[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

*Inhalt gelöscht*

 

[BobbyD]

ich bekomm immer noch die Meldung, dass ich quad9 nicht verwende.

Wer meldet denn wo so was.

 

[Mac_leod]

Musst nur on.quad9.net aufrufen. Da bekommst du die Meldung.

diese Anleitung meinte ich

 

[BobbyD]

Da bekommst du die Meldung.

Viele Browser nutzen heutzutage out of the box nicht mehr das DNS des Systems (und damit der OPNsense). Musst Du mal in den Browser-Einstellungen wühlen, was da genau eingestellt ist. Wenn Du das ausschließen kannst, dann poste mal ein Bild, wie es aktuell in der Sense bei dir eingestellt ist.

 

[Weltherrscher]

---snip---
Vorher noch den DHCP auf Kea migriert (das stand eh auf der Liste)
---snip---

Warum tust du das?
Selbst die Jungs und Mädels von der opnSense raten, mittelfristig auf dnsmasq als DHCP umzusteigen...

 

[Mac_leod]

Ja irgendwas ist gerade mit dem DNS Setup extrem im argen.
Firefox ist so gesetzt, dass der eigene Resolver verwendet werden soll.
Ich kann auch gerade luxx garnicht mehr auflösen, aber komischerweise alles andere.

Ich mach mal Screenshots von der kompletten konfig.

 

[BobbyD]

Netgate Releases pfSense Plus Software Version 25.07

Netgate Releases pfSense Plus Software Version 25.07

www.netgate.com

 

[Mac_leod]

Ach Mensch… ausgerechnet ich als Admin sollte es ja eigentlich besser wissen, jetzt läuft’s endlich – DNS braucht halt seine Zeit, bis es sich mal sortiert hat.
Luxx wird nun auch nach 9 Hops erreicht.

 

[AliManali]

Warum tust du das?
Selbst die Jungs und Mädels von der opnSense raten, mittelfristig auf dnsmasq als DHCP umzusteigen...

Kannst Du da noch was dazu sagen? Habe so ca. 75-100 fixe Leases auf diversen VLAN. atm auf ISC DHCP. ChatGPT meinte, dazu sei ISC am besten geeignet. Wollte eigentlich auch auf KEA wechseln, da meint die KI, das sei noch die bessere Variante als dnsmasq. Ich zitiere mal:

Feature	dnsmasq
VLAN-Unterstützung	Nur rudimentär
Viele statische Leases	Umständlich
Übersicht in der GUI	Schwach
Logging, Debugging	Minimiert
DHCPv6-Unterstützung	Eingeschränkt
Zukunftssicherheit	✖ Nicht das Ziel

Feature	Empfehlung
VLANs	KEA ✅
75–100 MAC Bindings	KEA ✅
Zukunftssicherheit	KEA ✅
Einfachheit	❌ (nicht so wie ISC)
dnsmasq als Ersatz	❌ Nein

Das tönt nicht gerade nach dem, was ich gerne hätte.

 

[spyfly]

Habe so ca. 75-100 fixe Leases auf diversen VLAN

VLANs haben nichts mit DHCP zu tun.

 

[AliManali]

Zumindest habe ich für jedes VLAN ein /24 Subnet. Auslegungssache. Zumindest die KI hat mich darauf hingewiesen, dass es in die Richtung Probleme geben könnte. Die Problematik jetzt ins Lächerliche ziehen zu wollen, ist halt bisschen meeeh...

Beitrag automatisch zusammengeführt: Gestern um 18:32

Höhö ja, bist der Held des Tages. Vielleicht kann sonst wer was dazu sagen, ob KEA oder dnsmasq besser für mich wäre. Weil weisst Du, sind nicht alle so Überflieger wie die spyfly.

 

[spyfly]

Höhö ja, bist der Held des Tages. Vielleicht kann sonst wer was dazu sagen, ob KEA oder dnsmasq besser für mich wäre. Weil weisst Du, sind nicht alle so Überflieger wie die spyfly.

Es gibt keinen Grund KEA zu nutzen.

Anstatt ChatGPT zu prompten hätte man auch mal für ne Minute in den dnsmasq Reiter schauen können.

Zumindest habe ich für jedes VLAN ein /24 Subnet. Auslegungssache. Zumindest die KI hat mich darauf hingewiesen, dass es in die Richtung Probleme geben könnte.

Ja weil VLANs nichts mit DHCP zu tun haben, da hat die KI recht. Für DHCP sind einzig die Interfaces relevant.

 

[AliManali]

Ich habe erst die KI gefragt: "Du, habe 75-100 Leases in verschiedenen VLAN, und atm ISC im Einsatz", kam halt, bleib bei ISC. Da die KI aber wohl mal wieder keine Ahnung hat, meinte die ganz klar ich solle KEA verwenden. Drum habe ich hier nochmal nachgefragt. Bin echt froh, haut mir hier der erste Dummkopf an die Backe. Du bin noch nicht so lange dabei bei den Senses, habe erst vor ein paar Monaten von der Zywall umgestellt. Und dabei blöderweise den ISC Server genommen. Schon das ist ärgerlich, laut der KI soll ich ja jetzt KEA nehmen.

Vielleicht kommst Du mal von Deinem hohen Ross runter.

 

[spyfly]

Ich habe erst die KI gefragt: "Du, habe 75-100 Leases in verschiedenen VLAN, und atm ISC im Einsatz", kam halt, bleib bei ISC.

Liegt wohl am Prompt

Vielleicht mal hiermit probieren

Migrate from deprecated opnsense isc to kea or dnsmasq

Ich werde meine OPNsense wohl auf dnsmasq umstellen, das empfiehlt mir zumindest ChatGPT.

 

[Weltherrscher]

Also, ich hab auch so 70+x Leases über 5..6 VLANs hinweg.
Der Vorteil bei dnsmasq ist, dass dieselbe MAC in verschiedenen VLANs auftauchen darf (natürlich nicht gleichzeitig), sprich, du kannst in EINEM Eintrag mehrere IPs für eine MAC vergeben und dnsmasq sucht sich automatisch das richtige Interface für die IP.
Hab bislang noch keine Probleme fest gestellt.
Aber die Optionsfülle, mit der man die DHCP Options setzen kann, ist schon riesig, das gibts bei KEA zB. fast garnicht.
Aber DHCP Options brauch ich auch nicht.
Ob du den full blown Kram brauchst, kann ich dir auch nicht sagen.
Denk aber dran, opnSense steigt mittelfristig auf dnsmasq als default DHCP um.
Dann kannst wieder migrieren...

 

[sch4kal]

Es gibt keinen Grund KEA zu nutzen.

Was ist an KEA denn so schlecht ? Netgate hält auch an KEA fest, zumindest bei mir @home funktioniert es auch so gut wie vorher noch mit dem ISC.

 

[spyfly]

Was ist an KEA denn so schlecht ? Netgate hält auch an KEA fest, zumindest bei mir @home funktioniert es auch so gut wie vorher noch mit dem ISC.

Bei OPNSense gibt es keine DNS Resolver Integration über die GUI für KEA.

Heißt keine native Möglichkeit die DHCP Leases im DNS Resolver zu registrieren.

 

[andrer250282]

Okay, da muss ich sagen: Brauch ich nicht

Im internen Netz übernimmt das AD sowohl DHCP als auch DNS, Kea macht bei mir nur das Gästenetz und da sind mir die Namen völlig egal.

 

[sch4kal]

Bei OPNSense gibt es keine DNS Resolver Integration über die GUI für KEA.

Heißt keine native Möglichkeit die DHCP Leases im DNS Resolver zu registrieren.

Ja gut, dann seh ich den Fehler aber eher bei OPNSense, pfSense kann das.

 

[BobbyD]

Was ist an KEA denn so schlecht ?

Wenn ich es richtig gelesen habe (und recht erinnere), dann wird es in der OPNsense Features geben wie, dass per Host ein eigener DNS-Cache existiert. Das erlaubt dann, dass sich Aliase in Firewall-Rules direkt auf DNS-Namen beziehen können und die Regeln immer greifen. Aber selbst wenn das so nicht kommt, spricht doch nichts gegen dnsmasq, der wird aktiv weiterentwickelt und in zahllosen Projekten eingesetzt.

 

[spyfly]

Ja gut, dann seh ich den Fehler aber eher bei OPNSense, pfSense kann das.

Nicht wirklich, da KEA laut OPNSense Doku primär für HA-Deployments gedacht ist.

Für Private User wird DNSMasq empfohlen und ist seit 25.7 der Standard.

 

[sch4kal]

Nicht wirklich, da KEA laut OPNSense Doku primär für HA-Deployments gedacht ist.

Für Private User wird DNSMasq empfohlen und ist seit 25.7 der Standard.

Doch ?! DNS Aliase lassen sich in pfSense im Kea registrieren, das klappt ja dann scheinbar nur in OPNSense nicht.

Und gerade für HA sind ja auch beide *sense eigentlich geeignet und ausgelegt. Homeuser nutzen in den meisten Fällen nix von beidem, die bleiben bei ihrer Fritte.

Wäre ja toll wenn man es im Fall der Fälle switchen könnte.