. Do not fall-back to sending full QNAME to potentially broken nameservers. A lot of domains will not be resolvable when this option in enabled. Only use if you know what you are doing. This option only has effect when qname-minimisation: is enabled.

    Default: no

https://unbound.docs.nlnetlabs.nl/en/latest/manpages/unbound.conf.html

Setze qname-minimisation-strict auf deinem selbst konfigurierten Unbound auf yes und du wirst feststellen, dass auch dann das halbe Internet nicht mehr funktioniert.

Kannst du ja machen. Eingehende Verbindungen sollten nur von Ephemeral Ports kommen. Leg dir dafür einen Alias an und blockiere alle Verbindungen, die NICHT von diesen Source Ports kommen.

Dann würde ich ganz simpel erst mal den Blacklisting-Ansatz fahren. Du kannst in OPNSense Aliase erstellen, die Blocklisten von URLs beziehen.

GeoIP: https://docs.opnsense.org/manual/how-tos/maxmind_geo_ip.html
Spamhaus DROP: https://docs.opnsense.org/manual/how-tos/drop.html

Ich habe nebenbei noch weitere Blocklisten abonniert:

firehol_level1: https://iplists.firehol.org/?ipset=firehol_level1
abuseipdb-s100-3d: https://github.com/borestad/blocklist-abuseipdb/tree/main

Damit wirst du schon mal viele Bots los.

Du kannst dir auch nen Honeypot hinstellen und damit deinen eigenen Threat Feed befüllen. Mache ich so auf meinem Hetzner Server https://github.com/r-smith/deceptifeed

Und natürlich gibt es auch noch CrowdSec https://docs.crowdsec.net/docs/getting_started/install_crowdsec_opnsense/

Kann man, aber wozu? Wenn deine OPNSense offen im Netz hängt, kann doch sowieso jeder prinzipiell das WebUI erreichen.

Das hatte ich damals dieser Anleitung entnommen https://www.du-consult.de/opnsense-so-konfiguriert-man-eine-deutschlandlan-pppoe-einwahl/

Wenn das Tagging beim Modem besser aufgehoben ist, werde ich mein Setup vielleicht noch mal umstellen.

EDIT:

Aber vermutlich ist das bei meinem Intel Atom C3808 mit 12 Kernen und 64 GB RAM auch egal?

Spart der Sense Arbeit

Was bedeutet das genau? Lässt sich die Performance verbessern, wenn ich das VLAN im Modem statt in der OPNSense setzen lasse?

Warum wird die VLAN-ID im Modem gesetzt und nicht in der OPNSense?

Eine Fritzbox kann nicht als reines Modem eingesetzt werden https://fritz.com/service/wissensdatenbank/dok/FRITZ-Box-7590/3233_Kann-die-FRITZ-Box-als-Modem-eingesetzt-werden/

So. Alles mit Quelle <Gerät>, das als Ziel NICHT LAN hat, wird rejected.

Port Forward ist nicht nötig, meine Fritzbox funktioniert einwandfrei hinter der OPNSense als IP-Client. Ich habe lediglich die Static Port Outbound Rule gesetzt (und Normalization, damit die Pakete in meinem Netzwerk priorisiert werden).

Auf Screenshot 2025-08-03 112953.png ist eingehender Traffic auf Port 29925 zusehen. Port 5060 ist die Quelle.

Can't find a download for 25.1.12 image.

https://docs.opnsense.org/releases/CE_25.1.html

Stumbled across this issue too now. I can select multiple ICMP types, but only one ICMPv6 type per rule. Is this ever going to be implemented?

I do not see any allow rule for port 57777 on the WAN interface.

Upgraded via WebUI, everything seems fine so far.