Recent posts

#91

25.7, 25.10 Series / Re: Dnsmasq stops occasionaly

Last post by ligand - January 14, 2026, 09:44:33 PM

Sounds good.  I'll start today and will post my results incrementally.  :-)

#92

General Discussion / Re: Ignoring redirect-gateway

Last post by tbone56 - January 14, 2026, 09:41:03 PM

Thanks for the help.

My hardware failed, and I'm going to rebuild it.
I have to put this on the back burner until I get going again.

#93

German - Deutsch / Re: OpnSense 25.10_2 HA Cluste...

Last post by carepack - January 14, 2026, 08:44:10 PM

Hallo,

noch ein etwas eher unfachmännischer Kommentar, der aus Sicht einer Person kommt, die mit IT eher auf der Prozess- und Organisationsebene zu tun hat....

Bin gestolpert über den Hinweis, sinngemäß... Standort, an dem bald keine Leute mehr sind....

Passt den die Organisation / Aufbau noch im Sinne, benötigt man das ,,komplexe" Konstrukt denn zukünftig noch, in dieser Art? Würde sich mit einer gewissen Reorganisation vielleicht auf die kommerziellen Produkte verzichten lassen?

Nur so ein Gedanke...

Beste Grüße

#94

German - Deutsch / Re: Eigener DNS bei einer IPv6...

Last post by Maurice - January 14, 2026, 08:38:06 PM

Das hast Du aber einen ganz hübschen Stapel von Mechanismen beisammen, um "modern" zu sein.

"Modern zu sein" ist nicht die Motivation. Es geht darum, frühzeitig Erfahrungen mit Technologien zu sammeln, die mittelfristig unser aller Alltag sein werden. Und es hilft dabei, ein kleiner Teil der Lösung zu sein und nicht des Problems. Das Problem ist, dass zu viele warten, bis andere vorangehen und die Steine aus dem Weg räumen. So kommen wir aber nicht voran. Und gerade das Heimnetz / Home Lab ist prädestiniert für Bleeding Edge, denn kritische Infrastruktur ist das eher selten.

Bin gespannt auf das HOWTO dazu.

Das How-to zu DNS64 / NAT64 mit Tayga und Unbound habe ich vor Jahren geschrieben, das ist Teil der OPNsense-Doku.
Die Geschichte mit BIND als authoritativem DNS-Server für die internen Zonen und Unbound als rekursivem Resolver mit DNS64 und Forwarding zu BIND ist fast trivial, aber vielleicht ist das nur die Innenperspektive. ;)
Der Weg war tatsächlich steinig, so manches OPNsense-Feature musste erst implementiert und der eine oder andere Bug gefixt werden. Im jetzigen Zustand ist es aber relativ einfach zu konfigurieren. Vielleicht schreibe ich mal ein How-to für das Gesamtpaket.

Schlimm wenn es nicht die eine Lösung gibt

Die Qual der Wahl. Es gibt mehrere passable Lösungen und viele schlechte. ;)

Verstehe ich es grob richtig, dass aktuelle zwei Ansätze diskutiert werden. Der eine zielt möglichst auf IPv6 only ab und bindet IPv4 dort ein, wo nötig.

Richtig.

Führt aber zu einer komplexeren Konfiguration.

Einerseits komplexer durch DNS64 / NAT64 und ggfs. etwas mehr DNS-Konfiguration, andererseits einfacher dadurch, dass es in jedem Netz nur einen Stack gibt - entweder IPv6 oder IPv4. D. h. jeweils nur ein Satz Firewall-Regeln, entweder RAs + ggfs. DHCPv6 oder DHCPv4 etc. Was man unterm Strich präferiert ist eine individuelle Entscheidung.

Der andere Ansatz ist Dual-Stack, was vielleicht nicht optimal ist, jedoch einfacher zu konfigurieren/betreiben.

Es ist die konservativere, etablierte Lösung.

Welche Vorteile hat Ansatz 1 und welche Nachteile Ansatz 2?

Möchtest Du zwei Schritte vorausgehen und nimmst dafür den etwas holprigeren Weg auf dich? Dann Ansatz 1.
Gehst Du lieber zwei Schritte hinterher und hast dafür eine gut dokumentierte, ausgereifte Konfiguration? Dann Ansatz 2.
Beide Wege sind legitim.

Die feste IP kostet 10€  und ab dem 7. Monat dann 23€/mtl.

Wäre mir persönlich auch zu teuer, ist aber wieder eine individuelle Entscheidung. Privat habe ich momentan auch nur ein dynamisches Präfix, einzig aus Kostengründen. Das erfordert schon einige Klimmzüge mit ULAs, DynDNS etc. Bei meinem vorherigen ISP hatte ich ein quasi statisches Präfix und das war wirklich wesentlich einfacher zu handhaben.

nutze nur DynDNS für IPv4 und IPv6

Von außen ist mein Heimnetz ausschließlich über IPv6 erreichbar (zur Zeit ebenfalls per DynDNS). Macht es auch wieder einfacher und reicht für meine Anforderungen völlig, spätestens seit es IPv6 hierzulande in allen Mobilfunknetzen gibt. Und falls mein ISP morgen auf DS-Lite umstellt bzw. €€€ für "Premium Dual Stack" möchte, dann bin ich tiefenentspannt und sage: Mach doch, kannst IPv4 gerne abschalten.

#95

German - Deutsch / Re: Hardware Suche N150 mit In...

Last post by carepack - January 14, 2026, 08:30:46 PM

Du bekommst bei Amazon solche Mini-Firewalls als Barebones zwar für < 200€. Leider sind inzwischen die Preise für RAM stark gestiegen, weshalb Modelle mit RAM und SSD meist bei > 300€ landen. Der billigste 8 GByte SODIMM DDR5 kostet schon ca. 100€, eine 256 GByte SSD ca. 50€ - unter 300€ wirst Du wohl nur noch gebraucht landen.

Es gibt aber manche Modelle mit N100 (kaum langsamer), die noch DDR4 einsetzen, dann wird es etwas billiger:

https://www.amazon.de/dp/B0F5GJ2JHP
https://www.amazon.de/dp/B09F4CT8LV
https://www.amazon.de/dp/B07BL2WXB9

Ich habe auch einen mit N150 gefunden: https://www.amazon.de/dp/B0FCY3CFW7, allerdings sieht die Kühlung da schlechter aus.

Ich würde immer die Selbstaufrüstung vorziehen, weil Du dann keine No-Name-Bauteile bekommst.

Ach stimmt, die Barebones. Besten Dank @meyergru! Schau ich bei denen nochmal. Da steht glücklicherweise der Netzwerkchipsatz dabei.

Danke auch @Patrick.

😃👍🙏

Das hilft mir sehr und komme weiter!!!
P.s. auch dir besten Dank @newbe

#96

General Discussion / QEMU NAT with Opnsense

Last post by August8828 - January 14, 2026, 07:33:07 PM

Hello,

unfortunately I have problems get the NAT option with QEMU on my Linux host running. I use Linux as my main OS and it seems like I can not establish a connection over my VMs which use the NAT option.

For NAT, I got assigned the 192.168.122.0/24 network. I can ping it from my Linux host. Unfortunately, when creating either a Linux or Windows VM, the network can not get established and I do not get why. Regarding the routing table, it should use the 192.168.100.1/24 as gateway.

I also use VLANs in my network. X.X100.0/24 is my management VLAN.

Do you have an idea why this is not working?

#97

General Discussion / Re: Mysterious "sendto: Permis...

Last post by Patrick M. Hausen - January 14, 2026, 07:14:01 PM

Next time try to clear the firewall states instead of rebooting.

#98

German - Deutsch / Re: Umstellung auf IPsec Conne...

Last post by osmom - January 14, 2026, 07:11:32 PM

Bei den neuen Connections wird  ESP nicht mehr unterstüzt.

Das glaub ich nicht. Da würde meine VPN auch nicht mehr funktionieren.

-> Dann muss ich nochmals schauen.


In der Remote muss auf jeden Fall EAP Radius rein, wenn der Prozess den NPS nutzen soll.
Und in VPN: IPsec: Mobile & Advanced Settings > eap-radius muss dieser ausgewählt werden.
-> Ja ist in VPN: IPsec: Mobile & Advanced Settings > eap-radius eingetragen.

In Remote wird konfiguriert, wie sich der Client beim Server authentifiziert.
In Local, wie sich der Server beim Client authentifiziert.

#99

Zenarmor (Sensei) / Upgraded to newer version of Z...

Last post by kwo1 - January 14, 2026, 06:55:16 PM

Hi,

Since December of last year, I've been troubleshooting what I originally thought was an OPNsense upgrade issue, but I have now instead determined to be a Zen Armor-specific upgrade issue. 

My current OPNsense setup:

• Multiple interfaces - LAN, MGMT, WAN
• Zen Armor has been installed since late summer 2025
• The MGMT network has its own Zen Armor policy assigned to it named MGMT_Policy, which has "Block all internet access" turned ON.
• I manage OPNsense through it's MGMT interface IP - https://192.168.2.251/

I was on Zen Armor version 2.1.1.  If I upgrade to the newest version available, currently 2.3.2, I can no longer reach the OPNsense web URL https://192.168.2.251.  I've included screenshots below which shows the live sessions page, before and after the upgrade.  Before the upgrade, you can see my workstation (192.168.2.99) is able to reach the web URL of .251.  After the upgrade, the workstation is blocked from accessing the same .251 IP.  Besides upgrading Zen Armor, nothing else changed.  I did not make any changes to the policy, the IPs, firewall rules, nothing at all. 
You cannot view this attachment.
You cannot view this attachment.

I don't think this is specific to the latest version of Zen Armor.  I only know that it began with a version after 2.1.1. 

Post-upgrade, if I turn off "Block all internet access" on my MGMT_Policy, my workstation (192.168.2.99) can once again access https://192.168.2.251. 

Can someone provide insight as to why an upgrade to Zen Armor would change the behavior of the policy? 

Thank you

#100

German - Deutsch / Re: Hardware Suche N150 mit In...

Last post by meyergru - January 14, 2026, 06:40:05 PM

Du bekommst bei Amazon solche Mini-Firewalls als Barebones zwar für < 200€. Leider sind inzwischen die Preise für RAM stark gestiegen, weshalb Modelle mit RAM und SSD meist bei > 300€ landen. Der billigste 8 GByte SODIMM DDR5 kostet schon ca. 100€, eine 256 GByte SSD ca. 50€ - unter 300€ wirst Du wohl nur noch gebraucht landen.

Es gibt aber manche Modelle mit N100 (kaum langsamer), die noch DDR4 einsetzen, dann wird es etwas billiger:

https://www.amazon.de/dp/B0F5GJ2JHP
https://www.amazon.de/dp/B09F4CT8LV
https://www.amazon.de/dp/B07BL2WXB9

Ich habe auch einen mit N150 gefunden: https://www.amazon.de/dp/B0FCY3CFW7, allerdings sieht die Kühlung da schlechter aus.

Ich würde immer die Selbstaufrüstung vorziehen, weil Du dann keine No-Name-Bauteile bekommst.