"Recent posts
#1
26.1 Series / Re: Can Unbound DNSSEC be used...
Last post by muchacha_grande - Today at 12:42:08 PMHi LemurTech.
I've read your solution, and I wonder if this could be the solution for other problems that I've found people are having https://github.com/opnsense/core/issues/9736
Given that you have researched this in detail, may be it worth to open a ticket at github for asking the developers to add the intended options that had solved this problem.
May be these options were not needed before, but the new Unbound-Dnsmasq schema proposed by the developers can lead to the need for some additional options like the ones you have mentioned.
In my case, I had the problem of Unbound not forwarding queries to Dnsmasq when my Inet connection was down. It's not the exact same symptom but the problem looks the same at the end.
I've read your solution, and I wonder if this could be the solution for other problems that I've found people are having https://github.com/opnsense/core/issues/9736
Given that you have researched this in detail, may be it worth to open a ticket at github for asking the developers to add the intended options that had solved this problem.
May be these options were not needed before, but the new Unbound-Dnsmasq schema proposed by the developers can lead to the need for some additional options like the ones you have mentioned.
In my case, I had the problem of Unbound not forwarding queries to Dnsmasq when my Inet connection was down. It's not the exact same symptom but the problem looks the same at the end.
#2
German - Deutsch / Re: Unify Telefonanlage hinter...
Last post by cklahn - Today at 12:41:21 PMJa, das habe ich bei einem Kunden auch, der Vodafone als Registrar hat.
Hier scheint es aber, als verbindet sich die TK-Anlage nach dem Einschalten mit der Telekom und deren SIP-Trunk antwortet. Die Pakete kommen durch, da die Firewall die eingehenden Ports offen hält. Diese werden aber scheinbar nach einer gewissen Zeit geschlossen und dann geht nichts mehr.
Hier scheint es aber, als verbindet sich die TK-Anlage nach dem Einschalten mit der Telekom und deren SIP-Trunk antwortet. Die Pakete kommen durch, da die Firewall die eingehenden Ports offen hält. Diese werden aber scheinbar nach einer gewissen Zeit geschlossen und dann geht nichts mehr.
#3
German - Deutsch / Re: x520-da2 etwas zu beachten...
Last post by meyergru - Today at 12:34:53 PMJa, sollte es. Solche SFP+-Transceiver gibt es auch bei FS.com. Aber wie gesagt: Die werden recht heiß.
Die Intel I226V ist ein reiner RJ45-Adapter, kein SFP+-Transceiver. Der Vorteil ist, dass die nicht so heiß werden und auch super Treiberunterstützung für OpnSense, dafür können sie auch nur 1/2.5 Gbps. Es gibt modernere NICs, die auch 10 GBit und/oder NBase-T können, aber siehe: https://forum.opnsense.org/index.php?topic=50858.0
Die Intel I226V ist ein reiner RJ45-Adapter, kein SFP+-Transceiver. Der Vorteil ist, dass die nicht so heiß werden und auch super Treiberunterstützung für OpnSense, dafür können sie auch nur 1/2.5 Gbps. Es gibt modernere NICs, die auch 10 GBit und/oder NBase-T können, aber siehe: https://forum.opnsense.org/index.php?topic=50858.0
#4
German - Deutsch / Re: Unify Telefonanlage hinter...
Last post by Tuxtom007 - Today at 12:26:21 PMQuote from: cklahn on Today at 07:02:09 AMHier noch meine Inbound NAT-Regel:Ich hab ne Fritzbox für Telefonie ( Vodafone-SIP am Kabelinternet ) im VLAN hinter der OPNSense hängen und keinerlei Inbound Regel aktiv, aber eine Outbound-NAT Regel für UDP auf StaticPort war wichtig, ohne die ging garnichts.
#5
German - Deutsch / Re: Zwei Baustellen ISC->KEA /...
Last post by Tuxtom007 - Today at 12:21:26 PMQuote from: Patrick M. Hausen on February 17, 2026, 11:04:45 PMDas ist so. ISC bindet an alle Interfaces, selbst wenn er nur an einem aktiv ist.Die Erfahrung hab ich damals auch gemacht, weil ich den schrittweise umziehen wollte - hatte sich damit erledigt.
KEA läuft super bei mir, daher war der Umstieg das beste was ich machen konnte.
ISC hab ich komplette deinstalliert.
Gestern abend hab ich auch auf die neuen FW-Rules umgestellt, gingt auch recht entspannt in wenigen Minuten
#6
German - Deutsch / Re: x520-da2 etwas zu beachten...
Last post by no_Legend - Today at 11:57:31 AMGrundlegend würde das bedeuten, um in der Zukunft sicher zu sein, sollte man eigentlich eine Intel I226-V nehmen?
Zumindest wenn man ein SFP+ als ONT direkt einbauen will.
Ich hab von 10gtek ein SFP+ Modul auf Ethernet gefunden, welches 1.25/2.5/5/10GBase-T kann.
Zumindest werden die auf Amazon damit, auch dass die 2,5gbit an einem 1/10gbit Switch kann. https://amzn.eu/d/0i9uE7zE
@meyerguru Das wäre doch so ein SFP+ Modul wie du gesagt hast? Damit könnte man dann im Zweifel auch ein ONT mit mehr als 1gbit Ethernet betreiben?
Wird das dann auch mit der X520/x710 laufen?
Zumindest wenn man ein SFP+ als ONT direkt einbauen will.
Ich hab von 10gtek ein SFP+ Modul auf Ethernet gefunden, welches 1.25/2.5/5/10GBase-T kann.
Zumindest werden die auf Amazon damit, auch dass die 2,5gbit an einem 1/10gbit Switch kann. https://amzn.eu/d/0i9uE7zE
@meyerguru Das wäre doch so ein SFP+ Modul wie du gesagt hast? Damit könnte man dann im Zweifel auch ein ONT mit mehr als 1gbit Ethernet betreiben?
Wird das dann auch mit der X520/x710 laufen?
#7
German - Deutsch / Re: x520-da2 etwas zu beachten...
Last post by meyergru - Today at 11:17:10 AMVorsicht mit dem ZTE F6005 - die auf Ebay angebotenen sind meist "zugenagelt" - ich habe meins von den italienischen Spezialisten von HACK GPON, das ist "offen". Es läuft auch nicht jedes ONT mit jedem Provider - aktuell läuft z.B. das Leox offenbar nicht mit der Deutschen Glasfaser, wohl aber mit M-Net.
Das muss Dich aber so lange nicht interessieren, wie der ISP Dir den ONT liefert - und das tun die ja. Ein >= 2.5 Gbps ONT ist nur ein Sahnehäubchen.
Für 2.5 GBit gibt es wie gesagt Intel I226-V (bekommt man auch als PCIe-Karte) oder ein 1/2.5/5/10er SFP+-Transceiver (aber auch die werden heiß).
Das muss Dich aber so lange nicht interessieren, wie der ISP Dir den ONT liefert - und das tun die ja. Ein >= 2.5 Gbps ONT ist nur ein Sahnehäubchen.
Für 2.5 GBit gibt es wie gesagt Intel I226-V (bekommt man auch als PCIe-Karte) oder ein 1/2.5/5/10er SFP+-Transceiver (aber auch die werden heiß).
#8
German - Deutsch / Re: x520-da2 etwas zu beachten...
Last post by no_Legend - Today at 11:12:07 AMDanke für eure Erklärung. Nur so richtig hab ich es wohl noch nicht verstanden.
Bei uns kommt wohl die Deutsche Giganetze.
Laut deren Homepage gibt es erst ab 2,5gbs die XGPON.
Alles darunter ist noch GPON, keine Ahnung ob die Umstellen werden,.
Im Haus liegt schon netcom bw per glasfaser.
Lange Geschichte dazu, kurz gesagt, waren wir an einer Trasse gelegen und die haben uns dann erschlossen.
Nutzen wir aktuell aber nicht, da doppelt so teuer wie Vodafone Kabel.
@meyerguru
ich hab mal schnell nach dem von dir erwähnten ZTE 6005 gesucht.
Direkte 10Gbit von ONT zu SFP+ mit 10gig ETH SFP+ Modul sollte gehen.
Das Teil hat eine 2,5gb Ethernet, wie bekommt man das dann per SFP+ in seine Server?
Danke und Grüße Robert
Bei uns kommt wohl die Deutsche Giganetze.
Laut deren Homepage gibt es erst ab 2,5gbs die XGPON.
Alles darunter ist noch GPON, keine Ahnung ob die Umstellen werden,.
Im Haus liegt schon netcom bw per glasfaser.
Lange Geschichte dazu, kurz gesagt, waren wir an einer Trasse gelegen und die haben uns dann erschlossen.
Nutzen wir aktuell aber nicht, da doppelt so teuer wie Vodafone Kabel.
@meyerguru
ich hab mal schnell nach dem von dir erwähnten ZTE 6005 gesucht.
Direkte 10Gbit von ONT zu SFP+ mit 10gig ETH SFP+ Modul sollte gehen.
Das Teil hat eine 2,5gb Ethernet, wie bekommt man das dann per SFP+ in seine Server?
Danke und Grüße Robert
#9
26.1 Series / Re: NTP Redirect via DNAT
Last post by meyergru - Today at 11:02:02 AMThese are my rules:
You cannot view this attachment.
You cannot view this attachment.
As I said, fdfd::1 ist a virtual ULA IPv6 that can be assigned to any LAN interface.
You cannot view this attachment.
You cannot view this attachment.
As I said, fdfd::1 ist a virtual ULA IPv6 that can be assigned to any LAN interface.
#10
26.1 Series / Re: NTP Redirect via DNAT
Last post by bamf - Today at 10:51:31 AMI use the following NAT rule for this:
Interface: LAN
Version: IPv4
Protocol: UDP
Destination Address: !LAN net
Destination Port: 123
Redirect Target IP: 192.168.100.1
Redirect Target Port: 123
Working fine so far. But I haven't been able to achieve this for IPv6. So I blocked IPv6 NTP completely:
Action: Reject
Interface: LAN
Direction: In
TCP/IP Version: IPv6
Protocol: UDP
Source: Any
Destination: !LAN net
Destination port range: 123-123
Interface: LAN
Version: IPv4
Protocol: UDP
Destination Address: !LAN net
Destination Port: 123
Redirect Target IP: 192.168.100.1
Redirect Target Port: 123
Working fine so far. But I haven't been able to achieve this for IPv6. So I blocked IPv6 NTP completely:
Action: Reject
Interface: LAN
Direction: In
TCP/IP Version: IPv6
Protocol: UDP
Source: Any
Destination: !LAN net
Destination port range: 123-123
