@“x”#234740Jein, da ich aktuell meine Server inklusiv Opnsense im Keller habe und dahin nur ein einzelnes LAN-Kabel ziehen kann, (Aus Platzgründen in den Rohren in der Wand), könnte ich die Clients des Heimnetzes nicht hinter die OPNsense bringen, somit müssen meine Client im Heimnetz hinter der IBox bleiben, auch ein Switch oben ist nicht möglich, da dafür auch 2 Kabel benötigt werden (eines runter, eines hoch).

Tut mir leid, aber ich habe bereits zu oft über dieses Thema diskutiert, hier Reddit, Opnsense Forums, etc.
ES IST NICHT ANDERS MÖGLICH aktuell!

Ich würde daher gerne die anderen Probleme der aktuell Situation versuchen zu lösen.

Vielen Dank trotzdem für den Lösungsansatz, die Netzwerkstruktur zu ändern.

@“x”#234740Liebend gerne würde ich Deinen Ansatz den ich vollkomen verstehe umsetzten, jedoch leider so garnicht möglich, da die Server ca. 50m von der IBox entfernt sind, und der Hauptanschluss nur relativ schwer umverlegt werden kann, das habe ich auch scho zu genügen oft versucht.

Also aktuell ist die IBOX beim Swisscom Hauptanschluss, da dort aber nur limitierter Platz verfügbar ist, ist es nicht wirklich möglich, die opnsense dort anzuschliessen.

Hey @PowerMac

Vielen Dank für die Antwort!

- Aktuell rede ich immer vom Access vom Heimnetz, dem Netz direkt hinter der Swisscom IBox wo alle Clients leben.
Genau auch der http/https access bezieht sich auf das, als beispiel, ich habe jellyfin auf ip xyz:8096 und via reverseproxy auf jellyfin.meinedomain.com, ich kann dann via IP direkt wunderbar auf die services zugreifen, jedoch mit der domain nicht.
- Ist ne opnsense, war mal eine pfsense, war mir aber mir der aktuellen netgate Situation nicht mehr so wohl.
- DMZ habe ich aktuell ausgeschaltet, da das homelab aktuell erstmal nur via VPN erreichbar von aussen ist.
- Die Internetbox hat zwei Statische Route, eine ist Server-Netz -> Ein Subnetz für alle Physiches Hosts, und eine ins VM/Container Netz, ein Subnetz für alle Services, Container,VM’s und LXC’s.
- DHCP ist die Ibox und im Server Netzwerk die OPNsense.
- Theoretisch könnte ich das LAN-Kabel vom Server Netz ausziehen und hätte mein bestehendes vollständig “normales” Swisscom Heimnetz.
- Genau die Clients in meinem Swisscom Heimnetz werden via Option6 auf einen RaspberryPi mit Pihole verwiesen.
- Die Server haben alle als DNS Server die OPNsense eingetragen, welche die Anfragen and einen Pihole/AdguardHome die auf den Servern laufen weiterleitet.
- Genau korrekt, IGMP Proxy ist nicht auf der OPNsense, da die OPNSense wirklich nur Server hinter sich hat.

Vielen Dank für Deine Hilfe!

Und entschuldige die wenigen Details zum Anfang!

Hallo @Werner

Vielen Dank für die Verlinkung, das wäre noch eine gute Idee gewesen!

Ich habe mich für die 2 seperaten Netze entschieden, die aber via statische Route erreichbar sind, somit vermute ich die hybride Variante.

DNS ist beides Separiert.
Ein DNS Server für die Swisscom Clients, zwei DNS(pihole/adghome) via OPNsense für die Server im “Server-Netz”.

Habe das gefühl, dass DNS hier kaum das Problem sein wird, da dieser ja von einem Seperaten Gerät innerhalb vom Swisscom Ibox Subnetz erledigt wird, und somit auch mein PC jederzeit, währendem das OPNsense Net “down” ist die dns resolven kann.

Problem mit dem Reverse Proxy, habe ich auch weniger das gefühl, da schlussendlich zur Problemlösung immer ein Swisscom-Router reboot notwendig war.

Probleme bereitet eigentlich das gesamte Netz der Opnsense, jedoch habe ich immer mehr das gefühl, dass nicht die OPNSense wie immer vermutet, sondern die Swisscom IBox das Problem darstellt, da sie ja für die statische Route zuständig ist.

Was ich mich auch noch frage, theoretisch hängt ja aktuell mehrere 10.X.10.X Subnetze inklusive rund (gescchätzt) 200 verschiedene IP’s (Clients-> LinuxContainer/Docker/VM’s) an einem einzelnen Port der Ibox, kann dies zu einem Problem führen, dass etwas overflowt?

Hab mal von irgendwie Nat Table overflow oder so gehört.

Heyho

Eine weile her seit ich mich das letzte mal gemeldet habe, ich habe vor ca. einem halben Jahr ein kleines Homelab aufgebaut, dies ist ca. wie folgt strukturiert:

Leider habe ich aber etwa täglich komplett keinen Zugriff mehr auf alle http/https services im opnsense subnetz, die opnsense erscheint im router als online jedoch ist kein Zugriff mehr auf mein homelab möglich, direkter IP access funktioniert meistens vollsändig, lediglich http/https funktioniert garnicht.

Ein Swisscom-Routerneustart lässt alle Probleme verschwinden. (Router funktioniert sonst ohne probleme für Swisscom Subnetz)

Bin mir aktuell nicht richtig sicher welche Details hier hinzuzufügen, deshalb belasse ich das mal los.

Vielen Dank für jede Hilfe dieses Problem zu lösen!

@user109@“x”#65

Vielen Dank euch, habe den Button gefunden, komischerweise war er nach dem ersten reboot nicht verfügbar, und meine Box brauchte einen zweiten.

Hallo Zusammen, habe das update soeben installiert, konnte schon jemand von euch herausfinden, wie man den DarkMode aktiviert?

Vielen Dank @Werner

Das hat mich auf die richtige Idee gebracht, im Tailscale Client gibt es ne Option “Exit Node”, dort konnte ich mein internets Gerät auswählen, dann hat die Verbindung funktioniert via internetbox.swisscom.ch.

Dankeschön!

Hi @r00t
Nope ein Ping geht komischerweise auch nicht durch.

internetbox.swisscom.ch geht nicht und wird wohl auch nicht gehen, da die anders resolved wird, und nicht über Tailscale geroutet wird.

internetbox.swisscom.ch -> Hat zu lange gedauert….
http://192.168.1.1 -> Verbindung abgelehnt

https://192.168.1.1 -> Verbindung abgelehnt
ping 192.168.1.1 timeout

Hallo Zusammen

Ich habe aktuell ein Tailscale VPN mit exit Node konfiguriert und das funktioniert soweit auch perfekt auf allen Geräte in meinem Haushalt-> VPN ein alle Geräte sind erreichbar mit der selben IP als wär ich zuhause.

Jedoch lehnt die Internetbox die verbindung ab, ein HTTP Error: Refused to connect.

Liegt es dara, dass die VPN Devices eine 100.x.x.x IP bekommen?

Wie könnte ich sowas aushebeln?

Custom Firewall Rule basteln?

Weil normalerweise braucht ja Tailscale keine Port Forward o.ä.

@NilsL

Vielen vielen vielen Dank für diesen Tipp, da wär ich echt nicht draufgekommen, dass sowas möglich ist.

Habs sogar soweit hinbekommen, dass die VM eine IP der IBox bekommt, habe aber aktuell noch ein paar Firewall Rules Probleme (https://forum.netgate.com/topic/187063/vlan-to-bridge-to-wan-side/3))
Da bin ich aber vermutlich im pfsense Forum besser bedient, es sein denn, jemand hat hier direkt eine Idee.

Vielen Dank an alle insbesondere an @NilsL

@Werner

Verstehe nicht ganz wieso das nicht funktionieren soll.

Aktuell laufen meine Server (kein RPi) hinter einer zusätzlichen pfsense, damit ich mehr funktionen habe vlans etc.

Die IBox auszutauschen ist nicht möglich, da andere Anwohner auf diese Angewiesen sind.

Deshalb läuft die pfsense mit einem eingenen Netz, mit dem Ziel alle Server von einem Zentralen Proxmox Cluster zu betreiben. Jetzt wieder einen Server aus dem etwas entfernten Platz wieder direkt hinter die IBox zu setzten ist zum einten nicht möglich under würde für mich absolut keinen Sinn machen, da ich alle Server zentral über Proxmox mangen möchte.

PS. Aktuell läuft es ja auch nur halt mit einem Forwarder DNS Server der pfsense zwischendrin.

@NilsL Nein leider nicht, die Ibox scheint bei der eingabe des 10.x netztes sofort auch die DNS Server zu validieren.

@NilsL Okay dieses Problem konnte ich lösen, danke.

Hat sonst noch wer @Werner? eine Idee wie ich das ursprüngliche Problem lösen könnte?

Oder wieso Swisscom ein DNS Server in anderem Subnetz überhaupt verbietet?

Komischerweise trägt die IBox als DNS Server sich selbst ein auf den Geräten die per DHCP Konfiguriert werden, anstatt die IP des DNS Server mitzugeben, ist das normal?

@marcus @Werner

Aktuell habe ich die Ibox in normalem Betrieb für alle Privaten Geräte, TV’s etc.

Nur das Homelab steht hinter der pfsense.

Nun soll jeglicher DNS von meinem Pi-hole im homelab hinter der pfsense aufgelöst werden.

Wenn ich aber versuche die IP des piholes einzugeben, erscheint folgende Fehlermeldung:

@[gelöscht]
Leider Nein.

[upl-image-preview liId=“58743iBADF66FD0D3A0BFB” alt=“Neliommiosch84_0-1711725587217.png” uuid=“https://community.swisscom.ch/t5/image/serverpage/image-id/58743iBADF66FD0D3A0BFB/image-size/medium?assetToken=FdWIyGwkY7lu0iPMXm_nhIUuX xSO6wv7FwHbCsPMaMj6yYSUZ4djsswEquHKnMidyKXj2JEt6UdkptcQHEafdGCOB_fU6ZuOmtIYmitSCySTSW-suvlr1XbmbHsZS82AZv9HoabCHP1vKpmNPPOfN4ALHw&v=v2&px=400”]

Hallo Zusammen

Ich habe nun endlich mein Proxmox cluster versorgt in einem zweiten Subnetz aufgebaut.

Nach langem hin und her hier habe ich mich dazu entschieden hinter dem swisscom Router die pfsense und hinter ihr dann mein cluster.

Dies passiert aktuell mit statischen Router.

Heute wollte ich einen pihole DNS-Server einrichten, jedoch lässt mich die Ibox keine dns-server ip von 10.x.x.x eingeben.

Wie könnte ich dies umgehen?

Ein weg habe ich gefunden, als dns server die wan-ip von pfsense nutzten, auf der pfsense ein forward zum pihole -> pihole löst auf, dies scheint mir jedoch ein recht umständiger weg für jede DNS anfrage zu sein.

Habt ihr hier andere Ideen?

Okay, Vielen Dank!