Zunächst mal würde ich die Vernetzung der Geräte untereinander mit einem Switch realisieren und nicht per OPNSense
Zu 2: Wenn die OPNsense eine IP vom DG Router bekommt, muss die doch ins Internet können?! Kannst Du den Router denn vom WAN Interface aus anpingen?Nutzt Du NAT oder Routing auf der OPNsense? Beim Routing musst Du eine Rückroute für das OPNsense Client Subnetz auf dem DG Router einrichten, da der sonst nix mit den OPNsense LAN Adressen anzufangen weiß. Wenn Du NAT nutzt, solltest Du den Grund in den Firewalllogs sehen warum die nicht raus kommen.
OPNsense v18 | HW: Gigabyte Z370N-WIFI, i3-8100, 8GB RAM, 60GB SSD, | Controllers: 82575GB-quad, 82574, I221, I219-V | PPPoE: RDS Romania | Down: 980Mbit/s | Up: 500Mbit/s
Guten Abend!Habe (für mich!) sensationelle Neuigkeiten.Es löpt wie man hier bei uns so schön sagt! Kann volle Bandbreite mit OPNsense nutzen. Hoch und runter Und das für nur 39€(!). Ich war ja die letzten zwei Tage nach der Suche nach einer passenden Netzwerkkarte... Dabei bin ja auf die Intel PRO/1000 PT Quad Port gestoßen. Und dann habe ich noch gesehen, das der Laden der die verkauft nur 5km weg ist von meinem Büro!Also Angerufen, gefragt ob Abholung geht und voila. Es geht.Bin dann hingefahren und hatte die Karte schon in der Hand (für sensationelle 16€! Für 4x Gigabit auf einer x4 pcie Karte) da fiel mir mehrere Stapel an alter Serverhardware auf. Tausende Systeme. Von 10€ bis mehrere tausend. Ich habe denen dann erzählt was ich vor habe und ob die nicht passende Hardware für mich hätten.Nach ner Stunde habe ich mich für die Mitte entschieden: 39€. https://www.piospartslap.de/19-Supermicro-CSE-811T300B-1U-Xeon-X3220-QC-24-GHZ-8-GB-RAM-2-x-35-HD+ die Lankarte 16€ (die ich garnicht mehr brauch da der Rack schon 2x Gigabit hat), + noch ein Laufwerkeinschub 10€ (damit es nicht so leer aussieht. Ist nur eins dabei) + super Service = 65€ Das Ding ist zwar sau laut (alter Bladeserver halt), aber läuft wie am schnürchen. Die Installation war nur etwas schwierig. Der bootet von USB nur von Sticks die FAT formatiert sind. USB CD-ROM hat auch nur Probleme gemacht. Schlussendlich temporär ein DVD-Laufwerk per SATA angeschlossen. OPNsense vorher auf DVD gebrannt, und dann auf dem Ding installiert. Also: Will einer auch so ein Ding als Router nutzen, für Installation am besten ein internes Laufwerk nutzen.Ein Problem habe ich noch. Geht sich um IPv6. In meiner Testumgebung (im Büro) habe ich ISP bedingt (Telekom) standardmäßig nur IPv4. Daher nie Probleme mit OPNsense + Pihole (zwei verschiedene Geräte) gehabt. Zuhause jedoch schon: Hier habe ich IPv4 und IPv6. Und aus diesem Grund habe ich die Pi-hole den DHCP spielen lassen weil dieser zuverlässig die IPv4 und IPv6 für die Gerätschaften verteilt hat, inkl der richtigen DNS Einstellungen (Pi-hole selbst). OPNsense jedoch vergibt überhaupt keine IPv6 Adressen (oder zumindest unterscheiden die sich völlig von denen die die Pi-Hole und der Glasfaser Router vergibt (bzw vergeben würden)). Nur IPv4. Somit haben meine Gerätschaften nur ein komplettes Set IPv4 inkl DHCP und DNS Server. Und IPv6 ist so gut wie leer (fe80:.... weiß nicht mehr genau aus dem Kopf. Kann morgen Abend genauere Infos geben). Auch die IPv6 Adresse des Pi-holes fehlt als DNS Server. Dementsprechend dauert der Seitenaufbau entweder richtig langsam, oder richtig schnell (und dann mit maßig Werbung da anscheinend die OPNsense direkt am Router den Namen auflöst). Am liebsten würde ich IPv6 intern komplett behalten (um ggf. Kompatibilitätsprobleme mit der Deutschen Glasfaser zu vermeiden). Aber eigentlich sehe ich da keinen Grund. Da ich:1) keine Dienste nach außen anbieten möchte.2) Ich nicht so viele Gerätschaften intern habe das ich den privaten Adressraum ausmerzen könnte... 3) und "das Internet wie gehabt funktioniert" selbst wenn ich unter Debian oder meinem Windows im Netzwerkadapter das IPv6-Protokoll deaktiviere. Also liege ich doch richtig das ich es doch komplett abschalten könnte oder nicht? Die WAN-Schnittstelle kann gerne seine IPv6 behalten (bezieht der ja eh per DHCP vom Deutschen Glasfaser Router). Gibt es auf der "LAN Seite" ein "Masterschalter" der komplett IPv6 abschaltet (wie bei der Fritzbox?).Sry für den schlecht geschriebenen Roman! Und danke nochmal für den ganzen Support!.Edit: Was mir auch noch aufgefallen ist. Was ich ehrlich gesagt nicht verstehe und bis jetzt noch nicht geschafft habe es zu unterbinden:Wenn ich z.B folgendes Szenario baue: DG Router Lan Port ----> WAN Port Fritzbox ---> Lan Port Fritzbox ---> Lan Port Geräte(Fritzbox kann auch mit Speedport, Nighthawk oder TP-Link ersetzt werden) Dann haben alle Geräte hinter der Fritzbox (oder die zwei anderen Router) kein Zugriff auf den Router der DG oder alle anderen Gerätschaften am DG Router.Habe ich jedoch folgendes Szenario (eigentlich das selbe):DG Router Lan Port ----> WAN Port OPNsense ---> Lan Port OPNsense ---> Lan Port Gerätehaben alle Geräte hinter dem Lan Port Zugriff auf den DG Router oder andere Netzwerkgeräte (z.b per Wlan angebundene) am DG Router (die in ner anderen IP Range sind). Warum? Habe auch die zwei "Block privat...[]" o.ä Häkchen gesetzt.
Wenn du bei der OPNsense IPv6 komplett abschalten möchtest, brauchst du bei dem LAN Interface doch nur bei IPv6 Konfiguration "Keines" auswählen. Unter "Firewall" => "Einstellungen" => "Erweitert" kannst bei "Erlaube IPv6" den haken wegnehmen, dann geht kein IPv6 mehr durch. Ist bei DG aber so eine schlechte Idee. Denn du klammerst IPv6 so schon aus, obwohl du irgendwann umstellen müssen wirst.
> Ja bzgl AES usw hast du ggf recht. Aber brauch ich auch nicht. Per OpenVPN usw wird nicht gespielt. *seufz* Bitte nochmal genau nachlesen und auf die Ersatzbank bis man verstanden hat, was AES-NI kann, tatsächlich leisten kann / heute schon leistet und aus dem Kopf das stumpfe "AES-NI ist irgendwas mit VPN schneller machen" dringend streichen.Danke