OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • Profile of Maurice »
  • Show Posts »
  • Messages
  • Profile Info
    • Summary
    • Show Stats
    • Show Posts...
      • Messages
      • Topics
      • Attachments

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

  • Messages
  • Topics
  • Attachments

Messages - Maurice

Pages: [1] 2 3 ... 5
1
General Discussion / Re: Configuring outbound access for multiple subnets on a layer 3 switch
« on: May 20, 2019, 12:25:10 pm »
You say hosts in 172.31.255.0/24 do have working Internet access. Is there any difference between your firewall rules for this subnet and the 172.31.120.0/24 subnet? Do you still see denies in the firewall log?
Did you add the Ubiquiti device as a gateway to OPNsense and configure a static route to 172.31.120.0/24 via this gateway?
Can you rule out misconfiguration of the Ubiquiti device?

Cheers

Maurice

2
German - Deutsch / Re: zu erwartende Geschwindigkeit in der VM?
« on: May 19, 2019, 10:48:45 pm »
Moin Patrick,

An der CPU wird es nicht liegen. Wie Du selbst sagst ist die wenig ausgelastet.
Ich habe u. A. eine OPNsense als Hyper-V-VM auf einer noch schwächeren CPU laufen (10 Jahre alter Core 2 Duo P8600). Bei 150 Mbps LAN-WAN-Durchsatz kommt die auf ~25% CPU-Auslastung.

Grüße

Maurice

3
German - Deutsch / Re: Kein Zugriff vom WAN
« on: May 19, 2019, 09:24:57 pm »
Moin Luma,

Versuch es mal mit Firewall / Settings / Advanced / Disable force gateway.

(Sobald für ein Interface ein Gateway definiert ist schickt die OPNsense alles dorthin, selbst wenn die Zieladresse im Subnetz des Interfaces liegt. Dieses Verhalten ist ziemlich grotesk und sorgt immer wieder für verzweifelte User, ist aber "aus Gründen" immer noch Default-Einstellung.)

Grüße

Maurice

4
19.1 Production Series / Re: Unbound DNS fails for specific address.
« on: May 19, 2019, 03:35:42 am »
127.0.0.1... Is this a quiz? ;)

My guess would be that the name servers ns.ama.pt / ns2.ama.pt simply don't respond to queries coming from certain IP addresses. That would be your own public IPv4 address when using unbound vs. one of Cloudflare's addresses when using 1.1.1.1 (with or without dnsmasq as a forwarder).

Cheers

Maurice

5
19.1 Production Series / Re: Setting up ipv6 tunnel Hurricane Electric, can not ping LAN interface from LAN
« on: May 18, 2019, 05:02:08 pm »
Quote from: gunnarf on May 15, 2019, 04:58:16 pm
What should the value be for ipv6 configuration type for Hurricane electric?

Please have a look at the documentation: https://wiki.opnsense.org/manual/how-tos/ipv6_tunnelbroker.html

Cheers

Maurice

6
General Discussion / Re: Configuring outbound access for multiple subnets on a layer 3 switch
« on: May 18, 2019, 02:53:36 pm »
You need to add an outbound NAT rule for the 172.31.120.0/24 subnet.

Cheers

Maurice

7
German - Deutsch / Re: NAT-Portweiterleitung vom LAN zu VLAN für Drucker
« on: May 18, 2019, 02:32:23 pm »
Moin,

Mit Port-Forwarding bist Du auf dem völlig falschen Dampfer. Zwischen LANs wird im Normalfall nicht geNATet, sondern ganz normal geroutet. Also einfach eine Firewall-Regel anlegen.

Grüße

Maurice

8
19.1 Production Series / Re: Possible Routing Bug?
« on: May 12, 2019, 04:33:40 pm »
Try "Disable force gateway" in Firewall / Settings / Advanced.

Cheers

Maurice

9
19.7 Development Series / Re: IPv6 DUID-EN Support
« on: April 29, 2019, 08:41:41 pm »
Quote from: marjohn56 on April 26, 2019, 12:43:33 pm
The question is rather should we allow the use of other PENs or only the FreeBSD one or only the one that would be allocated to Opnsense. The latter would be my preference but in the meantime I've used the FreeBSD one.

I think it's a good idea to only use the FreeBSD PEN (or a yet to register OPNsense one) for the auto generation ('Insert a new EN DUID' link). Users can always enter a DUID-EN with custom PEN by calculating and entering it manually, right? Or did you mean whether to actively block that by asking "should we allow the use of other PENs"?

(Oh, and I think you forgot the hex conversion in your PR. Should be: "\x00\x02\x00\x00\x08\xBE")

Cheers

Maurice

10
Tutorials and FAQs / Re: [SOLVED]19.1 - DHCPv6 settings to hand out ipv6 to wifi devices on google wifi
« on: April 29, 2019, 04:06:06 pm »
That's odd. The Google thingy always is the "sub-router" of some other router, be it your local OPNsense or your ISP's router. Shouldn't make any difference.

The "documentation" says that the Google thingy runs connectivity tests to some unknown Google servers and might disable IPv6 completely if it's not happy with the results. Wow. Also, the configuration options seem to be slightly limited: "Tap IPv6. Switch the toggle to the ON position."

(Note to self: Don't ever buy networking gear from companies whose primary businesses include advertisement and cat videos.)

11
German - Deutsch / Re: Site to Site VPN mit Fritzbox
« on: April 28, 2019, 04:42:46 am »
OPNsense kann PPPoE-Verbindungen wohl (noch) nicht abhängig vom CARP-Status auf- / abbauen.
Daher ja der Vorschlag, den Vigor PPPoE machen zu lassen:
  • Vigor als PPPoE-Client konfigurieren und "True IP DMZ" aktivieren (mit der virtuellen CARP-MAC-Adresse als Host).
  • Auf den OPNsenen die statische öffentliche IPv4-Adresse als CARP-Adresse zu den WAN-Interfaces hinzufügen.
(Ich habe das nicht getestet, aber eine andere Lösung mit OPNsense wüsste ich nicht.)

12
German - Deutsch / Re: Site to Site VPN mit Fritzbox
« on: April 27, 2019, 05:46:08 pm »
CARP verwendet die gleichen virtuellen MAC-Adressen wie VRRP: 00-00-5E-00-01-xx, wobei xx die VHID Group ist.

13
19.1 Production Series / Re: OPNSense behind ISP Modem; all traffic blocked
« on: April 22, 2019, 09:26:53 pm »
If you want OPNsense to perform NAT for subnets other than those of its LAN interfaces, you need to add manual outbound NAT rules.

14
19.7 Development Series / Re: IPv6 DUID-EN Support
« on: April 22, 2019, 02:48:31 am »
The "vendor" doesn't have to be a hardware vendor. For example, Linux generates a DUID-EN by using the systemd enterprise number (43793) and a hash of the the unique machine ID (randomly generated during installation). FreeBSD also has an enterprise number (2238).

15
German - Deutsch / Re: Best practise für IPv6-Funktionalität im Heimnetz
« on: April 20, 2019, 02:39:42 pm »
Moin,

"Other" Virtual IP funktioniert zwar momentan stabiler als "IP Alias", die OPNsense selbst ist dann aber nicht unter der ULA erreichbar. Was die bessere Lösung ist hängt auch davon ab, wie oft der ISP tatsächlich ein neues Präfix vergibt. Bei Kabelnetzbetreibern ist das z. B. nur alle paar Monate der Fall, da kann man ganz gut mit den Unzulänglichkeiten von "IP Alias" leben.

Einzelne Clients zu tracken wird durch Privacy Extensions erschwert. It's not Wildsau spielen, it's a feature. Hat auch nichts mit OPNsense oder dynamischem Präfix zu tun.
Im LAN kann man aber einfach über NDP die MAC-Adresse zu einer fraglichen IPv6-Adresse ausfindig machen (siehe auch NDP Table in OPNsense).
Für ganz spezielle Anforderungen: Privacy Extensions auf den Clients deaktivieren oder stateful DHCPv6 verwenden. Wird aber nicht von allen Clients unterstützt (z. B. Android). Warum in deinem Fall stateful DHCPv6 nicht funktioniert müsste man sich näher anschauen; grundsätzlich funktioniert das.

Grüße

Maurice

Pages: [1] 2 3 ... 5
OPNsense is an OSS project © Deciso B.V. 2015 - 2019 All rights reserved
  • SMF 2.0.15 | SMF © 2017, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2