[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
DNS Einstellungen NACH dem Update auf 23.7 kontrollieren, s.o.

Und nochmal checken dass Du keinen Denkfehler hast: entweder unbound oder AGH muss auf 53 lauschen. Bei unbound muss also auch 1x 53 als "listening port" stehen.

Kann die Opnsense DNS auflösen und können das Deine Clients?

Können die clients einen Ping machen auf extern (ich verstehe nein)?
Beitrag automatisch zusammengeführt:

Sicher? Ich meine mal gelesen zu haben das es u.a. das Boot Environment zurück setzt. Und das gibt's unter UFS nicht?

Oder bin ich auf dem Holzweg?
Denke ja. Opnsense-revert kann sowohl das ganze System als auch einzelne Pakete auf einen früheren stand setzen: https://docs.opnsense.org/manual/opnsense_tools.html

Das ist "normales" package management. Mit ZFS Rollback / Boot environments hat das nichts zu tun.
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
DNS Einstellungen NACH dem Update auf 23.7 kontrollieren, s.o.

Und nochmal checken dass Du keinen Denkfehler hast: entweder unbound oder AGH muss auf 53 lauschen. Bei unbound muss also auch 1x 53 als "listening port" stehen.

Kann die Opnsense DNS auflösen und können das Deine Clients?

Können die clients einen Ping machen auf extern (ich verstehe nein)?
Beitrag automatisch zusammengeführt:


Denke ja. Opnsense-revert kann sowohl das ganze System als auch einzelne Pakete auf einen früheren stand setzen: https://docs.opnsense.org/manual/opnsense_tools.html

Das ist "normales" package management. Mit ZFS Rollback / Boot environments hat das nichts zu tun.
Ping (z.B. an 9.9.9.9) vom Notebook raus funktioniert.

Wie/wo sehe ich denn, wie ich Adguard damals konfiguriert (Port) habe?!

Bei Unbound steht bei Port 5335 und bei Adguard verweise ich überall auf diesen Port + IP von opnsense/unbound.
 
Ping (z.B. an 9.9.9.9) vom Notebook raus funktioniert.
OK - dann geht dein Internet und nur dein DNS nicht.

Wie/wo sehe ich denn, wie ich Adguard damals konfiguriert (Port) habe?!
Adguard web interface (bei mir :3443) und dann Menü "Setup Guide" müsste es Dir zeigen.

Ansonsten die /usr/local/AdGuardHome/AdGuardHome.yaml anschauen.

Bei Unbound steht bei Port 5335 und bei Adguard verweise ich überall auf diesen Port + IP von opnsense/unbound.
Dann muss Adguard bei Dir auf Port 53 lauschen. Sonst geht nix. Dann müsstest Du aber auch den 2. Haken bei Adguard gesetzt haben.

Also irgendwo hast Du da einen (Denk?)Fehler drin.

Als Notlösung kannst Du auch erstmal Adguard stoppen und unbound auf 53 lauschen lassen und schauen ob es dann geht. Und vielleicht auf erstmal die firewall Regel für die DNS Umleitung ausmachen.
 
OK - dann geht dein Internet und nur dein DNS nicht.


Adguard web interface (bei mir :3443) und dann Menü "Setup Guide" müsste es Dir zeigen.

Ansonsten die /usr/local/AdGuardHome/AdGuardHome.yaml anschauen.


Dann muss Adguard bei Dir auf Port 53 lauschen. Sonst geht nix. Dann müsstest Du aber auch den 2. Haken bei Adguard gesetzt haben.

Also irgendwo hast Du da einen (Denk?)Fehler drin.

Als Notlösung kannst Du auch erstmal Adguard stoppen und unbound auf 53 lauschen lassen und schauen ob es dann geht. Und vielleicht auf erstmal die firewall Regel für die DNS Umleitung ausmachen.
Keine Ahnung - egal was ich versuche - es hilft nicht?!

AGH SetupGuide - zeigt mir leider krinen Port an.

AGH deaktiviert, Unbound auf 53, Regel deaktiviert, reboot - auch kein Internetzugriff?!
 
Sind es DHCP clients? Wenn ja, was kriegen sie als DNS zugewiesen?

Hast du einen Windows Client ?
Wenn ja, einfach mal nslookup starten. Welchen DNS zeigt er an und löst der z.B. idealo.de auf? Wenn nicht mit welcher Fehlermeldung?

DNS Einstellungen NACH dem Update auf 23.7 kontrollieren, s.o.

Und nochmal checken dass Du keinen Denkfehler hast: entweder unbound oder AGH muss auf 53 lauschen. Bei unbound muss also auch 1x 53 als "listening port" stehen.

Kann die Opnsense DNS auflösen und können das Deine Clients?

Können die clients einen Ping machen auf extern (ich verstehe nein)?
Beitrag automatisch zusammengeführt:


Denke ja. Opnsense-revert kann sowohl das ganze System als auch einzelne Pakete auf einen früheren stand setzen: https://docs.opnsense.org/manual/opnsense_tools.html

Das ist "normales" package management. Mit ZFS Rollback / Boot environments hat das nichts zu tun.
Wieder was gelernt, danke dir
 
Sind es DHCP clients? Wenn ja, was kriegen sie als DNS zugewiesen?

Hast du einen Windows Client ?
Wenn ja, einfach mal nslookup starten. Welchen DNS zeigt er an und löst der z.B. idealo.de auf? Wenn nicht mit welcher Fehlermeldung?


Wieder was gelernt, danke dir
Ja, Win-Clients mit DHCP.

IPv6 habe ich eigentlich deaktiviert?!


nslookup funktioniert nicht.
 

Anhänge

  • image.jpg
    image.jpg
    1,8 MB · Aufrufe: 87
  • image.jpg
    image.jpg
    1,7 MB · Aufrufe: 85
Wie andrer250282 schon sagt, schauen welchen DNS Server Du im DHCP zuweist. Da muss neuerdings explizit ein Server angegeben werden (war jedenfalls eine Zeitlang so).

Testen, ob Du auf einem Linux/BSD Client. mit "dig @8.8.8.8 www.heise.de" oder auf einem Windows Client mit "nslookup www.ft.com 9.9.9.9" DNS Anfragen an diese Server machen kannst.

Dein Problem ist nicht "kein Internet" sondern nur "kein DNS".

Edit: Deine Screenshots zeigen das Problem, nämlich dass Dein DHCP keine (IPv4) DNS Server mitteilt.

Da musst Du Deinen DNS Server eintragen:

Services - DHCPv4 - [LAN] - DNS server, zB so:

Screenshot_2023-08-06-23-13-26-40_3aea4af51f236e4932235fdada7d1643.jpg

Und bei unbound bitte "enabled", "listen port: 53" und "listening interfaces: all" einstellen.

Und checken, dass unbound entweder als resolver läuft oder du ihm mehrere DNS upstream Server genannt hast.

Daher auch Testen, ob die Opnsense selbst DNS Anfragen machen kann:
Interfaces - Diagnostics - DNS lookup
 
Zuletzt bearbeitet:
Werde ich mir morgen ansehen; muss um 5 Uhr auf; Freundin muss halt morgen statt HO auch in die Arbeit …

Danke vorerst!
 
J4125 würde ich nicht mehr kaufen. Wenn China-Box, dann mit N100.

Früher nutze ich einen qotom q355g4 (i5 5250u). Den könntest Du abkaufen ;-)

Jetzt habe einen Lenovo m720q mit 9400T, PCIe riser und i350 NIC. Auch bestimmte HP thinclient oder Dell Wyse Extended lassen sich prima mit einer NIC erweitern.
Ich habe jetzt mal ein wenig recherchiert und einen m920q mit i3-9100T und eine 4port i350 bestellt. Je nachdem, ob ich einen günstigen riser finde, bin ich damit zumidest nicht viel teurer als die China Box. Guter Tipp :) Muss nur noch eine Blende für die NIC drucken... Dafür geb ich keine 20€
 
Läuft unbound überhaupt?
Ich hatte nach dem Update da Problem, dass der Service nicht starten konnte, wegen Fehler in ner PHP:
Lt. Anzeige, ja.
Beitrag automatisch zusammengeführt:

Wie andrer250282 schon sagt, schauen welchen DNS Server Du im DHCP zuweist. Da muss neuerdings explizit ein Server angegeben werden (war jedenfalls eine Zeitlang so).

Testen, ob Du auf einem Linux/BSD Client. mit "dig @8.8.8.8 www.heise.de" oder auf einem Windows Client mit "nslookup www.ft.com 9.9.9.9" DNS Anfragen an diese Server machen kannst.

Dein Problem ist nicht "kein Internet" sondern nur "kein DNS".

Edit: Deine Screenshots zeigen das Problem, nämlich dass Dein DHCP keine (IPv4) DNS Server mitteilt.

Da musst Du Deinen DNS Server eintragen:

Services - DHCPv4 - [LAN] - DNS server, zB so:

Anhang anzeigen 909183

Und bei unbound bitte "enabled", "listen port: 53" und "listening interfaces: all" einstellen.

Und checken, dass unbound entweder als resolver läuft oder du ihm mehrere DNS upstream Server genannt hast.

Daher auch Testen, ob die Opnsense selbst DNS Anfragen machen kann:
Interfaces - Diagnostics - DNS lookup

Werde es am Abend mal probieren.

Habe gerade etwas im Inet gesucht - irgendwie habe ich das nirgends gefunden, dass man den DNS-Server jetzt plötzlich beim "Services/DHCPV4/Lan" eintragen muss.

LG
 
Zuletzt bearbeitet:

Schlau werde ich daraus nicht - mal sehen.
Verstehe halt da mehrere Dinge nicht!


Warum wird das nicht von A-Z ordentlich im „Handbuch“ beschrieben?!
Warum werden die „wo muss was für DNS eingetragen werden“ Dinge alle paar Update geändert und nirgends ordentlich beschrieben!?


Jänner 2022-Mai 2023 lief die OPNSense wirklich ohne Probleme.
Seit den Updates im Mai gibt’s nur Baustellen …
 
Wie andrer250282 schon sagt, schauen welchen DNS Server Du im DHCP zuweist. Da muss neuerdings explizit ein Server angegeben werden (war jedenfalls eine Zeitlang so).

Testen, ob Du auf einem Linux/BSD Client. mit "dig @8.8.8.8 www.heise.de" oder auf einem Windows Client mit "nslookup www.ft.com 9.9.9.9" DNS Anfragen an diese Server machen kannst.

Dein Problem ist nicht "kein Internet" sondern nur "kein DNS".

Edit: Deine Screenshots zeigen das Problem, nämlich dass Dein DHCP keine (IPv4) DNS Server mitteilt.

Da musst Du Deinen DNS Server eintragen:

Services - DHCPv4 - [LAN] - DNS server, zB so:

Anhang anzeigen 909183

Und bei unbound bitte "enabled", "listen port: 53" und "listening interfaces: all" einstellen.

Und checken, dass unbound entweder als resolver läuft oder du ihm mehrere DNS upstream Server genannt hast.

Daher auch Testen, ob die Opnsense selbst DNS Anfragen machen kann:
Interfaces - Diagnostics - DNS lookup

Hallo!

So, zu Hause.

Dienste/AGH/Haken bei "primary dns" gesetzt
unbound läuft bei mir auf 5335 - dieser Port ist also auch bei Dienste/Unbound DNS gesetzt
in ADH wird dann überall auf 192.168.1.1:5335 verwiesen

Dann habe ich die von dir erwähnte Einstellung "DNS Server bei Dienste/DHCPv4" durchgeführt - also 192.168.1.1.
So hat dann mein "normales" Heimnetz (VLAN1) gleich wieder Zugang zum Internet bekommen.


Da es mich interessiert hat, habe ich den DNS-Server dort wieder entfernt und dann einfach bei System/Einstellungen/Allgemein/DNS-Server eingetragen - funktioniert auch.

Sollte ja dann auch nicht falsch sein, oder spricht etwas gegen diese letzte Variante!?


Vielen Dank für deine Hilfe!



Muss jetzt noch schnell testen, ob das Gast/Home-Office VLAN auch wieder läuft - dann bin ich wieder beruhigt!

;-)
 
Wie sieht es denn mit dem Stromverbrauch aus, wenn man OPNSense via Proxmox virtualisieren würde!?

LG
Beitrag automatisch zusammengeführt:

Hm, irgendwas dürfte trotzdem nicht so ganz sauber laufen!

Habe gerade mehrere Speedtests gemacht - puh...


Habe beim Kabelanbieter theoretisch 200/20Mbit.

Bisher hatte ich bei den Speedtests immer so um die 220/22Mbit.

Tja, jetzt habe ich Download maximal 100 und Upload erreicht knapp 10Mbit und bricht dann meist auf 1 Mbit ein!?


Hat jemand eine Idee woran das liegen kann?


PS:
OPNSense + Kabelmodem habe ich schon 2x aus/ein - hat nichts gebracht.
 
Zuletzt bearbeitet:
Speed: Liegt normalerweise am Kabel, nicht an der firewall.

ProxMox: Angeblich kann man 1-3W sparen, wenn man ProxMox als Basis nimmt und OPNsense virtualisiert (weil Linux ggfs. aggressiver Strom spart als BSD / bessere Treiber hat). YMMV.
 
Ist bei mir eh virtualisiert weil auf der Maschine noch anderer Kram läuft, den Stromverbrauch einzeln hab ich aber nie gemessen. Also wenn das Nativ laufen würde. Dafür reicht das jetzt wenn die Kiste läuft und das NAS ist auf WoL only umgestellt
 
Speed: Liegt normalerweise am Kabel, nicht an der firewall.

ProxMox: Angeblich kann man 1-3W sparen, wenn man ProxMox als Basis nimmt und OPNsense virtualisiert (weil Linux ggfs. aggressiver Strom spart als BSD / bessere Treiber hat). YMMV.

Könnte man OPNSense (Routing, Regel,.... Einstellungsprobleme) irgendwie ausschließen, wenn man direkt über GUI einen Speedtest (Plugin?!) macht?


Hm, ev. probiere ich das mit Proxmox mal.
Vorteil wären halt schnelle Sicherungen vor einem Backup.
 
Vorteil wären halt schnelle Sicherungen vor einem Backup.
Da brauchst Du kein proxmox für: ZFS is your friend.

 
So, habe das Plugin von mimugmail (os-speedtest-community) installiert und über ookla div. Tests gemacht.

Tja, am Modem liegts nicht!

Konstant gleiche / gute Werte - wie früher.

Mache ich die Tests übern PC - wieder schlechte Werte.


Dürfte also irgendwie/irgendwo an Einstellungen liegen - nur wo!?


Hm, die Art wie/wo (siehe oben) ich den DNS-Server eintrage macht mal keinen Unterschied.
 

Anhänge

  • Screenshot 2023-08-07 221657.jpg
    Screenshot 2023-08-07 221657.jpg
    19,5 KB · Aufrufe: 45
Update zu meinem Fritzbox-Absturz-Problem:
Es war scheinbar IPv6.
Habs in der Fritze und im WAN der opnSense deaktiviert und siehe da, kein Stress mehr mit Abstürzen der Fritze, wenn ich mal 600 Tabs auf mache, wovon gerade mal 40 oder so geladen werden...
 
Hm, werde am Abend unbound mal auf die Quad9-DNS-Server „umstellen“ (über die lief es bei mir vorher auch) – wenn das auch nicht hilft, dann fällt mir als blutiger Anfänger nichts mehr ein.

An irgendwelchen Regeln, oder so kann es ja nicht wirklich liegen, oder?
Bis Mai lief OPNSense ja ohne Probleme bei mir – dann fiel Wireguard aus und beim Gäste/Homeoffice VLAN funktionierte DNS nicht mehr.

Habe ja dann vorgestern die Anpassung bezüglich der DNS-Server gemacht und dann gestern „192.168.1.1“ als DNS bei den allgemeinen Systemeinstellungen eingetragen.
So weit läuft wieder alles, nur eben mit bescheidener Geschwindigkeit!?

Plan B: Platt machen, nur mehr die nötigsten Dinge einstellen und nie wieder ein Update machen! 😉

LG
 
Dein Speed Problem liegt nicht am DNS.

Check Mal ob Dein PC 1000M oder nur 100M ausgehandelt hat, und steck anschließend die Kabel neu.
 
An irgendwelchen Regeln, oder so kann es ja nicht wirklich liegen, oder?
Na ja es gibt Limiter und Traffic Shaper, aber das wüsstest Du vermutlich, wenn Du solche eingerichtet hattest. Wichtiger, auch Switche und überhaupt alle Geräte dazwischen mal vom Strom trennen.
 
Dein Speed Problem liegt nicht am DNS.

Check Mal ob Dein PC 1000M oder nur 100M ausgehandelt hat, und steck anschließend die Kabel neu.

Hm, daran habe ich nicht gedacht - werde ich am Abend kontrollieren.


Na ja es gibt Limiter und Traffic Shaper, aber das wüsstest Du vermutlich, wenn Du solche eingerichtet hattest. Wichtiger, auch Switche und überhaupt alle Geräte dazwischen mal vom Strom trennen.

Limit habe ich nur beim Gäste-WLAN gesetzt - direkt am AP.

Werde am Abend mal den kompletten NW-Schrank vom Strom nehmen - mal sehen.

Danke!

LG
 
Die ganze Sache ist/war etwas komisch!?
Habe gestern am Abend gleich ein paar Speedtest gemacht => Ping war wieder besser; ca. 180/21 Mbit.

Hab dann die ganze Netzwerktechnik vom Strom genommen, einige Minuten gewartet und dann der Reihe nach (Modem, Firewall, Switch, AP, Notebook) in Betrieb genommen.

Ping war nochmals um eine Spur besser; 200-205/22 Mbit.
Also wieder besser, aber nicht ganz dort wo ich „früher“ immer war.

Hm?

Die letzten Tage gab es in meiner Gegend einige Unwetter/Regengüsse – ev. gab es ja doch beim Netzbetreiber irgendwo Probleme (lt. deren Störungshomepage allerdings nicht)!?

Mal sehen – momentan scheint es wieder normal zu laufen.

Vielen Dank für eure Unterstützung!
 
OPNsense update auf 23.7.1_3 ist da:


Lief bei mir fix und problemlos durch.

Nur crowdsec muss ich offenbar nach jedem reboot einmal manuell neu starten, da sonst der bouncer (und damit die crwodsec IP blocklist) nicht läuft. Evtl. wird der vor dem DNS-Service gestartet und findet dann den download nicht?

@hs_warez: Vielleicht mal hier mitlesen, das Forum berichtet von erhöhter CPU-Auslastung (bei mir kann ich das nicht beobachten):
 
Zuletzt bearbeitet:
OPNsense update auf 23.7.1_3 ist da:


Lief bei mir fix und problemlos durch.

Nur crowdsec muss ich offenbar nach jedem reboot einmal manuell neu starten, da sonst der bouncer (und damit die crwodsec IP blocklist) nicht läuft. Evtl. wird der vor dem DNS-Service gestartet und findet dann den download nicht?

@hs_warez: Vielleicht mal hier mitlesen, das Forum berichtet von erhöhter CPU-Auslastung (bei mir kann ich das nicht beobachten):

Bezüglich CPU-Last/Temperatur kann ich keinen wirklichen Unterschied feststellen.



Habe das Update auch gleich gemacht - diesmal ohne böse Überraschungen überlebt!
;-)


Habe aus Interesse mal Shaper fürs Gast/HO-Netz (VLAN) aktiviert - funktioniert - nur kommen von den eingestellten 150MBit Download nur so um die 115 an - na ja!?


LG
 
Gibt's eine Empfehlung für eine Preis/Leistung gute/haltbare/stromsparende NVMe-SSD für die Nutzung mit OPNSense?


Danke!

LG
 
Glaube das ist so ziemlich egal (wenig Schreiblast), außer Du willst ganz viele netflow oder ntopng Daten speichern.

Stromsparend siehe den Nachbar thread zum 1W NAS.
 
Zuletzt bearbeitet:
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh