Probleme mit Alexa / FireTV in VLANs hinter OPNsense 25.7 – IPv4/IPv6

pikass · January 26, 2026, 04:02:49 PM

Hey, ich bin Dennis und sehr neu im Bereich OPNSense.
Ich teste nun schon seit Tagen rum und komme einfach nicht weiter. Ich denke ich habe mich auch irgendwo verlaufen.
Daher hier mein Netzwerkplan und im Anschluss meine Situation / Fragen.
Ich hoffe es ist alles verständlich und vor allem, das mir hier bitte jemand helfen kann.

WAN / Internet
:
: DialUp-/PPPoE-/Cable-/whatever-Provider
:
.-----+-----.
| FRITZ!Box | (Gateway / Modem / IPv4+IPv6)
'-----+-----'
|
WAN | IPv4+IPv6
|
.-----+------.
| OPNsense |
'-----+------'
|
LAN | Trunk-Port (VLANs)
|
.-----+------.
| LAN-Switch | (VLAN-aware)
'-----+------'
|
...---------+---------...
| |
VLAN10-30 VLAN40_guest / IoT
10.0."vlanID".0/24 10.10.40.0/24
DHCPv4 DHCPv4
IPv6 nein IPv6 ULA fd10:10:40::/64
Devices: Alexa, FireTV, Matter

Software: OPNsense 25.7.11_2-amd64 als VM auf proxmox (ja ich weiß, die Firewall muss auf extra Hardware, das hier ist erstmal ein Testaufbau)
In Promox
vmbr0 -> OPNSense WAN (bekommt IP per DHCP von Fritzbox)
vmbr1 -> OPNSense LAN (vlan aware, alle VLAN IDs die ich habe)

Ab hier wurde nochmal der Text angepasst:

Was habe ich gemacht?

Fritzbox 6670 Cable:
Der ISP (Vodafone Cable)stellt DSL Lite mit IPV zur Verfügung /64
Fritzbox IP 10.10.99.1
DHCP IPv4 10.10.99.2 - 5
IPv6
RA aktiviert
Haken bei
Unique Local Addresses (ULAs) zuweisen
Auch IPv6-Präfixe zulassen, die andere IPv6-Router im Heimnetz bekanntgeben
Diese FRITZ!Box stellt den Standard-Internetzugang zur Verfügung

In OPNSense
WAN Schnittstelle:
IPv4 und IPv6 DHCP (Präfixdelegationsgröße 64)
vlan10-40 angelegt und zugewiesen
alle haben DHCP IPv4 mit Gateway und DNS IP des eignen VLAN (z.B. 10.10.10.1)
Kein vlan hat IPv6 (matter sollte ja über die lokale IPv6 funktionieren, tut es glaub ich auch komplett)
Daher ist auch kein RA verfügbar, brauche ich scheinbar für mein Wunschsetup auch nicht (glaube ich)

Firewall:
Schnittstelle WAN habe ich nicht angefasst

Schnittstelle LAN Regel
Schnittstelle - LAN
Richtng - IN
Protokoll - any
Quelle - LAN Network
Ziel - beliebig
Zielport - beliebig

vlan10-40 hat die Regeln
IPv4 / IPv6
Schnittstelle - vlanxx
Richtng - IN
Protokoll - any
Quelle - beliebig
Ziel - beliebig
Zielport - beliebig

Alles andere sind die Default Regeln die OPNSense selbst anlegt.

Shaper (habe ich erstellt, weil es ruckler bei der gleichzeitigen Wiedergabe von Amazon Stream und Youtube auf dem Handy gab)
Pipes
Down 100MBit und Up 50 Mbit (ist ca. 90% von dem was an der Fritzbox ankommt)

Queues
Down und Up

Regeln
Down und Up

Unbound-DNS:
aktiviert
Port 53
Netzwerkschnittstellen - alle
DNSSEC aktiviert
ISC DHCP4-Leases registrieren aktiviert
Statische DHCP Zuweisungen registrieren aktiviert
Ausgehende Netzwerkschnittstellen - alle

Erweitert:
Haken bei
Identität verbergen

Version verbergen

DNS-Schlüsselabruf im Voraus

DNSSEC-Daten absichern

Strikte QNAME-Minimierung

Blocklisten:
Hagezi Pro++ (ist im Moment deaktiviert, um das als Fehlerquelle auszuschließen)

Ziel (erstmal):
Alle VLAN Teilnehmer untereinander haben eine Verbindung
Matter funktioniert innerhalb vlan40
Unbound DNS filtert mir viel an Werbgung und anderen Mist weg. Ggf. sollten hier auch mehr oder andere Listen kommen
Alexa Echo Gen4 und FireTVCube sind uneingeschränkt in inhrer Wiedergabe von Inhalten

Ziel langfristig:
vlan40 WLAN_guest (IoT und Gäste) Isolieren vom Rest, untereinander Matter möglich, aber am liebsten soll da keiner mit dem anderen reden können oder zumindest nicht aus dem vlan40 ausbrechen
vlan10 mgmt (OPNSense, Switch, PVE, PDU)
vlan20 LAN (Alles was ein LAN Kabel hat und nicht mgmt oder nicht IoT ist)
vlan30 WLAN_priv für alle vertrauenswürdigen Teilnehmer die hier immer Leben
Wireguard Tunnel für ca. 3 Endgeräte als Split Tunnel auf diverse Anwedungen
Nach und Nach in den anderen VLANs das freigeben was sie wirkich brauchen und kein any any mehr
Stabiles und schnelles Internet für alle Teilnehmer die ins Internet dürfen

Test mit vlan40 DHCP IPv4 Settings:
DNS - 8.8.8.8
Neu start der Alexa Geräte - scheint zu funktionieren.

DNS auf 10.10.40.1 (vlan40 IP) - Geht nicht mehr

Problem:
Alexa macht absolut nicht das was ich erwarte wenn ich die VLAN IP als DNS eingebe.
Das verstehe ich nicht, mit 8.8.8.8 fragt sie direkt das Internet (google), mit 10.10.40.1 ist sie tod.
Also DNS Fehler irgendwo oder?
Wenn ich sage spiel 90s90s kommt erst es soll abgespielt werden, direkt danach hat sie einen Fehler und kann es nicht wiedergeben. Manchmal reagiert sie auch einfach gar nicht auf Befehle.
90s90s Radio ist nur ein Beispiel. Radiosende wie SWR1 funktionieren komischerweise, auch Teile aus der Amazonbilbiothek wie "Was ist was Junior" oder andere Musik spielt sie ab.
+
FireTv Cube hat manchmal Probleme bei der Wiedergabe von Inhalten aus prime Video. Erst kommt Fehlercode DEFAULT -> OK -> Fehlercode 1061 -> 3x OK -> Wiedergabe startet.
Das ist allerdings nicht weiter aufgetreten, seitdem ich IPv6 in vlan40 gar nicht konfiguriert habe und auch kein RA mehr habe.

Bleibt also eigentlich erstmal nur das "Alexa spiel 90s90s" Problem.

Ich bin mir jetzt schon fast sicher, dass es vielleicht an fehlenden Regeln liegt oder irgendwo ein falscher Haken gesetzt ist. Ich kann mir nicht vorstellen, dass Alexa Geräte hinter OPNSense so Probleme machen, außer man konfiguriert was falsch.
Wenn ihr irgendwas benötigt, LogFiles, Screenshots etc. dann bitte genau sagen woher oder von was. Das sollte dann kein Problem sein.

Vielen Dank fürs lesen und danke für die Hilfe.

danielhainich · January 26, 2026, 08:44:13 PM

Hi,

wie sollen denn die Geräte ohne DNS ins Internet kommen? Irgendwer muss die Namensauflösung machen. Und wenn Du den Unbound deaktivierst, machts vermutlich keiner mehr... Also ohne DNS kein Internet.
Was willst Du mit den Blocklisten erreichen?

Probleme mit Alexa / FireTV in VLANs hinter OPNsense 25.7 – IPv4/IPv6

pikass

January 26, 2026, 04:02:49 PM Last Edit: January 27, 2026, 07:06:55 AM by pikass

danielhainich

January 26, 2026, 08:44:13 PM #1