"Recent posts
#91
German - Deutsch / Re: Absicherung von WAN interf...
Last post by Patrick M. Hausen - January 05, 2026, 03:32:09 PM"Read this first!" von @meyergru ist eigentlich der beste Startpunkt.
#92
Zenarmor (Sensei) / Re: Youtube NOT blocked
Last post by Seimus - January 05, 2026, 03:27:53 PMCheck in ZA logs for your daughter, if you see the device she used to connect to youtube. Check Connections as well block tabs. What do you see there.
Regards,
S.
Regards,
S.
#93
German - Deutsch / Re: Absicherung von WAN interf...
Last post by name89214 - January 05, 2026, 03:27:23 PM@ Patrick M. Hausen
Vielen Dank für deine schnelle Rückmeldung und die Richtigstellung! Hätte mich auch gewundert, wo doch per default alles erstmal geblockt ist...
Da es gute und schlechte guides gibt: gibt es gute guides für die ersten Gehversuche? Meine Ziele:
Ich habe bereits IP-cams auf einem VLAN über ein anderes VLAN verfügbar gemacht. Ich bin bislang so vorgegangen, dass ich zunächst durche eine Regel alles blockiere und dann schrittweise einzelne clients freigebe: IP, Port, UDP/TCP/... ich weiß jedoch nicht, ob man so vorgehen sollte. Daher würde ich mich gerne inspirieren lassen, sofern es solche empfehlenswerte guides schon gibt.
Den hier fand ich ganz gut, wobei mir das ganze IPv6 Thema fehlt: https://homenetworkguy.com/how-to/beginners-guide-to-set-up-home-network-using-opnsense/#firewall-aliases
Besten Dank schon mal :)
Edit:
@ meyergru
Eben dein Posting gesehen. Ich habe es eben überflogen: echt super! Danke. Ich lese mich tiefer ein. Das sollte den Großteil meiner Fragen beantworten. Ich melde mich, falls ich noch spezifische Fragen haben sollte.
Vielen Dank für deine schnelle Rückmeldung und die Richtigstellung! Hätte mich auch gewundert, wo doch per default alles erstmal geblockt ist...
Da es gute und schlechte guides gibt: gibt es gute guides für die ersten Gehversuche? Meine Ziele:
- VLANs wie USER, GUEST, IOT, IPCAM etc: welche best practices bei den Regeln?
- best practices IPv6: rules, aliases, ...
- Netzdiagramme: Insgesamt werden es voraussichtlich 5-6 VLANs. Neben LAN und WAN habe ich noch 3 physische Ports. Ich möchte 2-3 router anschließen, die in verschiedenen Stockwerken arbeiten sollen. Ich nutze OpenWRT. Ich würde mich gerne einlesen, wie andere user solche setups abbilden.
Ich habe bereits IP-cams auf einem VLAN über ein anderes VLAN verfügbar gemacht. Ich bin bislang so vorgegangen, dass ich zunächst durche eine Regel alles blockiere und dann schrittweise einzelne clients freigebe: IP, Port, UDP/TCP/... ich weiß jedoch nicht, ob man so vorgehen sollte. Daher würde ich mich gerne inspirieren lassen, sofern es solche empfehlenswerte guides schon gibt.
Den hier fand ich ganz gut, wobei mir das ganze IPv6 Thema fehlt: https://homenetworkguy.com/how-to/beginners-guide-to-set-up-home-network-using-opnsense/#firewall-aliases
Besten Dank schon mal :)
Edit:
@ meyergru
Eben dein Posting gesehen. Ich habe es eben überflogen: echt super! Danke. Ich lese mich tiefer ein. Das sollte den Großteil meiner Fragen beantworten. Ich melde mich, falls ich noch spezifische Fragen haben sollte.
#94
Hardware and Performance / Re: routing performance limite...
Last post by meyergru - January 05, 2026, 03:23:37 PMHow did you test? Speedtest, iperf? Multiple streams or one? If you really used FTP, it can normally use only one stream and is heavily limited by BDP and buffer size.
#95
German - Deutsch / Re: Absicherung von WAN interf...
Last post by meyergru - January 05, 2026, 03:14:17 PMZwei Hinweise:
a. Realtek: https://forum.opnsense.org/index.php?topic=42985.0, Punkt 6
b. IPv6: https://forum.opnsense.org/index.php?topic=45822.0
a. Realtek: https://forum.opnsense.org/index.php?topic=42985.0, Punkt 6
b. IPv6: https://forum.opnsense.org/index.php?topic=45822.0
#96
25.7, 25.10 Series / In 25.7, the order of wpad rul...
Last post by Fenyo - January 05, 2026, 03:09:40 PMHello,
I updated from 25.1.12 to 25.7.10 and the order of proxy wpad rules can no longer be set; it automatically defaults to alphabetical order, so this feature is no longer really usable. I need it because the new version also broke Office KMS activation in the case of a proxy, and I would like to remedy this with a direct wpad rule. If I manually edit wpad.dat and add the KMS server as a direct rule, Office activation works, but this is not permanent, and editing from the GUI would be more convenient.
Best Regards, Fenyő
I updated from 25.1.12 to 25.7.10 and the order of proxy wpad rules can no longer be set; it automatically defaults to alphabetical order, so this feature is no longer really usable. I need it because the new version also broke Office KMS activation in the case of a proxy, and I would like to remedy this with a direct wpad rule. If I manually edit wpad.dat and add the KMS server as a direct rule, Office activation works, but this is not permanent, and editing from the GUI would be more convenient.
Best Regards, Fenyő
#97
25.7, 25.10 Series / Re: [Small Feature Request] Mo...
Last post by FullyBorked - January 05, 2026, 03:01:58 PMSince it wasn't shared, here is the link to submit a bug, feature request, etc. https://github.com/opnsense/core/issues/new/choose
#98
General Discussion / Re: Clients use wrong IPv6 Gat...
Last post by bimbar - January 05, 2026, 03:00:28 PMQuote from: Patrick M. Hausen on January 02, 2026, 01:32:52 AMQuote from: Maurice on January 02, 2026, 01:27:15 AMThis is simply unsupported in the real world. You can't have multiple default routers which advertise different SLAAC prefixes in the same LAN.
I noticed that "in the real world" but still this comes as quite the surprise to me. Because all the IPng/IPv6 fundamentals textbooks I read more than a decade ago said that is how it's supposed to work. Multihoming - solved. An arbitrary number of addresses/prefixes on every host interface plus router advertisements will just do the right thing.
So like the OP I took it as a given that this setup should "just work".
But then again at some point in time host to host IPsec was mandatory for any compliant IPv6 implementation, too ...
Yes, I tread that path, but there's a slight problem in the RFCs.
IIRC routing works like this:
- client has destination ip
- client selects gateway for that ip
- there is more than one gateway with default route
- those gateways are identified by link-local addresses
- selection is pretty much random, since all are default and same metric and so on
- client selects a source address for that gateway
- this source address selection is not guaranteed to be the right one, since routing information is not bound to addresses
- client sends packet to the gateway with the selected source ip
- gateway forwards packet, if rules allow it
- if the source address was the right one for the gateway, the same gateway receives the return packet and everything is fine
- if the source address was the one for the other gateway's network, then the other gateway receives the return packet and drops it
Worse, even if that scheme worked (which it does if the gateways in question are stateless, which firewalls are not), the routing decision is left to the client, which can not always know if the chosen gateway is right now capable of forwarding packets to the destination. This decision should be left to the gateways themselves, which necessitates the CARP solution.
But even then, you need a static ipv6 network you can configure on both firewalls, which is probably not possible using the fritzbox.
There is no good solution for this, I'm afraid. The google keyword is "ipv6 small site multihoming". There is also a candidate RFC for all the ways in which it doesn't work.
#99
German - Deutsch / Re: Absicherung von WAN interf...
Last post by Patrick M. Hausen - January 05, 2026, 02:53:01 PMDein WAN Interface ist bereits "abgesichert". Per Default sind alle eingehenden Anfragen blockiert. Wenn du keine Regel auf WAN oder Floating eingerichtet hast, die irgend etwas erlaubt, dann brauchst du nichts weiter zu tun.
Wer auch immer dieser Herr Leibling ist, er schreibt vollkommenen Quatsch.
Nicht einmal eine Fritzbox, ein Asus- oder TP-Link- oder sonstiges Consumer-Gerät erlaubt ab Werk irgend etwas eingehend.
Wer auch immer dieser Herr Leibling ist, er schreibt vollkommenen Quatsch.
Nicht einmal eine Fritzbox, ein Asus- oder TP-Link- oder sonstiges Consumer-Gerät erlaubt ab Werk irgend etwas eingehend.
#100
German - Deutsch / Absicherung von WAN interface?
Last post by name89214 - January 05, 2026, 02:44:23 PMHallo zusammen,
frohes neues Jahr und schon mal vorab vielen Dank für den support! Wirklich klasse.
Ich habe kürzlich 25.7 neu installiert. Ich habe ein grundlegendes Verständnis, bin jedoch kein Experte. Ich möchte mich tiefer in IPv6 einarbeiten.
Mein Setup:
Die Internetverbindung habe ich mit der offiziellen Doku hergestellt: https://docs.opnsense.org/manual/how-tos/pppoe_isp_setup.html
Meine Frage: Wie muss ich nun mein WAN interface absichern?
Ich möchte vermeiden, dass mein Modem, mein OPNsense und meine clients public erreichbar sind. Es soll zunächst mal alles geblockt sein. Hier geht es mir um die grundlegende Absicherung nach außen. Als zweiten Schritt würde ich dann VPN wie wireguard einrichten.
Grund meiner Frage ist dieser Artikel: link
Genauer gesagt dieser Abschnitt hier, Zitat: "Erstellen sie unbedingt als erstes eine Regel auf dem WAN Interface, die den IPv6 Verkehr eingehend blockt - da bei IPv6 kein NAT angewendet wird, wäre sonst jedes System aus dem Interner erreichbar welches IPv6 aktiviert hat und keine lokale Firewall aktiv hat!"
Neben diesem Forum und der offiziellen Doku nutze ich diese Video zur Orientierung bei der Einrichtung: https://www.youtube.com/watch?v=fPP4UE6IuRc
Gibt es einen Guide, der grundlegende Einstellungen bei Verwendung eines Modems von Draytek und OPNsense abdeckt? Idealerweise mit Fokus auf IPv6, was es generell im Vergleich zu IPv6 zu beachten gibt und speziell in Sachen Absicherung des Netzwerks nach außen?
Besten Dank für euren Support! :)
frohes neues Jahr und schon mal vorab vielen Dank für den support! Wirklich klasse.
Ich habe kürzlich 25.7 neu installiert. Ich habe ein grundlegendes Verständnis, bin jedoch kein Experte. Ich möchte mich tiefer in IPv6 einarbeiten.
Mein Setup:
- Modem: Draytek Vigor 167
- OPNsense: dedizierter Mini PC mit Intel 4x 1 GB Netzwerkkarte für 1x WAN und 3 andere VLANS. Realtek für LAN.
- ISP: Telekom VDSL in Deutschland
- VLANs wie USER, GUEST und IOT zur Separierung.
- Wechsel von ISC auf dnsmasq, router advertisment ist der default (nicht dnsmasq) auf assisted
Die Internetverbindung habe ich mit der offiziellen Doku hergestellt: https://docs.opnsense.org/manual/how-tos/pppoe_isp_setup.html
Meine Frage: Wie muss ich nun mein WAN interface absichern?
Ich möchte vermeiden, dass mein Modem, mein OPNsense und meine clients public erreichbar sind. Es soll zunächst mal alles geblockt sein. Hier geht es mir um die grundlegende Absicherung nach außen. Als zweiten Schritt würde ich dann VPN wie wireguard einrichten.
Grund meiner Frage ist dieser Artikel: link
Genauer gesagt dieser Abschnitt hier, Zitat: "Erstellen sie unbedingt als erstes eine Regel auf dem WAN Interface, die den IPv6 Verkehr eingehend blockt - da bei IPv6 kein NAT angewendet wird, wäre sonst jedes System aus dem Interner erreichbar welches IPv6 aktiviert hat und keine lokale Firewall aktiv hat!"
Neben diesem Forum und der offiziellen Doku nutze ich diese Video zur Orientierung bei der Einrichtung: https://www.youtube.com/watch?v=fPP4UE6IuRc
Gibt es einen Guide, der grundlegende Einstellungen bei Verwendung eines Modems von Draytek und OPNsense abdeckt? Idealerweise mit Fokus auf IPv6, was es generell im Vergleich zu IPv6 zu beachten gibt und speziell in Sachen Absicherung des Netzwerks nach außen?
Besten Dank für euren Support! :)
