"Recent posts
#91
German - Deutsch / Re: Von ISC- zu KEA DHCP wechs...
Last post by Patrick M. Hausen - December 13, 2025, 08:31:40 PMQuote from: Monviech (Cedrik) on December 13, 2025, 08:13:31 PMDnsmasq für home user und Kea für unternehmen ist okay als auswahl
Dann mache ich ja alles richtig. Ich betreibe mein Heimnetz genau so wie die Netze im Unternehmen ;-)
#92
German - Deutsch / Re: Von ISC- zu KEA DHCP wechs...
Last post by Patrick M. Hausen - December 13, 2025, 08:30:42 PMKea ist der Nachfolger von derselben Firma, die ISC entwickelt hatte, nämlich dem ISC - Internet Software Consortium - dem wir auch BIND verdanken. Ich würde Kea und BIND nehmen und alles andere rauswerfen. Und RFC 2137 für dynamische Updates einbauen.
Ich versteh die Entscheidungen da leider manchmal nicht. Auch der radvd ist ein von Linux importiertes Teil. Völlig überflüssig. FreeBSD hat seit "schon immer" einen Router Advertisement Daemon eingebaut.
Ich versteh die Entscheidungen da leider manchmal nicht. Auch der radvd ist ein von Linux importiertes Teil. Völlig überflüssig. FreeBSD hat seit "schon immer" einen Router Advertisement Daemon eingebaut.
#93
German - Deutsch / Re: Von ISC- zu KEA DHCP wechs...
Last post by MarroniJohny - December 13, 2025, 08:19:37 PMJa, habe drei NICs im Desktop. Vorher hatte ich den Switch an einer unabhängigen parallelen Zywall. Da lief nur noch IPMI und sowas drüber. Die NIC hatte ich im Normalfall deaktiviert. Dann eine 10 Gbit NIC, die hat das LAN von der Sense. Und jetzt habe ich die neue Lab Sense in Betrieb genommen, und von der aus auch eine Strippe zum Desktop gezogen. Also drei Stippen am Desktop: IPMI, LAN Sense1, LAN Sense2. Die Adapter kann ich bei Bedarf zuschalten.
Damit ich nicht umständlich alles mit dem Laptop konfigurieren muss. Nächstes Ziel ist dann die ganzen VLAN einzurichten an der Lab Sense, sind atm 14. Von der will ich getagged zum Ersatz ESXi fahren, damit ich das ganze Regelwerk austesten kann. Die Switches und all den Plunder habe ich noch nicht da, von daher teste ich das virtuell.
Funktioniert eigentlich ganz gut. Den 10 Gbit Adapter habe ich per Metrik priorisiert. Da kommt sogar mein Mozilla VPN Client mit klar. Weil den brauch ich, um mit meinen Kumpels fliegen zu können auf meinem eigenen Server. Der mag doppelt NAT nicht so.
Damit ich nicht umständlich alles mit dem Laptop konfigurieren muss. Nächstes Ziel ist dann die ganzen VLAN einzurichten an der Lab Sense, sind atm 14. Von der will ich getagged zum Ersatz ESXi fahren, damit ich das ganze Regelwerk austesten kann. Die Switches und all den Plunder habe ich noch nicht da, von daher teste ich das virtuell.
Funktioniert eigentlich ganz gut. Den 10 Gbit Adapter habe ich per Metrik priorisiert. Da kommt sogar mein Mozilla VPN Client mit klar. Weil den brauch ich, um mit meinen Kumpels fliegen zu können auf meinem eigenen Server. Der mag doppelt NAT nicht so.
#94
German - Deutsch / Re: Von ISC- zu KEA DHCP wechs...
Last post by Monviech (Cedrik) - December 13, 2025, 08:13:31 PMhttps://xkcd.com/2347/
Keine Angst vor Dnsmasq, alles ist irgendwo von einem Menschen abhängig, auch der Linux Kernel (obwohl es wohl eine Nachfolgeregelung dafür gibt).
Jede Software stirbt irgenwann und muss ersetzt werden.
(Dnsmasq für home user und Kea für unternehmen ist okay als auswahl)
Keine Angst vor Dnsmasq, alles ist irgendwo von einem Menschen abhängig, auch der Linux Kernel (obwohl es wohl eine Nachfolgeregelung dafür gibt).
Jede Software stirbt irgenwann und muss ersetzt werden.
(Dnsmasq für home user und Kea für unternehmen ist okay als auswahl)
#95
General Discussion / Re: Settings up VLANS.
Last post by coffeecup25 - December 13, 2025, 08:12:41 PMQuote from: Seimus on December 13, 2025, 07:25:21 PMCedrik did write some time ago a nice doc about VLANs and LAGGs.
Please read
https://docs.opnsense.org/manual/how-tos/vlan_and_lagg.html
Regards,
S.
Thank you. The information about tagging was helpful.
I think I reasoned through the router VLAN vs the Managed Switch VLAN confusion (confusion at least to me).
The managed or smart switch, or several switches, is (are) fully capable of supporting one or more VLANs, depending on the need, completely. OPNsense or a refurb used ac wifi router would end up the same place as far as VLANs are concerned. The switches do the work. It does not matter what the switches are connected to. In that respect, the router is a dumb box.
OPNsense gets involved when you use a multi port box as the router and you want to turn an available port into a managed switch IN Place Of using a managed switch. NOT in addition to a managed switch (Unless you have a specific and defined need for recycling unused ports in that way.) MY perspective is the home or hobby user, not a commercial enterprise with serious needs.
I also suspect that network-talk has evolved into something that's a little incomprehensible sometimes. A Level 2 bla bla makes no sense to 99% of the people who read it. Yet, normal everyday terminology could have easily been used. This encourages people to fit parts together and walk away if it works, thinking they now know how to do it.
#96
German - Deutsch / Re: 10G Hardware Empfehlungen
Last post by juergen2025 - December 13, 2025, 08:10:13 PMIch habe mir kürzlich bei AliExpress den Topton MiniPC mit dem N305 ohne 10G Port gekauft, aber ich muss sagen, der läuft richtig schnell! Das Teil rennt wie die Sau. Es müsste bei dir auch funktionieren, es gibt den MiniPC auch mit einem 10G Port. Der integrierte Lüfter ist allerdings etwas störend, wenn er anspringt, aber ansonsten funktioniert alles super. Es gibt keine Internetabbrüche, und der PC ist mit i226 Ports ausgestattet, die 2,5GB Geschwindigkeit unterstützen. Außerdem war auf der CPU der WLP (Wärmeleitpaste) ausreichend drauf, also keine Probleme in der Kühlung. Bin echt zufrieden mit der Leistung!
#97
German - Deutsch / Re: Von ISC- zu KEA DHCP wechs...
Last post by Patrick M. Hausen - December 13, 2025, 08:06:51 PMDu kannst doch nicht drei LANs an deinem Desktop haben oder hast du drei Interfaces? Und dann dreimal DHCP? Kann nicht gehen. Mal das doch mal auf ...
#98
German - Deutsch / Suricata Richtlinie
Last post by juergen2025 - December 13, 2025, 08:03:46 PMIch habe kürzlich meine Suricata-IDS-Regeln in OPNsense angepasst und möchte wissen, ob diese Konfiguration die neuesten Bedrohungen effektiv blockiert und ob sichergestellt ist, dass die Blockierung tatsächlich aktiv erfolgt. In der aktuellen Konfiguration habe ich folgende Regelwerke verwendet: 3coresec.rules, abuse.ch.feodotracker.rules, und andere. Als Aktion habe ich 'Deaktiviert, Alarm' festgelegt, und die neue Aktion ist 'Verwerfen'.
Außerdem sind die spezifischen Regelkriterien für Produkte wie 2wcom, 3CX, ABB, ASMAX und Adobe festgelegt, und die Angriffsziele reichen von Client-Endpunkten über Server bis zu DNS-Servern. Die Bedrohungsstufen wie 'High', 'Medium' und 'Low' sowie CVE-Daten aus den Jahren 1999 bis 2025 wurden integriert. Die neue Richtlinie wurde mit der Beschreibung 'IDS Neu Eingestellt 11/2025' hinzugefügt.
Ich möchte wissen, ob diese Konfiguration in Suricata in OPNsense sicherstellt, dass die Bedrohungen tatsächlich aktiv blockiert und nicht nur alarmiert werden. Werden die aktuellsten Bedrohungen wie APTs und Malware-Familien (z.B. ACR_Stealer) ausreichend blockiert, oder sind noch Anpassungen erforderlich, um eine vollständige Sicherheitsabdeckung zu gewährleisten?
Außerdem sind die spezifischen Regelkriterien für Produkte wie 2wcom, 3CX, ABB, ASMAX und Adobe festgelegt, und die Angriffsziele reichen von Client-Endpunkten über Server bis zu DNS-Servern. Die Bedrohungsstufen wie 'High', 'Medium' und 'Low' sowie CVE-Daten aus den Jahren 1999 bis 2025 wurden integriert. Die neue Richtlinie wurde mit der Beschreibung 'IDS Neu Eingestellt 11/2025' hinzugefügt.
Ich möchte wissen, ob diese Konfiguration in Suricata in OPNsense sicherstellt, dass die Bedrohungen tatsächlich aktiv blockiert und nicht nur alarmiert werden. Werden die aktuellsten Bedrohungen wie APTs und Malware-Familien (z.B. ACR_Stealer) ausreichend blockiert, oder sind noch Anpassungen erforderlich, um eine vollständige Sicherheitsabdeckung zu gewährleisten?
#99
Development and Code Review / Re: Automating configuration o...
Last post by Seimus - December 13, 2025, 08:02:07 PMI am a CLI guy ;)
Reason is I do sometimes a hardware level tshooting on ASICs/bus on CISCO hardware, this is possible only via CLI with the knowledge of the architecture.
But for OPNsense as it never had CLI in first place, its better to finish APIs for everything, this will give you more than if they started CLI definitions from 0.
Regards,
S.
Reason is I do sometimes a hardware level tshooting on ASICs/bus on CISCO hardware, this is possible only via CLI with the knowledge of the architecture.
But for OPNsense as it never had CLI in first place, its better to finish APIs for everything, this will give you more than if they started CLI definitions from 0.
Regards,
S.
#100
German - Deutsch / Re: Von ISC- zu KEA DHCP wechs...
Last post by MarroniJohny - December 13, 2025, 07:48:15 PMQuote from: Patrick M. Hausen on December 13, 2025, 06:11:04 PMMan muss natürlich den Haken bei "autocollect option data" raus nehmen, wenn man Dinge individuell einstellen will. Sonst macht die OPNsense alles automatisch - "autocollect" halt.
Ahja, das wars, danke.
Dann habe ich noch eine Frage. Im Moment gehts vom Provider Router zur Produktivsense. Von da weiter zur besagten Labsense. Also dreifach NAT. Nach mir habe ich alles richtig verkabelt.
Am Desktop habe ich drei Strippen. Das IPMI Netz an dem Switch (der hängt getagged an Sense 1), mein LAN von der Sense 1 und mein LAN von Sense 2.
Wenn ich nun die Labsense über den Browser aufrufen will, dann wird manchmal das Interface/Dashboard von Sense 1 angezeigt. Obwohl die IP im Browser stimmt. Die IP ist 192.168.5.1, die Adresse/den Range gibt es sonst gar nirgends. Was hat es damit auf sich?
