Topics

Ich versteh die Welt nicht mehr....

Internet war die letzten Tage lahm, bzw das Wifi.
Habe mir gedacht, dass nach 3 Monaten einmal Reboot von Modem, Wifi AP, Switch und Protectli gut tun könnte.
Gesagt getan, hat sich aber alles super schwer getan, bis es dann lief.

Gestern Abend dann noch direkt auf 26.1 geupdated. Hat sich auch etwas schwer getan, hat ewig gedauert und hat irgendwie nicht gestartet.
Damit war ich laut Internet nicht der einzige und einen Powercycle später lief alles.
Hatte gestern Abend und heute Vormittag problemlos "Internet"

Vor 2 Stunden nach Hause gekommen, TV an "kein Internet"

Okay, PC an, mal in die Firwall schauen.
Wie kein Netzwerk?!?!?!

Alles tot...
Protectli ausgebaut und an nen Monitor gehangen, kein Bild und sie bootet auch nicht mit ihrem "Tralala Song", sie geht lediglich an.

Dann läuft auf meinem Win 11 die Com Verbindung zu meiner Protectli nicht, auf nem Win 10 Notebook lief es sofort (1 verschwendete Stunde und Bios Reset später)

In der Konsole festgestellt, dass er in irgendeinem Netzwerk Boot hängt. Ja komisch wieso das denn, der soll doch von der Festplatte booten.
Mal per Hand die Festplatte gebootet und zack fährt das Ding doch.

Bootreihenfolge wieder auf Festplatte zuerst. Aus An - Einwandfrei gebootet.



Was ist denn da bitte passiert?!?!

Edit: ist der Release von 26.1 noch nicht stable? Hab ich genau das Fenster abgepasst, nach Ewigkeiten mal wieder ein Update zu fahren, wenn ausgerechent 2 Tage davor die 26.1 erst ausgerollt wurde?

Nabend :)

Könnt ihr mir Tipps geben, wie ich meine Box am besten sicher?
Da ich sie ohne extra Festplatte nur im eMMC Speicher meines Protectli V1410 betreibe habe ich mich bei der Installation damals für UFS entschieden.

Mir schwebt ein (wöchtenliches?!) rsync script vor, das ich auf meinem Unraid Server laufen lasse, welches sich einfach alle relevanten Dateien (ggfls. mit eigenem User auf der OPNsense) pullt, so dass von der OPNsense kein Schreibzugriff auf meinen Server möglich ist und dass auch der Backup User auf der OPNsense nur lesen kann und so ein kein Sicherheitsrisiko darstellt.

Welche Orte müsste ich sichern, dass die erstellten config backups von OPNsense und die configs von z.B. Adguard sicher sind?
Hat ein nur lesender User die nötigen Rechte um wirklich alles zu kopieren?

Danke für eure Tipps/Einschätzungen

Ich glaube Bilder sprechen mehr als Worte...
Kühlt die Dinger!!! :)
You cannot view this attachment.
You cannot view this attachment.
You cannot view this attachment.

Hi,

habe mir nach dieser Anleitung einen Wireguard Tunnel aufbauen wollen, ich kriege aber keinen Handshake...

Instance settings:
You cannot view this attachment.

Peer Settings:
You cannot view this attachment.

Im Status sehe ich, dass Duckdns richtig in meine IP Adresse übersetzt
You cannot view this attachment.

Interface ist zugewiesen:
You cannot view this attachment.

Seit dem Update vorhin stimmt irgendwas ganz und gar nicht mehr.
Webseiten brauchen sehr lange, bis der Name aufgelöst wird habe ich das Gefühl.

Direkt nach der Installation ging gar nichts (also DNS mäßig, Pings auf z.b.8.8.8.8 liefen ohne Probleme durch)
Nach 2-3 Neustarts (ich meine davon stand sogar was in den Benachrichtigungen vor dem Udpate) geht es jetzt einigermaßen. Aber so ganz zufriedenstellend ist das nicht.

Habt ihr nen Tipp wie ich das Problem angehen kann, so als Voll-Noob?
Unbound und Adguard hatte ich natürlich auch mal ausgeschaltet und stattdessen einfach 8.8.8.8 als DNS Server eingetragen, ändert aber nichts.

In scheitere gerade an der Ersteinrichtung meines APs (HPE Aruba AP12)
Der hat eine vorgeschaltete Configseite, auf der man die Kommunikation einstellt.
Ab dann wird man auf das eigentliche Interface geleitet, das braucht aber für ein Onboarding scheinbar Internet.

Ich versteh nicht, was ich hier genau machen muss um das zu schaffen...


Die Firewall sperrt das hier
   Interface      Time   Source   Destination   Proto   Label   
V_LAN      2025-01-30T23:51:31   192.168.100.10:138   192.168.100.255:138   udp   Default deny / state violation rule   
V_LAN      2025-01-30T23:49:44   192.168.100.10:53805   255.255.255.255:53805   udp   Default deny / state violation rule

edit an denen liegts nicht, die kommen auch noch, wenn der AP ausgeschaltet ist

In meinem Testsetup habe bereits erste Gehversuche mit VLAN untenommen (Modem Zugang geschaffen)
Jetzt würde ich das gerne "etwas" aufbohren und zwar wie im angehängten Bild...


Die Fallbacklösung "FritzAlt" wird nur bei Bedarf angeschmissen. Wenn dort ebenfalls alle Stricke reißen, dann kann ich immer noch das Telefonkabel direkt in die Fritz stecken.


Guest am Kabel ist derzeit nur mein Arbeits PC. Ich plane nicht weitere Clients anzuschließen.
Platz am Switch könnte ich aber dann jederzeit mit einem unmanaged Switch an LAN schaffen.

Einen Management Access, der verhindert, dass LAN Clients auf die Firewall zugreifen können, spar ich mir erst mal.


Beim Schreiben dieses Posts habe ich schon wieder einiges hinterfragt und eigentlich mache ich mit den VLANs jetzt nichts mehr, außer den Gastzugang auf IoT und Gäste aufzuteilen, damit ich hier im Zweifel die Spielregeln etwas aufweichen kann, sollte ich Probleme kriegen.

ArbeitsPC und Gäste bleiben aber komplett außen vor.



Bevor ich das jetzt alles einrichte wollte ich mal um Expertenmeinung bitten, ob das für den Anfang erst einmal Sinn macht.

Vor allem das reinfüttern von zwei Leitungen zwischen OPNsense und Switch, die Positionierung des APs und ob die Aufteilung so Sinn macht

Hallo in die Runde.

Ich versuche mich gerade an meinem ersten OPNsense Setup.
Bisher hab ich immer eine Fritz 7490 verwendet, davon habe ich sogar 2, weil ich irgendwann mal eine zweite geschenkt bekommen habe.

Jetzt würde ich gerne so lange mein Produktivsystem aufrechterhalten, bis die OPNsense stabil läuft und ich Stück für Stück die Komponenten umziehe. Dafür möchte ich jederzeit ein Fallback haben, sprich die Fritzbox soll solide parallel laufen.

Zu dem Zweck will ich ganz simpel alles was vom Modem kommt von WAN auf meinen vierten NIC an dem Protectli V1410 durchschleifen.
Die Fritzbox geht dann in den Router Modus und kriegt Internet über LAN 1. Dann vermute ich, kann ich relativ viel an der OPNsense spielen, ohne dass mein Internet auf dem Produktivsystem weg ist.

Irgendetwas mache ich aber scheinbar falsch...

Habe ein neues Interface "altefritz" eingerichet, das hat die IP 192.168.178.2, die Fritzbox hat die 192.168.178.1 manuell eingestellt.

Device ist igc3 (müsste ja der vierte port sein, igc0=LAN, igc1=WAN, igc2=frei)

Ich hab ne Firewall Regel für das Interface gemacht:
Action  Pass
Interface  altefritz
Source  192.168.178.0/24
Destination  any
Destination Port  any
Protocol  any
Description  "Erlaubt gesamten Verkehr von FritzBox"

Pings funktionieren in beide Richtungen leider nicht.
Die Fritz meldet in den Ereignissen: Fehlergrund: 2 (dhcpv4 no answer on discover)

Code Select Expand

o2 Internet                                                  
      :                                                       
      : PPPoE                                                 
      :                                                       
.-----+-----.                                                 
| Vigor 167 | Bridge, VLAN7                                   
'-----+-----'                                                 
      |                                                       
  WAN |                                                       
      |                                                       
.-----+------.OPT2            LAN1.------------.LAN2    .-----+-----.
|  OPNsense  +--------------------+-FritzboxAlt|--------+    PC     |
'-----+------'192.168.178.2       '------------'        '-----+-----'
      |                            192.168.178.1        192.168.178.3
  LAN | 192.168.100.1/24                                      
      |                                                       
.-----+------.                                                
|Fritzboxtest| 192.168.100.2                                  
'-----+------'                                                
      |                                                       
 Wifi | 192.168.100.3                                         
      |                                                       
.-----+------.                                                
|   Laptop   |                                                
'-----+------'                                                


Guten Abend,

Ich stehe gerade vor der Entscheidung eine neue Fritte (5790AX, evtl gebraucht 160€) zu kaufen oder es bleiben zu lassen und stattdessen OPNsense zu "lernen"
Daher frage ich mich, ob so eine ultra low budget Lösung vielleicht ein guter Start wäre um von Fritz etwas weiter weg zu kommen (ich glaube die gehen seit dem Verkauf in eine falsche Richtung...Die 7690 ist ein Witz und die Differenzierung mit Pro oben drauf nochmal; bei den Preisen...)

Zunächst wäre natürlich die Hardware interessant. Sollte ultra energiesparend sein und da gibts die HP T620 als attrakives Paket wie ich finde. Man müsste allerdings den fehlenden zweiten NIC über den Switch bereitstellen und dann die Clients auch noch an den Switch dran.
Oder eben einen Mini PC mit 2NICs.

Switch müsste ich eh neu anschaffen (ich glaube mein uralt 5fach, unmanaged zickt)

Aktuell betreibe ich noch einen Unraid Server und ich wollte da jetzt mit Adguard/Pihole und Headscale loslegen.
Wenn ich das ganze aber dann sinnvoller woanders hin verlagern kann, dann wäre das natürlich was feines und ich könnte den Server auch easy über meine Arbeitszeit und nachts schlafen legen.


Leisten soll das setup dann:

• adguard oder pihole
• eine vpn Lösung wie headscale hosten
• gäste lan für den arbeits-pc
• Fritzbox 7490 als Client für VOIP und DECT Smarthome
• Modem: PPPoE passthrough der Fritzbox (60Down,20Up)
• Meinentwegen auch AP mit Gastzugang über die Fritz um die Kosten niedrig zu halten.
• 1Gbit;
• stromsparen

Ich weiß, die Sicherheit erhöht sich nicht durch die Anwesenheit von Hardware.
IoT in separate Netzwerke sperren ist aber auch ein gar nicht so leichtes Unterfangen.
Der Saugroboter soll ja trotzdem noch erreichbar sein, ich will trotzdem noch vom Handy auf den Fernseher streamen, etc...
Genau hier ist die Fritz raus. Für solchen Vorhaben sind google, Forum und ChatGPT meine besten Freunde.

Aber nur mal grundsätzlich gefragt, ich bin mit ein "paar" Einstellungen vermutlich ähnlich gewappnet wie bisher, oder?
Sowas wie vorgefertigte Regeln, Standardsettings, Tipps aus Newbie Tutorials...
Natürlich mit dem Anspruch die Kommunikation etwas einzuschränken und dann immer weiter zu lernen.


Besten Dank schon mal für eure Einschätzung...