Messages

136

German - Deutsch / Re: avm fritz box vs opnsense

« on: June 07, 2018, 10:38:31 pm »

Eine FB kommt mir nicht mehr an die Front. Wie schon gesagt hat sie oft providerspezifische Konfigurationen und Einschränkungen. Das geht weiter bis zur möglichen Fernsteuerung durch zB TR069.
Die Filter sind nicht einstellbar, wenn es sie denn überhaupt gibt und sich die FB nicht nur auf das Vorhandensein von NAT stützt.

Dann hat sie noch haufenweise Zeug, das viele nicht brauchen. Smart Home. NAS Funktionalität via USB, Media Server usw. Das Ding ist einfach nur vollgebloatet.

Und für Menschen mit dem nötigen Hintergrundwissen ist sie einfach nich konfigurierbar genug.

Meine FB ist bis auf VoIP kastriert. Hätte ich eine schönere Alternative PBX inkl. DECT Station würde die FB komplett verbannt werden.

Ich will sie um Gottes Willen nicht schlechter reden als sie ist, aber sobald wir uns in Gefilden wie OPNsense bewegen hat sie an sich in nem Netzwerk nichts mehr verloren.

137

German - Deutsch / Re: DynDNS - Update für all-inkl.com?

« on: May 28, 2018, 09:28:02 pm »

  DSGVO ? 

138

German - Deutsch / Re: DynDNS - Update für all-inkl.com?

« on: May 28, 2018, 08:44:27 pm »

Nanu, so schnell wie sie kam war sie wieder weg ?!?

139

German - Deutsch / Re: DynDNS - Update für all-inkl.com?

« on: May 27, 2018, 09:21:03 pm »

Hallo tamara,

Die Quellen des DynDNS Moduls findest du im Plugin-Repository:
https://github.com/opnsense/plugins

unter dns/dyndns

Der interessante Code für das Zufügen eines Anbieters liegt unter:
dns/dyndns/src/etc/inc/plugins.inc.d

Anzupassen wären:
/dns/dyndns/src/etc/inc/plugins.inc.d/dyndns/phpDynDNS.inc
und
dns/dyndns/src/etc/inc/plugins.inc.d/dyndns.inc

140

German - Deutsch / Re: IPv6 bei 1&1

« on: May 24, 2018, 06:29:14 am »

Eventuell war bei dir das VLAN falsch konfiguriert. Ich nutze auch die Sense um das Tag zu setzen, mein Modem macht das nicht. Und dennoch funktioniert IPv6 bei mir anstandslos.
Wer das Tag setzt ist also prinzipiell egal.

141

German - Deutsch / Re: Zertifikate mit OpenVPN

« on: May 22, 2018, 08:50:20 pm »

Hallo.

Sowohl das Server-Zertifikat als auch die Client-Zertifikate werden von der Zertifizierungsstelle (CA) signiert.

Läuft dein Server-Zertifikat aus, musst du ein neues erstellen und es von der CA signieren lassen.
Die Client-Zertifikate behalten ihre Gültigkeit, da sie ja von der selben CA kommen wie das Server-Zertifikat.

Läuft ein Client-Zertifikat ab bleibt ja das des Servers auch gültig.

Spezialfall: Läuft die Zertifizierungsstelle ab, muss eine neue angelegt werden. In diesem Falle müssen alle Server und Clientzertifikate erneuert werden.

142

German - Deutsch / Re: IPv6 bei 1&1

« on: May 22, 2018, 05:25:12 pm »

Es empfiehlt sich, wenn es um 1und1 geht, sich in deren Kundenforum anzumelden.
Meist kann einem da auch geholfen werden, zumindest was die Anschlussseite betrifft.

Ich weiß, dass die meisten bei der Umstellung auf den Versatel Backbone auf DSLite gestellt wurden.
Je nach dem wie die es umgesetzt haben mit der PPPoE Einwahl könnte es also sein, dass sich das ganze anders verhält.

Ob man davon betroffen ist erfährt man im Kundenforum auf Anfrage und kann sich auch unkompliziert wieder auf Dual Stack umschalten lassen.

143

German - Deutsch / Re: IPv6 bei 1&1

« on: May 22, 2018, 07:46:09 am »

Hallo.

Bis auf eine Kleinigkeit sieht deine Config wie meine aus.

ich habe Directly send SOLICIT noch aktiviert. Sonst wartet die Sense erstmal ewig auf ein Router Advertisement.

TrackInterface ID habe ich beim LAN auf 0 und  auf allen anderen Schnittstellen, die Track Interface verwenden jeweils +1.

Du bekommst ja ein /56 Netz. Und eine Clientadresse ist ja /64. Mit der TrackId bestimmst du ganz grob gesagt die fehlenden /8. Verwendest du TrackInterface auf mehreren Interfaces müssen die IDs immer unterschiedlich sein.

Ansonsten sieht es so aus wie bei mir und sollte mit 1und1 funktionieren.

144

German - Deutsch / Re: Hilfe bei kleinem Heimnetzwerkprojekt

« on: May 15, 2018, 07:44:43 am »

Aktuell habe ich in VLAN 20 zB Internet/Email Zugang eingerichtet, kann aber auch auf die FB die in keinem VLA N ist zugreifen, was eigentlich nicht gehen kann.

Daran, dass es geht, merkst du, wie falsch die Aussage ist, dass es nicht gehen kann  Könnte es nicht gehen, würde es nicht gehen. ~scnr

Die Sense ist ein ganz normaler Router, der zwischen all ihren bekannten Netzten Pakete vermittelt, es sei denn die Firewall sagt nein. Das funktioniert auch zwischen DEM LAN und den VLANs.

145

German - Deutsch / Re: IPv6 Regeln mit dynamischem Präfix / Track Interface

« on: May 10, 2018, 04:12:08 pm »

Du könntest auch intern mit ULAs arbeiten und NPTv6 verwenden.
Leider gibt es keine Möglichkeit den Quell-Präfix dynamisch zu ändern.

146

18.1 Legacy Series / Re: 18.1.6 Cannot su - OPNsense reverts changes to wheel group in /etc/group file

« on: May 10, 2018, 03:39:53 pm »

It's not a bug, it's a feature!

If you want your OPNsense user to be able to gain root access, assign it the admin group via interface.
This way the user will also be added to the unix group wheel.

147

German - Deutsch / Re: Unifi AP -> VLAN -> WLAN/LAN Bridge

« on: April 26, 2018, 11:19:35 am »

Ist es überhaupt möglich, 2. und 3. über den Switch ohne Bridge in die vorhandenen Netze zu bringen? Der Switch kann VLAN, Trunked.

Ja, das ist möglich.

Code: [Select]

                     [AP][?] [?] [?] [?] [?] [?] 
                      |   |   |   |   |   |   |
[ UniFi Switch | [1] [2] [3] [4] [5] [6] [7] [8] | ]
                  |
                  |
[OPNsense      | [1] [2] [3] | ]
                      |   |
                     [?] [?]

Wenn du dir obiges Schaubild ansiehtst: Deine Sense mit 3 Ethernet-Ports (wieviele deine wirklich hat und wie sie belegt sind spielt bei dieser Betrachtung keine Rolle) ist an einem Port mit dem Switch verbunden.

Sagen wir mal es ist der LAN Port deiner OPNsense und er hat das Gerät eth0.
Jetzt legst du 2 VLAN Interface an. Beide VLAN Interfaces bekommen eth0 als physische Schnittstelle.
Dadurch entsteht ein sogenannter Trunk-Port an der OPNsense.

Am UniFi Switch legst du jetzt über den Controller deine gewünschten Netze an und konfigurierst den Port, der mit der Sense verbunden ist (im obigen Fall Port 1) UND  den Port, der mit dem AP verbunden ist (im obigen Fall Port 2) so, dass auf diesen Ports auch alle VLANs anliegen. Ist standardmäßig der Fall. Oder du gibst den Port das Profil "All".

Jetzt kannst du die Drahtlos-Netze mit dem Controller einrichten. Drahtlos-Netze, die in ein VLAN routen sollen denen gibst du das gewünschte VLAN Tag.

Sowohl AP, Switch, als auch OPNsense haben nun konfigurierte Trunk-Ports. Das sind Netzwerkports, die Traffic für verschiedene VLANs zugleich weiterleiten. Da nun alle Geräte in der Kette VLAN-aware sind reicht diese eine Kabelverbindung aus. Da auch das Hauptnetz über den Trunk-Port läuft brauchst du nirgends eine Bridge, von der ich dir auch eher abrate, da sie mMn. das Setup nur verkompliziert.

Eine weitere Frage: Wie verhalten sich dann die Clients, die sich im WLAN-Guest anmelden? Ist der VLAN-Status transparent? Eingeben kann ich eine VLAN ID bspw. bei macos für WLAN nicht so ohne Weiteres.

Clients bekommen nichts vom VLAN-Tagging mit und müssen auch kein VLAN-Tagging beherrschen. Switch und AP sorgen dafür, dass das eventuell vorhandene VLAN Tag automatisch entfernt wird, bevor sie das Ethernet-Frame weiterleiten.

148

German - Deutsch / Re: Unifi AP -> VLAN -> WLAN/LAN Bridge

« on: April 19, 2018, 09:54:18 pm »

Ja, verstehe. Was ich meine ist: Wo finde ich diese Einstellung: Possible Login Times

In der FreeRADIUS GUI sehe ich sie nicht. Und im Controller sehe ich auch nichts, es sei denn ich übersehe etwas.

149

German - Deutsch / Re: Unifi AP -> VLAN -> WLAN/LAN Bridge

« on: April 18, 2018, 07:10:57 pm »

Welche Einstellung ist das denn mit dem Zeitlimit? Sehe da nichts in den FreeRADIUS Einstellungen außer einem Session Limit.

150

German - Deutsch / Re: Unifi AP -> VLAN -> WLAN/LAN Bridge

« on: April 18, 2018, 12:14:12 pm »

Im Prinzip läuft das so:

Du aktivierst VLANs für den FreeRadius (Bild 1)
Und du weist dem Radius-Nutzer eine VLAN-ID zu (Bild 2)

Nun, je nach verwendeter Hardware das Feature am AP aktivieren (Bild 3: Beispiel UniFi Controller)

Jetzt ist die VLAN-ID, die ein drahtloser User bekommt abhängig von der im RADIUS-Server getätigten Einstellung.

Sehr flexibel.