Messages

Hallo,
um das Thema abzuschließen habe ich die Lösungen gefunden.

In Adguard wie im Screenshot zu sehen muss der Puffer auf 0 gesetzt werden, da Unbound die DNS Einträge speichert.

Das Problem mit den DNS Einträgen bei meinem NVR ist auf ein Firmwarebug zuruckzuführen laut Support.

Hallo,
ich habe seit 2 Tagen die DNS anfragen über Unbound+Adguard laufen um eine DoT Verschlüsselung zu erreichen.
Ich habe mich an die Anleitung von @yeraycito gehalten

- Activate mimugmail's community repository:

SSH Opnsense: fetch -o /usr/local/etc/pkg/repos/mimugmail.conf https://www.routerperformance.net/mimugmail.conf

2 - Install AdGuardHome from System --> Firmware --> Plugins

3 - Opnsense - System - Settings -General

      DNS Servers: empty

      Untick: Do not use the local DNS service as a nameserver for this system

      Untick: Allow DNS server list to be overridden by DHCP/PPP on WAN

4 - Services – DHCPv4 – [LAN] : DNS Servers all empty

5 – Opnsense – Services - Unbound DNS – General

       Tick: Enable Unbound ( Listen Port: 5353 )

       Tick: Enable DNSSEC Support
       
       Network Interfaces: All

6 - Opnsense - Services - Unbound - Dns Over Tls

      Server IP: 1.1.1.1

      Server Port: 853

      Verify CN: cloudflare-dns.com

7 - Activate and start AdGuardHome from Services --> AdGuardHome

8 - Navigate to http://Opnsense ip:3000/ ( 192.168.1.1:3000 ) to complete the setup Adguard

9 - Adguard Home - DNS Configuration - Upstream Servers:

      Add Opnsense ip:5353  ( 192.168.1.1:5353 ) Delete those that exist

10 – Adguard Home – DNS Configuration – Bootstrap DNS servers

      Add Opnsense ip:5353  ( 192.168.1.1:5353 ) Delete those that exist
     
11 - Adguard Home - DNS Configuration - Private reverse DNS servers:

           192.168.1.1:5353

Der Dienst funktioniert ein Test über https://one.one.one.one/help/ bring ein Yes bei DoT.

Nun zu meinen eigentlichen Fragen.

Die Upstream Antwortzeit liegt im Durschnitt bei 100 m, manche Anfragen laut Log brauchen sogar 300-400ms.
Eine Anfrage direkt über 1.1.1.1 ist da deutlich schneller, liegt dies am Umweg durch Unbound?

Ein Endgeräte (NVR der Überwachungskamera) hat nach dieser Umstellung keine Internetverbindung mehr, ich musste in den Einstellungen vom Gerät den DNS auf 8.8.8.8 ändern damit es wieder Funktionierte. Ich frage mich warum 1.1.1.1 nicht funktioniert hat vorher war 9.9.9.9 gewesen (von Adguard standard) wo ist hier der Unterschied?

Ich hoffe ihr bringt mir wieder etwas Licht ins Dunkle und ich kann wieder etwas dazulernen.

Vielen Dank!

Gruß Luca

Vielen Dank für die Antworten!
@Patrick wieso wird es Problematisch wegen PPPoE?

Mir ist eingefallen das ich auch einfach den 2 Port meiner NAS dem jeweiligen VLAN zuweisen kann mit eigener IP etc.
Ich glaube das wird das ganze vereinfachen.
Jeder VLAN der Zugriff auf das NAS benötigt hat seine eigenen Port an der NAS sowie an der OpnSense.
Diese sind zwar nur 1 Gbit/s Ports aber für Backups und Fotogaliere reicht es vollkommen.

@Zapad
Werde mich aber trotzdem dem Thema ACL widmen und probieren, nur so lernt man.

Danke!

Aktuell wird alles über die OPNsense geroutet, da die WLAN Clients eh nicht die volle Bandbreite von 2,5 Gb/s ausnutzen können würde ich dabei auch bleiben.
In diesem Fall ging es mir um die Sicherheit, da ich 8 VLANS besitze (Gäste IOT Familie etc..) aber nur 2 VLANS auf das NAS zugreifen sollen werde ich denke ich die NAS an einen freien Port der OPNsense einrichten und die Firewall Regel von Patrick umschreiben dass nur 2 VLANS Zugriff auf die NAS haben.

Ich denke dies ist die sicherste und für mich als "laie" beste Methode.

Gerne kannst du mich berichtigen.

Danke!

Guck mal hier, wie man den Verkehr zwischen den VLANs unterbinden kann:

https://forum.opnsense.org/index.php?topic=46094.msg230851#msg230851

Hallo Forum

ich habe die VLAN Rule von Patrick angewendet um den Datenverkehr zwischen den VLANS zu unterbinden.
Ich möchte aber gerne die Geschwindigkeit meines Heimnetzwerkes nutzen um auf die NAS Backups etc. durchzuführen.
Über einen Proxy habe ich aufgrund meines schlechten Internets nur ca 3 MB/s an Upload.

lässt sich eine Regel erstellen das nur diese eine IP des NAS zugänglich ist für bestimme VLANs?
Oder sollte ich die NAS in ein extra VLAN nehmen und den Zugang auf dieses VLAN einfach erlauben?

Ich frage mich welche die "Sicherste" Methode ist.

Vielen Dank für die Hilfe.

Hallo Cedrik,
Super vielen Dank.

Ist es richtig das in meinem Aufbau (Speedport Smart 4 im Router Modus --> OpnSense) ich den Port 443 auf dem Speedport öffnen muss um auf die NAS zuzugreifen?

[TLS Insecure Skip Verify]

Hallo,

ich probiere mich grade darin meine Synology NAS mit diversen Diensten erreichbar aus dem Internet zu machen.
Eigentlich kann die NAS sich über ihren eigen DDNS Dienst ins Internet bringen aber ich denke das dies Angreifern etc. zu einfach macht aufgrung der einfachen URL synology.me und den bekannten Standard Ports.

Meine überlegung war diese hinter einer Domain in Caddy zu verstecken, macht das überhaupt Sinn oder ist das ganze bereits überflüssig?

Nun kommen wir zu meiner eigentlichen Frage.

Aktuell ist meine NAS über den Standard Port 5001(https) erreichbar setze ich unter Handlers nicht den Haken bei TLS Insecure Skip Verify ist die NAS nicht erreichbar.

Wird diese Verbindung dadurch wie beschrieben unsicherer oder verstehe ich da etwas falsch?


Ein Screenshot im Anhang.

Vielen Dank für die Antworten und entschuldigt die vielleicht dumme Frage, ich lerne noch dazu :)

Gruß Luca

Vielen Dank für die schnelle Antwort!

Gruß Luca

Ich muss das Thema noch einmal aus der versenkung holen..

Ich habe nun einen extra Port genutzt (igc3) um die VLANS vom LAN zu trennen, aber irgendwie habe ich es geschafft das igc3 nicht vergeben ist aber die VLANS über diesen Port laufen. Siehe Screenshot.
ist dies ein Problem oder sogar so richtig? vorstellen kann ich mir das nicht.

Vielen Dank

Vielen Dank für dein Tipp, ich habe die Regeln bzw Aliase gleich angelegt wie du damit es einfacher ist zu vergleichen.
Ich werde das LAN(Benutze Aktuell ja nur ich..) zu einem VLAN ändern.
Welche Auswirkungen haben den tagged und untagged auf dem selben Interface?
Meine Hardware hat ja noch 2 Ports frei sollte ich eventuell die VLANS bzw LAN auf die Ports aufteilen?

Guck mal hier, wie man den Verkehr zwischen den VLANs unterbinden kann:

https://forum.opnsense.org/index.php?topic=46094.msg230851#msg230851

Hallo Patrick,

habe ich probiert.. ein Pingen aus dem VLAN 192.168.30.3 auf 192.168.1.116 ist immer noch möglich.
Sollte dies nicht verhindert werden?


EDIT:
Oke habe meinen Denkfehler gefunden..
Ich kann unter den VLANs nicht Pingen aber ins Lan(192168.1.) geht.
Wenn ich dies unterbinden möchte muss ich unter dem Interface Restricted das Lan Netzwerk mit hinzufügen.
Hat dies irgendwelche Auswirkungen ?

Moin, die einzige Lösung ist soweit ich weiß nur ein DrayTek Modem vorzuschalten und dann die OPNSense.

Das nicht. Den Switch braucht er ja, um den Trunk zu verteilen.

Trunk und VLANs = Layer 2

Routing = Layer 3

Ich habe die Zeichnung oben geändert, selbstverständlich habe ich diese auf der OPNSense angelegt.
Aber auch Zeitgleich in Omada mit gleichen Einstellungen um über die entsprechenden SSID zu gehen.

Hallo Patrick, leider war meine Grafik falsch
Selbstverständlich habe ich die Vlans in der OPNSense angelegt.

Hallo Forum,

ich hoffe hier etwas neues zu lernen.

Ich habe aktuell noch einen Speedport Smart 4 mit 5G Empfänger der hoffentlich ab mitte des Jahres einem Glasfaseranschluss weichen muss.

Ich baue aktuell ein Netzwerk auf mit OPNSense (was auch sonst hier im Forum..) und Omada.

Das Omada Netzwerk funktioniert bereits einwandfrei und bedient aktuell ca. 20 Clients. Die Anzahl wird sich zum Glasfaservertrag ändern da meine Familie aktuell jeder einen seperaten Festnetz Vertrag hat und wir einen gemeinsamen Glasfaseranschluss nutzen wollen (Kosten Sparen lieber 1x 50€ wie 3 x 40€ )

Hier das entsprechende Netzdiagramm:
AN / Internet
            :
            : Telekom Hybrid
            :
      .-----+-----.
      |  Gateway  |  Speedport Smart 4 Hybrid
      '-----+-----'
            |
        WAN | DHCP IP vom Speedport
            |
      .-----+------.   
      |  OPNsense  +--
      '-----+------'   
            |
        LAN | 192.168.1.1
Aufgeteilt in 5 VLANS
192.168.10.1 Mein VLAN
192.168.20.1 VLAN Bruder
192.168.30.1 VLAN Eltern
192.168.40.1 VLAN IPCam
192.168.50.1 VLAN IoT
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers)     Irgendwo meine Synology? Aktuell noch unter 192.168.1.111 mit offenem https Port(5001) für Photos Sicherungen



Ich habe aktuell noch keine Regeln erstellt außer die entsprechenden VLAN Regeln damit diese nach draußen kommunizieren können. Leider habe ich noch nicht so ganz verstanden wie die Regel aussehen muss damit dieser DHCP Bereich für sich bleibt und keine Verbindung zu einem anderen VLAN schafft. bzw nur auf das NAS zugreifen kann.

Hier ein Foto der Regel Übersicht vom VLAN meines Bruders



Für den zusätzlichen Schutz meiner Augen habe ich Adguard installiert und nutze die entsprechenden Filter und den DNS
Auf dem Lan Port ist Zenarmor  eingerichtet nach der Anleitung von Zenarmor selbst.
Auf dem WAN Port ist IDS und IPS eingerichtet nach der Anleitung von Thomas Krenn.


Meine Abschließende Frage ist.. Macht dieser gesamte Aufbau überhaupt Sinn? oder öffne ich das Tor zur Unterwelt?
Ich bin für verbesserungsvorschläge und Tipps offen bin absoluter Neuling in dieser Welt.

Vielen Dank

Mit freundlichen Grüßen

Luca