*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)
Wer meldet denn wo so was.
Viele Browser nutzen heutzutage out of the box nicht mehr das DNS des Systems (und damit der OPNsense). Musst Du mal in den Browser-Einstellungen wühlen, was da genau eingestellt ist. Wenn Du das ausschließen kannst, dann poste mal ein Bild, wie es aktuell in der Sense bei dir eingestellt ist.
Weltherrscher
Enthusiast
- Mitglied seit
- 28.04.2008
- Beiträge
- 999
Warum tust du das?
Selbst die Jungs und Mädels von der opnSense raten, mittelfristig auf dnsmasq als DHCP umzusteigen...
Netgate Releases pfSense Plus Software Version 25.07
Netgate Releases pfSense Plus Software Version 25.07
www.netgate.com
Ach Mensch… ausgerechnet ich als Admin sollte es ja eigentlich besser wissen, jetzt läuft’s endlich – DNS braucht halt seine Zeit, bis es sich mal sortiert hat.
Luxx wird nun auch nach 9 Hops erreicht.
Luxx wird nun auch nach 9 Hops erreicht.
Zuletzt bearbeitet:
Kannst Du da noch was dazu sagen? Habe so ca. 75-100 fixe Leases auf diversen VLAN. atm auf ISC DHCP. ChatGPT meinte, dazu sei ISC am besten geeignet. Wollte eigentlich auch auf KEA wechseln, da meint die KI, das sei noch die bessere Variante als dnsmasq. Ich zitiere mal:
Das tönt nicht gerade nach dem, was ich gerne hätte.
VLANs haben nichts mit DHCP zu tun.
Zumindest habe ich für jedes VLAN ein /24 Subnet. Auslegungssache. Zumindest die KI hat mich darauf hingewiesen, dass es in die Richtung Probleme geben könnte. Die Problematik jetzt ins Lächerliche ziehen zu wollen, ist halt bisschen meeeh...
Höhö ja, bist der Held des Tages. Vielleicht kann sonst wer was dazu sagen, ob KEA oder dnsmasq besser für mich wäre. Weil weisst Du, sind nicht alle so Überflieger wie die spyfly.
Beitrag automatisch zusammengeführt:
Höhö ja, bist der Held des Tages. Vielleicht kann sonst wer was dazu sagen, ob KEA oder dnsmasq besser für mich wäre. Weil weisst Du, sind nicht alle so Überflieger wie die spyfly.
Zuletzt bearbeitet:
Es gibt keinen Grund KEA zu nutzen.
Anstatt ChatGPT zu prompten hätte man auch mal für ne Minute in den dnsmasq Reiter schauen können.
Ja weil VLANs nichts mit DHCP zu tun haben, da hat die KI recht. Für DHCP sind einzig die Interfaces relevant.
Ich habe erst die KI gefragt: "Du, habe 75-100 Leases in verschiedenen VLAN, und atm ISC im Einsatz", kam halt, bleib bei ISC. Da die KI aber wohl mal wieder keine Ahnung hat, meinte die ganz klar ich solle KEA verwenden. Drum habe ich hier nochmal nachgefragt. Bin echt froh, haut mir hier der erste Dummkopf an die Backe. Du bin noch nicht so lange dabei bei den Senses, habe erst vor ein paar Monaten von der Zywall umgestellt. Und dabei blöderweise den ISC Server genommen. Schon das ist ärgerlich, laut der KI soll ich ja jetzt KEA nehmen.
Vielleicht kommst Du mal von Deinem hohen Ross runter.
Vielleicht kommst Du mal von Deinem hohen Ross runter.
Liegt wohl am Prompt
Vielleicht mal hiermit probieren
Ich werde meine OPNsense wohl auf dnsmasq umstellen, das empfiehlt mir zumindest ChatGPT.
Weltherrscher
Enthusiast
- Mitglied seit
- 28.04.2008
- Beiträge
- 999
Also, ich hab auch so 70+x Leases über 5..6 VLANs hinweg.
Der Vorteil bei dnsmasq ist, dass dieselbe MAC in verschiedenen VLANs auftauchen darf (natürlich nicht gleichzeitig), sprich, du kannst in EINEM Eintrag mehrere IPs für eine MAC vergeben und dnsmasq sucht sich automatisch das richtige Interface für die IP.
Hab bislang noch keine Probleme fest gestellt.
Aber die Optionsfülle, mit der man die DHCP Options setzen kann, ist schon riesig, das gibts bei KEA zB. fast garnicht.
Aber DHCP Options brauch ich auch nicht.
Ob du den full blown Kram brauchst, kann ich dir auch nicht sagen.
Denk aber dran, opnSense steigt mittelfristig auf dnsmasq als default DHCP um.
Dann kannst wieder migrieren...
Der Vorteil bei dnsmasq ist, dass dieselbe MAC in verschiedenen VLANs auftauchen darf (natürlich nicht gleichzeitig), sprich, du kannst in EINEM Eintrag mehrere IPs für eine MAC vergeben und dnsmasq sucht sich automatisch das richtige Interface für die IP.
Hab bislang noch keine Probleme fest gestellt.
Aber die Optionsfülle, mit der man die DHCP Options setzen kann, ist schon riesig, das gibts bei KEA zB. fast garnicht.
Aber DHCP Options brauch ich auch nicht.
Ob du den full blown Kram brauchst, kann ich dir auch nicht sagen.
Denk aber dran, opnSense steigt mittelfristig auf dnsmasq als default DHCP um.
Dann kannst wieder migrieren...
Was ist an KEA denn so schlecht ? Netgate hält auch an KEA fest, zumindest bei mir @home funktioniert es auch so gut wie vorher noch mit dem ISC.
Bei OPNSense gibt es keine DNS Resolver Integration über die GUI für KEA.
Heißt keine native Möglichkeit die DHCP Leases im DNS Resolver zu registrieren.
andrer250282
Experte
- Mitglied seit
- 05.10.2015
- Beiträge
- 407
Okay, da muss ich sagen: Brauch ich nicht
Im internen Netz übernimmt das AD sowohl DHCP als auch DNS, Kea macht bei mir nur das Gästenetz und da sind mir die Namen völlig egal.
Im internen Netz übernimmt das AD sowohl DHCP als auch DNS, Kea macht bei mir nur das Gästenetz und da sind mir die Namen völlig egal.
Ja gut, dann seh ich den Fehler aber eher bei OPNSense, pfSense kann das.
Wenn ich es richtig gelesen habe (und recht erinnere), dann wird es in der OPNsense Features geben wie, dass per Host ein eigener DNS-Cache existiert. Das erlaubt dann, dass sich Aliase in Firewall-Rules direkt auf DNS-Namen beziehen können und die Regeln immer greifen. Aber selbst wenn das so nicht kommt, spricht doch nichts gegen dnsmasq, der wird aktiv weiterentwickelt und in zahllosen Projekten eingesetzt.
Nicht wirklich, da KEA laut OPNSense Doku primär für HA-Deployments gedacht ist.
Für Private User wird DNSMasq empfohlen und ist seit 25.7 der Standard.
Doch ?! DNS Aliase lassen sich in pfSense im Kea registrieren, das klappt ja dann scheinbar nur in OPNSense nicht.
Und gerade für HA sind ja auch beide *sense eigentlich geeignet und ausgelegt. Homeuser nutzen in den meisten Fällen nix von beidem, die bleiben bei ihrer Fritte.
Wäre ja toll wenn man es im Fall der Fälle switchen könnte.
Hi
Hatte schon mehrfach die Diskussion hier und auch in anderen Foren. Wusste atm. grad nicht, wo ich das plazieren soll. Habe einen Gameserver an doppelt NAT, eine Sense als exposed Host und IPv4 only. Keine Ahnung, ob die Gameserver Software selbst IPv6 unterstützt. Die Clients verbinden sich untereinander P2P. Die KI hat mich schon mehrmals auf STUN, TURN und ICE aufmerksam gemacht.
Ich teile mal den Link zu Gemini:
Kennt sich wer mit der Thematik aus? Würde mir da IPv6 was bringen?
Das war mal ein alter Thread, den ich dazu hatte:
www.hardwareluxx.de
Aber glaube, ubound split dns wäre da von der falschen Seite aufgewickelt. So wie ich verstanden habe von gemini, müsste ich den Server IPv6, bzw. die Auflösung darüber fit machen (läuft im Moment über Cloudflare).
Auf jeden Fall hochinteressantes Thema. Ich kann da nur bedingt folgen, komme da aber glaube ich weiter. Wäre echt nice, wenn mal alle User allen Usern beitreten könnten. Betrifft immer nur Spezialfälle. Also wenn z.B. zwei User beim gleichen Provider sind, oder Handy Internet nutzen. Mit Handy Internet können gewisse Leute gar nirgends joinen, obwohl die auf den Lobby Server kommen.
Und auch halt ich selber muss hinter doppelt NAT VPN nutzen, um auf Sessions der anderen Nutzer joinen zu können.
Funktioniert ja eigentlich ganz gut. Aber besser wär ja bekanntlich der Feind von "gut genug".
Gruss und danke
Hatte schon mehrfach die Diskussion hier und auch in anderen Foren. Wusste atm. grad nicht, wo ich das plazieren soll. Habe einen Gameserver an doppelt NAT, eine Sense als exposed Host und IPv4 only. Keine Ahnung, ob die Gameserver Software selbst IPv6 unterstützt. Die Clients verbinden sich untereinander P2P. Die KI hat mich schon mehrmals auf STUN, TURN und ICE aufmerksam gemacht.
Ich teile mal den Link zu Gemini:
Kennt sich wer mit der Thematik aus? Würde mir da IPv6 was bringen?
Das war mal ein alter Thread, den ich dazu hatte:
Pilot und Copilot können nicht gegenseitig joinen
Hi Habe da ein Problem, wo ich nicht weiter komme. Habe einen Pilot- und Co Piloten Sitz. Bislang, wenn ich mich an einem Flugsimulator angemeldet hatte, musste ich mich mit Pilot- und Co Pilot per VPN verbinden. Vom Pilotensitz zum Copilotensitz musste ich in der Zywall eine allow all Regel...
www.hardwareluxx.de
Aber glaube, ubound split dns wäre da von der falschen Seite aufgewickelt. So wie ich verstanden habe von gemini, müsste ich den Server IPv6, bzw. die Auflösung darüber fit machen (läuft im Moment über Cloudflare).
Auf jeden Fall hochinteressantes Thema. Ich kann da nur bedingt folgen, komme da aber glaube ich weiter. Wäre echt nice, wenn mal alle User allen Usern beitreten könnten. Betrifft immer nur Spezialfälle. Also wenn z.B. zwei User beim gleichen Provider sind, oder Handy Internet nutzen. Mit Handy Internet können gewisse Leute gar nirgends joinen, obwohl die auf den Lobby Server kommen.
Und auch halt ich selber muss hinter doppelt NAT VPN nutzen, um auf Sessions der anderen Nutzer joinen zu können.
Funktioniert ja eigentlich ganz gut. Aber besser wär ja bekanntlich der Feind von "gut genug".
Gruss und danke
Zuletzt bearbeitet:
toscdesign
Enthusiast
Also wenn ich das so hier lese, sollte ich beim alten DHCP Server bleiben, wenn alles läuft?
Also nicht auf KEA umsteigen?
Habe aktuell 3 VLANs mit eigenen IP Adressbereichen.
DNS macht bei mir 2x Bind9 (wegen interner Domain), welche Anfragen nach extern zu 2x pihole weiterleiten, die wiederum zu 2x Unbound.
Also nicht auf KEA umsteigen?
Habe aktuell 3 VLANs mit eigenen IP Adressbereichen.
DNS macht bei mir 2x Bind9 (wegen interner Domain), welche Anfragen nach extern zu 2x pihole weiterleiten, die wiederum zu 2x Unbound.
Weltherrscher
Enthusiast
- Mitglied seit
- 28.04.2008
- Beiträge
- 999
@toscdesign: Man kanns auch kompliziert machen, wieso leitet pihole nochmal an unbound weiter?
Wenns läuft könnt ihr alle bei ISC bleiben, es gibt nicht sonderlich viele Use Cases, welche einen Umstieg rechtfertigen.
Spätestens, wenn der ISC dann entfernt wird, solltet ihr aber eine Strategie haben.
Wenns läuft könnt ihr alle bei ISC bleiben, es gibt nicht sonderlich viele Use Cases, welche einen Umstieg rechtfertigen.
Spätestens, wenn der ISC dann entfernt wird, solltet ihr aber eine Strategie haben.
toscdesign
Enthusiast
Weil ich keinen öffentlichen DNS Server nutze, der Unbound holt es sich von den Root DNS Servern, wenn nötig.
Wegen der "Zensur" in Deutschland.
Stichwort CUII:
CuiiListe.de
Die CUII Liste zeigt dir, welche Domains von der CUII gesperrt sind und wie du die Zensur umgehen kannst.
Weltherrscher
Enthusiast
- Mitglied seit
- 28.04.2008
- Beiträge
- 999
Den Quad9 (unzensiert) oder die root-Server kannst doch auch direkt im pihole als upstream eintragen?
Ähnliche Themen
- Artikel
[User-Review]
Synology ActiveProtect Appliance DP320 im Lesertest
- Frage / Lösungssuche