Messages

Hi,

zeitlich zusammenhängend mit dem Update von 24.7 auf 25.1 (vermutlich ein Zufall) erhalte ich bei nahezu jeder Abfrage den o.g. Hinweis bei Suchanfragen über Google.

hat sich durch den Reboot beim Update die WAN IP geändert?
Wenn ja, hat der "Vorbesitzer" der IP das Problem verursacht.

Gruss
KH

Ich installiere jetzt alles noch ein mal von vorne und schaue ob es ein BIOS Update gibt.

Zum BIOS Update, das letzte kam wenn ich 2015 durch Apple (EFI Firmwareupdate v1.8). Wenn dann kannst du das nur unter macOS installieren. Auf der Firmwareseite nennen Sie OS X 10.8.5, 10.9.5 und 10.10.4.

Ich hatte einen MacMini 2012 (i5-3210M) 18 Monate unter Proxmox 7.2 bis 8.1 am laufen und der hatte immer Netzwerkaussetzer. Und ich hatte nicht OPNsense in einer VM auf dem MacMini. Meiner Meinung nach liegt es am für Apple angepassten Broadcom Netzwerk-Chip. Da der MacMini meine Spielwiese für Proxmox war, hat es mich nur etwas gestört.

Meine Lösung war andere Hardware. Das würde ich dir auch Empfehlen. Ein N100 hat mehr Leistung, braucht weniger Strom und es gibt ihn mit Dual-Netzwerkkarten.

Guck mal da:
https://de.wikipedia.org/wiki/Neighbor_Discovery_Protocol

From the release notes:
o system: remove the SSL bundles in default locations

Is this unbound still using these SSL bundles?

Hi,

meine Fritz!box nimmt Nummern aus 172.17/16 und 10.88/24 für die Telefonie. Ist ein Vodafone Kabelanschluss.
Es sieht so aus, als ob Vodafone nicht das volle 172.16/12 nimmt.
Irgendwann vor einigen Jahren habe schon mal nachgesehen und da waren es auch diese beiden Netze. Es scheint also relativ konstant zu sein.

Gruß
KH

OpnSense not allowed assign same vlan tag on different port. So I'm not able to assign vlan20 to port2 and port3 at the same time. Sorry for making that confusing.

Sure it allows that. But the name needs to be unique. You cannot create two vlans with the name of vlan20.
Just name the second one e.g. vlan0.20

[Tracking der IP-Adresse beschränken]

Danke. Ich muss noch einmal nachfragen. Wenn ich Safari auf IOS benutze, triggern manche Filterregeln nicht, weil Safari die anscheinend umgeht. Ob ich das im private Tab mache oder nicht ist egal.

Wie kann ich das ändern? Ich würde gerne, dass alles, auch vom iPhone gefiltert wird. Ich nutze Adguard Home und DNSleaktest erkennt meine DNS Server. Ich habe private Relay in der iCloud nicht aktiviert.

In den WLAN-Einstellungen gibt es den Schalter Tracking der IP-Adresse beschränken welcher hierfür auch die DNS Server von iCloud Privat Relay verwendet.
Wenn der in der Einstellung von deinem WLAN ausgeschaltet wird, dann wird dieses iPhone mit Safari und Email nicht mehr deinen DNS umgehen.

Wenn du es für alle Apple-Geräte in deinem Netzwerk ausschalten willst, dann gehe in Adguard Home unter Filters auf Blocked Services und aktiviere dort den Schalter für iCloud Privacy Relay. Dann werden Diese nach einiger Zeit auch nur noch deinen DNS Server verwenden. Es dauert etwas, bis die DNS-Cache-Einträge des Geräts abgelaufen sind.

Gruß
KH

mask.icloud.com is the top blocked domain in my setup. I am a bit puzzled because I never noticed any performance issues with that.

It's part of "HaGeZi's Encrypted DNS/VPN/TOR/Proxy Bypass" block list.

Ich nehme an, dass ist eine DNS-Blockliste. D.h. mask.icloud.com und mask-h2.icloud.com werden nicht aufgelöst bzw. mit NXDONAIN, 0.0.0.0 oder ::0 beantwortet und dann schalten alle Apple Betriebssysteme diese Funktion aus. Dann gibt es auch keine Verzögerung. Es funktioniert dann so wie von Apple beabsichtigt.
Wenn man jedoch die Namesauflösung erlaubt, aber den Zugriff darauf blockiert, dann gibt es die Verzögerungen.
Das erklärt Apple in https://developer.apple.com/icloud/prepare-your-network-for-icloud-private-relay/

Gruß
KH

Kann mir jemand erklären, wieso das der Fall ist? Ich habe Private Relay _nicht_ aktiviert. Wenn ich einen anderen Browser wie Chrome nutze, habe ich das Problem auf dem iPhone nicht und die Website laden schnell und ohne großes Delay.

Wenn du Private Browsing in iOS/iPadOS verwendest, dann wird das iCloud Privat Relay verwendet, auch wenn du nicht iCloud Privat Relay aktiviert hast.

Eine Möglichkeit, iCloud Privat Relay komplett zu deaktivieren, ist deinen DNS-Server so einzurichten, dass für mask.icloud.com und mask-h2.icloud.com NXDOMAIN zurückgegeben werden.
Nur so als Beispiel: in Adguard Home kann man es unter Blocked Services ausschalten.
Vorher hatte ich es mit einer Filter-Regel in Adguard Home deaktiviert. Wie man das mit unbound umsetzen kann, weiß ich leider nicht. Müsste aber auch gehen. Eventuell kann man ja 0.0.0.0 bzw. ::0 als Adresse zurückgeben ...

Die Info gibt es unter anderem auf: https://developer.apple.com/icloud/prepare-your-network-for-icloud-private-relay/

Gruß
KH

Hi,

Ich habe den hier: https://www.amazon.de/dp/B0CB3D227Q
Der schafft 2,5 GB zwischen VLANs und 1GB Download via Kabel (Fritzbox) parallel.
Habe so ca. 20 VLANs (Zuviele, ich weiß) und Adguard Home laufen.

D.h. mit 200 Mbit sollte das gar kein Problem sein.

Gruß
KH

Hi,

deine Regeln auf dem WLAN Netzwerk können nicht funktionieren. Du hast als Ziel das WAN Netzwerk angegeben. Da sind aber nur das Gateway deines Providers und ein paar andere Kunden deines Providers. Oder in deinem Fall alles was sich im LAN deines Fli4l befindet. Alles andere wird geblockt.
Als Ziel must du any angeben. Dann kommst du ins Internet.

Des weiteren solltest du als Quelle das WLAN Netzwerk auswählen. Denn wenn auf dem WLAN Interface etwas ankommt was keine Adresse aus dem WLAN Netz hat, dann ist da was falsch konfiguriert oder faul.

Gruß KH

Hi,

Sehe ich das richtig, das Interface igb0 ist WAN? Und du die OPNsense macht PPPoE?
So ganz kenne ich mich damit nicht aus, da ich diese Konfiguration verwende, aber WAN muss das durch PPPoE angelegte Interface pppoe0 (oder so) sein.

Gruß
KH

[Restart OPNsense Web UI]

Hi,

that is what the Automations in the ACME Client are for.
You need to add a Restart OPNsense Web UI automation in ACME Client -> Automations and then assign it to the certificate in ACME Client -> Certificates.

Works for me :)

[Broadcast]

Du hast eigentlich Deine Frage schon fast selbst beantwortet: Du schreibst, dass Du das UDP Broadcast Relay installiert hast und berichtest dann davon, dass die MDNS Multicasts nicht funktionieren...

Ich empfehle os-mdns-repeater anstatt os-udpbroadcastrelay.

Aber der UDB Broadcast Relay macht genau das:

udbproadcastrelay is a UDP multicast relayer. Its intended use is to
rebroadbcast udp packets on a specific port across interfaces, be those
interfaces physical or VLAN.

Bei mir hat der os-mdns-repeater nicht funktioniert ...
Der os-udpbroadcastrelay tut bei mir mit AirPlay, AirPrint etc. wunderbar.

Frage an Nordlicht:
hast du den eine Firewall-Regel, dass die mdns-Packete auf die Firewall dürfen? Normalerweise kommen die nicht drauf.
Für jedes beteiligte Netzwerk/VLAN:
IPv4 UDP     Netzwerk net     5353      224.0.0.0/8      5353        *        *
IPv6 UDP     Netzwerk net     5353      ff02::/16          5353        *        *


Das ist nur die Discovery. Für jedes Protokoll brauchst du dann eigene Regeln, dass es klappt.
Gruß
KH

Hallo

Der LAN hat eine feste IP .178.40 und der WAN .178.41 auch.

Das ist der Fehler. OPNsense ist vom Konzept her darauf ausgelegt, dass WAN und LAN in unterschiedlichen Netzwerkbereichen liegen. Nimm für das LAN z.b. .180.1 oder 10.1. Und vermeide .179.1, denn das ist das Gast-Netz der FB.
Für die VLANs vermeide die ID 1, denn manche Hersteller verwenden diese als Default.

Gruß KH