"Recent posts
#21
German - Deutsch / VoIP mit enviaTel ohne FritzBo...
Last post by Hunter - January 11, 2026, 08:50:07 PMHallo an Alle,
ich habe seit dieser Woche endlich meinen Gigabit-FTTH-Anschluss von enviaTel ( seit Jahren 16 MBit/s DSL der Telekom ). Ich möchte die mitgelieferte FritzBox gar nicht nutzen und dafür alles an meine Sophos XG210, bespielt mit aktuellem OpnSense, anschliessen ( der/die/das Sophos liefert sozusagen nur die Appliance-Hardware ). Da diese SFP-Ports hat, habe ich auf SFP1 das Glasfaserkabel der enviaTel mit VLAN132 ( WAN ) und VLAN133 ( VoIP ) gesteckt. Ich kann mit voller Geschwindigkeit nun im Web surfen. Das klappt problemlos.
Das Thema VoIP ist allerdings für mich etwas schwieriger zu durchblicken. Ich habe ein Snom Tischtelefon ( D865 ) und eine Snom M900 DECT-Basis mit zwei Snom M85. In FreePBX wollte ich mich ungern einarbeiten, zumal Telefon ohnehin immer mehr durch Smartphone ersetzt wird. Irgendwie ist Asterisk wieder einmal eine ganz andere Welt, wo ich wieder Nächte/Wochen versenken könnte.
Kurzum, ich wollte die drei Snoms direkt mit meinem SIP-Server von enviaTel verbinden. Also habe ich ein eigenes VLAN ( ich nutze mehrere Mikrotik-Router, die mir die VLANs der OpnSense verteilen ) 192.168.20.0/24 für die Snoms genutzt.
Wenn ich das VoIP-VLAN 133 auf ein eigenes Interface lege und dort DHCP aktiviere, bekomme ich schonmal eine 172.x.x.x Adresse vergeben. Er sieht also das SIP-Netz.
Nun meine Fragen als absoluter VoIP-Neuling:
1) sollte ich intern mit einem zweiten VLAN ( 192.168.20.0/24 ) arbeiten oder sollte ich Layer 2 direkt an meinen Netzwerkport durchreichen, wo das Snom steckt ( damit das auch eine 172er-Adresse bekommt? Letzteres gefällt mir nicht so sehr, da ich mir dann die Konfiguration über das Webinterface schwer vorstelle und ich sicherlich noch LDAP-Server für das Telefonbuch zur Verfügung stellen möchte.
2) der enviaTel-Registrar heißt ngn.enviatel.net und ist nicht öffentlich auflösbar. Im VLAN133 bekomme ich die IP aufgelöst.
Hat schon jemand ein ähnliches Konstrukt gehabt ( ohne FritzBox, eigenes VoIP-VLAN, intern mehrere VLANs ) und kann mir Tipps geben? Brauche ich dafür siproxd oder geht das ohne? Wie fange ich an?
Bin für jeglichen Gedanken dankbar.
Hunter
ich habe seit dieser Woche endlich meinen Gigabit-FTTH-Anschluss von enviaTel ( seit Jahren 16 MBit/s DSL der Telekom ). Ich möchte die mitgelieferte FritzBox gar nicht nutzen und dafür alles an meine Sophos XG210, bespielt mit aktuellem OpnSense, anschliessen ( der/die/das Sophos liefert sozusagen nur die Appliance-Hardware ). Da diese SFP-Ports hat, habe ich auf SFP1 das Glasfaserkabel der enviaTel mit VLAN132 ( WAN ) und VLAN133 ( VoIP ) gesteckt. Ich kann mit voller Geschwindigkeit nun im Web surfen. Das klappt problemlos.
Das Thema VoIP ist allerdings für mich etwas schwieriger zu durchblicken. Ich habe ein Snom Tischtelefon ( D865 ) und eine Snom M900 DECT-Basis mit zwei Snom M85. In FreePBX wollte ich mich ungern einarbeiten, zumal Telefon ohnehin immer mehr durch Smartphone ersetzt wird. Irgendwie ist Asterisk wieder einmal eine ganz andere Welt, wo ich wieder Nächte/Wochen versenken könnte.
Kurzum, ich wollte die drei Snoms direkt mit meinem SIP-Server von enviaTel verbinden. Also habe ich ein eigenes VLAN ( ich nutze mehrere Mikrotik-Router, die mir die VLANs der OpnSense verteilen ) 192.168.20.0/24 für die Snoms genutzt.
Wenn ich das VoIP-VLAN 133 auf ein eigenes Interface lege und dort DHCP aktiviere, bekomme ich schonmal eine 172.x.x.x Adresse vergeben. Er sieht also das SIP-Netz.
Nun meine Fragen als absoluter VoIP-Neuling:
1) sollte ich intern mit einem zweiten VLAN ( 192.168.20.0/24 ) arbeiten oder sollte ich Layer 2 direkt an meinen Netzwerkport durchreichen, wo das Snom steckt ( damit das auch eine 172er-Adresse bekommt? Letzteres gefällt mir nicht so sehr, da ich mir dann die Konfiguration über das Webinterface schwer vorstelle und ich sicherlich noch LDAP-Server für das Telefonbuch zur Verfügung stellen möchte.
2) der enviaTel-Registrar heißt ngn.enviatel.net und ist nicht öffentlich auflösbar. Im VLAN133 bekomme ich die IP aufgelöst.
Hat schon jemand ein ähnliches Konstrukt gehabt ( ohne FritzBox, eigenes VoIP-VLAN, intern mehrere VLANs ) und kann mir Tipps geben? Brauche ich dafür siproxd oder geht das ohne? Wie fange ich an?
Bin für jeglichen Gedanken dankbar.
Hunter
#22
German - Deutsch / Re: Eigener DNS bei einer IPv6...
Last post by meyergru - January 11, 2026, 08:07:40 PMAndere Lösungen heißt zumindest bei mir: zusätzliche Lösungen. Ich habe kein Problem damit, die Mechanismen von IPv4 auf IPv6 umzustellen, wenn das aber bedeutet, für alle möglichen Features zusätzliche Mechanismen oder spezifische Geräte-Konfigurationen (Umstellung von DHCP-Verhalten am Server, Registry-Edits auf Windows-Clients, Umstellungen an Android und/oder IOS-Geräten, separate IPv4- / IPv6-Netze) einsetzen zu müssen, bin ich aus Aufwandsgründen raus - für mich persönlich besteht der Ansatz dann den Lackmustest nicht.
Das mag in Business-Umgebungen anders sein, wo AD, LDAP, Windows-Domänen, 802.1x oder IPAM sowieso schon am Start sind. Bei mir ist das mit "IPv4 im LAN" und "IPv6 outbound only" aber anders: Da brauche ich - und zwar nur auf der OpnSense - eine einfache Zuordnung MAC -> IPv4 -> DNS-Einträg(e) und kann damit alles erschlagen.
Es wäre wahrscheinlich auch anders, wenn sich die ISPs nicht auf diese blöde dynamische IPv6-Zuweisung eingeschossen hätten oder langfristiger, wenn IPv6-only eine echte Option darstellt.
Das mag in Business-Umgebungen anders sein, wo AD, LDAP, Windows-Domänen, 802.1x oder IPAM sowieso schon am Start sind. Bei mir ist das mit "IPv4 im LAN" und "IPv6 outbound only" aber anders: Da brauche ich - und zwar nur auf der OpnSense - eine einfache Zuordnung MAC -> IPv4 -> DNS-Einträg(e) und kann damit alles erschlagen.
Es wäre wahrscheinlich auch anders, wenn sich die ISPs nicht auf diese blöde dynamische IPv6-Zuweisung eingeschossen hätten oder langfristiger, wenn IPv6-only eine echte Option darstellt.
#23
General Discussion / Re: Is ChatGPT. correct about ...
Last post by OPNenthu - January 11, 2026, 07:45:13 PMQuote from: lorem on January 11, 2026, 06:37:13 PMI found the solution here and it is the solution.
"Services/DHCPv4/[Interface] allows to specify the DNS server(s) passed to this interface only."
https://forum.opnsense.org/index.php?topic=28387.0
What did you actually want to know with your original question (copied below)?
Quote from: lorem on January 10, 2026, 03:33:07 AMI want a VLAN going to a wireguard VPN gateway and a backup VLAN going to the WAN gateway. I want the VPN VLAN traffic to use the VPN tunnel DNS server and the non VPN VLAN traffic to use Unbound through the WAN
I interpreted this as being about selectively routing Unbound to different gateways, but reading this again more carefully I think you were asking what @viragomann answered (how to assign the VPN's DNS to DHCP clients). In which case, my bad.
#24
German - Deutsch / Re: Eigener DNS bei einer IPv6...
Last post by Maurice - January 11, 2026, 07:43:08 PMQuote from: meyergru on January 11, 2026, 06:11:10 PMWie ich gerade feststelle, wird die IPv6 bei Windows aus einer (zufälligen) DUID abgeleitet.Zufälliger Interface Identifier, der bei der Installation der NIC generiert wird. DUID ist der Device Identifier für DHCPv6.
Quote from: meyergru on January 11, 2026, 06:11:10 PMDas könnte im Extremfall bedeuten, dass ich die DNSv6-Einträge alle nochmal händisch erfassen muss, nachdem ich auf jedem Client die tatsächliche ULA ausgelesen habe.Man benötigt doch nicht für jeden Client DNS-Einträge, sondern nur für Dienste, die im lokalen Netzwerk angeboten werden. Möchte man aus grundsätzlichen Überlegungen alle Clients zentral erfassen, dann gibt es dafür bessere Mechanismen, wie das von Patrick genannte AD mit DNS- und DHCPv6-Integration oder eine dedizierte Device Management-Lösung.
Quote from: meyergru on January 11, 2026, 06:11:10 PMBei ULAs ist es so, dass die ja überraschenderweise niedriger priorisiert werden als IPv4.Kommt auf die konkrete Implementierung an, ist aber zum Teil leider so. Das ist aber nicht in Stein gemeißelt; es gibt neuere RFCs, die das ändern möchten.
A-Records benötigt man nur für Dienste, auf die wirklich noch per IPv4 zugegriffen werden muss. Und möchte man ganz konsequent sein, dann verwendet man kein IPv6-Mostly, sondern separate Single Stack-Netze für IPv6 und IPv4. So habe ich es bei mir im Heimnetz gelöst.
Quote from: meyergru on January 11, 2026, 06:11:10 PMDifferenzieren müsste man für echte Services sowieso, denn wenn die per DHCP-Option 108 IPv6-only gesetzt werden, sind sie für IPv4-only Clients nicht mehr erreichbar.Server wird man in der Regel statisch konfigurieren. Falls man dafür DHCPv4 verwenden möchte, dann könnte man auf den betroffenen Servern den DHCP-Client so konfigurieren, dass er Option 108 ignoriert.
Quote from: n3 on January 11, 2026, 06:36:37 PMVerstehe ich das Richtig, dass meine Clients im LAN eine temporäre IPv6 über das WAN bekommen. Diese Adresse ist eher für das Internet gedacht. Lokal nutze ich aktuell IPv4, aber mit ULAs gebe ich den Clients im LAN und im ADMIN Netz lokal IPv6 Adressen zu lokalen Kommunikation. Die ULA vom ADG konfiguriere ich dann als DNS über RAs im Modus Stateless.Ja richtig, bzw. eigentlich im Modus "Unmanaged". Falls Du "Stateless" verwenden möchtest, dann muss zusätzlich noch der DHCPv6-Server entsprechend konfiguriert werden.
Quote from: n3 on January 11, 2026, 06:36:37 PMIch könnte bei mir auch komplett auf IPv6 sogar mit einer festen IPv6 gehenFalls Du die Möglichkeit hast ein statisches IPv6-Präfix zu bekommen, dann solltest Du das auf jeden Fall tun. Das erspart auch an vielen anderen Stellen Kopfschmerzen.
Quote from: n3 on January 11, 2026, 07:16:12 PMIch dachte, dass wenn die Kommunikation über IPv6 läuft, der DNS auch über v6 bekannt sein muss.Das ist unabhängig voneinander. Der Client kann einen DNS-Server auch über IPv4 nach einem AAAA-Record fragen. Also Kommunikation zwischen Client und DNS-Server über IPv4 und dann Kommunikation zwischen Client und z. B. Web-Server über IPv6.
#25
German - Deutsch / Re: Eigener DNS bei einer IPv6...
Last post by n3 - January 11, 2026, 07:16:12 PM@meyergru
Ich habe dein HowTo damals verwendet und eben die Option im RA aktiviert. Der DNSv6 wird nicht mehr ausgeliefert und es scheint alles über den ADG zu gehen.
Somit sollte es jetzt passen.
Aber damit ich es richtig verstehe... Ich rufe z.B. eine Webseite auf und die Kommunikation läuft eigentlich über IPv6. Dennoch geht mein Client über IPv4 an den ADG da dieser als DNSv4 konfiguriert und bekannt ist und löst auch entsprechend auf. Ich dachte, dass wenn die Kommunikation über IPv6 läuft, der DNS auch über v6 bekannt sein muss.
Ich habe dein HowTo damals verwendet und eben die Option im RA aktiviert. Der DNSv6 wird nicht mehr ausgeliefert und es scheint alles über den ADG zu gehen.
Somit sollte es jetzt passen.
Aber damit ich es richtig verstehe... Ich rufe z.B. eine Webseite auf und die Kommunikation läuft eigentlich über IPv6. Dennoch geht mein Client über IPv4 an den ADG da dieser als DNSv4 konfiguriert und bekannt ist und löst auch entsprechend auf. Ich dachte, dass wenn die Kommunikation über IPv6 läuft, der DNS auch über v6 bekannt sein muss.
#26
German - Deutsch / Re: Eigener DNS bei einer IPv6...
Last post by Bob.Dig - January 11, 2026, 06:52:36 PMQuote from: n3 on January 11, 2026, 06:36:37 PMund einmal die IPv6 vom LAN-Interface (also die IPv6 die ich im Dashboard der opnsense auch unter dem LAN-Interface sehe)Aber warum, das solltest Du ja verhindern, in dem Du die Sense entsprechend konfigurierst.
Du kannst natürlich dem AGH auch eine ULA geben, aber auch die müsstest Du dann verteilen und die Sense entsprechend konfigurieren, im Endeffekt nicht einfacher, eher das Gegenteil.
#27
25.7, 25.10 Series / Re: os-acme-client 4.11 on Bus...
Last post by greY - January 11, 2026, 06:45:49 PMI was able to fix it by deleting the certificate and re-creating in the ACME config.
Seems like only changing the provider from hetzner to hetznercloud does not apply for the existing configuration.
Seems like only changing the provider from hetzner to hetznercloud does not apply for the existing configuration.
#28
German - Deutsch / Re: Eigener DNS bei einer IPv6...
Last post by meyergru - January 11, 2026, 06:43:15 PM@n3: Im RADVD (falls Du den nutzt) kannst Du die Option "Do not send any DNS configuration to clients" setzen - wie gesagt, ich nehme nur SLAAC, keinen DHCPv6. Damit kommt dann kein DNSv6-Server mehr an. So auch das oben verlinkte HOWTO. Das funktioniert - alles, was wir hier diskutieren, ist offenbar komplexer als man sich das so zuerst vorstellt. Mir fehlt bislang jedenfalls das HOWTO, das das lückenlos beschreibt.
Und: Die ULA wird bei DS-Betrieb nie verwendet, solange der Name auch auf eine IPv4 auflöst... das würde m.E. nur mit IPv6-only funktionieren, nicht mit IPv6 mostly. Solange Du dynamische IPv6-Präfixe und IPv4-only Clients hast, wird das nix.
@Patrick: Ich nutze weder Windows-Domänen noch DHCPv6. M.W. unterstützen Android-Clients (und manche andere) auch nur SLAAC für die IPv6-Zuweisung - ich weiß allerdings nicht, ob das aktuell immer noch so ist. D.h., aktuell arbeite ich mit einer festen Reservierung MAC -> IPv4. IPv6 wird eigentlich nur für Outbound genutzt, inbound nehme ich sowieso meist einen Reverse Proxy, deshalb brauche ich da die IPv6 selten.
Und: Die ULA wird bei DS-Betrieb nie verwendet, solange der Name auch auf eine IPv4 auflöst... das würde m.E. nur mit IPv6-only funktionieren, nicht mit IPv6 mostly. Solange Du dynamische IPv6-Präfixe und IPv4-only Clients hast, wird das nix.
@Patrick: Ich nutze weder Windows-Domänen noch DHCPv6. M.W. unterstützen Android-Clients (und manche andere) auch nur SLAAC für die IPv6-Zuweisung - ich weiß allerdings nicht, ob das aktuell immer noch so ist. D.h., aktuell arbeite ich mit einer festen Reservierung MAC -> IPv4. IPv6 wird eigentlich nur für Outbound genutzt, inbound nehme ich sowieso meist einen Reverse Proxy, deshalb brauche ich da die IPv6 selten.
#29
General Discussion / Re: Is ChatGPT. correct about ...
Last post by lorem - January 11, 2026, 06:37:13 PMI found the solution here and it is the solution.
"Services/DHCPv4/[Interface] allows to specify the DNS server(s) passed to this interface only."
https://forum.opnsense.org/index.php?topic=28387.0
"Services/DHCPv4/[Interface] allows to specify the DNS server(s) passed to this interface only."
https://forum.opnsense.org/index.php?topic=28387.0
#30
German - Deutsch / Re: Eigener DNS bei einer IPv6...
Last post by n3 - January 11, 2026, 06:36:37 PMQuote from: meyergru on January 11, 2026, 02:29:47 PMJa, so ist es. Du zeigst in Deinen Screendumps ja gar nicht, welchen DNS-Server Du verwendest. Ruf mal "ipconfig /all" auf, dann sieht Du es.OK, habs eben geprüft und als DNS ist einmal die IPv4 vom ADG und einmal die IPv6 vom LAN-Interface (also die IPv6 die ich im Dashboard der opnsense auch unter dem LAN-Interface sehe)
Dort sollte, wenn es nur einen per DHCPv4 verteilten Server gibt, auch nur eine IPv4 dafür geben.
Quote from: Patrick M. Hausen on January 11, 2026, 02:36:07 PMWenn dein Client nur genau einen IPv4-DNS-Server kennt, benutzt er auch nur den. Dann sorg dafür, dass das dein AGH ist und das Problem ist gelöst. Habe ich hier überall genau so am laufen.Ja mit IPv4 war das auch so und lief ohne Problem. Da meine Clients nun IPv6 haben, habe ich eben gesehen, dass das LAN Interface als DNS eingetragen ist und somit geht es am ADG vorbei.
Quote from: Maurice on January 11, 2026, 04:15:38 PMBei Anschlüssen mit dynamischem Präfix hat es sich bewährt, auf den LAN-Interfaces zusätzlich Virtual IPs (IP Alias) mit ULAs zu konfigurieren. So bekommt jedes Gerät automatisch auch eine ULA (über SLAAC). Die ULA des DNS-Servers kann man dann über RAs und DHCPv6 verteilen.Ja ich glaube das geht in die Richtung, wie ich es dachte. Nur wollte ich die IPv6 am Server vergeben. Mit ULAs klingt es sauberer. Verstehe ich das Richtig, dass meine Clients im LAN eine temporäre IPv6 über das WAN bekommen. Diese Adresse ist eher für das Internet gedacht. Lokal nutze ich aktuell IPv4, aber mit ULAs gebe ich den Clients im LAN und im ADMIN Netz lokal IPv6 Adressen zu lokalen Kommunikation. Die ULA vom ADG konfiguriere ich dann als DNS über RAs im Modus Stateless.
Richtig?
Ich versuche eurer Diskussion zu folgen, aber es ist schwer, wenn man das Thema nur privat verfolgt. Ich könnte bei mir auch komplett auf IPv6 sogar mit einer festen IPv6 gehen, aber dann ist das Thema mit Datenschutz im privaten Umfeld so eine Sache.
