Messages

151

General Discussion / Re: MacOS hijacks the DNS settings?!

« on: November 20, 2024, 03:43:51 pm »

ah, so I just select no interface for this rule?

Yes - that implies global application of the rule.

The strange behaviour from MacOS now is that the request from my MacOS to the facebook.com is shown as blocked within adguard, but I can still reach it within Mac

I tested the rule and it works, but as it seems, not for MacOS

Cache?

Also the "outside DNS block" only works if you also activate the DoH block list in AGH - see my first post.

152

General Discussion / Re: MacOS hijacks the DNS settings?!

« on: November 20, 2024, 03:33:12 pm »

Floating means exactly for all interfaces - that's the point. You *can* limit the interfaces in the rule, but then why not just place the rules directly on the interfaces instead of using a floating one?

Why would you permit any device to query outside DNS servers? If I need to debug things I can SSH directly to my OPNsense and use "drill" there.

153

General Discussion / Re: MacOS hijacks the DNS settings?!

« on: November 20, 2024, 03:11:41 pm »

"Private browsing" at work.

What I do to (mostly) prevent any mechanism like this - Apple is not alone - is this:

- deploy AdGuard Home - check
- give client devices AGH as their resolver via DHCP - check
- now block all outbound DNS and DoT requests that are not directed at AGH on my OPNsense [1]
- and last add HaGeZi's Encrypted DNS/VPN/TOR/Proxy Bypass list to AGH - that mostly blocks DoH

[1]

Floating rule:

Action: block
Protocol: TCP/UDP
Source: any
Destination: ! This Firewall
Destination port: 53 and 853 (create an alias for that so it fits in one rule)

Done.

You will find lots of blocked requests for e.g.

- mask.icloud.com
- mask-h2.icloud.com
- ...

in your AGH dashboard afterwards.

HTH,
Patrick

154

24.7 Production Series / Re: Double NAT, IPV6 Issue

« on: November 20, 2024, 09:23:53 am »

Enable prefix delegation on the Asus router if

- it is capable to do that
- the ISP provides a prefix large enough so there is room for a sub-delegation

HTH,
Patrick

155

German - Deutsch / Re: LAN-Client Konnektivitätsprobleme nach einem neustart

« on: November 20, 2024, 09:22:13 am »

Hast du irgendeine Art von IDS/IPS oder Crowdsec aktiv?

156

General Discussion / Re: /29 or /32 on VIP Static Block

« on: November 20, 2024, 09:20:35 am »

/29 for the first address, /32 for all additional aliases.

157

24.7 Production Series / Re: LUKS Encryption

« on: November 20, 2024, 06:02:13 am »

There is GELI for that. You would need to perform a manual FreeBSD installation, then use the bootstrap method to install OPNsense on top.

https://freebsdfoundation.org/wp-content/uploads/2019/11/Configuring-Full-Disk-Encryption.pdf

https://github.com/opnsense/update/tree/master

158

German - Deutsch / Re: OpenVPN (Instances) DNS funktioniert nicht

« on: November 19, 2024, 10:38:29 pm »

Ich kenne PiHole nicht. Es ist aber nicht ungewöhnlich, dass man DNS Servern ausdrücklich sagen muss, von welchen IP Adressen aus sie denn Anfragen von Clients entgegennehmen.

Eine Anfrage von einem Client an einen Resolver (auch rekursiver Server genannt) nennt man rekursiven Query. Der Client sagt "ich hätte gerne forum.opnsense.org - mach ma".

159

German - Deutsch / Re: OpenVPN (Instances) DNS funktioniert nicht

« on: November 19, 2024, 09:04:51 pm »

Hat der PiHole die OPNsense als Default-Gateway oder eine statische Route zum OpenVPN-Netzwerk?
Erlaubt der PiHole rekursive Queries aus diesem Netz?

160

German - Deutsch / Re: Multiwan Failover Setup 2 Dual Stack Anschlüsse

« on: November 19, 2024, 07:58:09 pm »

1. Eine fe80:: Adresse auf WAN ist kein Problem sondern völlig in Ordnung.
2. Du kannst mit LAN nur ein WAN Interface tracken.
3. Du musst für den zweiten Uplink z.B. NPT6 verwenden.

Dabei ist es am besten (m.E.) wenn man gar kein Track Interface braucht und die Prefixe statisch sind. Dann einfach eines der beiden statisch am LAN einrichten und dann NPT6 für den anderen Uplink.

Bei zwei dynamischen Prefixen muss die Frage erlaubt sein, weshalb die Anwendung so kritisch ist, dass Budget für zwei Anschlüsse da ist, aber dann nicht für feste IP-Adressen.

161

General Discussion / Re: Parent interfaces: Assignment: Yes or No? Enabled/Disabled? IDS/IPS

« on: November 19, 2024, 03:53:31 pm »

The necessity to assign the parent interface of a VLAN was removed in OPNsense 22.7.4. So don't. Just create and assign the VLANs.

No idea about IPS, because I don't use it.

162

German - Deutsch / Re: OPNsense Lizenz

« on: November 19, 2024, 12:39:54 pm »

Vorteile:

https://shop.opnsense.com/product/opnsense-business-edition/

Die Lizenz muss für jedes einzelne Gerät erworben werden.

163

General Discussion / Re: Rsync and Snapshot and Backup request

« on: November 18, 2024, 11:07:41 pm »

System > Snapshots in the UI in the current version.

164

General Discussion / Re: another set of "How to" questions

« on: November 18, 2024, 10:43:56 pm »

Create a deny rule with the IP or range of IPs as source address, place before the allow rule for all other sources.

165

General Discussion / Re: Rsync and Snapshot and Backup request

« on: November 18, 2024, 10:42:49 pm »

ZFS snapshots are available. Snapshots, once created, are read only. I do not understand what you are asking.