OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • Profile of dumbo »
  • Show Posts »
  • Topics
  • Profile Info
    • Summary
    • Show Stats
    • Show Posts...
      • Messages
      • Topics
      • Attachments

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

  • Messages
  • Topics
  • Attachments

Topics - dumbo

Pages: [1] 2
1
German - Deutsch / Interfaces: "Proxmox" Rechner an sep. Netzwerk-Port wie im nativen LAN?
« on: February 22, 2023, 04:22:33 pm »
Hi Zusammen,

ich habe folgendes Setup bzw. vor.

1 x OPNsense Rechner mit 4 Netzwerkkarten
- IGC0 = WAN
- IGC1 = LAN (mit div. VLANs)
- IGC2 = unbenutzt
- IGC3 = unbenutzt

Auf IGC1 ist das "native" LAN dann auch mein Management VLAN für alle Switchtes, APs usw. (weitere VLANs laufen dann natürlich auch über das Interface)

Jetzt habe ich einen Proxmox-Rechner, den ich gerne direkt an eines der ungenutzten Interfaces an meinem OPNsense Router anschließen mag (da die Ports und der Proxmox 2,5GBit/s hat).

Doch wie bekomme ich jetzt den Proxmox Rechner dazu, dass er ebenfalls im "nativen LAN" ist, was ich auch an IGC1 anliegen habe?
Auf dem Proxmox soll der UniFi-Controller und noch ein paar andere Sachen laufen.

Geht das überhaupt? Freue mich auf Mithilfe.

Danke und viele Grüße

2
23.1 Production Series / [Solved] 23.1 Installer: Harden DNSSEC Data, selected but not activated?
« on: February 22, 2023, 10:21:05 am »
Hi,

during install of 23.1 I can choose to select "Harden DNSSEC Data". If I do so and install is complete,  "Harden DNSSEC Data" is NOT checked within Unbound Settings.

Looks like something is broken within the installer.

Maybe you can check it. Tried it on three different setups.

EDIT:
Solved with the answer from Franco. Thanks.

3
23.1 Production Series / OPNsense 23.1.1_2 Unbound Reporting | White- & Blacklisting not working?!
« on: February 21, 2023, 03:09:35 pm »
Hi,

would be nice if you could check, if the whitelisting feature is broken?

For me if I whitelist some domain within unbound reporting tool nothing happens and the domain is not whitelisted within Services > Unbound DNS > Blocklist > Whitelist Domains

In an earlier version it was working without any issues.

4
23.1 Production Series / [Solved] Update to 23.1.1: Unbound reporting broken/not working
« on: February 15, 2023, 07:35:00 pm »
Hi,

with todays update it looks like something strange happened to unbound (and it's reporting tool).

Reporting stopped working. And getting a lot of errors within ounbound log:
[35098:1] error: recvfrom 40 failed: Protocol not available
...
[71101:0] error: remote control failed ssl crypto error:00000000:lib(0):func(0):reason(0)   
...

Looks like something is broken.

Restarted OPNsense and tried everything - but doesn't work.

EDIT: Issue solved!
Code: [Select]
opnsense-patch -a kulikov-a 404b9d5

5
German - Deutsch / Lokaler Unbound DNS resolver und IPv6 - Sicher?
« on: February 12, 2023, 11:47:32 am »
Hi Zusammen,

mal eine theoretische Frage an Euch.

Wenn man einen IPv6 Anschluss hat und die OPNsense samt lokalem Unbound DNS Resolving nutzt welches auf die auth. Resolver direkt zugreift, leakt man dann nicht einen Teil seiner Daten?

Bei div. Testseiten sieht man ja auch schon, dass man quasi seinen eigenen DNS Resolver nutzt mittels seiner (meist dynamischen IPv4) und seiner IPv6. Beim vorderen Part der IPv6 ist das ja meist dynamisch - der hintere Part ist aber dann der Teil der Mac ID des Unbound bzw. letztendlich der hintere Part der gesamten IPv6 - und die ist ja immer gleich.

Kann das auf Websites dann nicht für Tracking genutzt werden?
IPv4 ändert sich ja oft komplett, die IPv6 des eigenen DNS dann ja aber nicht wirklich.

Ich hoffe, das war halbwegs verständlich was ich geschrieben habe?!


6
German - Deutsch / IPv6 - am WAN Interface nur FE80 - aber trotzdem IPv6 Netz?
« on: February 05, 2023, 07:57:10 am »
Hi Zusammen,

ich habe heute bei mir (Vodafone Kabel Anschluss) einmal WAN IPv6 auf DHCP gestellt und dann nur eine FE80 Adresse auf dem WAN Interface bekommen.

Wenn ich aber dann im jeweiligen LAN auf Track Interface stelle, dann bekomme ich eine IPv6 Adresse und komme damit auch ins Netz über IPv6 (Regeln sind gesetzt).

Die Frage ist nur, warum zeigt er mir dann am WAN Interface nur eine FE80 Adresse an und klappen tut es trotzdem?

7
German - Deutsch / Interface Statistics: Traffic der VLANs über LAN summiert: Fehler, oder richtig?
« on: February 04, 2023, 06:21:08 am »
Hi Zusammen,

ich habe eine Frage, ob das so richtig ist, wie ich bei mir die OPNsense jetzt konfiguriert habe.

Ich habe an meiner OPNsense folgende Ausgangssituation:
- WAN über eth0
- LAN über eth1 (die VLANs Home und IoT-Net gehen über den Port eth1 via Switch raus)
- LAN selbst ist kein Gerät mehr drin > sozusagen das Management VLAN (das Netz der OPNsense)
- TestNet hängt separat an eth3 (und spielt hierbei keine Rolle)

Ist das normal, dass die VLANs Home & IoT dann summiert über das LAN Netz den Traffic rausschieben?


Das LAN Netz ist ja das Standard LAN was nach einer OPNsense Installation neben dem WAN vorhanden ist.
Hier laufen bei mir jetzt nur noch die Switches und Access Points drüber.
Den Rest habe ich wie geschrieben auf die VLANs ausgelagert.

Ist das vorgehen so richtig, oder habe ich an einer Stelle was falsch gemacht?

Weiter steigt der Counter ErrorsOut auch nach einer gewissen Zeit. Wo genau kann ich denn schauen was das ist und woran es liegt.


8
23.1 Production Series / Boot > Log Files > System - Severity empty & Categories not working
« on: February 02, 2023, 05:35:19 am »
Hi,

since the 23.1 update my Logs under Boot > Log Files > System aren't working as they should.

It's only the "Boot" category - others are working as they should.

Within Boot severity column is empty and when I want to change the categories (Warning, Notice, Debug, Error,...) nothing happens.

Can anyone confirm this issue?

9
23.1 Production Series / 23.1 fresh install - password change within installer not working | breaks
« on: January 30, 2023, 04:00:12 pm »
Hi,

when installing 23.1 via installer at the end of the process it asks if I want to change default password. If I enter a new one twice the installer stops doing anything only that blueish screen. Have to press CTRL+c to get back to the installer session. Trying again will be the same issue.
Only reboot and changing Password via command line or installer wizard within GUI does work.

10
23.1 Production Series / flowd_aggregate.py vacuum done Messages within general log files
« on: January 30, 2023, 03:28:54 pm »
Hi,

within my general log files within system I do get those message:

Code: [Select]
Notice flowd_aggregate.py vacuum done
Notice flowd_aggregate.py vacuum interface_086400.sqlite
Notice flowd_aggregate.py vacuum interface_003600.sqlite
Notice flowd_aggregate.py vacuum interface_000300.sqlite
Notice flowd_aggregate.py vacuum interface_000030.sqlite
Notice flowd_aggregate.py vacuum dst_port_086400.sqlite
Notice flowd_aggregate.py vacuum dst_port_003600.sqlite
Notice flowd_aggregate.py vacuum dst_port_000300.sqlite
Notice flowd_aggregate.py vacuum src_addr_086400.sqlite

What are those kind of messages and why do they appear? Something going wrong?

11
German - Deutsch / Umstieg auf OPNsense - VF Station Bridge Mode und IPv6 auf einmal aktiv - Hilfe.
« on: January 24, 2023, 04:47:11 pm »
Hi,

nachdem ich nach langem testen und vorbereiten nun den Switch gemacht habe von UniFi zu OPNsense und diese direkt an meine Vodafone Station (Bridge Mode) angeklemmt habe, merke ich auf einmal, dass bei mir auch IPv6 läuft!

An sich sehr gut - doch bin ich gerade damit ein wenig "überrannt" worden und weiß nicht genau, was ich jetzt tun muss, damit ich es absichere bzw. auch gescheit einstelle.

Im Grunde habe ich nichts gemacht, außer dass es wirklich direkt läuft.

Ist da irgendwas schief gelaufen oder ist das richtig so?

Dachte, dass die Vodafone Station im Bridge Mode nur IPv4 kann?

Und was muss man genau alles einstellen, damit es gut und sicher läuft?

12
German - Deutsch / Anleitung für: AdGuard Home, OPNsense, Unbound & NAT Port Forward hardcoded DNS
« on: January 19, 2023, 05:24:15 pm »
Hi Zusammen,

nachdem ich Tage jetzt hier diverse Wege versucht habe und es irgendwie immer noch nicht hinbekomme (jeder hat da andere Vorgehensweisen usw.) wollte ich einmal fragen, ob es nicht möglich ist "eine" richtige Anleitung zu bekommen (evtl. kennt ja jemand eine "richtige" Quelle) wie es gehen müsse.

Es ist super, dass es solche Plugins gibt - aber so richtig eine gescheite Anleitung gerade hierfür zu finden ist nahezu unmöglich.
Ein Großteil der Anleitungen nutzt dann einen DoT Nameserver von Cloudflare, Google oder sonst was....

Ich mag es einfach und direkt via Unbound haben, der seine Anfragen auch schön dezentral und direkt stellt. Ist ja auch in der OPNsense entsprechend schön integriert.

Was will ich:
- die OPNsense soll Unbound nutzen (kein anderer Nameserver > sondern das direkt selbst machen)
- AdGuard Home soll direkt auf der OPNsense laufen und Upstream ist eben der Unbound der OPNsense
- die Clients sollen entspr. DNS über AdGuard Home bekommen
- die Clients sollen via NAT Port Forward gezwungen werden den AdGuard Home und Unbound zu nutzen
- im AdGuard Home sollen die Hostnamen aufgelöst angezeigt werden

Wie genau geht das?

13
German - Deutsch / AdGuardHome wird geflutet mit Anfragen von OPNsense FW wenn man Logs anschaut?!
« on: January 16, 2023, 03:05:59 pm »
Hi,

nachdem mein Setup mit AdGuard Home jetzt erstmal läuft stelle ich aber fest, dass AdGuard mit Anfragen überflutet wird, wenn ich bei mir auf der OPNsense die Logs der Firewall > Log Files > Live View anschaue.

Da gehen jede 1-2 Sekunden an Anfragen auf AdGuard drauf.

Client: localhost 127.0.0.1
Request: IPXYZ.in-addr.arpa
Response: Processed NO ERROR (PTR)

Was kann das sein?

14
German - Deutsch / Unbound nur auf best. VLANs & redirect DNS für hardcoded devices
« on: January 14, 2023, 12:16:14 pm »
Hi Zusammen,

ich bekomme einfach eine Sache nicht hin.

Habe mein LAN, 2 VLAN und ein Gerät direkt auf einem Port an der OPNsense (eth3)
- LAN
- VLAN10
- VLAN20
- Notebook an Interface eth3 (Interface wurde erstellt mit DHCP Server etc.)

Ich würde jetzt gerne es so machen, dass ich für LAN, VLAN10/20 den Unbound nutzen mag und für ein Notebook an eth3 eben einen öffentlichen DNS Server (bsp. 1.1.1.1) nutzen mag.

Wie genau stelle ich das denn ein?

In den Haupteinstellungen  > General habe ich 9.9.9.9 eingetragen (DNS für die Firewall selbst)

Unbound ist aktiviert und ich habe auch eine Regel, die entsprechend im NAT > Portforward sitzt (für jedes VLAN natürlich eine Regel) Damit keine Hardcoded DNS request so raus gehen, sondern alles über den Unbound läuft

  • Interface: LAN
  • Protocol: TCP/UDP
  • Destination / Invert: Checked
  • Destination: LAN address
  • Destination Port: DNS
  • Redirect target IP: 127.0.0.1
  • Redirect target port: DNS
  • NAT reflection: Disable

In jedem VLAN habe ich natürlich dann noch die Regel drin
IPv4 > TCP/UDP > Any/Any > Destination 127.0.0.1 Port 53 (DNS)

Doch wie bekomme ich es hin, dass eben bei dem Interface wo das Notebook dran hängt, der auch den o.a. DNS Server nutzt und nicht meinen Unbound?

Habe schon einiges probiert (im DHCP vom Notebook Interface DNS eingetragen, Unbound settings angepasst usw.).

Bekomme es aber einfach nicht hin.

Hoffe, dass das etwas verständlich war, was ich hier geschrieben habe und freue mich auf Mithilfe und Tipps.

15
German - Deutsch / Multi WAN: Freifunk Offloader (als sep. Netz) auf ein VLAN packen klappt nicht
« on: January 06, 2023, 02:02:42 pm »
Hi Zusammen,

ich habe eine Frage wie das mit der Umsetzung einer bestimmten Sache ausschaut, wo ich einfach nicht weiterkomme.
Bei meinem Umzug von einem UniFi System auf eine OPNsense habe ich ein Problem, welches ich nicht gelöst bekomme.

Bisher war es so:
- WAN > UniFi UDM SE
- NanoPi (Freifunk Offloader mit WAN/LAN Ports) an einem LAN der UniFi UDM > so bekommt er sein WAN/Internet
- NanoPi LAN Port geht dann in die UniFi UDM an einen Switch-Port als ein VLAN only Netz (heißt dort 3rd party Gateway)
- dann habe ich dort das direkte Netz des "Offloaders" anliegen > das kann ich jetzt durch das VLAN dann an weitere Switch-Ports legen oder auf einen AP via SSID legen

Genau das mag ich jetzt mit der OPNsense umsetzen.
Jedoch scheitere ich dabei am grundsätzlichen Vorgehen.

Wenn ich ein VLAN in der OPNsense mache, dann mache ich danach ja auch ein Interface und entspr. DHCP usw.
Aber genau das will/brauch ich ja nicht, bzw. so soll es dann ja auch nicht sein.

Der NanoPi routet ja nicht und ist somit eigentlich ja auch kein Gateway. Das was er macht, ist das das Freifunk-Netz sozusagen bridgen und mir ein direktes Client-Netz zur Verfügung stellt.

Da ich das Netz eben gerne auf gewisse Switch-Ports packen möchte und entspr. auch über ein VLAN dann auf eine SSID für meine APs ist die Frage, wie man das genau umsetzt?

Ich hoffe, das war so gut genug erklärt, damit man damit was anfangen kann?

Freue mich auf Hilfe.

Danke.

Pages: [1] 2
OPNsense is an OSS project © Deciso B.V. 2015 - 2023 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy
    | XHTML | RSS | WAP2