1
22.1 Production Series / Re: no internet - can't allocate llinfo for x.x.x.x on re0_vlan1000
« on: May 09, 2022, 02:54:45 pm »
Install the os-realtek-re plug-in, reboot and test again.
KH
KH
Show Posts
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
2
German - Deutsch / Re: IPv6 bei deutschen Providern - ein Trauerspiel
« on: May 06, 2022, 06:40:55 pm »
Bei mir läuft Vodafone Kabel (BaWü) mittlerweile sehr gut (FB 6591 von Vodafone, Bridgemode). Sowohl IPv4 als auch IPv6.
Das Problem mit dem verlorenen Prefix hatte ich auch, aber irgendwann seit letztem Jahr ist es weg. Bin jetzt nicht mehr sicher, ob es an einem OPNsense-Update oder oder an einem Firmware-Update der Fritzbox auf FritzOS 7.21 oder 7.26 lag. Ausserdem hatte Vodafone Ende letzten Jahres ein paar Wartungsarbeiten durchgeführt. Seitdem jedenfalls läuft es.
KH
Das Problem mit dem verlorenen Prefix hatte ich auch, aber irgendwann seit letztem Jahr ist es weg. Bin jetzt nicht mehr sicher, ob es an einem OPNsense-Update oder oder an einem Firmware-Update der Fritzbox auf FritzOS 7.21 oder 7.26 lag. Ausserdem hatte Vodafone Ende letzten Jahres ein paar Wartungsarbeiten durchgeführt. Seitdem jedenfalls läuft es.
KH
3
German - Deutsch / Re: Nur PC's aus dem DHCP Bereich Internetzugriff erlauben
« on: May 04, 2022, 10:48:44 am »
Es ist ein Bug. Laut https://github.com/opnsense/core/issues/5723 kannst du entweder auf 22.1.7 warten oder folgenden Befehl auf der Kommandozeile ausfrühren:
KH
Code: [Select]
# opnsense-patch 918ef316KH
4
22.1 Production Series / Re: HowTo Alliase and Firewall Rule to only allow DHCP devices Access to Internet
« on: May 04, 2022, 10:43:18 am »
Ok, do make it a little bit clearer what the OP wants:
He wants to create an alias for an ip range. He wants to use this alias to allow only the clients from this ip range to access the internet. Noting more, nothing less.
Creating the alias for the ip range fails. This is the problem. It seems, that this does no longer work since release 22.1.4_1. There is a thread about this issue, look here. Unfortunately there is no solution yet.
KH
PS: to correct myself, there seems to be a solution, which will come in 22.1.7: https://github.com/opnsense/core/issues/5723
He wants to create an alias for an ip range. He wants to use this alias to allow only the clients from this ip range to access the internet. Noting more, nothing less.
Creating the alias for the ip range fails. This is the problem. It seems, that this does no longer work since release 22.1.4_1. There is a thread about this issue, look here. Unfortunately there is no solution yet.
KH
PS: to correct myself, there seems to be a solution, which will come in 22.1.7: https://github.com/opnsense/core/issues/5723
5
German - Deutsch / Re: ssl handshake failed crypto error:1416F086:SSL Digitalcourage Unbound DNS
« on: May 03, 2022, 03:29:25 pm »Mir ist z.B. auch noch nicht der Begriff Unbound DNS geläufig...... ungebunden ok, aber was ist da mit genau gemeint?OK, DNS = Domain Name Server = Software um Rechnernamen in IP-Adressen umzuwandeln. Nur über diese IP-Adressen können die Rechner über das Internet miteinander kommunizieren.
Unbound = Name einer Software die das tut. Wohl ein Wortspiel für:
Bind = Name der (vermutlich) bedeutendsten Software dafür. Und einer der ältesten. Akronym für Berkeley Internet Name Domain.
DigitalCourage ist Forwarder, das verstehe ich, diesen habe ich in der opnsense unter Dienste --> "DNS over "TLS" eingetragen.
Ich nehme https://dns.watch und https://blog.uncensoreddns.org/. Welche du nimmst, ist, wie @JeGe schon meinte, eine Frage des Vertrauens.
Unter Dienste --> Unbound DNS --> Allgemein habe ich "Unbound DNS" aktiviert.Wenn du Unbound deaktivierst, dann must du unter System: Settings: General -> Neworking -> DNS servers halt welche eintragen, damit die OPNsense selbst Rechnernamen im Internet auflösen kann. Und alle deine Rechner in deinem Netz brauchen auch einen DNS Server, damit sie richtig funktionieren, da die OPNsense das nicht für sie machen kann. Entweder statisch eingetragen, oder in den DHCP-Server Einstellungen übergeben. Lokale Rechner kannst du dann auch nicht mehr per Namen ansprechen. Alternativ kannst du auch eine andere DNS-Software aktivieren.
Was ist der Unterschied, zwischen aktivierten Unbound und deaktivierten Unbound?
Du kannst auch anstatt unbound dann auch DNSmasq DNS aktivieren, der macht das ähnlich wie unbound, ist aber das ältere Produkt und nur noch Zwecks abwärtskompabilität installiert.
Eine weitere Möglichkeit ist das bind-Plugin os-bind oder das Adguard Home Plugin os-adguardhome-maxit aus dem Community Repository https://www.routerperformance.net/opnsense-repo/.
Ich würde für den Anfang noch ein paar weitere DNS-Server unter Services: Unbound DNS: DNS over TLS eintragen.
Ich habe noch viel zu lernen.....Ich auch ...
KH
6
German - Deutsch / Re: ssl handshake failed crypto error:1416F086:SSL Digitalcourage Unbound DNS
« on: May 02, 2022, 12:27:49 pm »
Das Zertifikat von dns3.digitalcourage.de ist von heute morgen. Da hat das automatische erneuern scheinbar nicht geklappt.
KH
Code: [Select]
srv1:~$ openssl s_client -connect dns3.digitalcourage.de:853 | openssl x509 -noout -dates
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = dns3.digitalcourage.de
verify return:1
notBefore=May 2 08:27:47 2022 GMT
notAfter=Jul 31 08:27:46 2022 GMT
KH
8
German - Deutsch / Re: keine IP-Adresse auf WAN via DHCP
« on: April 30, 2022, 03:27:22 pm »Muss der Realtek-Treiber installiert werden, wenn Realtek NICs verwendet werden? Ich habe solche NICs, bin auf 22.1, habe aber keinerlei Probleme ohne den Treiber?
Hängt wohl von der NIC ab. Manche tun, manche tun nicht. Und wenn sie nicht tun, dann halt mit dem Plugin os-realtec-re probieren.
KH
9
German - Deutsch / Re: keine IP-Adresse auf WAN via DHCP
« on: April 29, 2022, 03:25:53 pm »Vielleicht hilft das als Hinweis. Auf der Konsole vom Sense wird für das WAN Interface angezeigt:Es ist also eine Realtek Netzwerkkarte. Installiere doch mal das Plugin os-realtek-re. Dies beinhaltet den Herstellertreiber und nach einem Reboot wird es aktiviert.
WAN (re1) -> v4/DHCP4: 0.0.0.0/8
Hintergrund: in OPNsense 22.1 wurde der Treiber von FreeBSD 13 als Standard festgelegt und der Herstellertreiber in ein Plugin ausgelagert. Daher hat es in 21.7 funktioniert.
Gruß
KH
10
German - Deutsch / Re: Swap entfernen
« on: April 05, 2022, 03:06:23 pm »
Hi,
da gibt es im OPNsense Zenarmor (Sensei) board einen Beitrag. Der ist da zwar nur 50 MB groß, aber erklärt ein bisschen.
https://forum.opnsense.org/index.php?topic=25424.0.
KH
da gibt es im OPNsense Zenarmor (Sensei) board einen Beitrag. Der ist da zwar nur 50 MB groß, aber erklärt ein bisschen.
https://forum.opnsense.org/index.php?topic=25424.0.
KH
11
German - Deutsch / Re: Ipv6 keine Verbindung ins Internet
« on: March 25, 2022, 09:10:58 am »
Hi,
Es ist die ältere Version von nslookup in macOS. In macOS 11.6 Big Sur hat die Man-Page von nslookup ein Copyright von 2016 und als Erstellungsdatum 2018-05-25.
Linux hat sicher was neueres und gibt standardmäßig A und AAAA Records zurück.
Oder Apple hat ein paar Einstellungen beim kompilieren des Programms anders.
Gruß
KH
IPv6 verwundert mich jeden Tag aufs neue:Ja.
MacBook im VLAN20:
nslookup google.de
Server: 2a02:908:........ ( IPv6 des VLAN-Interfaces der OPNSense )
Address: 2a02:908:....5#53
Non-authoritative answer:
Name: google.de
Address: 142.251.39.99
---
Linux-Container im VLAN10:
nslookup google.de
Server: 10.xx.xx.1 ( IPv4 des Interfaces der OPNSense )
Address: 10.xx.xx.1#53
Non-authoritative answer:
Name: google.de
Address: 142.251.39.99
Name: google.de
Address: 2a00:1450:400e:811::2003
Das Verhalten erkläre mich mal bitte einer ?
Beide Anfragen werden vom Adguard auf der OPNSense verarbeitet.
Ich werde mal spaßeshalber das MacBook heute in VLAN10 hängen, ob das dann genauso ist.
Kann mir nur erklären, das MacOS hier der Übertäter ist.
Es ist die ältere Version von nslookup in macOS. In macOS 11.6 Big Sur hat die Man-Page von nslookup ein Copyright von 2016 und als Erstellungsdatum 2018-05-25.
Linux hat sicher was neueres und gibt standardmäßig A und AAAA Records zurück.
Oder Apple hat ein paar Einstellungen beim kompilieren des Programms anders.
Gruß
KH
12
22.1 Production Series / Re: dhclient gets address but no address on the interface
« on: March 10, 2022, 11:42:41 am »
Hi,
But the issue might be the RealTek driver. To you use the build-in driver or the one plugin one (os-realtek-re)? If you use the build-in one, try the plugin.
KH
Might be related to https://unix.stackexchange.com/questions/413232/dhclient-says-its-bound-to-address-but-ifconfig-doesnt - but what would be the OPNsense equivalent of that ?the ip command does not exist in OPNsense/FreeBSD.
But the issue might be the RealTek driver. To you use the build-in driver or the one plugin one (os-realtek-re)? If you use the build-in one, try the plugin.
KH
13
German - Deutsch / Re: OpenVPN tls error
« on: March 08, 2022, 11:18:53 am »
Hi,
stimmt die Uhrzeit auf beiden Seiten?
KH
stimmt die Uhrzeit auf beiden Seiten?
KH
14
German - Deutsch / Re: SONOS via VLANs - ich kriege es nicht hin
« on: March 07, 2022, 05:27:52 pm »
Ich kann leider nicht testen, da ich kein SONOS habe.
Funktionieren andere Multicast-Protokolle, wie Chromecast, Apple AirPrint oder Apple AirPlay?
Manchmal kann einem ein Switch Ärger machen, wenn er z.B. kein IGMP Snooping unterstützt oder es nicht richtig unterstützt.
Es gibt da den folgenden Thread: https://forum.opnsense.org/index.php?topic=15721.0, etliches zum Thema UDP Broadcast Relay.
Oh und zu der Rule mit dem Port 1900, bei dem scheinen die Quell-Ports nicht 1900 zu sein sondern 40000-60000.
Und hier ist noch ein Post zu Sonos: https://forum.opnsense.org/index.php?topic=16648.msg83334#msg83334
KH
Funktionieren andere Multicast-Protokolle, wie Chromecast, Apple AirPrint oder Apple AirPlay?
Manchmal kann einem ein Switch Ärger machen, wenn er z.B. kein IGMP Snooping unterstützt oder es nicht richtig unterstützt.
Es gibt da den folgenden Thread: https://forum.opnsense.org/index.php?topic=15721.0, etliches zum Thema UDP Broadcast Relay.
Oh und zu der Rule mit dem Port 1900, bei dem scheinen die Quell-Ports nicht 1900 zu sein sondern 40000-60000.
Und hier ist noch ein Post zu Sonos: https://forum.opnsense.org/index.php?topic=16648.msg83334#msg83334
KH
15
German - Deutsch / Re: SONOS via VLANs - ich kriege es nicht hin
« on: March 07, 2022, 11:37:37 am »
Hi,
die Regel sollte nur für IPv4 sein. Man kann den Quell-Port auch noch auf 5353 einschränken.
Eventuell must du für Sonos auch noch eine ähnliche Regel für UDP-Port 1900 erstellen, hier dann aber das Ziel anpassen, das die Broadcast-Adresse 239.255.255.250 mit drin ist.
KH
die Regel sollte nur für IPv4 sein. Man kann den Quell-Port auch noch auf 5353 einschränken.
Eventuell must du für Sonos auch noch eine ähnliche Regel für UDP-Port 1900 erstellen, hier dann aber das Ziel anpassen, das die Broadcast-Adresse 239.255.255.250 mit drin ist.
KH