Messages

1

German - Deutsch / Re: Upgrade von 20.7.8 auf 21.1 – best practice?

« on: February 02, 2021, 12:23:27 pm »

Hallo zusammen,

erst einmal vielen Dank an alle für die zahlreichen Empfehlungen.

Habe es jetzt am WE auch gewagt, das ganze per "Terminal" upzugraden und es lief alles gut. Zur Sicherheit habe ich danach trotzdem auch noch mal die von 20.7.8 exportierte Config in 21.1 importiert.

Mittlerweile scheint auch das Problem mit dem "Warnhinweis" nach dem Neustart verschwunden zu sein, die ersten zwei, drei male tauchte er noch auf, jetzt nach dem letzten Reboot aber nicht mehr.

2

German - Deutsch / Upgrade von 20.7.8 auf 21.1 – best practice?

« on: January 28, 2021, 09:13:03 pm »

Hallo zusammen,

wahrscheinlich ist dieser Weg empfehlenswert?

1) Aktuelle Config der 20.7.8 exportieren.
2) Den Router von einem 21.1-Stick booten und in das "Live"-System gehen.
3) Die 20.7.8-Config importieren.

Schauen, ob soweit alles funktioniert. 

Ich frage sicherheitshalber vorher aus verschiedenen Gründen.

Zum einen hatte ich bei meiner 20.7-Installation diverse male nach einem Neustart den Hinweis, dass da "etwas nicht in Ordnung" sei bei mir inkl. der Option, einen 'bug report' zu senden etc.

Das hatte ich dann auch gemacht inkl. Kontakt-E-Mail für Rückfragen usw., da kam aber leider nie eine Reaktion darauf … (was ja auch nicht weiter "schlimm" ist). Aber natürlich bin ich mir jetzt etwas unsicher, ob ich die neue 21.1 nicht lieber 1x komplett frisch installieren sollte?

Außerdem nutze ich z.B. die 'custom options' bei "Unbound DNS":

Code: [Select]

forward-zone:
name: „.“
forward-addr: 10.5.5.1@53530
Das zwingt die DNS-Anfragen rüber zu BIND (der lauscht auf Port 53530).

Mit 21.7 sollen diese 'custom options' ja rausfliegen bei "Unbound DNS" (bei "Dnsmasq DNS" sind sie ja nun sogar schon ab der 21.1 raus).

Und ich frage mich, was ich diesbezüglich im Vorfeld beachten / bedenken sollte.

Danke für Praxis-Tipps.

Beste Grüße,
Marcel

3

German - Deutsch / Re: DVB-C Live-TV einer FRITZ!Box 6591 Cable hinter OPNsense per VLC nutzen?

« on: January 09, 2021, 10:55:09 am »

Hallo,

sowohl der Bridge Mode als auch Exposed Host sind leider keine Option, ich möchte das ganze schon weiterhin als Double-NAT betreiben (also vorn die Fritzbox Cable mit Ihrem 10.89.89.0/24 Netz, dahinter meine OPNsense mit dem 10.5.5.0/24 Netz).

Dieser heise-Artikel hier führte mich schon mal grundsätzlich auf die richtige Spur:

https://www.heise.de/ct/artikel/MagentaTV-auf-pfSense-Co-4698826.html

Nur habe ich es hier bei mir ja nicht mit einem Telekom-Anschluss und Magenta TV zu tun, sondern es ist ein Kabel-Anschluss von PYUR und die Fritzbox empfängt ja schon erfolgreich die DVB-C Signale und die aus der Fritzbox exportierte Programmliste lässt sich im 10.89.89.0/24 Netz auch absolut problemlos per VLC ansehen.

Vllt. als Beispiel mal ARD HD aus der .m3u Liste, da steht folgendes:

#EXTINF:0,Das Erste HD
#EXTVLCOPT:network-caching=1000
rtsp://10.89.89.1:554/?avm=1&freq=314&bw=8&msys=dvbc&mtype=256qam&sr=6900&specinv=1&pids=0,16,17,18,20,5100,5101,1170,1176,2171,5102,5103,5104,5105,5106,5108,5172

Im Gegensatz dazu wird bei Magenta TV ja immer von so etwas hier geredet:

rtp://87.141.215.251@232.0.20.85:10000

Vllt. liege ich damit ja auch völlig falsch, aber könnte es nicht sein, dass ich bei mir eigentlich nur den rtsp Stream auf Port 554 der Fritzbox (IP 10.89.89.1) an OPNsense-WAN (IP 10.89.89.2) und dann OPNsense-LAN (IP 10.5.5.1) "durchschleifen" muss?

Aber wahrscheinlich sind auch diese Frequenzangaben etc. wichtig? (siehe oben im Beispiel von Das Erste HD)?

Oder aber sind gar die "externen IPs" wichtig, die ich dank der heise-Anleitung zwar von Magenta TV der Telekom kenne, aber leider nicht von PYUR (ehemals Tele Columbus)?

PS: Und wie ich gerade mitbekomme, kommt dann später auch noch eine zusätzliche Herausforderung auf mich zu, nämlich die Konfiguration meiner Unifi-Switche, die aber hier sehr gut erklärt ist (wenn auch leider wieder nur für Magenta TV): https://die25stestunde.de/telekom-magenta-tv-mit-unifi-hardware/#3-3-igmp-proxy-mittels-config-gateway-json-aktivieren

4

German - Deutsch / DVB-C Live-TV einer FRITZ!Box 6591 Cable hinter OPNsense per VLC nutzen?

« on: January 07, 2021, 06:59:07 pm »

Hallo zusammen,

direkt an der Fritzbox angestöpselt funktioniert das schon wunderbar (u.a. per VLC-Player oder auch mit den AVM Apps auf dem Mobiltelefon).

Da ich die Fritzbox aber nur für Festnetz-Telefonie und "als Modem" nutzen möchte, ist mein Ziel, dass das auch hinter meiner "Double-NAT"-Konstruktion klappt.

Aktuell funktioniert das in meinem "richtigen Netz" (also hinter meiner OPNsense) nämlich noch nicht …

Ich kann da zwar schon die Senderliste doppelklicken im VLC (diese wurde als tvsd.m3u sowie tvhd.m3u aus der Fritzbox exportiert) und sehe auch (in der Fritzbox), dass der jeweils gewählte Sender tatsächlich auch abgespielt/gestreamt wird.

Allerdings kommt weder Bild noch Ton und nach 1-2 Minuten wird automatisch auf den nächsten Sender gewechselt.

Soweit ich das verstehe, ist das ganze Thema recht komplex?

Denn zum einen muss ich wohl die Ports 10000-10500 "erlauben" und dazu ist dann auch noch IGMPv3 (inkl. 'cascading') wichtig?

Ich habe mir den "IGMP Proxy" auch schon installiert, finde für dessen Einrichtung aber leider keine richtige Anleitung …

Diese hier https://docs.opnsense.org/manual/how-tos/orange_fr_tvf.html bezieht sich ja eher auf Leute, die das ganze direkt in der OPNsense "anzapfen" wollen, also ohne Fritzbox.

Bei mir ist das IPTV-Signal dank der Fritzbox ja eigentlich schon da – ich weiß nur leider nicht, was genau ich einstellen muss, damit das dann z.B. auch auf einem Rechner hinter meiner OPNsense ankommt?

Danke vielmals für Hilfe!

PS: Und noch als Ergänzung – "Multicast" ist wohl ebenfalls wichtig, sonst klappt es nicht, siehe:

https://avm.de/service/fritzbox/fritzbox-7530/wissensdatenbank/publication/show/1422_Live-TV-Wiedergabe-startet-nicht/

5

German - Deutsch / Re: lokale Namensauflösung funktioniert nicht (Unbound DNS und BIND)

« on: August 14, 2020, 03:24:29 am »

Ok, bin mittlerweile einen entscheidenden Schritt weiter … aber leider immer noch nicht am Ziel.

Aber immerhin – externe DNS-Auflösungen funktionieren jetzt auch mit dem Eintrag meiner LAN IP (statt der 127.0.0.1) unter Services / Unbound DNS / General / Custom options

Code: [Select]

forward-zone:
name: „.“
forward-addr: 10.5.5.1@53530
Entsprechende steht nun unter Services / BIND / Configuration / Listen IPs ebenfalls meine LAN IP (statt der 127.0.0.1)

Code: [Select]

10.5.5.1
Mein Fehler beim vorherigen Versuch war folgender: Ich hatte lediglich unter Firewall / Rules / Floating die Destination von 127.0.0.1 auf 10.5.5.1 für den Port 53530 angepasst.

Zusätzlich musste ich aber auch noch unter Firewall / NAT / Port Forward die Regel anpassen!

(siehe Screenshot Firewall-NAT-PortForwarding.png)

Das heißt also, die Notizen ganz am Ende dieser Dokumentation habe ich jetzt korrekt am laufen:

https://docs.opnsense.org/manual/how-tos/bind.html

Und eigentlich sollten mit genau dieser Einstellung dann ja auch die Unbound DNS Overrides funktionieren, richtig?

Leider werden lokale Host-Namen bei mir aber immer noch nicht aufgelöst (da ist der Stand also immer noch wie zuvor beschrieben). 

Woran liegt das? Danke für Ideen und Vorschläge!

6

German - Deutsch / Re: lokale Namensauflösung funktioniert nicht (Unbound DNS und BIND)

« on: August 12, 2020, 10:59:01 pm »

Vorweg: Wie schon erwähnt, externe Adressen werden sowohl per Pi-hole als auch per OPNsense wie gewünscht aufgelöst, das ist nicht das Problem.

Wenn ich an einem Rechner in meinem Netzwerk den Pi-hole nach dem iMac (also einer internen Maschine) frage, bekomme ich folgende Antwort (das klappt also):

Code: [Select]

dig @10.89.89.11 -p 53 imac.localdomain

; <<>> DiG 9.10.6 <<>> @10.89.89.11 -p 53 imac.localdomain
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41291
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;imac.localdomain. IN A

;; ANSWER SECTION:
imac.localdomain. 2 IN A 10.5.5.199

;; Query time: 29 msec
;; SERVER: 10.89.89.11#53(10.89.89.11)
;; WHEN: Wed Aug 12 22:46:09 CEST 2020
;; MSG SIZE  rcvd: 61
Und auch die Rückwärstauflösung klappt (da kommt die Antwort jedoch definitiv nur vom Pi-hole, nicht von der OPNsense):

Code: [Select]

host 10.5.5.199     
199.5.5.10.in-addr.arpa domain name pointer imac.localdomain.
Wenn ich mich per SSH auf meiner OPNsense einlogge, kann ich auch dort den iMac erfolgreich abfragen:

Code: [Select]

dig @127.0.0.1 -p 53 imac.localdomain

; <<>> DiG 9.16.5 <<>> @127.0.0.1 -p 53 imac.localdomain
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58368
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;imac.localdomain. IN A

;; ANSWER SECTION:
imac.localdomain. 3600 IN A 10.5.5.199

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Aug 12 22:46:48 CEST 2020
;; MSG SIZE  rcvd: 61
Und auch direkt auf der OPNsense klappt die Rückwärtsauflösung:

Code: [Select]

host 10.5.5.199
199.5.5.10.in-addr.arpa domain name pointer imac.localdomain.
Was jedoch nach wie vor nicht klappt, ist die Abfrage von einem beliebigen Rechner im Netzwerk aus direkt auf der OPNsense:

Code: [Select]

dig @10.5.5.1 -p 53 imac.localdomain

; <<>> DiG 9.10.6 <<>> @10.5.5.1 -p 53 imac.localdomain
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 42381
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;imac.localdomain. IN A

;; AUTHORITY SECTION:
. 9563 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2020081202 1800 900 604800 86400

;; Query time: 31 msec
;; SERVER: 10.5.5.1#53(10.5.5.1)
;; WHEN: Wed Aug 12 22:57:44 CEST 2020
;; MSG SIZE  rcvd: 120
 

7

German - Deutsch / Re: lokale Namensauflösung funktioniert nicht (Unbound DNS und BIND)

« on: August 12, 2020, 02:26:43 pm »

Aber ich lasse das trotzdem mal auf TCP/UDP stehen, denn dazu habe ich das hier gefunden:

https://www.infoblox.com/dns-security-resource-center/dns-security-faq/is-dns-tcp-or-udp-port-53/

War also grundsätzlich ein guter Hinweis.

Bin trotzdem mal gespannt, wie das Problem letztlich zu lösen ist. Die erfahreneren Leute aus diesem Forum sind glaube ich aktuell alle noch in ihrem wohlverdienten Ulraub. Es sei ihnen natürlich gegönnt. 

8

German - Deutsch / Re: lokale Namensauflösung funktioniert nicht (Unbound DNS und BIND)

« on: August 12, 2020, 02:17:49 pm »

Das ändert leider nichts, auch wenn TCP/UDP auf Port 53 und 53530 erlaubt ist.

Es hätte mich ehrlich gesagt auch gewundert – denn grundsätzlich klappte DNS ja schon, wenn nur UDP auf Port 53 und 53530 erlaubt war.

9

German - Deutsch / Re: lokale Namensauflösung funktioniert nicht (Unbound DNS und BIND)

« on: August 12, 2020, 09:36:27 am »

Versuchs mal mit TCP an Stelle von UDP

Hallo Rainer,

an welcher Stelle genau meinst Du?

Muss jetzt leider erst mal los und kann mir das erst abends ansehen …

Danke & beste Grüße,
Marcel

10

German - Deutsch / Re: lokale Namensauflösung funktioniert nicht (Unbound DNS und BIND)

« on: August 12, 2020, 09:26:25 am »

Habe das jetzt mal wie beschrieben angepasst (also statt der 127.0.0.1 nutze ich jetzt die 10.5.5.1 bei BIND).

Dann funktioniert DNS aber gar nicht mehr …

Deshalb habe ich das jetzt doch wieder auf 127.0.0.1 gestellt.

Also entweder missverstehe ich diese Hinweise völlig, oder aber das funktioniert so mit der aktuellen OPNsense 20.7 gar nicht mehr?

Wer kann helfen?

11

German - Deutsch / Re: lokale Namensauflösung funktioniert nicht (Unbound DNS und BIND)

« on: August 11, 2020, 10:28:41 pm »

Ich glaube nach wie vor, der entscheidende Punkt ist bei den "Custom options" von Unbound DNS versteckt:

https://docs.opnsense.org/manual/how-tos/bind.html

Anbei auch noch einmal ein Screenshot, damit ihr besser versteht wovon ich rede (Unbound_DNS_Custom_Options.png).

Es gibt übrigens schon seit einigen OPNsense-Versionen folgenden Hinweis bei den "Custom options" von Unbound DNS: "This option will be removed in the future due to being insecure by nature. In the mean time only full administrators are allowed to change this setting".

Aktuell ist als "Listen IPs" bei mir in Services / BIND / Configuration noch die 127.0.0.1 eingetragen (was ja der localhost wäre, richtig?).

Wenn ich die Anmerkung (siehe Screenshot) richtig verstehe, soll ich unter "Listen IPs" in Services / BIND / Configuration statt der 127.0.0.1 meine "LAN IP" eintragen, das wäre in meinem Fall dann also die 10.5.5.1 meiner OPNsense?

Und in den "Custom options" unter Services / Unbound DNS / General sollte dann statt

Code: [Select]

do-not-query-localhost: no
forward-zone:
name: „.“
forward-addr: 127.0.0.1@53530
noch noch folgendes stehen:

Code: [Select]

forward-zone:
name: „.“
forward-addr: 10.5.5.1@53530
Sonst hätten meine "Host Overrides"-Einträge unter Services / Unbound DNS / Overrides keine Funktion?

Oder missverstehe ich das immer noch?

Danke für weitere Hilfe!

12

German - Deutsch / Re: lokale Namensauflösung funktioniert nicht (Unbound DNS und BIND)

« on: August 11, 2020, 05:31:34 pm »

Mmh, das hätte ich vllt. extra erwähnen sollen:

Die DNS-Auflösung "nach draußen" funktioniert eigentlich in der OPNsense, Unbound DNS auf Port 53 und BIND ist zusätzlich auf Port 53530 für DNSBL vorgesehen (also als DNS blacklist, eine Art Pi-hole Ersatz mit verschiedenen Blocklisten).

Code: [Select]

dig @10.5.5.1 -p 53 heise.de

; <<>> DiG 9.10.6 <<>> @10.5.5.1 -p 53 heise.de
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34533
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;heise.de. IN A

;; ANSWER SECTION:
heise.de. 6397 IN A 193.99.144.80

;; Query time: 30 msec
;; SERVER: 10.5.5.1#53(10.5.5.1)
;; WHEN: Tue Aug 11 17:25:42 CEST 2020
;; MSG SIZE  rcvd: 53
sowie

Code: [Select]

dig @10.89.89.11 -p 53 heise.de

; <<>> DiG 9.10.6 <<>> @10.89.89.11 -p 53 heise.de
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28930
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;heise.de. IN A

;; ANSWER SECTION:
heise.de. 16376 IN A 193.99.144.80

;; Query time: 30 msec
;; SERVER: 10.89.89.11#53(10.89.89.11)
;; WHEN: Tue Aug 11 17:26:05 CEST 2020
;; MSG SIZE  rcvd: 53

funktionieren also.

Was mir jedoch auffällt – auf Port 53530 klappt das so nicht …

Code: [Select]

dig @10.5.5.1 -p 53530 heise.de

; <<>> DiG 9.10.6 <<>> @10.5.5.1 -p 53530 heise.de
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached
Wobei das aber mal funktioniert hatte, soll heißen, die Domains die mit Hilfe der DNSBL Blocklisten blockiert werden, wurden eigentlich blockiert (und auch zusätzliche Sonderfunktionen wie z.B. "Enable Google SafeSearch", "Enable DuckDuckGo SafeSearch", "Enable Youtube Adult Restrictions" und "Enable Strict Bing Search" waren aktiv und konnten nicht umgangen werden).

Korrektur: Habe das gerade noch einmal getestet – also den Pi-hole aus gemacht – das "blocking" dank der DNSBL klappt. Nur die Abfrage per dig auf Port 53530 nicht, da das dann "intern" in der OPNsense gemacht wird.

D.h., außen fragt er natürlich nur auf DNS Port 53, intern gibt es dann noch die "custom option" im Unbound DNS per

Code: [Select]

forward-addr: 127.0.0.1@53530
(siehe auch mein Eingangs-Post, da habe ich dies ja schon erwähnt)

13

German - Deutsch / Re: OPNsense / *sense (Online) Usergroup?

« on: August 11, 2020, 02:43:10 pm »

Ich fände das auch sehr spannend, zumal ich oftmals gefühlt "im ungefähren" stochere bis ich es dann doch irgendwie hinbekomme (also z.B. Firewall-Regeln und so).

Freue mich auf eine solche Veranstaltung, Jitsi passt und als "Messenger" für die direkte Kommunikation im Vorfeld wäre meine Empfehlung https://keybase.io/, da es das für Windows, Linux und Mac gibt und auch für iOS und Android, E2EE ist ebenfalls gewährleistet.

14

German - Deutsch / Re: lokale Namensauflösung funktioniert nicht (Unbound DNS und BIND)

« on: August 11, 2020, 02:24:40 pm »

Frage 1: wer ist den forwarder für wen?
Frage 2: welcher DNS hält die lokalen DNS-Einträge?
Frage 3: hast Du mal die Reihenfolge (im dhcp) der dns-Server umgedreht und dann getestet?

Frage 1: Wo/wie kann ich das prüfen? Bin leider kein Netzwerk-Experte … Danke für präzisere Erläuterung der Frage.

Frage 2: Wie schon eingangs beschrieben sowohl der Pi-hole (durch manuell hinzugefügte "Local DNS Records"), als auch die OPNsense (durch manuell hinzugefügte "Overrides" Einträge im Unbound DNS).

Frage 3: Das habe ich noch nicht gemacht.

Mag zwar sein, dass er so dann erst bei der OPNsense gucken würde, dort nichts findet und dann auf dem Pi-hole schaut und die entsprechenden "Treffer" liefert …

Aber das ist ja nicht mein Ziel!

Ich möchte, dass die lokale DNS-Auflösung auch komplett ohne Pi-hole funktioniert und korrekte Werte zurückliefert.

Also mit meiner Unbound DNS + BIND Variante.

Ergänzung: Ich habe die Reihenfolge zum Test jetzt mal kurz umgedreht, sprich 10.5.5.1 (OPNsense) als 1. DNS und 10.89.89.11 (Pi-hole) als 2. DNS eingetragen. Da kommt es genauso zum Abbruch, als wenn nur 10.5.5.1 (OPNsense) drin stehen würde, d.h. es wird leider gar nicht erst versucht, noch zusätzlich auf der 10.89.89.11 (Pi-hole) zu schauen.

Nur wenn ich die Reihenfolge so lasse, also 10.89.89.11 (Pi-hole) als 1. DNS und 10.5.5.1 (OPNsense) als 2. DNS, bekomme ich die gewünschten Ergebnisse der lokalen DNS Auflösung.

15

German - Deutsch / Re: lokale Namensauflösung funktioniert nicht (Unbound DNS und BIND)

« on: August 11, 2020, 02:18:36 pm »

Noch ne Frage: welchen Grund hat es, das Du den pihole vor der opnsense an der fritzbox betrteibst?

Das hatte ganz einfach den Grund, dass auch Gäste in den Genuss eines Werbe- und Tracking-Blockers kommen sollten, aber ohne Zugriff auf mein 10.5.5.0/24-Netzwerk und vor allem die damit verbundenen Geräte.

D.h., Gäste bekommen Wi-Fi nur von der Fritzbox und sind somit im 10.89.89.0/24-Netzwerk, DNS macht dort ausschließlich der Pi-hole mit der 10.89.89.11.