Messages

1

German - Deutsch / Re: ULA von der Virtuellen IP wird nicht verteilt

« on: February 26, 2023, 01:53:43 pm »

Oh, ja - Entschuldigung, das hatte ich vergessen zu erwähnen.

Router Advertisments ist auf "Managed"...

Stell mal auf Unmanaged. Managed bedeutet, dass du auch DHCPv6 verwenden möchtest und wenn der nicht konfiguriert ist, dann weiß ich nicht, ob es dann läuft.

Und es kann auch an Einstellungen in deinen Switchen liegen. Bei manchen Herstellern muss IGMP-Snooping auf an gestellt sein.

Gruß
KH

2

23.1 Production Series / Re: NUT plugin does not work after upgrade to 23.1

« on: February 22, 2023, 11:00:31 pm »

Hi,

ok, I suggest a health audit.
And check the output of

Code: [Select]

ls -al /var/db/nut/ on the command line.

KH

3

23.1 Production Series / Re: NUT plugin does not work after upgrade to 23.1

« on: February 22, 2023, 10:53:20 pm »

Hi,

What version you are running 23.1? Because in 23.1_6 and newer it should be fixed and you should not apply this patch.
See here.

KH

4

23.1 Production Series / Re: console upgrade to 23.1 failed with no package python37

« on: January 28, 2023, 10:46:07 pm »

Hi

sometimes there is the package py37-markupsafe left installed from some plugin and not upgraded/uninstalled.
That package was causing a few failed health checks in the 22.7 series.

try:
pkg remove py37-markupsafe
If it succeeds, then I guessed right, otherwise run a health check and post the result.

KH

5

German - Deutsch / Re: Unbound nur auf best. VLANs & redirect DNS für hardcoded devices

« on: January 15, 2023, 08:13:39 pm »

Hi,

du kannst das unter DNS settings den Unbound zusätzlich eintragen: [/example.com/]127.0.0.1:53
Port must halt anpassen. Dann nimmt er nur für example.com den Unbound. Wenn du example.com durch deine Heim-Domäne ersetzt, dann klappt die locale DNS-Auflösung für die Clients.
Wenn du nur die 127.0.0.1:<Unbound Port> einträgst, dann nimmt er den Unbound als Upstream.

Und für Reverse: Private reverse DNS servers dort auch den Unbound eintragen.

Gruß
KH

6

German - Deutsch / Re: Lokaler DNS mit Adguard (DNS-Umschreibung)

« on: January 15, 2023, 08:04:21 pm »

Jetzt muss "nur" der Browser mir die Domain auch auf die IP auflösen, um auf das Dashboard zu kommen.

Moderne Browser nehmen unter umständen DoH Server direkt. Und nicht deinen.
Chrome: chrome://settings/security unter Sicheres DNS verwenden ausschalten.
Firefox: about:preferences#general unter Verbinungs-Einstellungen dort unter DNS über HTTPS (de)aktivieren.

Mit Adguard und einem Zertifikat kann man den eigenen Server verwenden.

Gruß
KH

7

German - Deutsch / Re: Multi WAN: Freifunk Offloader (als sep. Netz) auf ein VLAN packen klappt nicht

« on: January 11, 2023, 10:04:48 pm »

Du solltest auch DHCPv4 aktivieren, damit der Freifunk Offloader automatisch eine (private) IP bekommt.

Danke Dir. Also beides "nicht" anhaken ist richtig oder?

Ja.

Bzgl. DHCP - ja das ist aktiv.

Noch eine andere Frage in dem Zuge. Wenn ich ein Wireguard und/oder OpenVPN Client VPN auf der OPNsense aktiviere und es entspr. als Interface und Gateway definiere (was ich mittlerweile ohne Probleme einrichten kann dank der Hilfe hier im Forum), aktiviert man da die Haken für:
- Bogon
- private networks & loopback

In dem Fall wird ja dann der Wireguard Client VPN zu einem Gateway... Oder lässt man dort auch die Haken weg?

Auch weglassen, da dein Wireguard Netz ja private IPs nimmt. Das die Gegenstelle eine nicht private IP hat ist nicht relevant, da im Tunnel ja nur private sind, die damit geblockt werden würden. (Was für ein Deutsch ;-)

Gruß
KH

8

German - Deutsch / Re: Multi WAN: Freifunk Offloader (als sep. Netz) auf ein VLAN packen klappt nicht

« on: January 11, 2023, 01:54:55 pm »

Hi, noch eine Frage dazu.
Ich packe den WAN des Offloaders in dem Beispiel auf eth3 in ein extra Netz rein. Sprich mache dafür ein Interface mit eigenem Sub-Netz usw.
Die Frage ist beim Interface ob ich da jetzt "Block bogon networks & block priv. Networks & loopback" aktiviere, oder nicht?

WAN ist es ja nur aus der Sicht des Freifunk Offloaders. Für die OPNsense ist es ja ein LAN (nicht das LAN). Und da verwendest du ja für IPv4 NAT und private IPs. Und daher darfst du da die priv. Networks nicht blockieren.
Du solltest auch DHCPv4 aktivieren, damit der Freifunk Offloader automatisch eine (private) IP bekommt.

Gruß
KH

9

German - Deutsch / Re: Multi WAN: Freifunk Offloader (als sep. Netz) auf ein VLAN packen klappt nicht

« on: January 07, 2023, 02:44:11 pm »

Ich danke Dir für die Hilfe.

Genau das mag ich eigentlich auch vermeiden, dass man dann die ganzen MAC Adressen da sieht. So wie von Dir beschrieben würde ich diese dann nur auf dem Switch sehen, oder?

Ja.

10

German - Deutsch / Re: Multi WAN: Freifunk Offloader (als sep. Netz) auf ein VLAN packen klappt nicht

« on: January 07, 2023, 12:18:45 pm »

Rein in der Theorie: Könnte ich denn das eth3 interface der OPNsense nicht so einstellen, dass es wie ein Switch das Freifunk Netz aufnimmt? Oder geht das einfach überhaupt nicht und ich muss es direkt an einen Switch hängen?

Jein. Du kannst es ranhängen und dann in ein anderes VLAN (das existierende) weiterleiten. Das sorgt aber nur für viel Müll auf der OPNsense. Zumindest im Freifunk Rhein-Neckar war es so, dass man da alle Netzwerkteilnehmer sah, d.h. du hast Unmengen MAC-Adressen da rumschwirren. Bringt in meinen Augen keinen Mehrwert.
Und den Traffic misst du auch falsch, da der Overhead des VPNs fehlt.

EDIT: Kurz zur Erklärung, warum ich das will.... Ich hätte halt gerne ein wenig einen Überblick, was eben an Traffic über das Netzwerk geht in der OPNsense - und würde mir das gerne entspr. einfach darstellen lassen. Daher der Gedanke, dass über die Sense laufen zu lassen.

EDIT2: Mehr oder weniger so etwas wie die Interface Statistics hätte ich gerne - das würde mir völlig ausreichen. Oder geht es nur mit den Switch-Statistiken einzusehen?

Wenn du wissen willst, was das Freifunk-Netz für Traffic erzeugt, dann hänge das WAN des Freifunk-Offloaders an dein eth3. Dann bekommst du den Traffic zwischen dem Offloader und den VPN-Gegenstellen mit. Und das ist genau der Traffic, den das Freifunk-Netzwerk über deine Internetverbindung benötigt.
Ich würde das wie ein Gast-Netzwerk einrichten, komplett getrennt von allen anderen Netzwerken.

Gruß
KH

11

German - Deutsch / Re: Multi WAN: Freifunk Offloader (als sep. Netz) auf ein VLAN packen klappt nicht

« on: January 06, 2023, 10:39:45 pm »

Hi,

Die UniFi UDM ist ein Router und Switch in einem. Das ist die OPNsense normalerweise nicht.

Zur Funktionsweise der Freifunk Offloader: über einen Internetzugang an NIC 1 (WAN) baut er einen VPN Tunnel zu den Freifunk Gateways auf und bietet dann an NIC 2 (LAN) das Freifunk Netz an, welches dann auf APs als WLAN angeboten werden kann, meist auf einer SSID Freifunk-…

D.h. Das was auf NIC 2 des Freifunk Offloaders rauskommst brauchst du und willst du nicht auf der OPNsense. Das geht nur in den Switch auf ein eigenes VLAN wie bisher. Dieses musst du nicht in der OPNsense anlegen. Das verwirrt da nur.

Auf NIC 1 bauchst du eigentlich nur Internetzugang. Am besten ins Gäste-Netzwerk damit. Ob das direkt an der OPNsense oder an einem Switch hängt ist egal.

Gruß
KH

12

22.7 Legacy Series / Re: IPv6, Track interface, stale DHCPv6 leases and VLAN prefixes

« on: January 03, 2023, 03:19:13 pm »

Hi,

the way I removed such unwanted addresses on a Linux client, was to edit the /var/lib/dhcp/dhclient6.<ifname>.conf and remove the address there. I stopped the dhclient6 process before. After a restart (ifup) of the dhclient6, the old address was gone.

KH

13

German - Deutsch / Re: Adguard Plugin - Probleme mit VPN

« on: December 13, 2022, 08:22:09 pm »

Hi,

ich frage mich, ob der Adguard vor dem Wireguard startet und das Interface nicht da ist ...
Was nehmt ihr denn für eine IP der Firewall um Adguard Home anzusprechen? Eine aus dem Wireguard Netz oder eine aus dem LAN/internes Netz? Sind irgendwelche Regeln im Weg?
Ich habe bei mir Adguard Home in ein eigenes VLAN verbannt, d.h. er läuft nur auf diesem Interface, und Regeln eingerichtet, dass er per DNS/DoH/DoT und DoQ erreicht werden kann. Und es klappt aus dem WireGuard VPN problemlos. Nachteil ist halt, dass ich für jedes (V)LAN im DHCP und in den Router Advertisments die IP des DNS-Servers anpassen muss.

Und warum man Port 5353 UDP nicht nehmen sollte: Der wird für mDNS Broadcast (Bonjour, ZeroConfig, AVAHI und wie sie alle heißen) verwendet. Falls man mal Apple Airplay bzw. Chromecast über Netzwerkgrenzen betreiben will sollte dieser Port dafür frei sein.

Gruß
KH

14

German - Deutsch / Re: DS Lite Unitymedia/Vodafone

« on: December 04, 2022, 06:07:18 pm »

Hi,

DS Lite heißt, dass du eine öffentliche IPv6 und eine Carrier Grade NAT IPv4 oder Private IPv4 bekommst. D.h. Du musst auf dem WAN den Hacken bei Block private networks rausnehmen. Wozu brauchst du da GIF?

And in English, if you do not speak German. Which you should have mentioned.
DS Lite means you get a public IPv6 and a Carrier Grade NAT IPv4 or private IPv4. You need to disable on WAN Block private networks. Why you need GIF here?

KH

15

German - Deutsch / Re: OPNSense und AdGuard Home - IP Adressen Hostname Auflösung klappt nicht

« on: December 01, 2022, 06:52:00 pm »

Eine blöde Frage habe ich auch.

Ich habe es für IPv4 auch zum Laufen gebracht, dass AGH mir auf der Web UI die Namen der Geräte anzeigt. Aber wie mache ich das, dass das auch für IPv6 geht?
Bei "Private reverse DNS servers" habe ich nun auch noch die link lokale IPv6 meiner Sense in einer extra Zeile eingetragen. Allerdings scheint sich hier selbst nach einer Weile nichts zu tun. Die Namen der Geräte werden mir nur dann angezeigt, wenn AGH sie mit einer IPv4 anzeigt.

IPv6 DNS Auflösung der eigenen IPv6 Adressen aus dem Heimnetzwerk ist schwierig. Ich gehe jetzt mal von Unbound oder Dnsmasq aus. Du musst ja in der OPNsense entweder die Overrides eintragen oder der DHCP-Server registriert die IP-Adressen und Namen. Mit IPv4 hast du ja bei den Overrides statische Adressen und mit DHCP dynamische (oder dort statisch zugewiesen) aus deinem von dir gewählten privaten Netzwerkraum der sich nicht ändert.
Mit IPv6 hast du in der Regel einen dynamisch von deinem Provider zugewiesenen Prefix der sich ändern kann. Diesen verteilt die OPNsense dann auf ihre internen Netzwerke. Bei SLAAC wählen ja die Rechner selbst ihre Adresse, nach welchen Regeln hängt vom Betriebssystem ab. Ob es Software gibt, die aus der NDP (Neighbor Discovery Protocol) die Adressen im DNS registriert weiß ich nicht, wäre ja mal ein interessantes Projekt. Und bei Verwendung von DHCPv6 ist das registrieren im DNS soweit ich weiß auch nicht implementiert. Ich verwende DHCPv6 nicht und bin mir da nicht sicher.
Das einzige was man machen kann ist ULA (Unique Local Addresses) zu verwenden und zumindest die Server und Ähnliches von Hand in die Overrides einzutragen. Für die klappt dann auch die DNS-Auflösung.
Das Grundproblem ist also woher die Daten kommen. Wenn der DNS-Server auf der OPNsense keine IPv6 Adressen kennt, dann kann Adguard Home auch keine bekommen und weitergeben.
Die Link Local IPv6 deiner OPNsense brauchst du nicht einzutragen. Die Adressen von IPv6, sofern vorhanden, bekommst du auch, wenn du nur die IPv4 in Adguard Home eingetragen hast. Ich habe bei mir nur die IPv4 (127.0.0.1) eingetragen und bekomme die ULA-IPv6-Adressen meiner Server, wenn ich eine Abfrage nach AAAA Einträgen schicke.

Gruß
KH