Topics

1

German - Deutsch / Health - Quality Report: Paketverlust - aber wieso? Analyse?

« on: December 29, 2023, 06:33:51 pm »

Hi Zusammen,

habe mich die Tage mal wieder an ein OPNsense setup gewagt. Soweit ist da alles super, jedoch habe ich Probleme mit Pakerverlust/Spikes (zumindest im Health Report).

Was genau kann das sein, und wie/was kann man da tun?

Aktuell hängt die OPNsense (Intel NICs mit einem 5105 Prozessor) hinter einem UniFi Router. Der Router selbst hat zu den Zeiten keinen Paketverlust. Während die Verluste kommen habe ich auch nicht wirklich Traffic auf der Leitung (Geräte dahinter nahezu Idle).

Eingestellt ist 1.1.1.1 als Health Check (andere IPs bringen auch keine Besserung).

Code: [Select]

Probe Interval = 1
Time Period = 60
Loss Interval = 4
Data length = 0
Wo kann man noch nachschauen, woran das evtl. liegt?

2

German - Deutsch / OPNsense Secure Boot im BIOS an oder ausschalten?

« on: December 28, 2023, 10:11:37 am »

Hi,

kann OPNsense mittlerweile Secureboot, oder muss man das noch ausstellen? Was sollte man im BIOS noch alles einstellen, damit es mit OPNsense richtig läuft?

3

German - Deutsch / Telekom: Dual Stack IPv4/IPv6 Anschluss PPPoe - richtige Settings?

« on: November 18, 2023, 12:22:13 pm »

Hi Zusammen,

bei dem kommenden Anschluss wird es für uns dann Dual Stack der Telekom geben und ich überlege, was hier dann die richtigen Settings (außer natürlich PPPoe Daten und VLAN7) sein werden, damit die OPNsense auch richtig IPv4 und IPv6 macht.

Könnt Ihr mir helfen oder evtl. auf etwas verlinken, wo es richtig beschrieben ist/steht?

Danke und Grüße

4

German - Deutsch / Interfaces: "Proxmox" Rechner an sep. Netzwerk-Port wie im nativen LAN?

« on: February 22, 2023, 04:22:33 pm »

Hi Zusammen,

ich habe folgendes Setup bzw. vor.

1 x OPNsense Rechner mit 4 Netzwerkkarten
- IGC0 = WAN
- IGC1 = LAN (mit div. VLANs)
- IGC2 = unbenutzt
- IGC3 = unbenutzt

Auf IGC1 ist das "native" LAN dann auch mein Management VLAN für alle Switchtes, APs usw. (weitere VLANs laufen dann natürlich auch über das Interface)

Jetzt habe ich einen Proxmox-Rechner, den ich gerne direkt an eines der ungenutzten Interfaces an meinem OPNsense Router anschließen mag (da die Ports und der Proxmox 2,5GBit/s hat).

Doch wie bekomme ich jetzt den Proxmox Rechner dazu, dass er ebenfalls im "nativen LAN" ist, was ich auch an IGC1 anliegen habe?
Auf dem Proxmox soll der UniFi-Controller und noch ein paar andere Sachen laufen.

Geht das überhaupt? Freue mich auf Mithilfe.

Danke und viele Grüße

5

23.1 Legacy Series / [Solved] 23.1 Installer: Harden DNSSEC Data, selected but not activated?

« on: February 22, 2023, 10:21:05 am »

Hi,

during install of 23.1 I can choose to select "Harden DNSSEC Data". If I do so and install is complete,  "Harden DNSSEC Data" is NOT checked within Unbound Settings.

Looks like something is broken within the installer.

Maybe you can check it. Tried it on three different setups.

EDIT:
Solved with the answer from Franco. Thanks.

6

23.1 Legacy Series / OPNsense 23.1.1_2 Unbound Reporting | White- & Blacklisting not working?!

« on: February 21, 2023, 03:09:35 pm »

Hi,

would be nice if you could check, if the whitelisting feature is broken?

For me if I whitelist some domain within unbound reporting tool nothing happens and the domain is not whitelisted within Services > Unbound DNS > Blocklist > Whitelist Domains

In an earlier version it was working without any issues.

7

23.1 Legacy Series / [Solved] Update to 23.1.1: Unbound reporting broken/not working

« on: February 15, 2023, 07:35:00 pm »

Hi,

with todays update it looks like something strange happened to unbound (and it's reporting tool).

Reporting stopped working. And getting a lot of errors within ounbound log:
[35098:1] error: recvfrom 40 failed: Protocol not available
...
[71101:0] error: remote control failed ssl crypto error:00000000:lib(0):func(0):reason(0)   
...

Looks like something is broken.

Restarted OPNsense and tried everything - but doesn't work.

EDIT: Issue solved!

Code: [Select]

opnsense-patch -a kulikov-a 404b9d5

8

German - Deutsch / Lokaler Unbound DNS resolver und IPv6 - Sicher?

« on: February 12, 2023, 11:47:32 am »

Hi Zusammen,

mal eine theoretische Frage an Euch.

Wenn man einen IPv6 Anschluss hat und die OPNsense samt lokalem Unbound DNS Resolving nutzt welches auf die auth. Resolver direkt zugreift, leakt man dann nicht einen Teil seiner Daten?

Bei div. Testseiten sieht man ja auch schon, dass man quasi seinen eigenen DNS Resolver nutzt mittels seiner (meist dynamischen IPv4) und seiner IPv6. Beim vorderen Part der IPv6 ist das ja meist dynamisch - der hintere Part ist aber dann der Teil der Mac ID des Unbound bzw. letztendlich der hintere Part der gesamten IPv6 - und die ist ja immer gleich.

Kann das auf Websites dann nicht für Tracking genutzt werden?
IPv4 ändert sich ja oft komplett, die IPv6 des eigenen DNS dann ja aber nicht wirklich.

Ich hoffe, das war halbwegs verständlich was ich geschrieben habe?!

9

German - Deutsch / IPv6 - am WAN Interface nur FE80 - aber trotzdem IPv6 Netz?

« on: February 05, 2023, 07:57:10 am »

Hi Zusammen,

ich habe heute bei mir (Vodafone Kabel Anschluss) einmal WAN IPv6 auf DHCP gestellt und dann nur eine FE80 Adresse auf dem WAN Interface bekommen.

Wenn ich aber dann im jeweiligen LAN auf Track Interface stelle, dann bekomme ich eine IPv6 Adresse und komme damit auch ins Netz über IPv6 (Regeln sind gesetzt).

Die Frage ist nur, warum zeigt er mir dann am WAN Interface nur eine FE80 Adresse an und klappen tut es trotzdem?

10

German - Deutsch / Interface Statistics: Traffic der VLANs über LAN summiert: Fehler, oder richtig?

« on: February 04, 2023, 06:21:08 am »

Hi Zusammen,

ich habe eine Frage, ob das so richtig ist, wie ich bei mir die OPNsense jetzt konfiguriert habe.

Ich habe an meiner OPNsense folgende Ausgangssituation:
- WAN über eth0
- LAN über eth1 (die VLANs Home und IoT-Net gehen über den Port eth1 via Switch raus)
- LAN selbst ist kein Gerät mehr drin > sozusagen das Management VLAN (das Netz der OPNsense)
- TestNet hängt separat an eth3 (und spielt hierbei keine Rolle)

Ist das normal, dass die VLANs Home & IoT dann summiert über das LAN Netz den Traffic rausschieben?


Das LAN Netz ist ja das Standard LAN was nach einer OPNsense Installation neben dem WAN vorhanden ist.
Hier laufen bei mir jetzt nur noch die Switches und Access Points drüber.
Den Rest habe ich wie geschrieben auf die VLANs ausgelagert.

Ist das vorgehen so richtig, oder habe ich an einer Stelle was falsch gemacht?

Weiter steigt der Counter ErrorsOut auch nach einer gewissen Zeit. Wo genau kann ich denn schauen was das ist und woran es liegt.

11

23.1 Legacy Series / Boot > Log Files > System - Severity empty & Categories not working

« on: February 02, 2023, 05:35:19 am »

Hi,

since the 23.1 update my Logs under Boot > Log Files > System aren't working as they should.

It's only the "Boot" category - others are working as they should.

Within Boot severity column is empty and when I want to change the categories (Warning, Notice, Debug, Error,...) nothing happens.

Can anyone confirm this issue?

12

23.1 Legacy Series / 23.1 fresh install - password change within installer not working | breaks

« on: January 30, 2023, 04:00:12 pm »

Hi,

when installing 23.1 via installer at the end of the process it asks if I want to change default password. If I enter a new one twice the installer stops doing anything only that blueish screen. Have to press CTRL+c to get back to the installer session. Trying again will be the same issue.
Only reboot and changing Password via command line or installer wizard within GUI does work.

13

23.1 Legacy Series / flowd_aggregate.py vacuum done Messages within general log files

« on: January 30, 2023, 03:28:54 pm »

Hi,

within my general log files within system I do get those message:

Code: [Select]

Notice flowd_aggregate.py vacuum done
Notice flowd_aggregate.py vacuum interface_086400.sqlite
Notice flowd_aggregate.py vacuum interface_003600.sqlite
Notice flowd_aggregate.py vacuum interface_000300.sqlite
Notice flowd_aggregate.py vacuum interface_000030.sqlite
Notice flowd_aggregate.py vacuum dst_port_086400.sqlite
Notice flowd_aggregate.py vacuum dst_port_003600.sqlite
Notice flowd_aggregate.py vacuum dst_port_000300.sqlite
Notice flowd_aggregate.py vacuum src_addr_086400.sqlite

What are those kind of messages and why do they appear? Something going wrong?

14

German - Deutsch / Umstieg auf OPNsense - VF Station Bridge Mode und IPv6 auf einmal aktiv - Hilfe.

« on: January 24, 2023, 04:47:11 pm »

Hi,

nachdem ich nach langem testen und vorbereiten nun den Switch gemacht habe von UniFi zu OPNsense und diese direkt an meine Vodafone Station (Bridge Mode) angeklemmt habe, merke ich auf einmal, dass bei mir auch IPv6 läuft!

An sich sehr gut - doch bin ich gerade damit ein wenig "überrannt" worden und weiß nicht genau, was ich jetzt tun muss, damit ich es absichere bzw. auch gescheit einstelle.

Im Grunde habe ich nichts gemacht, außer dass es wirklich direkt läuft.

Ist da irgendwas schief gelaufen oder ist das richtig so?

Dachte, dass die Vodafone Station im Bridge Mode nur IPv4 kann?

Und was muss man genau alles einstellen, damit es gut und sicher läuft?

15

German - Deutsch / Anleitung für: AdGuard Home, OPNsense, Unbound & NAT Port Forward hardcoded DNS

« on: January 19, 2023, 05:24:15 pm »

Hi Zusammen,

nachdem ich Tage jetzt hier diverse Wege versucht habe und es irgendwie immer noch nicht hinbekomme (jeder hat da andere Vorgehensweisen usw.) wollte ich einmal fragen, ob es nicht möglich ist "eine" richtige Anleitung zu bekommen (evtl. kennt ja jemand eine "richtige" Quelle) wie es gehen müsse.

Es ist super, dass es solche Plugins gibt - aber so richtig eine gescheite Anleitung gerade hierfür zu finden ist nahezu unmöglich.
Ein Großteil der Anleitungen nutzt dann einen DoT Nameserver von Cloudflare, Google oder sonst was....

Ich mag es einfach und direkt via Unbound haben, der seine Anfragen auch schön dezentral und direkt stellt. Ist ja auch in der OPNsense entsprechend schön integriert.

Was will ich:
- die OPNsense soll Unbound nutzen (kein anderer Nameserver > sondern das direkt selbst machen)
- AdGuard Home soll direkt auf der OPNsense laufen und Upstream ist eben der Unbound der OPNsense
- die Clients sollen entspr. DNS über AdGuard Home bekommen
- die Clients sollen via NAT Port Forward gezwungen werden den AdGuard Home und Unbound zu nutzen
- im AdGuard Home sollen die Hostnamen aufgelöst angezeigt werden

Wie genau geht das?