Probleme mit Alexa / FireTV in VLANs hinter OPNsense 25.7 – IPv4/IPv6

[pikass]

Hey, ich bin Dennis und sehr neu im Bereich OPNSense.
Ich teste nun schon seit Tagen rum und komme einfach nicht weiter. Ich denke ich habe mich auch irgendwo verlaufen.
Daher hier mein Netzwerkplan und im Anschluss meine Situation / Fragen.
Ich hoffe es ist alles verständlich und vor allem, das mir hier bitte jemand helfen kann.



            WAN / Internet
                 :
                 : DialUp-/PPPoE-/Cable-/whatever-Provider
                 :
           .-----+-----.
           |  FRITZ!Box |  (Gateway / Modem / IPv4+IPv6)
           '-----+-----'
                 |
             WAN | IPv4+IPv6
                 |
           .-----+------.   
           |  OPNsense  | 
           '-----+------'
                 |
             LAN | Trunk-Port (VLANs)
                 |
           .-----+------.
           | LAN-Switch |  (VLAN-aware)
           '-----+------'
                 |
     ...---------+---------...
     |                     |
 VLAN10-30              VLAN40_guest / IoT
 10.0."vlanID".0/24      10.10.40.0/24
 DHCPv4                  DHCPv4
 IPv6 nein               IPv6 ULA fd10:10:40::/64
                         Devices: Alexa, FireTV, Matter

Software: OPNsense 25.7.11_2-amd64 als VM auf proxmox (ja ich weiß, die Firewall muss auf extra Hardware, das hier ist erstmal ein Testaufbau)
In Promox
vmbr0 -> OPNSense WAN (bekommt IP per DHCP von Fritzbox)
vmbr1 -> OPNSense LAN (vlan aware, alle VLAN IDs die ich habe)

Ich hatte es schonmal soweit, das fast alle lief außer Unbound DNS. Dann fing das totale Chaos an :-).


Problem:

Alexa-Geräte reagieren oft nicht auf Sprachbefehle oder starten Streams wie Radiosender (z. B. 90s90s Radio) nicht.

FireTV Cube zeigt beim ersten Klick auf Medien oft einen ,,default"-Fehler, beim zweiten Mal geht es manchmal.

Ohne Unbound DNS aktiv besteht bei Clients in allen VLANs kein Internet, obwohl DHCP korrekt läuft.

Bisherige Konfiguration / Versuche:
Fritzbox DHCP für WAN Interface
OPNSense VLAN10,20,30,40 (30 und 40 sind WLANs)
In jedem VLAN aktuell

IPv4 any → any als Regel. (Testaufbau um erstmal alles auf "Durchzug" zu haben)

Zusätzlich in VLAN40: IPv6 any → any Regel. (Testaufbau um erstmal alles auf "Durchzug" zu haben)

Damit funktionierte mal fast alles.

Alle VLANs waren durchgängig (zum testen erstmal)
Ich konnte mit allen Geräten ins Internet
Matter zu HomeAssistant VM in proxmox (auch VLAN40) von AlexaGeräten lief
RA IPv6 für VLAN40 aktiv, IPv6 nur für Matter / Alexa gedacht. Sonst bräuchte ich das nicht wirklich.


Dann habe ich Unbound DNS aktiviert, Blocklisten: Hagezi Pro++ (Blockliste inzwischen deaktiviert).
Blocklisten / DNS-Filter teilweise getestet, aber das Problem besteht unabhängig davon.

Bis ich Videos auf prime gucken wollte bzw. Radio sunshine live oder 90s90s hören wollte.

Seitdem funktioniert gefühlt gar nichts mehr. Wenn ich Unbound DNS ausmache, von allen VLANs aus Internet tod.
Mache ich es wieder an, geht das wieder. Teilweise gehen auch Alexa Funktionen, aber meistens sagt sie mir sie kann das gerade nicht oder reagiert erst gar nicht mehr.

Mein Ziel:

Alexa-Geräte sollen zuverlässig auf Sprache reagieren und Radios / Medien abspielen können.

FireTV Cube soll Streams beim ersten Versuch starten.

Blocklisten sollen aktiv bleiben, wenn möglich, ohne dauernd Whitelist-Pflege.

IPv6 soll für Matter / Alexa verfügbar sein, aber stabil.

Unbound DNS soll weiterhin als zentraler DNS mit Blocklisten laufen, IPv4/IPv6 Clients sollen Internetzugang behalten.

Fragen / gesuchte Hilfe:

Wie kann ich OPNsense korrekt so konfigurieren, dass Alexa & FireTV zuverlässig TCP/UDP (DNS, HTTPS) durchbekommen, ohne die Blocklisten aufzugeben?

Gibt es ein etabliertes Setup, bei dem IPv6 für Matter / IoT funktioniert, IPv4 für Internet, und Unbound + Blocklisten aktiv bleiben?

Gibt es Tipps für ein Blocklisten-Setup, das Alexa & FireTV nicht ständig bricht, aber hohe Blockrate liefert?

Danke für Hinweise, Erfahrungswerte oder Beispiel-Setups.

[danielhainich]

Hi,

wie sollen denn die Geräte ohne DNS ins Internet kommen? Irgendwer muss die Namensauflösung machen. Und wenn Du den Unbound deaktivierst, machts vermutlich keiner mehr... Also ohne DNS kein Internet.
Was willst Du mit den Blocklisten erreichen?