Topics

Hallo,

ich verwende seit Ewigkeiten erfolgreich die Kombination von AdGuard und Unbound. Wobei Unbound die Root-Server abfrägt zur DNS-Auflösung. Nun habe ich festgestellt, dass es vereinzelt DNS-Anfragen gibt, welche durch diese Kombination nicht zufriedenstellende Antworten liefern. Beispielsweise musste ich für Microsoft und für WatchGuard Ausnahmen in AdGuard eintragen, dass hierfür direkt eine Abfrage der DNS-Server von Google erfolgen darf. Warum das so ist, weiß ich nicht, aber nur so funktioniert es. Nun stelle ich mir zwischenzeitlich die Frage, ob die Komplexität mit der Verwendung von Unbound und der Abfrage der Root-Server überhaupt für übliche Familienhaushalte notwendig ist, wenn man nicht ein besonders hohes  Bedürfnis an die Privatsphäre hat. Ich könnte mir durchaus vorstellen, dass eine Verteilung der Abfragen direkt in AdGuard auf 5-10 unterschiedliche DNS-Server ein ausreichend hohes Maß an Privatsphäre gewährleisten sollte, zumal ich mir nicht vorstellen kann, dass hier einer der kommerziellen DNS-Server darauf erpicht ist, speziell meine Privatsphäre zu erkunden und für irgendwelche Zwecke zu nutzen. Wie seht ihr das?

Hello,
after the update to 24.7.3_1 IPv6 adresses are not assigned to the interfaces via track interface correctly. Only WAN and the first interface obtain a respective prefix, while all other interfaces get the same prefix assigned shared over all interfaces. Ping6 from WAN interface works.

I use DHCPv6 on WAN. Track Interface on LAN, DMZ etc. Further, I use some HA setup for which I have ticked "Allow manual adjustment of DHCPv6 and Router Advertisements" on all interfaces - unfortunately in the RA section the previously avaible "source address" does not show anything else than "automatic". Previously, I was able to select a virtual IP...

Any solutions on that or shall I just wait for a new update?
Thx.

UPDATE:
It works, don't know why. After a while it worked again with 24.7.3_1. Further, as a change I had to modify my previously used CARP Address to fe80::192.168.2.1/64 reverting from fd00:: ... used previously. Now I can select the CARP interface for HA.

Hallo,
unbound wirf im Log folgende Fehlermeldungen im Log aus:

Code Select Expand


2023-10-13T11:45:04 Error unbound [72203:0] error: worker send cmd 0 failed
2023-10-13T11:45:04 Error unbound [72203:0] error: cannot fcntl F_SETFL: Bad file descriptor
2023-10-13T11:45:04 Error unbound [72203:0] error: cannot fcntl F_GETFL: Bad file descriptor
2023-10-13T11:42:54 Critical unbound [72203:1] fatal error: Could not initialize thread
2023-10-13T11:42:54 Error unbound [72203:1] error: Could not set root or stub hints
2023-10-13T11:42:54 Error unbound [72203:1] error: reading root hints /root.hints 2:11: Syntax error, could not parse the RR's type


Ich habe bei Unbound eigentlich nichts außer der Reihe eingestellt. DoT, QueryForwarding, Blocklist, Accesslists ist alles leer. Kann man unbound auf default zurücksetzen?

Danke!

I have a weird issue. I push a route 192.168.4.0/24 to the client. At the client, route shows the following correctly:

Code Select Expand


root@237:/etc/openvpn# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         gateway.xx. 0.0.0.0         UG    0      0        0 eth0
xx.xx.232.0     0.0.0.0         255.255.248.0   U     0      0        0 eth0
192.168.4.0     192.168.25.1    255.255.255.0   UG    0      0        0 tun0
192.168.25.0    0.0.0.0         255.255.255.0   U     0      0        0 tun0


However, I cannot access any machine on 192.168.4.xx. Sporadically, after reboot of firewall or the client side, a connection is possible. Further, in case I add further routes to other subnets of the firewall, these work immediately.

In the firewall log I see the connection incoming. It seems to be routed to the correct interface. But then no response.

Does anyone have an idea how the track the problem and find a solution?

Hello,
until last night IPv6 worked fine. After playing a bit around with CARP and IPv6, I reconfigured everything to the previous setup but now the WAN interface shows the wrong prefix delegation size (which should be 57, but it indicates a 58). Further, non of the interfaces using track interface is showing an IPv6 any more. My first question would be how to force the WAN interface to use the Prefix delegation size actually set in the [WAN] Interfaces setting?

My second more general question is the following: since my ISP rarely changes the prefix, I cannot set a CARP for virtual WAN which corresponds to a real IPv6 GUA but I would have to use someting like fe80::1 or fd00::1. Is that possible? If yes, is there any additional routing required on the side of the ISP router or any NAT in opnsense or whatsoever?

Thanks!!

Hi,
I have trouble understanding the concept of HA and OpenVPN. I currently use HA for all Interfaces besides OpenVPN, working great. My "normal" implemenation for a certain interface is creating a Virtual IP address like 192.168.22.100 for CARP and assigning on the individual machines for the interfaces a static IP like 192.168.2.2 for the first machine and 192.168.22.3 for the second machine.

However, for OpenVPN I have to define the IP upcon creating the VPN server. But, upon creating the only option given to me is to set the IP like "192.168.22.0/24" and the explanation is "This directive will set up an OpenVPN server which will allocate addresses to clients out of the given network/netmask. The server itself will take the .1 address of the given network for use as the server-side endpoint of the local TUN/TAP interface".

So, I cannot use the same VPN subnet on the first and second machines since they are automatically assigned the same server IP 192.168.22.1. I understand that I would have to set the server IP like 192.168.2.2 for the first machine and 192.168.22.3 for the second machine. That would follow my general logic?

So, how can HA be implement here? Please note that I'm not interested in seamless VPN operation in case of HA switching the firewalls. It just serves to simply setup of common firewall rules and VPN servers on the machines.

Thank you!

Hello,
I realized that (at least) with OPNsense 23.7.4 the Unifi-Plugin stopped working. Reinstall does not help. The error is always "HTTP Status 404 – Not Found".

Can anyone help?

Hello,
I have sucessfuly set up a VPN connection using the new instances tab. The Server is listening on TCP6, access to local 192.168.0.0/16 is possible from remote. However, redirect-gateway does not work at all. Neither by ticking any of the options in the server configuration, nor by using the option "redirect-gateway" in the client config.

I would appreciate some guidance how to approach this issue. I used the same server/client configuration with the "old" Server tab, having ticked "redirect-gateway" and this worked without any problems.

Thank you!

Hello,
I tried to migrate the existing working configuration for a simple OpenVPN connection from an external client to Opnsense. According to the connection status, the connection is established. However, the log tells me that the client connects and then (after sucessful connection) disconnects and reconnects again (every 6 seconds). After some start/stop cycles, the connection somehow stabilizes but then I get some random client connect disconnect messages as soon as I try to access e.g. an https service on one of my machines hooked to the server.

Log:

Code Select Expand


2023-08-30T21:24:43 Notice openvpn_server2 MANAGEMENT: Client disconnected
2023-08-30T21:24:43 Notice openvpn_server2 MANAGEMENT: CMD 'quit'
2023-08-30T21:24:43 Notice openvpn_server2 MANAGEMENT: CMD 'status 2'
2023-08-30T21:24:43 Notice openvpn_server2 MANAGEMENT: Client connected from /var/etc/openvpn/server2.sock
2023-08-30T21:24:29 Notice openvpn_server4 MANAGEMENT: Client disconnected
2023-08-30T21:24:29 Notice openvpn_server4 MANAGEMENT: CMD 'status 3'
2023-08-30T21:24:29 Notice openvpn_server4 MANAGEMENT: Client connected from /var/etc/openvpn/instance-72f28660-2018-4d15-88e5-d7065220fc5a.sock
2023-08-30T21:24:29 Notice openvpn_server2 MANAGEMENT: Client disconnected
2023-08-30T21:24:29 Notice openvpn_server2 MANAGEMENT: CMD 'status 3'
2023-08-30T21:24:29 Notice openvpn_server2 MANAGEMENT: Client connected from /var/etc/openvpn/server2.sock
2023-08-30T21:24:29 Notice openvpn_server4 MANAGEMENT: Client disconnected
2023-08-30T21:24:29 Notice openvpn_server4 MANAGEMENT: CMD 'status 3'
2023-08-30T21:24:29 Notice openvpn_server4 MANAGEMENT: Client connected from /var/etc/openvpn/instance-72f28660-2018-4d15-88e5-d7065220fc5a.sock
2023-08-30T21:24:29 Notice openvpn_server2 MANAGEMENT: Client disconnected
2023-08-30T21:24:29 Notice openvpn_server2 MANAGEMENT: CMD 'status 3'
2023-08-30T21:24:29 Notice openvpn_server2 MANAGEMENT: Client connected from /var/etc/openvpn/server2.sock
2023-08-30T21:23:51 Notice openvpn_server4 netcupvpn/2xx:dd60 Timers: ping 10, ping-restart 120


Hello,
NTP is not working, status unreach/pending. The log states

Code Select Expand


unable to bind to wildcard address :: - another process may be running - EXITING


Any idea to solve the problem?
Thx!!!!

Hello,
for a long time I had suricate with IPS mode running sucessfuly on WAN. Recently I did a check on my system and found out that no alerts were present any more. I removed all rules, installed opnsense.test.rules and did a check with eicar.com.txt (on http!, not https). Eicar was neither reported in IDS nor in IPS mode. I'm on OPNsense 22.7.11, everything up and running.

I have tried any kinds of combinations of settings in Suricata, including changing interfaces, Promiscuous mode, disabling and reanabling Suricata, deleting and reinstalling the opnsense.test.rules, reboot, but no success.

I would appreciate some guidance on how to track down the problem. It seems that from the webinterface of Opnsense alone I won't be succesful. If one of you professionals would take me by the hand and support me, that would be great. Many thanks.

After updating to OPNsense 22.7.6 Suricata stopped working. Starting suricata provides 100% CPU and errors:

Code Select Expand

2022-11-02T18:49:11 Error suricata [109401] <Error> -- [ERRCODE: SC_ERR_NETMAP_CREATE(263)] - opening devname netmap:igb0^ failed: Cannot allocate memory

igb0 is WAN. Suricata is running on WAN, Zenarmor is running on LAN and other interfaces (for Zenarmor WAN is not even available for selection).

I have a second machine running with more or less identical configuration (CARP, HA), no problems there.

Thank you!


PS: The problem was Sensei. Previously it was configured to listen on various VLAN and not physical interfaces. It worked fine for 2 years without any complaints. Supposedly an updated made Sensei more picky. After only selecting physical interfaces everything worked fine.

Hello,
I have a problem understanding Ipv6 and CARP and hope for a brief explanation or clarification.

For each interface (LAN etc.) there is a Carp fe80::2:1/64 virtual IP.

• Question 1) for the WAN is it also possible to have such an fe80 virtual IP or is it inevitable to have a global IPv6 address for CARP (e.g. 1a02:800b:d12f:fe20::100/64)?
• Question 2) I know that the local IPv6 of the interface itself (Interfaces->LAN) can be a global IPv6 address. However, is it also possible that it can be an IP "self-assigned" by the interface via IPv6 Configuration Type Track Interface WAN?
• Question 3) in case the answer to 2) is positive, i.e. track interface ist possible, shall the IPv6 Prefix ID different for the same interface on the master node and backup node?

Thanks for the feedback!

PS: some time ago we had a discussion of forwarding IPv6 traffic in case of a HA systems. Forwarding to an fe80 address or an fd00 ULA address did not work for me. Instead I had to use the global address of the device (1a02:abcd:...). With the newly introduced feature of Alias "Dynamic IPv6 Host" that makes life so easy. Neither need of ULA nor any other dynamic host address any more. Thanks for the great job on that!!

Hallo,
ich betreibe hier ein (privates) HA-System, welches über Monate hinweg stabil lief. Vor einer Woche beklagte sich jemand, dass er mit dem Handy über DHCP keine IP-Adresse mehr bekomme. Ich habe daraufhin im Handy die MAC von "zufällig" auf "Telefon-Mac" umgestellt und die IP-Adresse kam. In der Zwischenzeit ist es so, dass diverse Geräte per DHCP überhaupt keine IP-Adresse mehr beziehen, unabhängig davon ob DHCP Static Mapping oder frei.

Ich habe keine Ahnung, wo ich ansetzen soll. Geräte neu gestartet, DHCP-Deamon neu gestartet, statische Zuweisung gelöscht, Neustart von Opnsense. DHCP-Log zeigt z.B.

Code Select Expand


2022-09-19T09:45:33 Informational dhcpd DHCPOFFER on 192.168.2.136 to bc:dd:c2:b2:b1:4a via igb1
2022-09-19T09:45:33 Informational dhcpd DHCPDISCOVER from bc:dd:c2:b2:b1:4a via igb1
2022-09-19T09:45:31 Informational dhcpd DHCPACK on 192.168.2.133 to dc:4f:22:7e:19:6b via igb1
2022-09-19T09:45:31 Informational dhcpd DHCPREQUEST for 192.168.2.133 (192.168.2.8) from dc:4f:22:7e:19:6b via igb1
2022-09-19T09:45:31 Informational dhcpd DHCPOFFER on 192.168.2.133 to dc:4f:22:7e:19:6b via igb1
2022-09-19T09:45:31 Informational dhcpd DHCPDISCOVER from dc:4f:22:7e:19:6b via igb1
2022-09-19T09:45:31 Informational dhcpd DHCPACK on 192.168.2.133 to dc:4f:22:7e:19:6b via igb1
2022-09-19T09:45:31 Informational dhcpd DHCPREQUEST for 192.168.2.133 from dc:4f:22:7e:19:6b via igb1
2022-09-19T09:45:29 Informational dhcpd DHCPOFFER on 192.168.10.58 to 5c:f3:70:4f:f4:15 via igb2_vlan10
2022-09-19T09:45:29 Informational dhcpd DHCPDISCOVER from 5c:f3:70:4f:f4:15 via igb2_vlan10
2022-09-19T09:45:13 Informational dhcpd DHCPOFFER on 192.168.2.132 to 2c:f4:32:3c:6b:99 via igb1
2022-09-19T09:45:13 Informational dhcpd DHCPDISCOVER from 2c:f4:32:3c:6b:99 via igb1
2022-09-19T09:44:34 Informational dhcpd DHCPOFFER on 192.168.10.58 to 5c:f3:70:4f:f4:15 via igb2_vlan10
2022-09-19T09:44:34 Informational dhcpd DHCPDISCOVER from 5c:f3:70:4f:f4:15 via igb2_vlan10
2022-09-19T09:44:33 Informational dhcpd DHCPOFFER on 192.168.2.136 to bc:dd:c2:b2:b1:4a via igb1
2022-09-19T09:44:33 Informational dhcpd DHCPDISCOVER from bc:dd:c2:b2:b1:4a via igb1
2022-09-19T09:44:13 Informational dhcpd DHCPOFFER on 192.168.2.132 to 2c:f4:32:3c:6b:99 via igb1
2022-09-19T09:44:13 Informational dhcpd DHCPDISCOVER from 2c:f4:32:3c:6b:99 via igb1
2022-09-19T09:44:13 Informational dhcpd DHCPOFFER on 192.168.10.58 to 5c:f3:70:4f:f4:15 via igb2_vlan10
2022-09-19T09:44:13 Informational dhcpd DHCPDISCOVER from 5c:f3:70:4f:f4:15 via igb2_vlan10


Z.B. 5c:f3:70:4f:f4:15 ist ein Scanner, welcher bisher problemlos über DHCP funktioniert hat. Jetzt zieht er sich keine IP mehr? Das Spielchen DHCPDISCOVER, DHCPOFFER wiederholt sich 1-2mal die Minute.

Hat jemand eine Idee, wie man das Problem lösen kann? Wie gesagt, ich weiß nicht wo ich ansetzen soll. Danke!!!!

PS: Habe inzwischen die gesamte Hardware zwischen Opnsense und Endgerät (kabelgebunden!) getauscht, DHCP-Requests bleiben unbeantwortet.

Lösung : Der zentrale Switch war schuld. Hatte sich irgendwie aufgehängt und nach und nach immer weniger Pakete durchgelassen.  >:( Danke Tplink.

[System: Log Files: General]

Über USB habe ich einen LTE-Stick verbunden. Hat bis vor kurzem funktioniert. Habe vorhin gesehen, dass LTE down ist, bin dann in das Point-to-Point logfile gegangen, das voll war mit Einträgen. Der Versuch, das Log über den "Clear log" button zu löschen hat nicht funktioniert. Die Einträge sind nicht verschwunden. Daraufhin habe ich über System-Settings-Logging-Clear Logfiles alles gelöscht. Die Einträge waren daraufhin weg.

Allerding funktioniert nun bei PPP nichts mehr. Ich kann bei P2P-Devices ->Link Interfaces auswählen was ich will, es tut sich nichts. Reboot hilft auch nicht. Wie bekomme ich das wieder ans Laufen?

System: Log Files: General

Code Select Expand

2022-04-04T22:32:07 Error opnsense /usr/local/etc/rc.newwanip: Resyncing OpenVPN instances for interface LTE.
2022-04-04T22:32:05 Error opnsense /usr/local/etc/rc.newwanip: ROUTING: keeping current default gateway 'fe80::...%igb0'
2022-04-04T22:32:05 Error opnsense /usr/local/etc/rc.newwanip: ROUTING: keeping current default gateway '192.168.1.1'
2022-04-04T22:32:04 Error opnsense /usr/local/etc/rc.newwanip: The OPENVPNINTERFACE_GW monitor address is empty, skipping.
2022-04-04T22:32:04 Error opnsense /usr/local/etc/rc.newwanip: The OPENVPNV6INTERFACE_GW monitor address is empty, skipping.
2022-04-04T22:32:04 Error opnsense /usr/local/etc/rc.newwanip: Removing static route for monitor 1.1.1.1 via 10.64.64.0
2022-04-04T22:32:04 Error opnsense /usr/local/etc/rc.newwanip: Choose to bind LTE on 10.29.172.158 since we could not find a proper match.
2022-04-04T22:32:04 Error opnsense /usr/local/etc/rc.newwanip: Removing static route for monitor 2606:4700:4700::1111 via fe80::...%igb0
2022-04-04T22:32:04 Error opnsense /usr/local/etc/rc.newwanip: Adding static route for monitor 8.8.8.8 via 192.168.1.1
2022-04-04T22:32:04 Error opnsense /usr/local/etc/rc.newwanip: Removing static route for monitor 8.8.8.8 via 192.168.1.1
2022-04-04T22:32:04 Error opnsense /usr/local/etc/rc.newwanip: ROUTING: skipping IPv6 default route
2022-04-04T22:32:04 Error opnsense /usr/local/etc/rc.newwanip: ROUTING: IPv6 default gateway set to wan
2022-04-04T22:32:04 Error opnsense /usr/local/etc/rc.newwanip: ROUTING: skipping IPv4 default route
2022-04-04T22:32:04 Error opnsense /usr/local/etc/rc.newwanip: ROUTING: IPv4 default gateway set to wan
2022-04-04T22:32:04 Error opnsense /usr/local/etc/rc.newwanip: ROUTING: entering configure using 'opt4'
2022-04-04T22:32:04 Error opnsense /usr/local/etc/rc.newwanip: On (IP address: 10.29.172...) (interface: LTE[opt4]) (real interface: ppp0).
2022-04-04T22:32:04 Error opnsense /usr/local/etc/rc.newwanip: IPv4 renewal is starting on 'ppp0'
2022-04-04T22:31:00 Error opnsense /usr/local/etc/rc.filter_configure: ROUTING: keeping current default gateway 'fe80::...%igb0'
2022-04-04T22:31:00 Error opnsense /usr/local/etc/rc.filter_configure: ROUTING: keeping current default gateway '192.168.1.1'
2022-04-04T22:19:00 Error opnsense /usr/local/etc/rc.syshook.d/carp/20-openvpn: Resyncing OpenVPN instances for interface IPv6 DMZ Carp (fe80::10:2).


Lösung: PPP-Interface gelöscht und anschließend wieder hinzugefügt. Reboot. Jetzt tut wieder alles. Danke fürs Zuhören  ;D

Hallo,
ich habe seit kurzem das Problem, dass ich im Netzwerk diverse Webseiten nicht mehr erreichen kann, darunter https://www.routerperformance.net/opnsense-repo/ (die definitiv online ist). Ping auf www.routerperformance.net funktioniert, nslookup auch. Ich habe weder ein Update gemacht, noch sonst irgendwas verändert. Da adguard über das o.g. repositoy installiert ist, funktionieren Updates auch nicht (update hängt bei dem Versuch, von mimugmail Daten abzurufen). Ich bin auf 21.7.8

Das Problem habe ich für viele unterschiedliche Domains, weiß aber nicht warum. Wie kann ich die Fehlerquelle finden?

Danke!!

UPDATE: Wenn ich CARP temporär deaktiviere, sind manche (nicht alle) Webseiten zugänglich. Ich habe keine Ahnung was da läuft.

Hi,
I have the problem that no HA failover to the second system takes place in case WAN connection is lost. In case I physically disconnect the WAN cable, failover takes place. It also works in case i shut down the first system. But in case e.g. the WAN provider is not providing any packets any more, no failover to the second system occurs.

Does anyone have an idea how to solve that issue?
Thanks!

Hallo, auch auf die Gefahr hin, dass ich hier im Forum vollkommen falsch mit meinem Problem bin hoffe ich trotzdem, einen Lösungsansatz zu erhalten:

Auf meiner Firewall habe ich neben einem Management LAN (kein Vlan) auf igb1 noch 3 Vlans auf igb2. Ein Managed Switch sorgt sich um die Verteilung der Netze. Schließe ich nun igb 1 ohne den Switch direkt an einen Rechner an, habe ich eineDownloadrate um die 900Mbit. Igb1 direkt an den Switch (Vlan1 untagged) und von dort an den Rechner verringert die Geschwindigkeit merklich. Dabei erfolgt zunächst eine geschwindigkeitszunahme beim Download auf 650-700Mbit, gefolgt von einer graduellen Abnahme auf teilweise bis zu 500Mbit, manchmal auch nur auf 600Mbit. Dieses Phänomen sehe ich sowohl bei einem TP-Link Switch, als auch bei einem Netgear Switch den ich habe. Beim TP Link Switch kann ich erkennen, dass der dort verbaute Prozessor nicht mal annähernd an seine Belastungsgrenze kommt. Im Ergebnis scheint die Tatsache, dass im Switch die Verwendung von Vlan 802.1q eingeschaltet ist, massiv die Geschwindigkeit zu beeinflussen. Und das obwohl auf Igb1 die Pakete noch nicht einmal getagged sind und der Switch außer seiner normalen Weiterleitungsfunktion nichts tun muss.

Ich kapiere es nicht?? Danke für eure Ideen...

Update: Die Kette ist: WAN - Fritzbox - Firewall - Switch - Rechner. Mit iperf komme ich auch für Server im Internet über Firewall und Switch auf knapp 800Mbit, was aber nicht für "normale echte Downloads" und Speedtests aus dem Internet zutrifft?!? Da liegen die 800 nur ohne Switch an.

Hallo,
bei der Erstellung von Firewall-Regeln habe ich üblicherweise z.B. beim LAN-Interface als Source * stehen, da ja lle Geräte im LAN unter die Regel fallen. Was bringt mir hier explizit als Source "LAN NET" anzugeben?

Danke für die Klarstellung!

Hallo,
für das Familiennetzwerk zuhause zerbreche ich mir den Kopf, ob/wie ich hier durch Subnetze mehr Sicherheit ins Spiel bringen kann. Gerne würde mich eure Meinung hierzu interessieren. Stand der Dinge:
1. Gast Netzwerk dass nur nach ins WAN funken darf. Da sind auch die PCs der Kinder drin und deren Handys.
2. LAN Netzwerk mit NAS, Smart TV, Handys, PCs, WLAN-Steckdosen, sowie einem Raspberry sowohl als Heimautomationsserver und DNS-Server. NAS ist auch aus dem WAN erreichbar (SSH + Netxcloud).

Der Vorteil, alles im LAN Netzwerk zu haben ist, dass ich Bilder vom Handy auf dem Smart TV zeigen kann, sowie von allen Geräten (inkl. Smart TV und Handys) jederzeit über SMB auf Bilder und Videos der NAS zugreifen kann. Und mit jedem Handy und PC kann ich durch Zugriff auf den Raspberry Dinge im Haus steuern.

Das NAS und den Raspberry in ein separates Netzwerk zu stecken bringt vermutlich nicht viel, da ich auf die dort laufenden Dienste von allen Geräten aus zugreifen muss? Ich könnte höchstens die Handys (Wlan) und PCs in separaten Netzwerken unterbringen, sehe aber den Sicherheitsgewinn auch nicht so richtig. Bleiben nur die Geräte der Heimautomation, auf die ein direkter Zugriff mit PC/Handy/SmartTV nicht nötig ist.

Was übersehe ich? Ist eben ein ungutes Gefühl. Zu viele Einfallstore von außen, und keine Absicherung.