Messages

1

24.7 Production Series / Re: 24.7.10 Unbound DNS: DNS over TLS NOK?

« on: Today at 03:38:13 pm »

From the release notes:
o system: remove the SSL bundles in default locations

Is this unbound still using these SSL bundles?

2

German - Deutsch / Re: Off-topic: merkwürdiges Verhalten einer Fritzbox mit SIP und DECT

« on: November 05, 2024, 11:02:55 am »

Hi,

meine Fritz!box nimmt Nummern aus 172.17/16 und 10.88/24 für die Telefonie. Ist ein Vodafone Kabelanschluss.
Es sieht so aus, als ob Vodafone nicht das volle 172.16/12 nimmt.
Irgendwann vor einigen Jahren habe schon mal nachgesehen und da waren es auch diese beiden Netze. Es scheint also relativ konstant zu sein.

Gruß
KH

3

24.7 Production Series / Re: [NOOB] Vlan configuradion - bridge vlan is good solution?

« on: October 30, 2024, 04:33:17 pm »

OpnSense not allowed assign same vlan tag on different port. So I'm not able to assign vlan20 to port2 and port3 at the same time. Sorry for making that confusing.

Sure it allows that. But the name needs to be unique. You cannot create two vlans with the name of vlan20.
Just name the second one e.g. vlan0.20

4

German - Deutsch / Re: iCloud Private Relay und Safari

« on: October 24, 2024, 10:35:23 pm »

Danke. Ich muss noch einmal nachfragen. Wenn ich Safari auf IOS benutze, triggern manche Filterregeln nicht, weil Safari die anscheinend umgeht. Ob ich das im private Tab mache oder nicht ist egal.

Wie kann ich das ändern? Ich würde gerne, dass alles, auch vom iPhone gefiltert wird. Ich nutze Adguard Home und DNSleaktest erkennt meine DNS Server. Ich habe private Relay in der iCloud nicht aktiviert.

In den WLAN-Einstellungen gibt es den Schalter Tracking der IP-Adresse beschränken welcher hierfür auch die DNS Server von iCloud Privat Relay verwendet.
Wenn der in der Einstellung von deinem WLAN ausgeschaltet wird, dann wird dieses iPhone mit Safari und Email nicht mehr deinen DNS umgehen.

Wenn du es für alle Apple-Geräte in deinem Netzwerk ausschalten willst, dann gehe in Adguard Home unter Filters auf Blocked Services und aktiviere dort den Schalter für iCloud Privacy Relay. Dann werden Diese nach einiger Zeit auch nur noch deinen DNS Server verwenden. Es dauert etwas, bis die DNS-Cache-Einträge des Geräts abgelaufen sind.

Gruß
KH

5

German - Deutsch / Re: iCloud Private Relay und Safari

« on: October 24, 2024, 10:19:36 pm »

mask.icloud.com is the top blocked domain in my setup. I am a bit puzzled because I never noticed any performance issues with that.

It's part of "HaGeZi's Encrypted DNS/VPN/TOR/Proxy Bypass" block list.

Ich nehme an, dass ist eine DNS-Blockliste. D.h. mask.icloud.com und mask-h2.icloud.com werden nicht aufgelöst bzw. mit NXDONAIN, 0.0.0.0 oder ::0 beantwortet und dann schalten alle Apple Betriebssysteme diese Funktion aus. Dann gibt es auch keine Verzögerung. Es funktioniert dann so wie von Apple beabsichtigt.
Wenn man jedoch die Namesauflösung erlaubt, aber den Zugriff darauf blockiert, dann gibt es die Verzögerungen.
Das erklärt Apple in https://developer.apple.com/icloud/prepare-your-network-for-icloud-private-relay/

Gruß
KH

6

German - Deutsch / Re: iCloud Private Relay und Safari

« on: October 23, 2024, 11:34:27 am »

Kann mir jemand erklären, wieso das der Fall ist? Ich habe Private Relay _nicht_ aktiviert. Wenn ich einen anderen Browser wie Chrome nutze, habe ich das Problem auf dem iPhone nicht und die Website laden schnell und ohne großes Delay.

Wenn du Private Browsing in iOS/iPadOS verwendest, dann wird das iCloud Privat Relay verwendet, auch wenn du nicht iCloud Privat Relay aktiviert hast.

Eine Möglichkeit, iCloud Privat Relay komplett zu deaktivieren, ist deinen DNS-Server so einzurichten, dass für mask.icloud.com und mask-h2.icloud.com NXDOMAIN zurückgegeben werden.
Nur so als Beispiel: in Adguard Home kann man es unter Blocked Services ausschalten.
Vorher hatte ich es mit einer Filter-Regel in Adguard Home deaktiviert. Wie man das mit unbound umsetzen kann, weiß ich leider nicht. Müsste aber auch gehen. Eventuell kann man ja 0.0.0.0 bzw. ::0 als Adresse zurückgeben ...

Die Info gibt es unter anderem auf: https://developer.apple.com/icloud/prepare-your-network-for-icloud-private-relay/

Gruß
KH

7

German - Deutsch / Re: OPNsense Hardware für 200 Mbit/s Downlink

« on: September 01, 2024, 01:56:37 pm »

Hi,

Ich habe den hier: https://www.amazon.de/dp/B0CB3D227Q
Der schafft 2,5 GB zwischen VLANs und 1GB Download via Kabel (Fritzbox) parallel.
Habe so ca. 20 VLANs (Zuviele, ich weiß) und Adguard Home laufen.

D.h. mit 200 Mbit sollte das gar kein Problem sein.

Gruß
KH

8

German - Deutsch / Re: WLAN-ap mit OPNSENSE funktioniert nicht

« on: June 13, 2024, 09:47:52 pm »

Hi,

deine Regeln auf dem WLAN Netzwerk können nicht funktionieren. Du hast als Ziel das WAN Netzwerk angegeben. Da sind aber nur das Gateway deines Providers und ein paar andere Kunden deines Providers. Oder in deinem Fall alles was sich im LAN deines Fli4l befindet. Alles andere wird geblockt.
Als Ziel must du any angeben. Dann kommst du ins Internet.

Des weiteren solltest du als Quelle das WLAN Netzwerk auswählen. Denn wenn auf dem WLAN Interface etwas ankommt was keine Adresse aus dem WLAN Netz hat, dann ist da was falsch konfiguriert oder faul.

Gruß KH

9

German - Deutsch / Re: NAT treibt mich in den Wahnsinn :-D

« on: June 03, 2024, 08:27:04 pm »

Hi,

Sehe ich das richtig, das Interface igb0 ist WAN? Und du die OPNsense macht PPPoE?
So ganz kenne ich mich damit nicht aus, da ich diese Konfiguration verwende, aber WAN muss das durch PPPoE angelegte Interface pppoe0 (oder so) sein.

Gruß
KH

10

24.1 Legacy Series / Re: Letsencrypt cron renew the firewall certificate but webgui don't use it.

« on: May 17, 2024, 02:45:36 pm »

Hi,

that is what the Automations in the ACME Client are for.
You need to add a Restart OPNsense Web UI automation in ACME Client -> Automations and then assign it to the certificate in ACME Client -> Certificates.

Works for me

11

German - Deutsch / Re: Services: UDP Broadcast Relay ... klappt wohl nicht?

« on: February 23, 2024, 11:30:13 am »

Du hast eigentlich Deine Frage schon fast selbst beantwortet: Du schreibst, dass Du das UDP Broadcast Relay installiert hast und berichtest dann davon, dass die MDNS Multicasts nicht funktionieren...

Ich empfehle os-mdns-repeater anstatt os-udpbroadcastrelay.

Aber der UDB Broadcast Relay macht genau das:

udbproadcastrelay is a UDP multicast relayer. Its intended use is to
rebroadbcast udp packets on a specific port across interfaces, be those
interfaces physical or VLAN.

Bei mir hat der os-mdns-repeater nicht funktioniert ...
Der os-udpbroadcastrelay tut bei mir mit AirPlay, AirPrint etc. wunderbar.

Frage an Nordlicht:
hast du den eine Firewall-Regel, dass die mdns-Packete auf die Firewall dürfen? Normalerweise kommen die nicht drauf.
Für jedes beteiligte Netzwerk/VLAN:
IPv4 UDP     Netzwerk net     5353      224.0.0.0/8      5353        *        *
IPv6 UDP     Netzwerk net     5353      ff02::/16          5353        *        *


Das ist nur die Discovery. Für jedes Protokoll brauchst du dann eigene Regeln, dass es klappt.
Gruß
KH

12

German - Deutsch / Re: OPNsense hinter Fritzbox kein Internet obwohl Ping und Routing Okay ist

« on: January 28, 2024, 05:59:40 pm »

Hallo

Der LAN hat eine feste IP .178.40 und der WAN .178.41 auch.

Das ist der Fehler. OPNsense ist vom Konzept her darauf ausgelegt, dass WAN und LAN in unterschiedlichen Netzwerkbereichen liegen. Nimm für das LAN z.b. .180.1 oder 10.1. Und vermeide .179.1, denn das ist das Gast-Netz der FB.
Für die VLANs vermeide die ID 1, denn manche Hersteller verwenden diese als Default.

Gruß KH

13

German - Deutsch / Re: OPNsense an Fritzbox DSL

« on: December 30, 2023, 10:56:17 am »

Hi,

nimm mal ein anderes Netz für das LAN der OPNsense als 192.168.179.0/24. Das ist das Gast-Netz der Fritz!Box. Kann sein, dass die damit nicht klar kommt.

Gruß
KH

14

German - Deutsch / Re: lokale DNS-Namen funktionieren nicht im Browser

« on: December 20, 2023, 11:38:04 pm »

Woran könnte es noch liegen?

Oder das dein Browser „Sicheres DNS“ aktiviert hat und damit gar nicht mehr über das Betriebssystem geht, sondern direkt den Google oder Cloudflare DNS Server via DoH fragt.

Gruß KH

15

German - Deutsch / Re: OPNsense / Proxmox / Rclone

« on: November 18, 2023, 07:39:28 pm »

Wenn ich jetzt ein Backup über RClone anstosse (zu einer Hetzner Storage Box bzw. Dropbox) dann komme ich von der Geschwindigkeit max auf 300-600 kib/s.

Nur so als Idee:
Ist in der rclone Konfiguration oder im Aufruf eine der bwlimit Optionen von rclone gesetzt?

Gruß KH