Recent posts

#1
German - Deutsch / Re: Frage bzgl. Unmanaged Swit...
Last post by Classic89 - Today at 11:22:48 AM
Quote from: knebb on November 30, 2025, 01:10:46 PMMoin,

wenn ich auch Deine Struktur nicht so ganz durchblicke, so gilt: Finger weg von unmanaged Switchen bei Verwendung von VLAN!

Diese unmanaged Switche sind dann eher sowas wie eine Bridge. Eingehender Verkehr mit dem "VLAN42" tag wird auch auf allen Ports rausgejagt. Ebenso "VLAN3141".

Du könntest zwar einen managed dahinter schalten, aber dann blickt ja keiner mehr durch...

/KNEBB



Danke für deine Antwort. Der Gedanke war im wesentlich nur, den gesamten Network-Traffic auf beide Ethernet-Ports der OPNSense aufzuteilen und die Verteilung dahinter übers Netzwerk über einen zentralen Switch zu organisieren. Sprich zwei Leitungen aus der OPNSense raus, in einen Switch und von da aus ins gesamte Haus, also an den WLAN AP und die beiden im Haus verteilten Switche an denen alle primären kabel-gebundenen Geräte hängen. Die Aufteilung des Traffics in VLANs würde hier auch erst an den beiden "End"-Switches und dem WLAN AP (der ist VLAN fähig) gebraucht. Daher der Gedanke mit dem unmanaged Switch.

Quote from: meyergru on November 30, 2025, 01:55:59 PMLeider ist es so, dass das Verhalten von unmanaged Switches nicht genau definiert ist - im besten Fall verhalten sie sich so, als wenn alle Ports als "Trunk" konfiguriert sind, aber garantiert ist das nicht.


Danke für den Hinweis, dann ist das vermutlich keine so gute Idee.

Quote from: viragomann on November 30, 2025, 02:59:05 PMHallo,

nicht VLAN-fähige Switche verbinden einfach sämtliche angeschlossenen Geräte und vermitteln die Pakete entsprechend der Hardwareadressen. Sie kümmern sich einfach nicht um die VLAN Tags, weil sie dafür auch keine Logik implementiert haben. Soweit jedenfalls meine Erfahrung.
Also im Grunde kann man VLANs drüber schicken, wie sonst über einen Trunk Port. Eine Trennung der VLANs geht so natürlich nicht, auch nicht, wenn sie über verschiedene Leitungen laufen.

Wie du die VLANs auf die Leitungen aufteilen möchtest, ist mir auch nicht klar. Wenn du die beiden Leitungen optimal ausnutzen möchtest, konfiguriere eine Bündelung. OPNsense kann das. Der Switch müsste es natürlich auch unterstützen.
Und dieser könnte dann doch auch gleich VLANs unterstützen.
Der weitere Aufpreis hierfür ist wohl geringer als für PoE, was du ohnehin haben möchtest. Wenn du den Switch eh erst kaufen musst, sollte sich daher diese Frage gar nicht stellen.

Grüße

Der primäre Gedanke war, wie oben genannt, den Traffic auf die beiden Ports aufzuteilen. Ich hatte bisher immer so verstanden, das Bridging von mehreren Ethernet-Ports nicht empfohlen wird. Der Gedanke war, dass ich an dem Switch hinter der OPNSense nicht zwangsläufig eine VLAN-Verteilung brauche, sondern erst an den "Endgeräten", wo bereits VLAN-fähige Geräte hängen. Und nach meiner Recherche war der Aufpreis für Managed eben doch nicht so gering. Aber dann werde ich wohl eher doch auf einen managed switch für das genannte Szenario setzen müssen.

Danke auf jeden Fall für den Input an auch alle!
#2
25.7, 25.10 Series / DHCP - device gets IP w/o rese...
Last post by opn_minded - Today at 11:14:26 AM
Hi there,

I have a strange issue regarding a device that gets an IP, but has no reservation set for it. First things first, I'm on opnSense 25.7.7_4. The device is a soundbar, that is connected via cable and once had 10.0.40.4 as IP reservation. Several months ago, I decided that this device doesn't need to be online anymore, so I removed it's reservation in KEA.

A couple days ago I found out that 10.0.40.4 is (still) ping-able, even though it has no IP reservation in KEA. When I disable the switch-port (where the soundbar is connected to), I can't ping that IP.

My (IoT) VLAN is defined as 10.0.40.0/24, with just a single IP (10.0.40.199/32) as pool.

In my understanding - if I haven't set up an IP reservation for a certain device (based on its MAC), this device shouldn't be able to obtain an IP and access subnets. Am I wrong or is this actually an issue?
#3
German - Deutsch / Re: IT Security Experte Floria...
Last post by opnsenseuser - Today at 11:02:33 AM
Natürlich muss man heutzutage alles hinterfragen. Die Webseite von dem Typen habe ich im ersten Post verlinkt.

Es gibt aber sicher mehr als einen Security Experten in Deutschland!

Auf seiner Seite gibts auch Veranstaltungen. Am 20-21.5.2026 dürfte er oder einer seiner Kollegene einen Vortrag halten.
Aber natürlich kann man auch das faken. Aber wenn wir so weit sind, dann muss ich mich auch fragen, ob ich mich hier nicht nur mit Chatbots unterhalte. ;-)

#4
General Discussion / Re: Managing the HA passive no...
Last post by Zugschlus - Today at 10:55:34 AM
Quote from: Zugschlus on November 29, 2025, 12:50:27 PM
Quote from: viragomann on November 28, 2025, 05:23:42 PMYou need to add the rule to the interface, which the traffic is going out.

If you want to access the LAN IP of the secondary, the packets will go out on the LAN interface. If you access the SYNC interface, the packets go out on SYNC.
Its wise to use ever the same IP to access the firewall. So you need the rule only on a single interface.

And of course you should limit the rule to the admin source and to the secondary as destination.
Best to use an alias, which includes both, the IP of the primary and secondary, so you can sync the rules to the secondary and it will also work in case it has the master role.

Thanks for your advice, that's what I'll do.

I did that with an outbout rule on the Management Interface, so that I don't have a NAT rule on the production network. Seems to work fine, no side effects noticed yet.
#5
General Discussion / referer protection
Last post by Zugschlus - Today at 10:48:04 AM
Hi,
this has been discussed a number of times, but a few years ago, and OPNsense has continued to be developed. And, frankly, I didn't understand the explanations.

I think that I am not the only person who has a web page on an internal Wiki that contains the link to the administration pages of the managed devices. I therefore have links to my OPNsense Web UI machines there. The hostname that is part of those links is entered in System > Settings > Administration (multiple host names, for both nodes, as a space separated list, all spelled correctly).

One of the hostnames I have listed there, for example is opnsense2.mgt.ka51.zugschlus.de. That host name is correctly in the local DNS and maps to a primary IP address of the OPNsense installation.

The Link in my Wiki page points to https://opnsense2.mgt.ka51.zugschlus.de/

And still, when I click on the link, I _sometimes_ get the message that OPNsense doesn't like my referer.  Sometimes, but not every time. I guess that depends on whether I am already logged in to the device in another tab of that browser.  The exact error message is "The HTTP_REFERER "http://mywiki.example.com/" does not match the predefined settings. You can disable this check if needed under System: Settings: Administration"

When does this happen? Why does this happen? I think I have everything configured correctly. Can this possibly have to do with the fact that the wiki is (still, don't ask) an unencrypted http server?

What is the referer check supposed to protect me from? Currently it is protecting me from easily accessing my devices. Is there any trick I can use to have working links AND referer protection? Is there a (hidden?) setting that allows me to set allowed referers?

Some of the older Forum Threads suggest that I should enter the name of the wiki as another alternate hostname in OPNsense. That CAN'T be correct advice, can it?

Greetings
Marc
#6
25.7, 25.10 Series / Re: Suricata IPS Mode
Last post by turipriv - Today at 10:38:10 AM
Hi there,

What issue are you facing in enabling it?

Also, do you plan to monitor the WAN-side or the LAN-side?
#7
Ja, aber wer ist der Dude? Wenn ein Video mit reißerischer Aufmachung daher kommt und ich den "Experten" nicht kenne, werde ich sofort mißtrauisch. Man hätte ja auch Manuel Atug interviewen können. Zum Beispiel ...
#8
German - Deutsch / Re: IT Security Experte Floria...
Last post by opnsenseuser - Today at 09:48:32 AM
Quote from: Zapad on November 30, 2025, 06:24:04 PMtut mir leid, habe da nix nützliches(was man nicht längst weiss) raushören können....

da macht sich einfach einer wichtig.... sowas wie Snowden für Arme.

Für Profis ist sicher nicht viel neues dabei. Es ist eher für die Menschen mit weniger KnowHow und weniger Background gedacht.
#9
General Discussion / Re: Degraded printer functiona...
Last post by meyergru - Today at 09:41:29 AM
...which by default allow any to any for any IP protocols on LAN? ;-)
#10
Quote from: Mpegger on November 30, 2025, 11:10:54 PMI should probably ask if there is a known realiable regularly updated list of DoH servers to use for blocking purposes?

https://github.com/hagezi/dns-blocklists?tab=readme-ov-file#bypass

HTH,
Patrick