Messages

91

German - Deutsch / Re: NEWBIE - Ersatz für Ubiquitti UDM

« on: November 30, 2023, 03:41:23 pm »

Wegen den Ports nochmal. Die LAN Ports auf der OPNSENSE hast
du untagged oder tagged? Ich überelege eben gerade wieviele Ports
ich brauchen werde?

Ich habs derzeit so gemacht:
Port igb2:  LAN / untagged  ( in Unifi-Sprache = Profile "ALL" ), darin hängen die Switch, AccessPoints und der Unifi-Controller.

Port igb3+4+5:  LAGG-Interface mit allen VLAN's drauf  ( Entspricht bei Unifi dann meinen Switch-Port Profile der VLAN's )

Ob man das LAGG mit 3 x 1 GBit benötigt, ist ne frage. Ich hab in meinen Grafana-Dashboard noch nie gesehen, das ich die Verbindung ausgelastet habe. 


Ich würde daher heuet eher 2,5GBit Interface nehmen und 4 NIC's - darunter macht nicht wirklich Sinn.

92

German - Deutsch / Re: NEWBIE - Ersatz für Ubiquitti UDM

« on: November 30, 2023, 10:41:40 am »

Ja meine UDM läuft schon soweit, Software ist meiner Meinung nach
auch richtig "ansehnlich" geworden. Allerdings sind so einige
Dinge nicht begreifbar, warum man sie so umgesetzt hat.
DHCP ist immer noch eine Kathastrophe. Es werden regelmässig
IP Adressen doppelt vergeben, die ich dann per Hand wieder umbiege.

Schön aussehen ist nicht gut funtionieren
Ja genau aber das meine ich DHCP funktioniert grottenschlecht, traurig das die nach
2 Jahren immer noch so ist.

Ich habe immer gesagt:  "Die UDMPro kann vieles aber nichts davon richtig".

Mein Tip ( so hab ich es damals gemacht )
- Hardware gekauft, OPNSense installiert
- das Teil damals als Client in meine Netzwerk gehangen hinter der UDMPro, so das die ins Internet konnte
- mein Notebook dann ans LAN der OPNSense gehangen
Dann hab ich angefangen, meine Netzkonfig mit VLAN's usw. von UDMPro auf die OPNSense zu adaptieren, erst mal ein Netz, getestet ( konnte ich ja mit dem Notebook dann ) und dann alle weiteren
Dann die Firewall-Regel angefangen um die VLAN voneinander zu trennen

Mein Tip: fange direkt an mit Aliasen zu arbeiten, ich hab Aliase für IP's ( diverse Systeme eben ) und Port's ( entsprechende Anwendungen ) erstellt, damit baue ich dann die Firewall-Regeln.

Als ich sicher war, das alles konfiguriert war und funktionierte hab ich die UDMPro dekativiert und gegen die OPNSense ausgetauscht, dann noch die Netze im Unifi-Controller gelöscht und als "VLAN-only" neue angelegt.

Bis auf ein paar kleiner Probleme - meist Tipfehler in IP-Adressen oder funktioniert bei mir auf Anhieb alles.

Ich muss sagen, ich komme aus der Linux-Administration und hatte ich vorgerigen Job bereits einiges mit Firewall gemacht, so das dies nicht neu war, aber OPNSense war komplett neu für mich.
Ein paar Tips/Infos hatte ich mir auch aus Youtube-Videos geholt

93

German - Deutsch / Re: NEWBIE - Ersatz für Ubiquitti UDM

« on: November 30, 2023, 08:48:11 am »

Wieviel Port soll die Hardware haben, wenn es danach sowieso
auf die Switches geht. Natürlich 2 klar ... aber mehr, wann?
Wenn ich VLAN nutze, brauche ich da pro VLAN einen Ausgang,
oder kann ich das auch dann über die Switche lösen?

Wieviel RAM und SSD Speicher sollte die Hardware auf jedenfall
haben, damit alles flüssig läuft?

Ich hab nen MiniPC mit Core-i5 und 32 GB Ram, SSD 120 GB, der ist für meine GBit-Leitung
mehr als ausreichend - aber mir ist es lieber, der läuft entspannt mit viel CPU-Reserver als ständig
mit 80% Auslastung.
Festplatte/SSD  min 32 GB,  RAM min 8GB für normale OPNSense-Funktionen reicht aus.

Netzwerkports: ich hab 8 an meinem MiniPC,  1x WAN,  2x WAN2 (reserviert), 1x LAN  3x VLAN-only als LACP zum Switch, der Rest ist ungenutzt.
Ich würde sagen, mind. 4 Netzwerkports, am besten direkt mit 2,5GBit, was viele dieser MiniPC's wie ich ihn haben, mittlerweile auch haben.

Mehrwert gegenüber der UDMPro: Ich hab die UDMPro damals rausgeworfen, weil das Teil wie ein Sack Muscheln lief, die Hardware ist ja halbwegs ok, aber die Software war damals eine einzige Katastrophe.
DHCP funktionierte mehr schlecht als recht und ich hatte im Schnitt 1 bis 2 Totalabstürze pro Woche.
Damals konnte die UDMPro nicht mal als NTP-Server im Netz arbeiten - das kann jede Fritzbox.

Ich kenne etliche leute, die sich von der UDMPro verabschiedet haben und zu OPNSense gewechselt sind und damit sehr gut fahren.

94

German - Deutsch / Re: NEWBIE - Ersatz für Ubiquitti UDM

« on: November 29, 2023, 04:43:24 pm »

Eigentlich soll alles wieder funktionieren was mit der UDM auch ging...

Nicht nur eigentlich, es funktioniert alles - nur eben besser.

Ich hab vor knapp 2 Jahren die UDMPro bei mir rausgeworfen wegen ständiger Probleme und gehen eine OPNSense getauscht - das war das beste was ich machen konnte. ( Kabel Internet mit Fritzbox im BridgeModus )

Der Unifi Controller läuft bei mir als Linux-Container mit auf dem Proxmox und steuert eben die Unifi Switche und Access-Points.

Das einzige, was du machen musst, wenn du VLAN's nutzen, müssen die von der OPNSenser verwaltet werden und auf im Unifi-Universum nur noch als VLAN-only eingerichte sein um damit die Switchports entsprechend den VLAN zuzuordnen.

95

German - Deutsch / Re: FRITZ!Box 6591 Cable

« on: November 27, 2023, 10:45:38 am »

Meine Frage ist jetzt sollte im Bridge Mode nicht die öffentliche Adresse an der Opnsense ankommen?

Ja, aber das setzt voraus, das dein Provider dir auch mehrer IP-Adressen für deinen Anschluss zuweisst und da scheitert es meist dran.

Die FritzBox hat die Eigenart, sich die erste öffentliche IP-Adresse selber zu nehmen für z.b. Telefonie, egal ob Telefonie aktiv ist oder nicht.
Eine weitere öffentliche IP wird dann für den BridgeModus durchgeleitet.  Wenn das aber dein Anschluss diese notwendigen Konfiguration nicht hat ( MaxCPE-Wert = 2 oder 3 ), sehe ich schwarz für dich.

96

German - Deutsch / Re: Verbindung von ioBroker auf Photovoltaik über Netzwerksegment

« on: November 21, 2023, 04:16:02 pm »

Du brauchst Firewall-Regeln.
Ansonsten ist Datenverkehr zwischen Subnetzen nicht möglich.

97

German - Deutsch / Re: Verbindung von ioBroker auf Photovoltaik über Netzwerksegment

« on: November 21, 2023, 11:58:12 am »

Beim weiteren recherchieren bin ich auf https://forum.iobroker.net/topic/56109/rscp-an-e3dc-keine-verbindung/13
(letzter Post) - ist mir aber aktuell zu viel Aufwand.

Willst du lokal vom ioBroker drauf zugreifen ?
Reicht da eine entsprechende Firewall-Regel nicht aus ?

Evtl. mal mDNS auf der OPNSense installieren und aktivieren ( über die Plugins )

So haben wir das beim Bekannten gemacht, aber der hat Victron-System die in einem eigenen Netz hängen

98

German - Deutsch / Re: os-ddclient

« on: November 17, 2023, 03:17:01 pm »

Das hat für ipv4 bisher super geklappt, mit ipv6 habe ich es in keinem aller fälle hinbekommen leider...

Welchen Internetprovider nutzt du ?

Ich hab das Problem, das der Provider am einen IPv6 /128 Adresse und eine /64 zuweisst und die OPNSense sich für IPv6 Verbindungen aber die /64 Adresse nimmt, nur mein Provider die scheibar nicht routet ( Vodafone Kabel NRW )
Das ist manuell reproduzierbar mit

ping6 -S <WAN-IPv6> 2606:4700:4700::1111

Als WAN-IPv6 setzt du dann mal beide IPv6 Adressen vom WAN ein, die /128 und die /64 die du bekommst, wenn das so ist.  Die Ziel IP ist  heise.de

Der Fehler tritt auch nur auf der OPNSense selber auf, im Netz dahinter ist IPv6 überhaupt kein Problem.

99

German - Deutsch / Re: Ist das normal?

« on: November 17, 2023, 03:08:37 pm »

Etwas seltsam die Ausgabe von x86info. Vielleicht weil es die CPU noch nicht kennt? Vermutlich werden die "performance cores" nicht reported...

Das ist gut möglich, Bekannter von mir hatte das selbe Problem mit einem MiniPC mit ganz aktueller CPU, war aber ein anderer Hersteller als deiner, aber selbe CPU.

Lösung: leider nein, mein Bekannter hatte den MiniPC zurück geschickt und gehen einen andere von Protectli ausgetauscht, der ne ältere CPU hat aber dafür stabil und fehlerfrei läuft.

Das ist aber genau der Punkt, warum es nicht immer sinnvoll ist, die neuste Hardware zu nehmen, dazu hatte ich letztens schon eine Diskussion mit jemanden.

100

German - Deutsch / Re: Download Geschwindigkeit sehr langsam

« on: November 16, 2023, 06:43:06 pm »

Beim WAN Interface gibt es die Einstellung " Speed and Duplex" nicht beim LAN hab ich es jetzt auf 1000BaseT Full-Duplex gestellt.

Unter "Interfaces" -> "WAN" auch nicht, hab gerade bei mir geschaut, hab ja auch so ein MinPC Teil.

Die CPU ist in der Tat arg schwach, alleine 60-70% bei normalen max. Datendurchsatz, da bleibt nicht mehr viel übrig wenn du mal einiges an Firewallreglen bauen willst.

101

German - Deutsch / Re: im LAN zwei Subnetze

« on: November 16, 2023, 01:29:24 pm »

Diese Aussage verwirrt mich mehr als sie hilft.

Da stimme ich dir zu.

Ich hab das Problem nach 2mal lesen auch noch nicht verstanden.

@svvenni2k
Mache mal bitte Screenshot von deiner Konfig, wie das LAN konfiguriert ist und was an Firewall-Regel vorhanden ist.

LAN155 müsste ja dann ein VLAN sein, ist der Switch auch entsprechend konfiguriert ?

Wie hast du LAN-Interface im Proxmox konfiguriert.

102

German - Deutsch / Re: Download Geschwindigkeit sehr langsam

« on: November 16, 2023, 01:26:11 pm »

Meine Aktuelle Hardwar auf der OpnSense läuft:
Protectli FW4C – 4 Port Intel® J3710 - https://eu.protectli.com/product/fw4c/
8GB RAM
120 GB SSD

An was kann das Liegen?

Was sagt den die CPU-/RAM-Auslastung von dem Teil aus.  Eigentlich sollte die ausreichen.
Netzwerkinterface mal fest auf GBit gestellt und nicht Auto ? 

Was hast du bisher auf der OPNSense konfiguriert ?

103

German - Deutsch / Re: OPNSense as Router an Netcologne MultiCable - Fragen

« on: November 16, 2023, 09:58:05 am »

- Muss die MAC die ich bei NC registrieren muss die vom Modem oder die vom WAN Port sein?
- Hat NC irgebdwelche MAX-CPE Restriktionen?
- Wie genau muss ich den WAN Port an der OPNSense konfigurieren?
- Wie kann ich feststellen ob es ein DS, DS-lite oder ein "nativer" Anschluss ist?

- Also es geht, ein Bekannter von mir in Köln hat das vor ein paar Jahren gemacht, er hat ein Kabelmodem selber gekauft und über die Hotline registrieren lassen. Das war damals aber auch ein ziemlicher Krampf mit denen.
Im Grunde braucht es nur die MAC-Adresse des Modems und dessen Seriennummer, die in der Regeln auf dem Geräte draufstehen ( Typenschild ).
Bei Vodafone gings einfacher über die Hotline, neue MAC/Serienimmer durchgeben, die haben die eingetrage, dann Endgerät abklemmen, neues anschliessen und innerhalb von 1 bis 2 Stunden sollte das laufen ( ging aber schneller )

- MAX-CPE Restriktionen: sind eigentlich nur interessant, wenn eine FritzBox im BridgeModus genutzt werden soll, das hängt mit dem Verhalten der FritzBox zusammen, die sich immer die erste IP-Adresse nimmt für sich intern, aber wenn z.b. keine Telefonie darauf aktiv ist.Daher braucht es weitere IP-Adresse am Anschluss um den Bridge-Ausgang mit ne WAN-IP zu versorgen.  Bei einem Kabelmodem ohne Zusatzfunktionen ist das egal.

- WAN-Port:  DHCP für IPv4 aktivieren, wenn IPv6, dann dort auch DHCPv6 aktivieren + Prefix-Delegation einstellen auf den Wert den NetCologne nutzen /59 oder /56 oder was auch immer - mehr nicht.
Wenn IPv6 auch intern genutzt werden soll, muss etwas mehr machen.

- letzte Frage kann ich nicht beantworten,

104

German - Deutsch / Re: Router und OpnSense ohne NAT

« on: November 13, 2023, 06:00:47 pm »

Ansonsten weiß ich nicht, ob man auf der Fritzbox Packet Capture hat, mal gucken ob die ICMP Pakete ankommen und wo sie hingehen.

Ja, bei meiner Cable-Box geht es noch über die Adresse:   http://fritz.box/html/capture.html
Evtl. fritz.box durch die IP ersetzen.

105

German - Deutsch / Re: Funktioniert OPNsense mit Glasfaseranschlüssen?

« on: October 29, 2023, 11:23:35 am »

Die Fritzbox arbeitet normal immer auf 192.168.178.1
OPNsense arbeitet normal auf 192.168.1.1 wenn ich mich nichts falsch aufgefasst habe.

Wer schreibt so einen Unsinn.

Du kannst bei der FritzBox wie auch ander OPNSense jede beliebige (private) IP-Adresse einstellen, die du willst,  per default läuft die FritzBox auf. 192.168.178.1, es hindert dich niemand dran, das zu ändern, gilt genauso für die OPNSense.

Beim Bekannten von mir laufen zwei OPNSense an zwei Glasfaser-Anschlüssen, einer Deutsche Glasfaser, der andere Telekom, funktioniert problemlos, allerdings sind das Business-Anschlüsse mit Dual-Stack und statischen IP's