"Recent posts
#21
Hardware and Performance / Re: Network behind a double NA...
Last post by Maurice - November 27, 2025, 10:09:06 PMQuote from: kernew on November 27, 2025, 07:50:43 PMIf the WiFi (on PCIE) doesn't work with Proxmox+OPNsense - will it work on a separate miniPC with only OPNsense (Intel N100/N150 and 4x 2.5G)?The primary issues are WiFi in general and WiFi support in OPNsense, not Proxmox. WiFi just isn't very widely used in FreeBSD / OPNsense, even the docs say "results may vary". 802.11ac support for selected Intel adapters has recently been introduced with FreeBSD 14.3, but no idea whether it can be configured in OPNsense. Feel free to experiment, but documentation is limited, you won't get a lot of support in the forum and shouldn't expect things to "just work".
Quote from: kernew on November 27, 2025, 07:50:43 PMWhat are some other solutions for building my own network with internet 'from WiFi' (Deco S7)?Depends on your requirements. OpenWrt generally is a good choice if WiFi support is a priority.
Quote from: kernew on November 27, 2025, 07:50:43 PMHow do people solve the problem of having 'their own' network in hotels or on vacation?OPNsense seems overkill for that.
Quote from: kernew on November 27, 2025, 07:50:43 PMDeco has 3x LAN ports and there's a chance I'll be able to connect via cable - so in that case: Deco > cable > GMKtec LAN1 and LAN2 > switch. And then from the switch to the AP, desktop, and the rest - will this improve the situation?Definitely yes. You'll still be stuck with double NAT for IPv4 and questionable IPv6 support, but that'll always be the case if you're behind some other consumer router. If you need to allow incoming connections for remote access / VPN, you'll need to make configuration changes to the TP-Link (firewall rules / port forwardings).
#22
German - Deutsch / Re: IPSec und NAT
Last post by JeGr - November 27, 2025, 10:06:22 PMDie Antwort hängt davon ab:
* was die Remote Seite für eine IPsec Konfiguration hat: VTI oder normale Phase 2 Logik?
* was die Remote Seite für Remote Netz konfiguriert hat. Das bestimmt, was du selbst eintragen kannst.
Wenn es wie ich vermute ein normales P2 ist und Remote das /28 konfiguriert hat als erlaubt, wäre es kein großes Problem ein NAT mit .184.0/24 via .100.97/32 zu bauen, das klappt dann aber natürlich nur ausgehend auf die andere Seite rüber, weil dann ja alles wie auf dem WAN über ne einzelne IP geNATtet wird. Wenn bestimmte Geräte aber von Remote erreichbar sein müssen, wirds kniffliger.
Dann wird aber auf jeden Fall zusätzliche Security Policies für IPsec gebraucht, sonst würde der IPsec nur traffic von der /32 aufsammeln, du willst ja aber, dass der 184er/24 eingesammelt und via VPN verschickt wird. Daher muss das Ursprungsnetz als zusätzliche Policy rein und in die eigentliche Phase das "vorgegaukelte" /32 als lokal. Und dann natürlich noch nen NAT was ausgehend den Kram via IPsec auf die /32 umsetzt.
Aber das ist wie gesagt abhängig, was wirklich eingestellt ist.
Cheers :)
* was die Remote Seite für eine IPsec Konfiguration hat: VTI oder normale Phase 2 Logik?
* was die Remote Seite für Remote Netz konfiguriert hat. Das bestimmt, was du selbst eintragen kannst.
Wenn es wie ich vermute ein normales P2 ist und Remote das /28 konfiguriert hat als erlaubt, wäre es kein großes Problem ein NAT mit .184.0/24 via .100.97/32 zu bauen, das klappt dann aber natürlich nur ausgehend auf die andere Seite rüber, weil dann ja alles wie auf dem WAN über ne einzelne IP geNATtet wird. Wenn bestimmte Geräte aber von Remote erreichbar sein müssen, wirds kniffliger.
Dann wird aber auf jeden Fall zusätzliche Security Policies für IPsec gebraucht, sonst würde der IPsec nur traffic von der /32 aufsammeln, du willst ja aber, dass der 184er/24 eingesammelt und via VPN verschickt wird. Daher muss das Ursprungsnetz als zusätzliche Policy rein und in die eigentliche Phase das "vorgegaukelte" /32 als lokal. Und dann natürlich noch nen NAT was ausgehend den Kram via IPsec auf die /32 umsetzt.
Aber das ist wie gesagt abhängig, was wirklich eingestellt ist.
Cheers :)
#23
General Discussion / Re: new setup cannot reach lin...
Last post by meyergru - November 27, 2025, 09:56:34 PMI never pinned CPUs with Proxmox, maybe there are some tweaks in there that do the trick. A little less than the physical line rate (i.e. 1 GBps) is to be expected, but ~640 Mbps is really low. Most people get 1 Gbps, a capping is seen only at much higher speeds.
You could try if in your case, passthru would result in higher speeds. You can safely do that, because you have Intel NICs.
You could try if in your case, passthru would result in higher speeds. You can safely do that, because you have Intel NICs.
#24
German - Deutsch / Re: Verständnisfrage zu Portfo...
Last post by JeGr - November 27, 2025, 09:56:10 PMQuote from: awado on November 27, 2025, 09:04:30 PMWenn ich im Hetzner Robot für die zweite IP eine MAC erstelle, müsste ich doch in der OPNSense VM eine zweite WAN-Schnittstelle haben, um dort die MAC eintragen zu können? Da stehe ich grade auf dem Schlauch, wie man beide MAC-Adressen hinterlegt, wenn die OPNsense nur eine WAN-Schnittstelle hat. Der Traffic beider IPs geht doch über's Gateway?
Was ist denn genau das Ziel? Proxmox hat erste Wan IP, du bestellst ne zweite und die soll direkt auf der OPNsense VM landen? Dann ist es genau wie @meyergru und Patrick sagen. Da muss dann ne separate MAC für die zweite IP definiert werden, die zweite MAC stellt man in Proxmox an der OPNsense VM ein und zack sollte die VM (testweise) per DHCP die IP bekommen ohne Probleme. Würde die aber natürlich dann statisch konfigurieren. Bei nem Dedi steht man normalerweise mit der zweiten IP im gleichen /24er wie der Dedi vorher auch und hat daher das gleiche GW. Ist zumindest bei meinem so, da funktioniert das bestens.
Verstehe da gerade die Logik nicht in der Sense beide IPs zu haben? Vielleicht magst du das kurz erklären, was das wird?
Cheers :)
#25
German - Deutsch / Re: Shaper (FlowQueue-CoDel) l...
Last post by JeGr - November 27, 2025, 09:50:55 PMQuote from: FireStorm on November 20, 2025, 12:07:07 AMLeider konnten wir die Download-Latenz aufgrund der Natur von 5G nicht dauerhaft unter 10ms halten. Ein großes Danke an Seimus für die Hilfe dabei, den Sweet Spot zu finden! :D"
Ja Latenz wird bei LTE/5G oft unterschätzt. Ich hatte auch einige Kunden, die meinten es wäre vllt. eine gute Alternative als Hauptleitung (schnell), weil sonst nur langsames kleines DSL verfügbar war. Lief aber meistens eher semi gut. Latenz zu hoch und gerade in Hotspot Locations war dann zur Mittagszeit bspw. "Schulschluß" dann plötzlich keine Bandbreite mehr da. Da das GW aber nicht down geht, sondern nur die Bandbreite und Latenz runtersacken, klappt da auch nicht wirklich gut ein Umschalten auf die andere Leitung. Darum auch meine Empfehlung 5G/LTE nur als absoluten Fallback zu nehmen wenn nichts anderes mehr klappt. Zu unzuverlässig. :)
Aber super dass ihr das besser hinbekommen habt!
Cheers!
#26
German - Deutsch / Re: Verständnisfrage zu Portfo...
Last post by meyergru - November 27, 2025, 09:47:11 PMIch habe bislang bei zwei (oder: mehr als einer) IPs immer die eine in OpnSense angelegt, die anderen waren direkt vergeben. Rein theoretisch müsstest Du im Bridged Setup mehr als ein Interface an die Bridge binden können - dann kannst Du auch mehrere WANs mit unterschiedlichen MACs anlegen (bei VIPs geht das m.W. nicht).
#27
General Discussion / Re: OPNsense does not generate...
Last post by Patrick M. Hausen - November 27, 2025, 09:46:43 PMYou could limit the ICMP type to "echo request" for tighter security.
#28
General Discussion / Re: OPNsense does not generate...
Last post by penguingl - November 27, 2025, 09:45:36 PMQuote from: meyergru on November 27, 2025, 10:01:25 AMIDK how you got the <WAN_GATEWAY_IP> into that rule at all, since I do not see where you could select that from the UI. Out of curiosity: How did you do that?
Your rule will never fire this way, because you do not see the packets your rule would select.
The target of a ping would be the WAN IP, which you can select from the dropdown as "WAN address". You could also use "this firewall". Your rule should simply be:
You cannot view this attachment.
If you want to be sure, create it in Floating Rules and move it to the top of the list.
Thanks a lot for the guidance. Removing the gateway from the rule fixed it right away and everything is working now.
I had assumed I needed to select my WAN gateway instead of the default for the rule to apply on the WAN, but that turned out to be the mistake.
Appreciate the help and clear explanation!
#29
General Discussion / Re: LAN interface setup for VL...
Last post by viragomann - November 27, 2025, 09:12:00 PMSo the igc1 is the trunk port on OPNsense now. It caries VLAN 10 and 100. On this port you configure the VLAN device for each, which you did already. This gives you virtual network ports, which you are able to assign to interfaces in Interface> Assignments.
Now if you want that your LAN is on VLAN 100, select igc1.100 as its network port.
However, ensure before, that VLAN 100 already works on the switch to avoid locking out yourself.
For additional interface assign the proper virtual network port (e.g. igc.10) to a new interface and configure it.
Now if you want that your LAN is on VLAN 100, select igc1.100 as its network port.
However, ensure before, that VLAN 100 already works on the switch to avoid locking out yourself.
For additional interface assign the proper virtual network port (e.g. igc.10) to a new interface and configure it.
#30
German - Deutsch / Re: Verständnisfrage zu Portfo...
Last post by Patrick M. Hausen - November 27, 2025, 09:08:08 PMSo weit richtig. Hast du die Alias-IP-Adresse mit Netzmaske /32 angelegt oder mit einer kürzeren?
