Messages

So, anbei noch einmal eine Rückmeldung meinerseits.

Kurzgefasst: Es lohnt sich, da dran zu bleiben und weiter Druck zu machen. Ist anstrengend, führte aber letztlich zum Erfolg – man kommt aus dem CGN auch wieder raus!

Natürlich hat man das Problem, dass man (leider) immer wieder mal Mitarbeiter in der Hotline erwischt, die einem dann falsche Auskünfte geben wie z.B.:

- das ist nicht möglich bei Privat-Anschlüssen, sondern nur bei Business-Anschlüssen (wobei dort offensichtlich missinterpretiert wurde, dass ich eine 'feste IP' möchte ... aber darum ging es mir ja gar nicht)
- das wird nicht mehr gemacht bei neuen Anschlüssen / Vertragsarten (stimmt auch nicht)
- das können sie nicht machen, sondern muss der 2nd-Level-Support übernehmen (auch das ist offensichtlich nicht korrekt, siehe weiter unten)

Nach fast zwei Wochen hatte ich dann Glück, und endlich mal einen PYUR-Mitarbeiter aus dem technischen Support am Telefon, der nach Rücksprache mit einem weiteren Kollegen das CGN für meinen Anschluss / meine Fritzbox deaktivierte – und keine halbe Stunde später hatte ich endlich wieder eine problemlos von außen erreichbare IPv4-Adresse.

War wirklich nicht einfach (vor allem sehr zeitaufwändig), aber dass das gar nicht mehr geht bzw. gemacht wird, stimmt einfach nicht. Und das wollte ich hier noch mal loswerden, vllt. hilft es ja dem einen oder anderen Betroffenen in der Zukunft.

PS: Ergänzend noch als Info dazu – das Ticket wurde frecherweise sogar schon geschlossen bei denen, und erst als ich damit drohte, den Anschluss zu kündigen, kam da dann doch noch einmal etwas in Bewegung. Außerdem wurde meine Mobilfunknummer, die als Kontakt hinterlegt war, abgewiesen – wenn ich offiziell mit dieser anrief, kam ich erst gar nicht bis zum Auswahlmenü, ebenso nicht, sobald ich meine Kundennummer angab. Es half nur, mit unterdrückter Rufnummer anzurufen (anonym) und dann auch so zu tun, als ob man die Kundennummer gerade nicht zur Hand hätte – erst dann kam man bis zum technischen Support durch (oft verbunden mit minimum 10 min bis zu 30 min Wartezeit, aber das war mir einfach zu wichtig und ich übte mich in Geduld).

Danke schon mal für die schnelle Antwort.

Bei der OPNsense hatte ich bisher IPv6 weitestgehend deaktiviert, kann das aber natürlich auch wieder aktivieren wenn es Sinn macht.

Was genau soll ich denn machen bzw. prüfen, wenn ich nicht diese "exposed host"-IPv4-Krücke nutzen soll?

Die OPNsense muss ich ja "hinter" der Fritzbox betreiben, da die Fritzbox das Modem beinhaltet. Im "bridged mode" ist die Fritzbox jedoch nicht (so dass sie als reines Modem funktioniert), glaube auch gelesen zu haben, dass das gar nicht möglich ist bei diesen "gebrandeten" Geräten.

[also nicht in ein CGN gesteckt werden möchte]

Hallo zusammen,

hatte vor vielen Monaten schon mal einen größeren Thread eröffnet, in dem es um DynDNS, OpenVPN etc. ging – und letztlich stellte sich dabei heraus, dass das Hauptproblem das CGN des Anbieters war (damals noch Tele Columbus, jetzt PYUR).

Die Lösung war, beim technischen Support des Kabelanbieters eine "echte" IPv4 zu beantragen, die dann auch wieder ganz normal "von außen" erreichbar ist. Das hat nun viele Monate problemlos funktioniert (es war zwar keine feste IP, aber Dank meines DynDNS-Accounts war das auch nicht weiter schlimm – immerhin war sie normal erreichbar, so dass ich mich mittels DynDNS-Adresse auch zu meinem OpenVPN-Server verbinden konnte).

Nun, nach einer Umstellung meines Anschlusses von 400 Down / 12 Up auf 1.000 Down / 50 Up, befinde ich mich wieder in diesem verdammten CGN – aktuell wurde die 100.74.200.187 zugewiesen ...  :(

(meine angebliche 37.120.24.188 ist leider nicht meine "echte" von außen erreichbare IPv4-Adresse)

Hier kann man das übrigens schnell und einfach prüfen: https://www.whatismyip.com/ip-address-lookup/

Zwar hatte ich bei Vertragsabschluss sogar schriftlich darauf hingewiesen, dass ich eine echte IPv4-Adresse benötige, also nicht in ein CGN gesteckt werden möchte – das wurde aber einfach ignoriert. Und jetzt redet man sich damit heraus, dass IPv4-Adressen grundsätzlich nicht mehr herausgegeben werden bei diesen neuen Verträgen.

Lange Rede kurzer Sinn: Was kann ich tun?

Wahrscheinlich ist IPv6 dann die beste Option? Der Anschluss liefert tatsächlich auch eine IPv6-Adresse, nur kenne ich mich damit überhaupt nicht aus bisher.

In der Fritzbox (eine 6591) wird mir die aktuelle IPv6-Adresse und auch das IPv6-Präfix angezeigt.

Bei der IPv6-Adresse und beim IPv6-Präfix steht dann noch zusätzlich "Gültigkeit: 1206473/601673s". Was genau heißt das für mich? Ändert sich die IPv6 also auch ab und an (wie ja sonst auch die IPv4)?

Und könnte ich meinem DynDNS-Dienst eventuell diese IPv6-Adresse "beibringen"?

Meine OPNsense läuft als "exposed host" hinter der Fritzbox, sämtliche Netzwerkgeräte gehen auch nur über diese OPNsense online.

Vielen Dank im Voraus für Eure Unterstützung.

[PS: Strange, it worked after the restart – but as I was posting this, now it's not working again, Firefox can't open the site.]

Hi,

thx for the update, also checked the behaviour again – but this time not with my "Mac-Warez" blocking sites, but with an own whitelisting area:

Sensei | Web Controls | User Defined Categories

"Whitelisted-Sites"

I've added all these sites to have the Ookla Speedcheck from https://www.speedtest.net/ working (not sure if all of them are needed for the Speedtest, but with the help of the uMatrix-plugin I could see they are accessed when you open speedtest.net)

1    *.cdnst.net    
2    *.cronon.net    
3    *.gtt.net    
4    *.ooklaserver.net    
5    *.speedtest.net    
6    *.wittenberg-net.de

But again it was only working like expected after a complete restart of my OPNsense ...  :-\

Not a big issue for me, as it's fine if it's working as expected after a restart, but of course it would be nicer if these filters will be active when you change them without an extra restart ...  ;)

PS: Strange, it worked after the restart – but as I was posting this, now it's not working again, Firefox can't open the site.

So it was working for some minutes after the restart but is now blocked again by Sensei? (if I switch sensei off, it's working fine ... tested this of course)

Hi mb,

sure, will give it a try with the upcoming version 1.0.2, thanks for the fast answer and all the best.

Marcel

[UPDATE:]

Hi,

installed Sensei today (latest version 1.0.1) on my OPNsense and wondering, why some manual filters work and some not?

I've created a new "User Defined Category" inside "Web Controls" called "Mac-Warez" and added the following three mac warez domains to it:

cmacapps.com
macwarez.net
nmac.to

UPDATE: As I'am writing this, it seems to work now (all three sites are blocked). But it was only working after a complete restart, not after saving and applying changes.

Is this normal?

Ja, denke schon.

Kann per 192.168.100.1 rein und unter Heimnetz / Kabelmodem steht dann:

,,Entsprechend Ihrer Bestellung entspricht der Funktionsumfang Ihres Gerätes dem eines reinen Kabelmodems. Dabei sind sämtliche Router-, USB- oder WLAN-Funktionen deaktiviert."

Passt also auch, oder?

@franco: Ah, vielen Dank für die Erläuterung.

Mein Deciso-Router mit OPNsense sitzt direkt hinter einem Thomson-Kabelmodem.

No-IP habe ich als "Bezahl-Variante" (weil mir das 1x im Monat auf der Webseite anmelden müssen zu nervig war bei der Free-Variante) – da sollten die dann doch eigentlich auch eine Prüfung im 15-Minuten-Takt akzeptieren, oder?

Oder wäre es "sicherer", das nur ca. alle 12 Stunden abzufragen? Seitdem ich mein A10 Gen1 gegen eine neue, lüfterlose A10 Gen2 getauscht habe, bekomme ich irgendwie alle paar Stunden eine neue IP, statt nur ca. alle 24 Stunden ...

Ok, Problem gelöst:

Hier wurde das schon mal diskutiert – https://github.com/opnsense/core/issues/278 – und das hat tatsächlich geholfen.

Einfach per System / Settings / Cron einen entsprechenden "Dynamic DNS Update"-Job anlegen und es klappt.  :)

Aber dass man das extra machen muss, sollte man dann vllt. trotzdem irgendwo erwähnen in der GUI?

Hallo,

leider bekomme ich es aktuell nicht hin, eine bei No-IP eingetragene DynDNS-Adresse automatisch aktualisieren zu lassen ... und ich verstehe nicht, woran das scheitert, denn die Einstellungen sind eigentlich "korrekt" ...

Grundsätzlich funktioniert der DynDNS-Account: Denn wenn ich per GUI "save and force update" wähle, klappt alles.

Nur eben nicht automatisch?  :-\

Den Hinweis in der DynDNS-Config "You must configure a DNS server in System: General setup or allow the DNS server list to be overridden by DHCP/PPP on WAN for dynamic DNS updates to work." habe ich eigentlich auch beachtet.

DNS-Server sind in System / General eingetragen (1.1.1.1 sowie 1.0.0.1 jeweils auf der WAN-Schnittstelle) und auch das Häkchen ist gesetzt bei "Allow DNS server list to be overridden by DHCP/PPP on WAN".

Aber es klappt trotzdem nicht automatisch sondern immer nur, wenn ich in Services / Dynamic DNS gehe, dann dort den Eintrag auswähle zum editieren und "Save and Force Update" anklicke.

Ist das eventuell ein bug in der aktuellen Version 19.1.6?

Als workaround nutze ich aktuell wieder mal den Synology-Relay-Service (also deren DynDNS-Lösung), das funktioniert als Notlösung für die OpenVPN-Verbindung.

Aber ich würde natürlich schon sehr gern lieber meine echte No-IP DynDNS-Adresse nutzen direkt im OPNsense-Router, statt dieses Synology-QuickConnect Geraffel ...  ;)

Muss ich also per SSH auf die OPNsense und dort einen extra Cron-Job anlegen für die DynDNS-Sache?

Wäre halt schön, wenn es auch direkt per GUI funktionieren würde – z.B. wäre ja eine extra Option dafür in einer zukünftigen OPNsense-Version ganz nett (wo man ihn zwingen könnte, jede Stunde per "force update" zu prüfen, ob die IP noch stimmt)?

Danke für Hilfe!

@Evil_Sense: Danke für die Erläuterung.

Dann müssen wir wohl vorerst damit leben (und hoffen, dass nicht noch mehr "Medienhäuser" diesen neuen Trick anwenden, um nervige Werbung unters Volk zu mischen).

Wahrscheinlich wird sich da auch nichts Brave- oder uBlock-ähnliches in DNS-basierte Blocker integrieren lassen können? Sondern das können prinzipiell wirklich nur die Browser selbst übernehmen (das blockieren solcher CSS-Werbeelemente)?

Oder gibt es irgendwelche Bestrebungen in der Richtung?

Habe nämlich leider wirklich den Eindruck, dass das immer mehr zur Anwendung kommt ... :/

Noch mal zum ursprünglichen Thema: Gibt es bisher wirklich keine Möglichkeit, solche per CSS eingebettete Werbung mit Hilfe einer Unbound DNS blacklist zu unterbinden?

Habe mit das soeben noch einmal bei spiegel.de mit dem Brave Browser angesehen – via Rechtsklick auf die Werbung und dann per "Brave" -> "Block element via selector" kann man das Element manuell als Werbung markieren, bei mir z.B. "#bLjHnQ > img" bei der großen Werbung mittig und "#IFiiHTJls > img" bei der Werbung am rechten Rand (CSS selector to block). Das funktioniert ...

Habe aber leider keine richtige Idee, wonach genau ich suchen müsste per Google, um eine automatisierte Funktionalität dieser Art für die Unbound DNS blacklist zu erhalten?

Und kann das mal bitte jemand mit einem PiHole prüfen, ob es dort zuverlässig unterbunden wird (also diese CSS-Werbe-Elemente)?

Wie gesagt, bei meinem "uBlock Origin" im Firefox und Chrome z.B. wird das auch automatisch blockiert zu 99%.

Von daher hoffe ich, dass man das auch irgendwie per Unbound DNS blacklist abfangen kann.

Danke für Ideen und Input.

[Setting this will cause the data /var to be lost on reboot, including log data.]

Eine Frage, wie geht ihr mit einem Neustart der Sense um? Bei mir wird die Datei in var/unbound/ nach jedem Neustart gelöscht ...

Du musst in System / Settings / Miscellaneous ganz unten im Bereich "Disk / Memory Settings (reboot to apply changes)" das Häkchen rausnehmen bei "Use memory file system for /var", damit das vernünftig funktioniert.

In der Info ist es auch erklärt: "Set this if you wish to use /var as a RAM disk (memory file system disks) rather than using the hard disk. Setting this will cause the data /var to be lost on reboot, including log data."

Deshalb dort das Häkchen raus!  ;)

Unterbunden bekommt man das mit Hilfe von uBlock Origin und entsprechend gesetzten Filtern (kann die von mir genutzte uBlock Origin Config gern hier posten bei Interesse – diese hat sich bewehrt).

Aber wäre natürlich schön, wenn so etwas auch ohne zusätzliches Browser-PlugIn unterbunden werden könnte.

Mangels eigenem PiHole kann ich leider nicht mal prüfen, ob es sich da anders verhält? Nutzt hier jemand PiHole und kann das mal prüfen?

Frage mich halt, was uBlock Origin 'anders' macht, dass es dort erfolgreich verhindert wird? Eventuell ist dafür ja eine spezielle Blocking-Liste verantwortlich, die man dann einfach noch mit in das oben verlinkte Script mit aufnehmen müsste?

Eventuell ist ja auch etwas im meinem Setup falsch eingestellt? Anbei mal, was genau ich gemacht habe bzw. wie es eingestellt ist.

1) Mit root-Rechten habe ich per ssh auf der OPNsense folgende drei Zeilen ausgeführt:

Code Select Expand

curl https://raw.githubusercontent.com/matijazezelj/unbound-adblock/master/update-hosts.sh -o update-hosts.sh

chmod +x update-hosts.sh

./update-hosts.sh

Das Script legt die Datei ,,ad-blacklist.conf" in /var/unbound/ an.

2) Per GUI in der OPNsense habe ich dann in Services / Unbound DNS / General folgende Einstellungen gesetzt:



3) Zum aktualisieren der Liste (inkl. Neustart von Unbound DNS) führe ich das hier im root-Verzeichnis aus:

Code Select Expand

./update-hosts.sh; pluginctl dns

Das würde ich gern noch automatisieren, hat aber erst einmal keine Prio ...

4) In System / Settings / General ist folgendes eingestellt: