Messages

106

German - Deutsch / Re: [GELÖST] DHCP & DNS: auf OPNsense oder lieber separat?

« on: April 14, 2024, 02:14:15 pm »

Es handelt sich um sowas hier: (amazon link)
https://www.amazon.de/mini-PC-Barebone-quad-core-Graphics-l%C3%BCfterlos/dp/B06Y2H6G9R

Leider ist die zotac website derzeit down.

107

German - Deutsch / Re: [GELÖST] DHCP & DNS: auf OPNsense oder lieber separat?

« on: April 12, 2024, 04:03:35 pm »

Also mit DHCP (ISC) und DNS (unbound) habe ich seit Mai 2018 hier stabilen Betrieb. Auf IPv4 und IPv6 mit transparenter Zonenerweiterung und ~10 LAN Segmenten und sogar OpenVPN RoadWarrior Setup.

Und das sogar mit Realtek NICs 

108

German - Deutsch / Re: DHCP & DNS: auf OPNsense oder lieber separat?

« on: April 12, 2024, 11:59:35 am »

Hallo,

Kommt also darauf an:
hier solltest du, wenn du es ganz genau machen willst, eine Risikoanalyse anfertigen.

DNS und DHCP laufen stabil (Unbound und ISC, Kea keine Ahnung) auch auf OPNsense und die Frage ist, kannst/willst du überhaupt Arbeiten, wenn die OPNsense aussteigt?

Hier sollte man Wartungsaufwand, Ausfallwahrscheinlichkeit und Effekte auf dein Netz beleuchten. Zuhause würde ich sagen: OPNsense rockt. Wenn ich ein Active Directory nutze, dann ändert sich diese Einschätzung wahrscheinlich. Aber weniger wg. Ausfallsicherheit, eher wg. Wartungsaufwand.

109

General Discussion / Re: Getting self-assigned IP on VLAN

« on: April 12, 2024, 11:05:46 am »

I would recheck the switches' configuration again. Is everything set to tagged correctly/ is untagged correctly set.

And...

I would make sure that OPNsense is connected to switches only using tagged VLANs. Mixing untagged/tagged settings on OPNsense may or may not work as expected. In my setup all interfaces are VLANs with a disabled parent. That reduces the risk of annoyment significantly.

110

General Discussion / Re: Connection from WAN to VLAN

« on: April 11, 2024, 05:32:20 pm »

On Debian 12: Try using the correct IP address of the router. Hint: It has to be in the same subnet.

Note: Configuring every host individually is quite work intensive and error-prone.

Check if OPNSense receives icmp messages for the target and if yes, sends them back - and where. Therefore you need to run a packet capture. If something is missing also check the firewall's live view.

And always make sure there is no NAT or any misconfigured route on OPNsense, too.

I would really recommend using a transfer network and set up a route in your other router.

111

General Discussion / Re: Getting self-assigned IP on VLAN

« on: April 11, 2024, 11:36:30 am »

Hi,

regarding unifi: Did you enable DHCP there as well? Make sure to disable it - and to assign the network to the correct vlan. Maybe there is some vlan tagging mixup going on. But that's just a guess. Good luck.

112

General Discussion / Re: Getting self-assigned IP on VLAN

« on: April 10, 2024, 12:35:14 pm »

Hi,

in a first attempt you could run a packet capture on VLAN20 Interface on OPNsense and check if DHCPREQ is coming through - and if yes, if it gets answered.

If there is no traffic at all from the unifi AP's mac address you may want to check your switches' VLAN setup. If the DHCP request doesn't get answered check your DHCP configuration (is it enabled?) and the firewall live view to investigate if any packets get filtered

113

General Discussion / Re: Connection from WAN to VLAN

« on: April 10, 2024, 12:32:25 pm »

1. Allow traffic from WAN (=LAN of your router) IP range to VLAN10 IPrange on OPNSense
2. Alternative 1: Define routes on every LAN host that wants to connect to VLAN 10 to route the traffic towards OPNsense
2. Alternative 2: Define a route from your router to OPNSense. However, in many cases you will encounter strange behaviour so setting up a transfer network from your router to OPNSense would make sense. Don't know if you can do that on your router.

BTW: I guessed your VLAN10 has IP range 192.168.10.X - without the 129

Whenever you have mutliple routers you need to think about routes in addition to firewall routes.

114

General Discussion / Re: Can't reach LAN from VLAN despite explicit allow rule

« on: April 09, 2024, 09:11:39 am »

Hi,

unfortunately you did not mention what you're actually trying to do. Ping, Http, Rdp? Are we talking IPv4/v6 and what setup is deployed?

In any case, when "trying to get into" your LAN check Firewall -> Log files -> Live View

It will tell you if it blocked packets and why. Configure your pass rule with enabled logging to also see possible passed packets. From there one could try to identify possible issues in your setup.

115

General Discussion / Re: VLAN and physical line bridge?!?

« on: April 08, 2024, 09:08:43 am »

Hi,

for every VLAN you create a interface in OPNsense. The untagged (management) LAN segment is their parent interface.

Assign networks to all of them, incl. DHCP ranges if needed.

Define pass rules for every interface. There is no requirement for any dependency between those rules. So, internet access can  be configured independently. What are you trying to achieve?

Note that there might be hardware setups where VLAN tagging on an untagged active parent may cause trouble.

116

24.1 Legacy Series / Re: Audit / connectivity IPV6 problem

« on: April 03, 2024, 10:34:27 am »

Well, did you check with your ISP/connection?

That reminded me on some automatic dial-up back in the early 2000s that would be triggered by the first packet to go out.

117

German - Deutsch / Re: kein Routing von IPV6 ins Internet

« on: March 25, 2024, 09:43:51 am »

Hi,

du bekommst von deiner Kabelbox kein Präfix zugewiesen sondern nur eine WAN Adresse. Das kann dann nicht funktionieren. Man müsste der Kabelbox sagen, dass sie auch deligierte Präfixe herausgeben darf. Bei der Fritzbox geht das. Bei der Kabelbox - keine Ahnung.

118

German - Deutsch / Re: kein Routing von IPV6 ins Internet

« on: March 24, 2024, 06:01:20 pm »

Siehe auch hier: https://forum.opnsense.org/index.php?topic=33080.0

119

German - Deutsch / Re: kein Routing von IPV6 ins Internet

« on: March 24, 2024, 06:01:08 pm »

Hallo,

was auf IPv4 konfiguriert ist, ist erst mal unerheblich. Wenn dein Client keine IPv6 GUA hat (2xxx:xxxx:...), dann kann das unterschiedliche Ursachen haben.

Betreibst du dein Kabelmodem als Router oder ist das nur eine Bridge von Ethernet auf Koaxkabel?

Ansonsten musst du dir anschauen, ob dein DHCPv6 Client auf WAN ein Präfix bekommt oder wenn nicht - warum nicht. Erst mit einer GUA sind die Voraussetzungen geschaffen.

Wenn das nicht geht, kann man auch ein NPT (Präfix-Translation) machen. Dafür musst du dann eine ULA als virtuelle IP definieren und NPT einrichten. Das will man aber eigentlich niemals nicht machen.

120

German - Deutsch / Re: [solved] Bug? 24.1 frische Inst. WAN-GW m.Wizard eigegeben, IPv4 Upstream GW=k.

« on: March 21, 2024, 09:26:45 am »

Hi,

ja, das ist ein bug in OPNSense. Und zwar fällt NAT nach Setzen von Auto-Detect aus:
Getestet über ICMP Echo Request / Reply mit OPNsense 24.1.4-amd64:

* Packet capture auf WAN bei Einstellung Upstream Gateway = Auto-detect:
Erwartet:
Source = WAN IPv4 address, Destination = Destination IPv4 address
Beobachtet
Source = Host LAN IPv4 address, Destination = Destination IPv4 address

* Auffällig: Auf der Seite Outbound NAT sind alle Automatischen Regeln verschwunden. Die Einstellung stand dabei dauerhaft und unverändert auf Automatik.


Beim Zurückwechseln auf händisches gesetztes Gateway tauchen auch die NAT regeln wieder auf.

Auf einem internen Testsystem ohne NAT tritt das Problem auch auf, aber wirkt sich natürlich nicht aus. Dort funktioniert IPv4 weiterhin.

Bug gemeldet: https://github.com/opnsense/core/issues/7339