nachgefragt
Goto Top

OPNsense Starthilfe

Hallo Admins,

vor mir ein kleiner Mini-PC mit 2 Schnittstellen, OPNsense installiert und die Aktualisierung lief ebenso einfach.

Am LAN2 angeschlossen bekommt der Test-Client auch eine IP Adresse (192.168.100.1), kommt jedoch nicht ins Internet.
Nun finde ich so viele Guides im Netz, übersehe aber den der erklärt, wo man das LAN über die WAN Schnittstelle ins Internet zu bewegen.

Ich vermute mal es muss eine NAT Regel erstellt auf auf das LAN-Interface gebunden werden.

Vielleicht ist jemand mal eben so nett und kann mir konstruktiv bei diesem Schritt weiterhelfen,

besten Dank.

Hilfreiche Videos
https://www.youtube.com/watch?v=-7G6MSVmdn8
https://www.youtube.com/watch?v=vxOVGRih990

Hier erklärt eigentlich genau das was ich möchte, klappt aber nicht.
https://www.youtube.com/watch?v=6OkEHgvvCYU

Content-ID: 71721045934

Url: https://administrator.de/contentid/71721045934

Printed on: October 8, 2024 at 00:10 o'clock

Pjordorf
Pjordorf May 29, 2024 at 17:04:41 (UTC)
Goto Top
Hallo,

Zitat von @nachgefragt:
Nun finde ich so viele Guides im Netz, übersehe aber den der erklärt, wo man das LAN über die WAN Schnittstelle ins Internet zu bewegen.
Ich vermute mal es muss eine NAT Regel erstellt auf auf das LAN-Interface gebunden werden.
Du vermutest falsch. Deine OPNSense muss erst Konfigueriert werden. Bei ne FritzBox darf von innen jeder und alles raus. Bei richtigen Firewalls und darf erfstmal keiner irgendetwas. Keine Regeln, kein Hofgang.
https://opnsense.org/users/get-started/
https://docs.opnsense.org/

Hilfreiche Videos
https://www.youtube.com/watch?v=-7G6MSVmdn8
https://www.youtube.com/watch?v=vxOVGRih990

Hier erklärt eigentlich genau das was ich möchte, klappt aber nicht.
https://www.youtube.com/watch?v=6OkEHgvvCYU
Die DLRG macht jetzt auch mit Videos. Nur Blöd das der Schwimmer blind ist face-smile

Gruss,
Peter
Crusher79
Crusher79 May 29, 2024 at 17:19:39 (UTC)
Goto Top
Auch immer eine gute Idee den Wizard mal durchlaufen zu lassen...

Vlt ist er ja schon im Internet hat nur keine DNS Auflösung ...

Kein Internet.. .Kein Netzwerk... ist nicht das Selbe. Da geht es schon mal los.
13034433319
13034433319 May 29, 2024 updated at 17:31:17 (UTC)
Goto Top
Entsprechend Firewall Regel auf dem LAN-Interface für die Clients erstellen, sonst darf da niemand irgendwo hin face-smile.

Gruß.
screenshot
Crusher79
Crusher79 May 29, 2024 at 17:29:22 (UTC)
Goto Top
Zitat von @13034433319:

Entsprechend Firewall Regel auf dem LAN-Interface für die Clients erstellen, sonst darf da niemand irgendwo hin face-smile.

Gruß.

Seit wann ist das so???
the.other
the.other May 29, 2024 updated at 17:46:37 (UTC)
Goto Top
Moinsen,
auf der pfsense zumindest geht für das default LAN Interface out-of-the-box direkt Internet. Erst für weitere sind dann Regeln nötig, da gilt deny any any...ist das bei der opensense anders?
Crusher79
Crusher79 May 29, 2024 at 17:41:09 (UTC)
Goto Top
Bei deinen Konstrukt noch bedenken:

LAN 1 ist WAN. Hast du da überhaupt eine IP? Das Netz zwischen OPNsense und dem Internet ist was genau? FritzBox mit DHCP?

Du hast eine Router Kaskade. LAN sollte schon mal richtig sein, sonst kämst du auf die OPNsense nicht drauf!

Alles im "großen" normalen LAN ist "Internet". Du kannst dann z.B. einfach mal 192.168.178.1 aufrufen. Oder noch einfacher: in der GUI stehen doch die Interfaces. Ist WAN grün? Welche IP? GW sollte bei DHCP via default auch da sein.

Mach erstmal einen Ping! ping 8.8.8.8 oder auch dein normales LAN 192.168.178.1

Was passiert da?
Crusher79
Crusher79 May 29, 2024 at 17:50:24 (UTC)
Goto Top
Kopplung von 2 Routern am DSL Port

@aqui hat zig Tuts zum Thema geschriebne. Siehe oben. Deines wäre Alternative 2
Dani
Dani May 29, 2024 at 21:24:35 (UTC)
Goto Top
Moin,
auf der pfsense zumindest geht für das default LAN Interface out-of-the-box direkt Internet. Erst für weitere sind dann Regeln nötig, da gilt deny any any...ist das bei der opensense anders?
war bis vor 2 Wochen noch nicht der Fall. Da habe ich privat eine OPNSENSE hochgezogen.

WAN Schnittstelle ins Internet zu bewegen.
An der WAN Schnittstelle siehst auch eine Public IPv4 Adresse?


Gruß,
Dani
Spirit-of-Eli
Spirit-of-Eli May 29, 2024 at 22:18:29 (UTC)
Goto Top
Zitat von @Dani:

Moin,
auf der pfsense zumindest geht für das default LAN Interface out-of-the-box direkt Internet. Erst für weitere sind dann Regeln nötig, da gilt deny any any...ist das bei der opensense anders?
war bis vor 2 Wochen noch nicht der Fall. Da habe ich privat eine OPNSENSE hochgezogen.

WAN Schnittstelle ins Internet zu bewegen.
An der WAN Schnittstelle siehst auch eine Public IPv4 Adresse?


Gruß,
Dani

Soweit ich weiß ist das bei einer PfSense schon genau so. Da ist im default ne Interface -> any Rule ;)
Crusher79
Crusher79 May 30, 2024 at 06:26:54 (UTC)
Goto Top
Zitat von @Spirit-of-Eli:

Soweit ich weiß ist das bei einer PfSense schon genau so. Da ist im default ne Interface -> any Rule ;)

Alles richtig. Ich denke nur er hat einen Mini-PC mit 2x Ethernet. LAN 1 und LAN 2.

Wir haben zu wenig Infos. Er sagt ja nicht, ob eine Art "Transfernetz" dazwischen hängt. Also sein normales LAN - Router-Kaskade. Oder ob Modem direkt verbunden ist.

Installier es nicht jeden Tag. Wizard ist immer eine gute Idee. Unbound DNS hat die ja auch. Normal wird ohne DNS Einträge unter System alles ans WAN geleitet. Oder man stellt explizit welche ein.

Ich vermute immer noch DNS Problem. So lange er aber keine "Internet-Seite" via Ping aufruft, schwer zu beurteilen!
nachgefragt
nachgefragt May 30, 2024 at 09:37:22 (UTC)
Goto Top
Zitat von @Pjordorf:
Bei richtigen Firewalls und darf erfstmal keiner irgendetwas. Keine Regeln, kein Hofgang.
Hier geht es eben um die OPNsense Version 24.1.8, welche sofort über den WAN Port mit Internet versorgt ist und dessen Update laden und installieren konnte.
nachgefragt
nachgefragt May 30, 2024 at 09:40:16 (UTC)
Goto Top
Zitat von @Crusher79:
Auch immer eine gute Idee den Wizard mal durchlaufen zu lassen...
Da war nicht viel dabei, den DNS hatte ich schon davor eingetragen.
screenshot 2024-05-30 113737
screenshot 2024-05-30 113837
nachgefragt
nachgefragt May 30, 2024 at 09:42:35 (UTC)
Goto Top
Zitat von @13034433319:
Entsprechend Firewall Regel auf dem LAN-Interface für die Clients erstellen, sonst darf da niemand irgendwo hin face-smile.
Ja diese Vorgehensweise kenn ich auch, darum hatte ich auch so eine any-to-any Regel erstellt, für den Anfang also einfach mal alles durchlassen.
screenshot 2024-05-30 114132
nachgefragt
nachgefragt May 30, 2024 at 09:46:04 (UTC)
Goto Top
Ich bin mir jetzt nicht sicher irgendwas umgestellt zu haben, jedoch funktioniert es jetzt plötzlich.

¯\_(ツ)_/¯
aqui
aqui May 30, 2024 updated at 09:56:07 (UTC)
Goto Top
da gilt deny any any...ist das bei der opensense anders?
Nein das ist wie bei allen Firewalls auf der Welt dort auch so. Es gilt bei Firewalls immer: Alles was nicht explizit erlaubt ist ist verboten!!

Das o.a. Scheunentor Regelwerk des TOs ist auch etwas sinnfrei.
  • Erst wird Netz any für IPv4 separat erlaubt
  • Dann für IPv6 separat
  • Dann nochmals für IPv4 und IPv6
Nur Regel 3 hätte es auch getan. face-wink
Wenn nur IPv4 im lokalen Netz im Spiel ist wäre nur Regel 1 ausreichend gewesen.
Aber egal...warum einfach machen wenn es umständlich nach dem Motto doppelt hält besser auch geht..?!

jedoch funktioniert es jetzt plötzlich.
In der Netzzwerk IT gibt es bekanntlich kein eigenständiges Verändern durch Geisterhand, auch nicht bei Firewalls was ja auch fatal wäre!
Dann bleibt dann ja nur noch:
How can I mark a post as solved?
nachgefragt
nachgefragt May 30, 2024 at 09:55:09 (UTC)
Goto Top
Kommando zurück, ich dachte es geht, ging wohl auch mal kurz, jetzt wieder nicht.
Ich muss wohl immer den Browser neu starten um sicher zu sein, beim Testen.
nachgefragt
nachgefragt May 30, 2024 at 09:56:48 (UTC)
Goto Top
Zitat von @aqui:
Aber egal...warum einfach machen wenn es umständlich nach dem Motto doppelt hält besser auch geht..?!
Ist ein Default welches ich beim Testen einfach mal so belassen wollte.
nachgefragt
nachgefragt May 30, 2024 at 10:02:12 (UTC)
Goto Top
Zitat von @the.other:
auf der pfsense zumindest geht für das default LAN Interface out-of-the-box direkt Internet.
Es gibt diese zwei Default-Regeln, man könnte hier schon mutmaßen das any-to-any für das LAN Interface an ist, jedoch kommt ich damit nicht ins Internet.
screenshot 2024-05-30 120109
aqui
aqui May 30, 2024 updated at 10:05:19 (UTC)
Goto Top
Sinnvoll und strategisch gehst du immer über die Diagnostics an den Interfaces vor.
  • Zuerst einen Ping absetzen auf eine nackte Interface IP wie 8.8.8.8 und als Source das WAN Intzerface wählen. Klappt das besteht generell Internet Zugang.
  • Gleiches macht man mit einem Hostnamen wie z.B. www.heise.de. Klappt das besteht Internet Zugang mit DNS Auflösung.
  • Beides wiederholt man mit der LAN IP als Source Interface. Klappt das auch funktioniert auch das NAT aus den lokalen Netzen.

Grundsätzlich muss man bei einer frisch installierten OPNsense oder pfSense gar nichts machen und ein Zugang besteht ohne jegliche Konfig mit den Default Settings der Standard Interface
  • Steckt man den WAN Port in ein bestehendes Netz lernt die Firewall darüber per default Gateway und DNS Server.
  • Am Default LAN Interface besteht nach Installation eine Default Regel die aus dem Default LAN den Internet Zugang erlaubt
  • DHCP ist im Default LAN auch aktiv so das Engeräte eine gültige IP bekommen
Es muss also NICHTS zusätzlich konfiguriert werden damit die FW mit den Standard Settings nach der Installation out of the box rennt!

Das hiesige Tutorial und besonders seine weiterführenden Links auf zahlreiche OPNsense bezogenen Forenthreads ist zwar für die pfSense erstellt aber alle Tips und Settings dort gelten analog natürlich auch für den OPNsense Fork. Die Software ist ja identisch nur das GUI etwas anders.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Spirit-of-Eli
Spirit-of-Eli May 30, 2024 at 10:06:09 (UTC)
Goto Top
@to was ist denn jetzt mit deiner DNS Auflösung?
Klappt das oder nicht?
nachgefragt
nachgefragt May 30, 2024 updated at 10:14:15 (UTC)
Goto Top
Zitat von @Crusher79:
LAN 1 ist WAN. Hast du da überhaupt eine IP? Das Netz zwischen OPNsense und dem Internet ist was genau? FritzBox mit DHCP?
LAN1 hat ne IP von der Fritte bekommen, sonst hätte ich nichts das Update (V24.8.1) laden können.
Fritzbox                    ---> OpenSense-Client LAN1 (WAN)
OpenSense-Client LAN2 (LAN) ---> Test-Client
Du hast eine Router Kaskade. LAN sollte schon mal richtig sein, sonst kämst du auf die OPNsense nicht drauf!
Ja, komme vom Test-Client auf die 192.168.1.1, die OPNsense, über LAN2.
Ist WAN grün? Welche IP? GW sollte bei DHCP via default auch da sein.
Die WAN-IP kommt von der Fritte per DHCP, dass würde ich auch so lassen wollen.
Ich kann die 8.8.8.8 pingen, komme jedoch nicht auf https://administrator.de drauf.
Ich kann die 192.168.178.1 pingen, komme auch aufs Webinterface der Fritte.
screenshot 2024-05-30 120941
nachgefragt
nachgefragt May 30, 2024 at 10:23:59 (UTC)
Goto Top
Zitat von @aqui:
Sinnvoll und strategisch gehst du immer über die Diagnostics an den Interfaces vor.
Ich kann die 8.8.8.8 pingen.
Ich kann die 192.168.178.1 pingen.
Ich kann NICHT www.heise.de pingen.
Ich kann NICHT www.google.de pingen.
Grundsätzlich muss man bei einer frisch installierten OPNsense oder pfSense gar nichts machen und ein Zugang besteht ohne jegliche Konfig mit den Default Settings der Standard Interface
Würde ich auch so ablesen, funktioniert aber nicht (Version 24.8.1).
13034433319
13034433319 May 30, 2024 updated at 10:38:14 (UTC)
Goto Top
Also ein DNS Problem
Welchen DNS Server gibst du den Clients per DHCP mit? Die OPNSense oder einen anderen? Hat die OPNSense am WAN per DHCP einen DNS Server erhalten?
ist in der OPNSense im DNS-Proxy(unbound) das Forwarding auf die DNS Server die die Sense per DHCP am WAN erhalten hat aktiviert?
nachgefragt
nachgefragt May 30, 2024 updated at 10:38:41 (UTC)
Goto Top
Zitat von @13034433319:
Welchen DNS Server gibst du den Clients per DHCP mit?
DHCP & DNS sind die 192.168.1.1, also OPNsense LAN2.
Hat die OPNSense am WAN DNS Server erhalten?
Ist in der OPNSense im DNS das Forwarding auf die DNS Server die die Sense per DHCP am WAN erhalten hat aktiviert?
Oder hast du den WAN statisch konfiguriert und vergessen DNS Server einzutragen?
Wo bzw. wie prüfe ich das? Ich habe hier selbst bisher nichts umgestellt.
screenshot 2024-05-30 123743
13034433319
13034433319 May 30, 2024 updated at 10:44:35 (UTC)
Goto Top
Unbound Query Forwarding

Und nicht vergessen
Beim WAN Interface "Block private networks" das Häkchen rausnehmen , da du ja mit dem WAN hinter ner Fritte mit private IP stehst.
https://docs.opnsense.org/manual/interfaces.html
nachgefragt
nachgefragt May 30, 2024 at 11:45:43 (UTC)
Goto Top
Zitat von @13034433319:
Beim WAN Interface "Block private networks" das Häkchen rausnehmen , da du ja mit dem WAN hinter ner Fritte mit private IP stehst.
Ja, wurde im Video ganz gut erklärt.
screenshot 2024-05-30 134356
nachgefragt
nachgefragt May 30, 2024 at 11:46:04 (UTC)
Goto Top
Zitat von @13034433319:
Also ein DNS Problem
Sieht so aus.
nachgefragt
nachgefragt May 30, 2024 at 12:49:59 (UTC)
Goto Top
Muss evtl. was an der Fritte angepasst werden?
Wenn ich den Test-Client auf WLAN umschalte, also ohne OPNsene, funktioniert es, wobei ich im LOG der OPNsense grüne Einträge finde.
Schalte das WLAN wieder aus, also dann über das LAN2 der OPNsense, kommt u.a. sowas hier:

screenshot 2024-05-30 144754
aqui
aqui May 30, 2024 at 13:06:45 (UTC)
Goto Top
Muss evtl. was an der Fritte angepasst werden?
Nein, nicht wenn du mit der leider etwas oberflächlichen Frage eine NAT Kaskaden Konfiguration mit der Fritzbox meinst!
Durch das NAT der Firewall "merkt" die Fritzbox nichts von einer Firewall. Lesen und verstehen... face-wink
Spirit-of-Eli
Spirit-of-Eli May 30, 2024 at 13:16:06 (UTC)
Goto Top
Immer noch, mach ein "nslookup heise.de" auf einem Client und schreib uns endlich was da raus kommt!

Und bitte die Ausgabe und nicht "geht nicht".
aqui
aqui May 30, 2024 at 13:29:20 (UTC)
Goto Top
Zusätzlich das gleiche auch noch unter den "Diagnostics" der Firewall. Nur um sicherzustellen das die auch Namen auflösen kann! face-wink
13034433319
Solution 13034433319 May 30, 2024 updated at 14:22:24 (UTC)
Goto Top
Weil heute Feiertag ist (zumindest hier) ...

30-05-_2024_15-29-09

Client Test aus dem LAN wie erwartet, positiv ...

screenshot

Feddisch ... face-smile.
nachgefragt
nachgefragt May 30, 2024 updated at 16:12:34 (UTC)
Goto Top
Vielen Dank an alle für die Hilfe!

Zitat von @13034433319:
Weil heute Feiertag ist (zumindest hier) ...
Vielen Dank für die Screenshots, 100% hilfreich ohne Umschweife!

(☞ ͡° ͜ʖ ͡°)☞ YOU-MADE-MY-DAY face-wink

Unterschiedlich sind noch die DNS Server welche ich eingetragen hatte.
screenshot 2024-05-30 181029

Problem war ein Setup aus einem YouTube Video, ich schätze mal bei dir ist "all" Standard, dass kann ich schon gar nicht mehr auswählen, sondern eben genau die beiden Interfaces. Es war eben nur eines angehakt, jetzt beide.
unbenannt
nachgefragt
nachgefragt May 30, 2024 updated at 16:46:13 (UTC)
Goto Top
Jetzt kann ich auch weiter reinfuchsen, z.B. das LAN nur HTTP und HTTPS aufrufen darf,...
screenshot 2024-05-30 181806

Gegenprüfung, Ping sollte nicht mehr gehen, läuft.
screenshot 2024-05-30 181916

Vielen Dank nochmal!

Weiter geht's face-wink
screenshot 2024-05-30 184532
aqui
aqui May 30, 2024 updated at 19:07:45 (UTC)
Goto Top
die DNS Server welche ich eingetragen hatte.
Nur noch Dummies nutzen heute noch Google DNS Server denn die speichern bekanntlich deine gesamte Internet Nutzung und Profil und vermarkten es mit Dritten.
Persönlicher Datenschutz sieht anders aus... Solche Banalitäten sollte man auch als Laie wissen.
Warum nutzt du eh externe DNS und nicht den lokalen Provider DNS?
Primär solltest du also immer deine Fritzbox als DNS eintragen wenn du in einem Kaskaden Setup arbeitest wie du selber sagst. Es macht ja wenig Sinn DNS Anfragen um die halbe Welt zu senden und so noch die Wartezeit zu erhöhen! face-sad

Deine ICMP Regel ist etwas unsauber.
  • Als Source sollte da auch "LAN_net" stehen, denn du willst ja nur ICMP aus diesem Segment erlauben und nicht auch noch solche mit falschen IP Adressen.
  • Dadurch das du keinen Typ angibst erlaubt es nicht nur Ping sondern auch noch alle anderen Kontroll Funktionen (Types) von ICMP. https://de.wikipedia.org/wiki/Internet_Control_Message_Protocol
Wenn Regelwerk dann auch richtig und präzise. face-wink
nachgefragt
nachgefragt May 31, 2024 at 06:55:09 (UTC)
Goto Top
Zitat von @aqui:
Nur noch Dummies nutzen heute noch Google DNS Server denn die speichern bekanntlich deine gesamte Internet Nutzung und Profil und vermarkten es mit Dritten.
Interessanter Hinweis, dann ist Daniel Medic wohl ein solcher
08:30 - https://www.youtube.com/watch?v=vxOVGRih990

Für meine Testphase ok, in der praktischen Umsetzung hole ich mir gern professionelle Hilfe. Das Problem ist dabei nur, dass es jeder besser weiß, d.h. ich hatte schon jetzt ab und an meine Firewall von Dritten checken lassen, jeder hatte es besser gewusst.

Ich nehme den DNS mal raus, vielen Dank für den Hinweis.
aqui
aqui May 31, 2024 at 08:35:54 (UTC)
Goto Top
dann ist Daniel Medic wohl ein solcher
Ja leider... face-sad
Nungut jeder kennt ja mittlerweile diese Gebaren von Google. Es wäre ja auch recht naiv zu glauben das alle diese Dienste die täglich Millionen an Energie und Manpower kosten kostenlos sind. In einem Aktienunternehmen was rein auf Shareholder Value getrimmt ist wäre das reine Utopie.
Mit deinen Daten bekommen die das aber 3fach wieder raus.
Besser also man hält sich IMMER davon fern.
nachgefragt
nachgefragt Jun 03, 2024 at 09:28:20 (UTC)
Goto Top
Ein kleines Feedback.
Ich habe nochmal mit andere Hardware OPNsense installiert, erstmal nur einen Port angesteckt (mit Internet), nach der Installation den Test-Client zweiten Port eingesteckt und kam sofort per 192.168.1.1 auf die Weboberfläche und ins Internet mit dem Test-Client, ohne zusätzliches Gefummel.

Ich war also irgendwo falsch abgebogen, die Installation ist doch plug&play.
aqui
aqui Jun 03, 2024 updated at 10:12:16 (UTC)
Goto Top
und kam sofort per 192.168.1.1 auf die Weboberfläche und ins Internet mit dem Test-Client, ohne zusätzliches Gefummel. Die Installation ist doch plug&play.
Wie es auch generell üblich ist und dir oben ja auch schon mehrfach gesagt wurde.
Das ist die Default Konfig die immer so "out of the box" rennt. Man muss, wie gesagt, nichts vorher fummeln oder frickeln. Weder bei der pfSense noch bei der OPNsense. 😉
nachgefragt
nachgefragt Jun 03, 2024 updated at 12:21:43 (UTC)
Goto Top
Zitat von @aqui:
Man muss, wie gesagt, nichts vorher fummeln oder frickeln. Weder bei der pfSense noch bei der OPNsense. 😉
Warum auch immer, in einem weiteren Test mussten wir folgendes anhaken.
Services > Query Forwarding

screenshot 2024-06-03 142006

Mal ging es ohne Zutun, in dem Fall mussten wir den Haken mit der Neuinstallation setzen, sonst kamen wir nur per WAN für Firmware-Updates ins Internet, jedoch nicht über LAN, z.B. www.google.de war ohne den Eintrag nicht aufrufbar
Spirit-of-Eli
Spirit-of-Eli Jun 03, 2024 at 12:26:11 (UTC)
Goto Top
Zitat von @nachgefragt:

Zitat von @aqui:
Man muss, wie gesagt, nichts vorher fummeln oder frickeln. Weder bei der pfSense noch bei der OPNsense. 😉
Warum auch immer, in einem weiteren Test mussten wir folgendes anhaken.
Services > Query Forwarding

screenshot 2024-06-03 142006

Mal ging es ohne Zutun, in dem Fall mussten wir den Haken mit der Neuinstallation setzen, sonst kamen wir nur per WAN für Firmware-Updates ins Internet, jedoch nicht über LAN, z.B. www.google.de war ohne den Eintrag nicht aufrufbar

Dann blockt dein ISP wohl den DNS Resolver. Sehr mysteriös.
nachgefragt
nachgefragt Jun 03, 2024 at 12:58:29 (UTC)
Goto Top
Zitat von @Spirit-of-Eli:
Sehr mysteriös.
Absolut, zumal die 1. Teststellung daneben auf Anhieb funktioniert hat, dann nochmal neu aufgesetzt, dann ging es plötzlich nur mit dem Haken.
13034433319
13034433319 Jun 03, 2024 updated at 13:18:31 (UTC)
Goto Top
screenshot

Ohne den Haken wird von Unbound kein Forwarder benutzt sondern über die Root-Server abgefragt. Da kann je nach Auslastung und Provider auch ein Blocking oder Traffic shaping von privaten IP-Range an die Rootserver stattfinden.
Deswegen immer den Haken setzen und entweder die Forwarder die per DHCP gelernt wurden oder manuell eingetragene nutzen. Die Root-Server sollte man nicht unnötiger Last aussetzen wenn man es vermeiden kann!
aqui
aqui Jun 03, 2024 updated at 14:23:50 (UTC)
Goto Top
in einem weiteren Test mussten wir folgendes anhaken.
Muss man, wie oben schon gesagt, auch nicht wenn man nur den DNS Forwarder oder Server, je nachdem was man verwenden will, richtig customized! face-wink
PfSense - web.de wird trotz aktiver "Scheunentor-Regel" blockiert

Tutorial und dortige weiterführende Links lesen kann helfen. face-wink
nachgefragt
nachgefragt Jun 04, 2024 at 04:57:27 (UTC)
Goto Top
Zitat von @13034433319:
Deswegen immer den Haken setzen
Danke, im Kontext ging es nun darum warum der Haken bei den Teststellung mal direkt drin war, und mal nicht, bei gleichem Aufbau,... sogar bei gleicher Raumtemperatur und Luftfeuchtigkeit face-wink
Aber das soll nun keine Rolle mehr spielen, ich kann mich durch die Oberfläche klicken und die Testumgebung weiter ausbauen.

Besten Dank für die Hilfe in die Runde!