Messages

451

German - Deutsch / Re: Webseiten teilweise nicht erreichbar

« on: March 03, 2022, 06:42:13 pm »

Hallo,
ich habe seit kurzem das Problem, dass ich im Netzwerk diverse Webseiten nicht mehr erreichen kann, darunter https://www.routerperformance.net/opnsense-repo/

Hast du IPv6 aktiviert ?

Gerade bei routerperformance.net hatte ich ähnliche Probleme, das der Zugriff auf das Repo extrem langsam war und auch die Paketlisten nicht vollständigen waren.

Empfehlung war, unter System -> Settings -> General
"Prefer to use IPv4 even if IPv6 is available". zu aktivieren.
Seitdem geht es auch wieder problemlos - Ursache: der Zielserver kann kein IPv6

452

German - Deutsch / Re: VLAN mit LAGG / LACP (?)

« on: February 26, 2022, 05:27:02 pm »

Ich hab das bei mit zwischen OPNSense und dem Switch gemacht.

- erst ein LACP erstellt
- die physikalischen Interface da rein gepackt
- am Ende die VLAN's auf diese LACP-Interface gemapped.

Ich glaube anderes geht das auch nicht.

Theoretisch kann ich nun problemlos weitere physikalische Interface da rein und raus nehmen oder VLAN zufügen.

453

German - Deutsch / Re: WAN Probleme - FritzBox Bridge Mode - DHCP lease timed out

« on: February 26, 2022, 09:04:16 am »

Ja ich habe Telefonie dabei.

SIP von Vodafone oder anderen Provider - sprich Telefon-Komfort Paket - weil das ist entscheidend, wie dein Anschluss konfiguriert wird.

454

German - Deutsch / Re: WAN Probleme - FritzBox Bridge Mode - DHCP lease timed out

« on: February 25, 2022, 07:37:31 pm »

Hast du Telefonie dabei ?

Bei mir hat der BridgeModus ( selbst eingerichtet ) mit einer gekauften 6660 nie funktioniert, was am Ende für mich der Grund war, eine Mietbox von Vodafone zu nehmen und seitdem hab ich keine Probleme mehr.
Allerdings habe ich Telefon-Komfort, da kostet die FritzBox nichts, weil die im PReis inkl. ist.

Spar die die Mühe, bei AVM nachzufragen - der BridgeModus wird von AVM nicht supportet und die verweisen direkt an den Provider.

Problem, wenn du Telefonie dabei hat, benötigt die Fritzbox 2 IP-Adressen, eine für Internet und eine für den Telefonteil, die sind dann unabhängig voneinander.
Das wird von Vodafone aber für gekaufte Boxen nicht eingerichtet, da noch weitere Parameter für den Anschluss angepasst werden müssen,  ein sog. MPE-Werte ( oder so ähnlich ), der Standart = 1 ist und bei BridgeModus auf 3 erhöht wird, damit die Box mehrer IP-Adressen bekommen.

455

German - Deutsch / Re: Hardware für eine private OPNsense Firewall

« on: February 24, 2022, 02:30:15 pm »

Ja genau sowas wie die IPU. Toller Hinweis.
Gibt es noch ähnlich HW von einem anderen Hersteller?

Wegen Virenscanner: Ich möchte auch den HTTP-Proxy für Browser nutzen und deswegen dachte ich an einen Virenscanner dazu. Quasi scan des HTTP-Verkehrs. Haltet ihr das nicht für sinnvoll?

Ja, gibt es, z.b. von Protectli, preislich liegen die höher, waren auch mein Favorit aber damals so gut wie nicht lieferbar.


Virenscan für http-Traffic ist ja ok, aber mittlerweile geht der meiste Traffic über https, wie willst du das da machen ? 
Da müssen die Zertificate ausgetauscht werden, das geht, aber viele Nutzer werden dann böse Fragen stellen, wenn z.b. deren Bankseite auf einmal ein anderes Zertifikat hat.
Das Thema hatten wir bei einem früheren Arbeitgeber, aber aus rechtlichen Gründen wurde es am Ende komplett verworfen. Das ist eine gewaltige Grauzone.

456

German - Deutsch / Re: INFO: Speicherverbrauch durch Logs

« on: February 24, 2022, 09:53:53 am »

Hallo,

danke für die Infos.

Speicherplatz auf der SSD hab ich genug, das ist nicht das Problem, aber dennoch hab ich den Wert mal auf 15 Tag reduziert, im Privatbereich brauch ich die eh kaum.

Mir ist eher aber der erhöhte Memory-Verbrauch seit dem Update auf 22.1 aufgefallen - zwar immer noch bei weitem nicht kritisch auf auffällig wars schon.

457

German - Deutsch / Re: opnsense Einstieg mit ein paar Fragen zu möglichen best practice

« on: February 23, 2022, 08:17:42 pm »

Ich hatte bis vor dem Umstiegt ein Pi-hole am laufen, jetzt stellt sich die Frage, soll ich den weiter nutzen oder opnsense Teile benutzen? Wenn opensense, was müsste man da alles machen?

Ich hatte bis vor dem Umstieg einen Nginx Proxy Manager auf einem Pi am laufen, sollte ich den weiter nutzen (DMZ) oder einen der Proxy von opnsense nutzen und wenn, welchen?

Habe gehört das der IDS/IPS problematisch ist, wenn man als WAN keine statische IP hat, was ja leider bei privaten DSL Anschlüssen meistens der Fall ist. Stimmt das? Wenn ja, was kann man dann machen bzw. auf was sollte man achten, um es trotzdem gescheit nutzen zu können.
Welche Regeln, sind für den Anfang empfehlenswert?

Hallo,

PiHole:  klar kannst ud den weiter nutzen, trägst eben in den DHCP-Einstellungen die IP des PiHoles als DNS-Server ein.  Bei mehreren VLAn musst du dann eben DNS-Anfragen aus dem VLAN zum PiHole erlauben, ist aber kein Problem.

Alternativen:
- Pihole wie bisher + unbound auf OPNSense als Upstream-DNS-Server
- nur Unboudn auf OPNSense, den der kann auch Filterlisten nutzen
- über ein extra Repository kannst du AdGuard auf der OPNSense installieren + den unbound, das ist derzeit mein Weg, den ich nutze

schaust dir in Ruhe an, mache erst mal den Pihole wieder erreichbar, den Rest kannst später problemlos umbauen.

Nginx ProxyManager: 
Ich denke, nutze einfach das, womit du am besten klar kommst, ich bleibe vorher auch beim Nginx PM und werde mir in einer ruhigen Zeit mal den HAPRoxy von OPNSense vornehmen, derzeit hab ich da aber keine dringende Eile zu.

IDS/IPS:
ja das mit statischer IP hab ich auch gelesen und auch aufgrund von einem recht interessanten YT-Video erst mal Abstand vom IDS/IPS genommen.  Das Problem ist einfach, das man mit dem Regelwerk erschlagen wird und man sich genau damit beschäftigen muss, welche Regeln man aktiviert und welche nicht.
Das ist bei weitem nicht os, wie bei Unifi wo du 35 Funktioneren ein/auschalten kannst.
Bei OPNSense sind das auf die Regeln runtergebrochen ein Vielfaches mehr und es mal lange keinen Sinn, einfach blind ohne sich damit zu beschäftigen, alles einzuschalten.

Wenn ich statische IP'S vom Provider habe, werde ich nochmal drüber nachdenken, ob IDS/IPS für mich Sinn machen.

458

German - Deutsch / Re: Hardware für eine private OPNsense Firewall

« on: February 23, 2022, 03:31:58 pm »

viel wichtiger die fragen warum virenscannen auf der sense.

Sehe ich jetzt auch keinen wirklich Sinn drin, obwohl bei uns in der Firma auch auf Linux-Server Virenscanner installiert sind.

459

German - Deutsch / Re: Hardware für eine private OPNsense Firewall

« on: February 23, 2022, 08:50:34 am »

Ein APU4D4 ist ein nettes sehr stromsparendes Gerät, ...

Ich würde ein ähnliches System vorschlagen:  IPU-System
Lüfterlos, stromsparend, kompakt und mit mehren LAN-Interfacen, je nach Modell 4 bis 8.
Die meisten Modelle haben HDMI-Anschluss, einige nur VGA, da müsste man vorher mal in die Daten schauen.

Ich habe selber ein IPU882 mit Core i5, der ist für OPNSense selbst am GBit-Anschluss vollkommen oversized, aber das Teil war auch erst für eine andere Anwendung gedacht.

460

German - Deutsch / Re: langsamer Firmware-Status check wenn zusätzliche Repositorys aktiv

« on: February 21, 2022, 05:17:30 pm »

Soso .. dann wird IONOS wohl nie euer Lieferant werden

Garantiert nicht - unsere RZ-Hoster kann IPv6

461

German - Deutsch / Re: langsamer Firmware-Status check wenn zusätzliche Repositorys aktiv

« on: February 21, 2022, 08:03:36 am »

Ja, IPv6 funktioniert recht gut - knnap 45% der DNS-Anfragen gehen mittlerweile per IPV6 raus.

Bei uns in der Firma wird das mittlerweile konsequent gemacht - Lieferant unterstützt mit seinen Produkten kein IPv6, dann kann er direkt wieder gehen und seine Hausaufgaben machen.

Ich werde versuchen, meine Anschluss sogar auf Statische IP-Adressen ( v4 + v6 ) umstellen zu lassen.

462

German - Deutsch / Re: langsamer Firmware-Status check wenn zusätzliche Repositorys aktiv

« on: February 20, 2022, 07:35:34 pm »

System : Settings : General .. Klick da mal prefer IPv4 .. vielleicht hilft das schon.

Damit geht es wieder in normalen Speed und alle Pakete werden angezeigt.

463

German - Deutsch / Re: langsamer Firmware-Status check wenn zusätzliche Repositorys aktiv

« on: February 20, 2022, 03:58:46 pm »

Die Frage ist ja eher, warum werden mit dem zusätzlichen Repository die Paketliste der offiziellen OPNSense-Paket unvollständig dargestellt.

464

German - Deutsch / Re: langsamer Firmware-Status check wenn zusätzliche Repositorys aktiv

« on: February 20, 2022, 01:49:32 pm »

Dann wird es aber mal Zeit 

Kann sehr gut sein, da ich IPv6 aktiv habe - danke für die schnell Rückmeldung

465

German - Deutsch / langsamer Firmware-Status check wenn zusätzliche Repositorys aktiv

« on: February 20, 2022, 12:00:53 pm »

Hallo,

ich hab auf meiner OPNSense das zusätzliche Repository von routerperformance.net. eingebunden, da ich "Adguard" und "unifi" darüber eingebunden habe.

Mit ist aufgefallen, wenn das Repository eingebunden ist, der "Check for Updates" extrem langsam ist ( 5 min und länger ) und am Ende die Plugins-List nicht vollständig ist, da fehlen etliche Paket drin und ich kann auch keine installieren, die nicht-installierten fehlen alle in der Liste.

Nehm ich das Repo wieder raus, läuft es alles recht schnell durch, die Liste ist vollständig u, einzig eben die beiden Paket aus dem obigen Repsitory werden als "missing" angezeigt.

nslookup oder curl auf die Domain des Repos sind normal schnell, da ist kein Problem.


Hat jemand eine Idee, was das sein kann.