Messages

1

German - Deutsch / Re: Lets encrypt Intern

« on: May 24, 2019, 06:09:32 pm »

Du benötigst eine öffentlich erreichbare Domain. Bzw. eine, die der Service, der bei Letsencrypt die Validierung macht resolven kann. Nur intern in einem deiner DNS Server bekannten Domains kann letsencrypt überhaupt nicht validieren.

2

German - Deutsch / Re: IPv6-NAT 1:1 auf IPv4

« on: May 23, 2019, 11:12:18 pm »

Das schöne an IPv6 ist, du musst nix mappen. Und nix natten. Deine Server sollten sich einfach eine IPv6 Adresse zuweisen lassen.

Wenn du am WAN IPv6 anliegen hast kannst du andere Interfaces auf Tracking einstellen. Somit bekommen Geräte in dem Netz dieses Interfaces automatisch eine IPv6 Adresse. Problem zu Hause ist nur, dass der v6 Präfix dynamisch ist.

Ein Mapping einer v4 Adresse auf eine v6 Adresse kann man übrigens nicht einfach mal so machen. Es sind völlig andere Protokolle. Es reicht nicht, im Header Adressen auszutauschen.

Bekommst du vom Anbieter tatsächlich nur ein /64 ? Das wär ja schon bescheiden. Ich kenne kaum nen Anbieter der nicht mindestens ein /56er vergibt, sodass du für jedes Interface theoretisch ein eigenes Netz haben kannst.

3

German - Deutsch / Re: Lokale Domain mit Unbound DNS

« on: May 23, 2019, 09:56:57 pm »

Hey. Ich habe zu Hause einen DNS Server am Laufen. Früher wars n bind auf nem Pi, jetzt macht das meine NAS.

Meine TLD für zu Hause habe ich einfach home genannt. Wenn ich auf meine OPNsense will tippe ich bspw. opnsense.home.

arpa als lokale TLD würde ich nicht empfehlen. Arpa ist eine TLD die für einige technische Aspekte innerhalb von Netzwerken verwendet wird, siehe https://de.wikipedia.org/wiki/.arpa. Als Beispiel wäre die Reverse DNS Auflösung zu nennen. [edit] wie ich gerade las sind home.arpa Adressen zwar tatsächlich dafür vorgesehen, ich finde sie aber nicht schön. :-D [/edit]

Mein DNS Server resolved also meine lokale .home Domain und auf meiner OPNsense habe ich für diese Domain eine Domainüberschreibung eingerichtet. So kann ich meinen Clients die Sense als DNS Server zuweisen und die Sense fragt bei allem was auf .home endet einfach meinen lokalen DNS Server.

Unbound selbst ist nur ein Resolver und hält selbst keine Zonefiles vor. Glaube aber es gibt den bind mittlerweile als OPNsense Plugin.

Einziger Nachteil daran ist, dass ich für meine .home Domain keine vom Browser vertrauten SSL Zertifikate bekomme. Ich bin aber auch kein Freund davon eine Domain sowohl extern als auch intern zu verwenden, das ist aber Geschmackssache. Du kannst natürlich auch eine meinzuhause.de Domain verwenden. Das macht aber mMn. nur dann Sinn, wenn dir diese Domain ebenfalls gehört.

4

German - Deutsch / Podcast-Empfehlung

« on: May 23, 2019, 09:42:34 pm »

Hallo!

Oft kommen Leute her, die OPNsense verwenden wollen, weil sie Gutes darüber gehört haben. Sei es für ihr Unternehmen, aber auch für zu Hause, um den unsäglichen Plasteroutern den Kampf anzusagen.
Nicht jeder von euch ist schon ein Netzwerk-Profi. Und nicht jeder von euch möchte es werden oder tage - und wochenlang Bücher wälzen.
Deshalb denke ich, dass für manche ein Podcast vielleicht eine gute Möglichkeit sein kann morgens auf dem Weg zur Arbeit/Schule/Uni oder auf dem Rückweg, oder abends im Bett die Informationen akustisch aufzusaugen.

Dieser Podcast ist eine absolute und persönliche Empfehlung von mir um Grundlagen der Netzwerktechnik und Funktionsweisen des Internets unkompliziert und meiner Meinung nach auch sehr kurzweilig zu lernen.

Es sind lange Folgen und viele Folgen. Wenn ihr Interesse habt, schaut einfach mal rein. Ich perönlich hab mit keinem der Podcast Autoren was am Hut. Ich finde ihn tatsächlich persönlich absolut toll und empfehlenswert.

Selbst alte Hasen können sich hier noch ihr Wissen bestätigen lassen und die ein oder andere Anekdote abgreifen.

Wenn man dann in etwa weiß wovon die alten Hasen hier immer reden, wenn es um IP, VPN, Router, Firewall, MTU, Interfaces usw. geht hat man mit der OPNsense gleich noch mal mehr Spaß.

https://requestforcomments.de/

5

German - Deutsch / Re: Deutsche Glasfaser bekomme keine IPV6

« on: May 17, 2019, 11:10:11 pm »

Tut mir leid, einfach ne exportierte Config einwerfen ist nicht zielführend.

Du solltest dir erstmal darüber im klaren werden wie dein Anschluss technisch umgesetzt ist. Das heißt konkret:

- Was läuft fürn Protokoll übers Glas? Nacktes Ethernet oder direkt schon IP, oder was anderes
- Wie verteilt der Anbieter v6 Adressen - SLAAC oder DHCPv6
- Hast du einen kompletten Dual Stack oder irgend ein kastriertes DS-Lite?

Sowas kannste dir beim Anbieter erfragen, wenn er nicht ne absolute Niete ist.

Als nächstes: Zeig mir deins, dann zeig ich dir meins. Poste also deine Config und eventuell Log-Auszüge.

So ganz ohne Infos mal ne Config wollen ist schon ein wenig ... naja sagen wir mal so, es bringt nix.

6

19.1 Production Series / Re: Setting up ipv6 tunnel Hurricane Electric

« on: May 15, 2019, 06:24:01 pm »

Do you have firewall rules that allow traffic between LAN and your tunnel interface ?

7

Development and Code Review / Re: Wireguard in opnsense

« on: May 08, 2019, 09:15:58 pm »

Well, after thinking about it, everything is fine as it is.

I just thought about what would solve my "issue" the easiest way without taking into consideration if it is a reasonable solution.

As it turned out, I was also missing an allow rule for my wireguard port on OPNsense Home for IPv6. There is no real problem having the outer hosts connected via v6 and tunneling v4.

8

Development and Code Review / Re: Wireguard in opnsense

« on: May 08, 2019, 03:42:31 pm »

But that would mean, after some reconnect, the dynamic site must send some initial packages before connection is working on both sides.

9

Development and Code Review / Re: Wireguard in opnsense

« on: May 08, 2019, 03:19:36 pm »

Hello,

First, thanks for the work and effort of providing a wireguard plugin for OPNsense.

While testing it I stumbled upon a scenario which caused the vpn tunnel not to work. It may be a rare case, I don't know.

Code: [Select]

-----------------           -------------------
| OPNsense Home | --------- | OPNsense Remote |
|---------------|           |-----------------|
| - dynamic IP  |           | - fixed IP      |
| - dual stack  |           | - dual stack    |
-----------------           -------------------

- OPNsense Home has dynamic dns domain with both A and AAAA records
- Remote Endpoint in OPNsense Remote is set to that above domain
- Both senses prefer IPv6 in general
- The transfer network and the networks to route are IPv4 networks

OPNsense Remote will query the domain, get the AAAA record and connect via IPv6.

But what, if I want to connect via IPv4 only, although IPv6 is available?
A checkbox that asks which protocol to use for the outer connection would be great.

10

German - Deutsch / Re: IPSec vom VPN Provider als gateway

« on: May 01, 2019, 08:58:45 am »

Da bei IPSec im Gegensatz zu OpenVPN kein zusätzliches Transfernetz nötig ist und es auch nicht auf tun/tap Devices basiert musst du einfach nur die IP Adresse des Provider Gateways manuell bei den Gateways eintragen. Und zwar mit dem Interface mit dem auch die IPSec Verbindung läuft.

11

German - Deutsch / Re: Best practise für IPv6-Funktionalität im Heimnetz

« on: April 09, 2019, 09:18:04 pm »

Leider kommt OPNsense nicht damit zurecht a) ein dynamisches Präfix zu tracken UND b) gleichzeitig über ne Virtual IP ne ULA Adresse zu haben. Die kommt dann durcheinander, wenn ein neues dynamisches präfix kommt.

12

German - Deutsch / Re: IPv6: Wie kann man den aktuellen Präfix in Firewall-Regeln referenzieren?

« on: March 27, 2019, 12:00:53 am »

Ich bin durchaus mit dynamischem Präfix zufrieden am Privatanschluss. Das "Problem" liegt eher daran, dass viele Funktionen einfach nicht prefix change aware sind.

13

German - Deutsch / Re: Installation dreht bei VLAN's durch

« on: March 26, 2019, 11:56:22 pm »

Du konfigurierst alle VLAN Interfaces via CLI? Vielleicht ist da der Wurm drin. Die CLI hat hier und da noch ein paar  Macken. Ne Weile wurde auch die DHCP Range nicht korrekt übernommen.

Am besten wäre es tatsächlich, wenn du alles via GUI einrichtest und initial viell. nur WAN und dein Management Netz hoch bringst.

14

German - Deutsch / Re: IPv6: Wie kann man den aktuellen Präfix in Firewall-Regeln referenzieren?

« on: March 25, 2019, 09:21:39 pm »

Leider gibt es keine Platzhalter für das aktuelle IPv6 Präfix in den Firewallregeln.

Du kannst versuchen einen IPv6 DynDNS Dienst zu verwenden, auf diese DynDNS Domain einen Hostname Alias zu setzen und diesen Hostname Alias dann in der Firewall zu verwenden.

Das sollte theoretisch dafür sorgen, dass alle paar Minuten der Alias in seine Adresse aufgelöst wird und diese dann von der Firewall verwendet wird.

Ob Aliases mittlerweile mit ne v6 Host funktionieren weiß ich aber nicht. Hatte da immer Probleme.

15

German - Deutsch / Re: Installation dreht bei VLAN's durch

« on: March 25, 2019, 07:44:09 am »

Kann mich anschließen. Ich habe OPNsense schon zig male für mich privat oder Kunden konfiguriert.
Sowas ist mir noch nie untergekommen.

Natürlich würde auch eine detailiertere Beschreibung deiner Aktionen und Konfigurationen helfen. Zudem auch Daten über die verwendete OPNsense Version und evtl. der Hardware auf der sie läuft.

Dein Problem ist auf jeden Fall ein individuelles und keins das bekannt ist.