Messages

Ich stehe im Wald und sehe keinen einzigen Baum mehr. Je mehr ich lese, umso verwirrter bin ich. Ich habe jetzt einen managed Switch (US-8, Ubiquiti) und drehe mich mächtig im Kreis :(

edit:
sehe gerade eins der Drahtlos-Netze soll direkt ins LAN gehen. Dann stimmt es, brauchst du Bridging.

Der AP soll in drei Netze/an drei Ports der Sense:
1. WLAN-Guest (neu, 192.168.100.x)
2. Lan (WLAN-Familie soll in das vorhandene 192.168.10.x)
3. Server (Admin soll in das vorhandene 192.168.1.x).

Ist es überhaupt möglich, 2. und 3. über den Switch ohne Bridge in die vorhandenen Netze zu bringen? Der Switch kann VLAN, Trunked.

Meine Vermutung: Ich kann das eine AP Kabel nur über VLANs in 3 Segmente teilen. Und, wenn ich das mache, komme ich nicht umhin, zusätzliche Subnetze anzulegen und zu managen ODER zwei Bridges zu bauen.

Eine weitere Frage: Wie verhalten sich dann die Clients, die sich im WLAN-Guest anmelden? Ist der VLAN-Status transparent? Eingeben kann ich eine VLAN ID bspw. bei macos für WLAN nicht so ohne Weiteres.

Danke für Eure Geduld mit mir ... die Fragen sind sicherlich sehr "Basic"  :-[

Danke Euch allen. Damit habe ich genug Material in Ruhe zu testen, wenn keiner im Haus ist :)

Danke Dir nasq.

Ja ... die Familien-WLAN-Geräte sollen ins LAN. Ich habe SATIP und andere Geräte, die leider nicht über Subnetzgrenzen hinweg funktionieren. Und wenn ich den iPads das TV entziehe, stehe ich daheim im Sturm :D

Was mir nicht klar ist, ist, was passiert, wenn ich bridge. Gelesen habe ich viel, allein ist es nicht erhellend gewesen.

Ich habe aktuell alles auf LAN (dhcp, rules) eingerichtet. Ist das dann auch für die Bridge wirksam, wenn ich die VLAN-Schnittstelle ohne eigene IP Adresse anlege? Oder muss ich die Einstellungen für die Bridge alle neu vornehmen?

Cheers

Hi,

ich habe an der Sense noch einen Port frei. Meine Überlegung war, an diesen den Ubiquiti AP zu stecken. 3 VLAN für VLAN1: ADMIN, VLAN2: WLAN-LAN, VLAN3: WLAN-Gäste.

Wenn ich nun die VLAN2 und LAN zu einer Bridge mache und VLAN2 keine eigene IP gebe, bleiben dann die Einstellungen für LAN (inkl. DHCP) gültig für beide Mitglieder der Bridge oder muss ich die Einstellungen von LAN auf die Bridge "hochziehen"?

Je mehr ich lese, umso konfuser werde ich ... und ich kann grad nicht wirklich experimentieren.

Merci

I am in the same situation with my son, just now :)

After only 5 days he realized, that 6pm doesn't necessarily mean, that he can't watch f.e. youtube or listen to tidal anymore. He proudly told me today :)

I explained that this is true for all minutes that have already been downloaded by browser/app BEFORE 6pm. And he confirmed "Right Dad, I cannot switch to something new anymore".

Maybe I miss something in regards to "existing states" - although I would expect a scheduling function to clear states automatically - OR the problem is only an "already-in-queue" issue, which can only be managed on OS level of the devices.

Nach einigem Lesen komme ich nun zum Schluß, dass mein Vorhaben, unabhängig von OPNSense, schon auf der Client-Seite scheitert.

Sowohl Windows, als auch macos, als auch Linux sehen primary und secundary nicht (mehr) als "erst primary, dann secundary", sondern als zwei Optionen, eine Anfrage abzuarbeiten. Welche der Optionen gewählt wird, ist mehr oder weniger dem Zufall überlassen.

Das heißt für mein Vorhaben, dass ich mit einem DNS Eintrag für die Clients auskommen muss. Was mich zu dem Schluß verleitet, dies geht am Ende nur über zwei dedizierte DNS. Der Eine verweist, nach Auflösung interner Adressen, auf den AdGuard DNS, der andere auf den Google-DNS.

Über geeignete Regeln in der Sense, kann ich dann steuern, wer auf welchen DNS zugreifen muß.

Das Schöne an solchen Aufgabenstellungen ist, daß man viel lernen kann. Sollte ich was übersehen haben, wäre ich für einen Tipp sehr dankbar.

Ende eines lehrreichen Selbstgespräches :D :D :D

Dann haben die Unlimited clients eben 2 DNS Server. Wenn der erste (8.8.8.8) die Domain nicht auflöst wird eben der zweite DNS Server verwendet als Fallback.

Leider funktioniert genau das nicht und ich weiss nicht warum :) ?

Sodele.

Ich habe heute früh noch mal rumprobiert. Aber, egal welchen Client ich nutze. Ich schaffe es nicht, das der zweite DNS Servereintrag auflöst.

Clients bekommen public-DNS als ersten und sense-DNS als zweiten DNS Eintrag. Aber weder MAC noch Linux (Ubuntu oder Debian) lösen lokale Anfragen auf. In den Einstellungen bzw. /etc/resolv.conf stehen die beiden DNS Server sauber drin.

Geht es vielleicht deshalb nicht, da die Clients die DNS Server nicht sequentiell sondern parallel abrufen? Ich bin echt ratlos ... wollte es mir eigentlich ersparen noch einen zweiten DNS Server hier rein zu stellen. Bislang steht lokal nur die Sense.

Help ... I need somebody :D

[Es funktioniert jetzt. EDIT: Immer noch nicht]

So. Nach gefühlt 15 Kaffee und ein bissl frische Luft, habe ich meine Gedanken noch einmal sortiert, ein wenig herum experimentiert und ein bissl rumgeschraubt. Es funktioniert jetzt. EDIT: Immer noch nicht

Zum einen fehlte eine NAT, welche Sensen-DNS Anfragen aus der Gruppe der unlimitierten User direkt  an 127.0.0.1 weiter leitet. Damit wird die lokale Domain aufgelöst. Was da nicht klappt, geht an 8.8.8.8.

Zum anderen ist es wichtig, dem Client erst den Sensen-DNS mitzugeben (Feld 1)  und als zweites den externen DNS (Feld 2).

EDIT ... Kommando zurück. Ich muss noch mal schauen.

[Wenn ich per DHCP die IP der Firewall als DNS weitergebe]

Mh ... ich schreibe mal weiter im Stile eines Selbstgesprächs :)

Wenn ich per DHCP die IP der Firewall als DNS weitergebe, dann erscheint die LAN-IP auch als DNS-Server in den Netzwerkeinstellungen der Clients. Und nur die!

Die Sense geht dann hin und löst fein local Domain Adressen auf bzw. routet Anfragen nach externen Domain Adressen an die unter System/Einstellungen/Allgemein eingetragenen DNSse weiter. Welcher der dort eingetragenen DNSse genommen wird, ist dabei mehr oder weniger vom Zufall abhängig.

Wenn ich per DHCP die IP eines externen DNS angebe, dann wird dieser in den Netzwerkeinstellungen der Clients auch angezeigt. Selbiger löst Anfragen nach externen Domain Adressen dann auch entsprechend auf. Interne Adressen können allerdings nicht weiter aufgelöst werden, die sind dem externen DNS ja gar nicht bekannt. Der DNS der Sense spielt in diesem Szenario keine Rolle, er ist den Clients schlicht unbekannt.

Deswegen der Vorschlag von nasq mit dem Secondary DNS. Der erste DNS ist der externe DNS und der zweite die Sense. In den Clients wird das dann auch so angezeigt. DNS1 = externe IP; DNS2 = Sense. Der DNS der Sense kommt in diesem Szenario zum Tragen, wenn eine Anfrage an selbigen auch tatsächlich gerichtet wird.

ABER: Es gibt nur eine Auflösung der externen Adressen. Ich habe versuchsweise den externen DNS umgestellt. Aber egal ob ich den DNS von AdGuard oder Google oder Telekom angebe. Die Clients finden keinen Weg zum Sense DNS.

ERGÄNZUNG: Auch wenn ich als ersten DNS die Sense im clientspezifischen Eintrag im DHCP Server angebe und den externen DNS in die zweite Zeile, wird lokal nichts aufgelöst. Jetzt bin ich ratlos :D

Doofe Frage:

Den sekundären DNS Server gebe ich im DHCP Server in den clientspezifischen Einstellungen unter DNS an, oder?
Also erste Zeile primär und zweite Zeile sekundär?

Mh. Das habe ich eigentlich so gemacht. In den client-spezifischen Einstellungen gibt der DHCP Server die Sense und 8.8.8.8 mit. In beiden Reihenfolgen getestet, ohne, daß die gewünschte Wirkung einsetzt.

Ich werde das am Abend noch mal in Ruhe ausprobieren. DHCP/DNS Server neustarten, Lease erneuern, etc. Mal sehen :)

Danke nasq!

Moins,

ich habe einen Knoten im Hirn:

1) Alle Clients in meinem Netzwerk bekommen die Firewall als DNS Server (DHCP oder manuell). Selbige verweist unter System/Einstellungen auf die AdGuard-DNS 176.103.130.132/176.103.130.134 (also Adblock, kein Schweinkram :) ).

2) Eine NAT Regel routet ALLE DNS Anfragen auf die Firewall (127.0.0.1) zurück. Damit können die AdGuard-DNS am Client nicht umgangen werden.

3) Alle Clients lösen sauber auf. Sowohl ping ins Internet, als auch ping hostname.domain.local. Werbung wird geblockt und Schweinkram ist nicht erreichbar. DNS kann nicht umgangen werden. Soweit so gut.

Problem:

Ich versuche einzelnen Clients vollen Zugriff aufs Internet zu geben. Spiegel Online bspw. wird wegen des Adblocks nicht mehr angezeigt. Was meine Frau auf die Barrikaden bringt :(

So bin ich vorgegangen:

a) Die NAT, die auf die Firewall für DNS zurückverweist, gilt für ALLE, außer Unlimited-Alias.
b) Die Unlimited-Mitglieder bekommen über den DHCP-Server LAN statisch ihre IP Adresse und explizit 8.8.8.8 als DNS zugeordnet.

Damit funktioniert zwar die Auflösung ins Internet, ABER ... pings an hostname.domain.local funktionieren nicht mehr.

Ich habe bereits versucht, in der DHCP Zuordnung entweder Firewall-DNS/8.8.8.8 oder 8.8.8.8/Firewall-DNS zu setzen. Es bleibt aber dabei. Internet-Ping geht, lokal wird nicht aufgelöst.

Ist das, was ich vorhabe, überhaupt zu machen?

Keep up the great work AND spirit here. OPNSense is not only about a peace of software, it is about people as well. It just feels like being home ;)

Donated!

Hi elektroinside,

thanks for this initiative. This is all mega helpful for a beginner like me ! Especially the AdGuard howto is something I highly appreciate ;)


Thanks also to all contributor in this thread.

Cheers