W0nderW0lf Posted September 22, 2021 Share Posted September 22, 2021 Hallo an alle, ich plage mich momentan mit dem Problem ab, dass ich nicht verstehe wie man User richtig verwaltet und auch an Container übermittelt. Ich muss gestehen, das das Usermanagement bei Unraid zu wünschen übrig lässt. Ich kann zwar einen User definieren, aber keinerlei Rechte verwalten. Ist das überhaupt geplant?? Wozu gibt es die Möglichkeit in der Anmeldemaske frei wählbare User namen einzutippen, wenn man sich nur mit root anmelden kann, oder übersehe ich hier was? Habe unter User meinen non-root definiert und kann mich mit dem nicht anmelden. Unter https://wiki.unraid.net/Un-Official_UnRAID_Manual#Users wird ein "Security" Bereich beschrieben den ich so nirgends finde. Oder ist das nur bezogen auf SMB/NFS/FTP Security? Selbst das finde ich etwas unübersichtlich... Mein Hauptproblem ist allerdings, ich habe keine Ahnung wie ich meinen non-root User richtig an meine Container weiter reiche. Ich bekomme trotz allem immer "Login failed" .... Finde ich schon echt zum verzweifeln wie schwer das ganze gamanged ist. Ich habe die richtige UID und GID von meinem User angegeben. Quote Link to comment
matty2k Posted September 22, 2021 Share Posted September 22, 2021 Ich bin mit unraid auch kürzlich gestartet und hatte so meine Lernphase (komme von Synology wo ein grundlegend anderes Konzept zu Grunde liegt). Wie dem auch sei, verwaltet der User Root den Server mit sämtlichen Docker Containern, SMB Shares, usw.. Alle anderen User die angelegt werden, sind letztendlich nur User für den Zugriff auf deine Shares. Diese haben keine weiteren Rechte um unraid selbst zu verwalten. Verschiedene Nutzer der Docker Applikationen werden in der Regel in dieser selbst angelegt. Soweit mein aktuelles Verständnis. Den Wunsch nach weiteren „Server Administratoren“ mit entsprechender Rechte Konfiguration, bspw. nur Docker verwalten gibt es, eine Umsetzung hingegen bisher anscheinend nicht. Quote Link to comment
ich777 Posted September 22, 2021 Share Posted September 22, 2021 42 minutes ago, W0nderW0lf said: Mein Hauptproblem ist allerdings, ich habe keine Ahnung wie ich meinen non-root User richtig an meine Container weiter reiche. Du meinst das du dem Rechte gibst Container zu verwalten, wenn ja das geht auf unRAID nicht. Du hast einen Hauptbenutzer der managed praktisch den Server und dann hast du die anderen Benutzer die auf die Freigaben per SMB, NFS oder was auch immer zugreifen können. root ist der einzige user der sich in der WebGUI von unRAID selbst anmelden kann. Wird in der 6.10.0 viel schöner dargestellt das man es auch besser versteht: Quote Link to comment
W0nderW0lf Posted September 22, 2021 Author Share Posted September 22, 2021 Mir geht es darum, ich habe jetzt meinen share mit Musik und probiere gerade entsprechende Container Dienste aus die meine Library anderen Geräten zur Verfügung stellen. Mir ist allerdings nicht ganz klar welche Container Variable: PUID und PGID ich nehmen muss, damit ich mich am entsprechenden Dienst authentifizieren kann. Also sehr schwer für User ohne entsprechende Erfahrung dahinter zu kommen, wie das funktioniert. Ich bin davon ausgegangen, ich kann einfach die UID+GID von meinem unRAID User verwenden, aber pustekuchen ... geht nicht. Habt ihr ne Ahnung wie das geht? Generell zu dem Usermanagement, finde ich das schon sehr schade das so ein IMO wichtiges feature wie User-Rechte-Management nicht existent ist. Wenn ich z.B. meiner Frau und meinem Kind Zugang zur Web-UI geben will, muss ich ja unweigerlich Root mit ihnen teilen, was alles andere als optimal ist. Also im Bezug auf eigene Container oder Shares nach eigenem belieben verwalten. Quote Link to comment
ich777 Posted September 22, 2021 Share Posted September 22, 2021 1 hour ago, W0nderW0lf said: Mir geht es darum, ich habe jetzt meinen share mit Musik und probiere gerade entsprechende Container Dienste aus die meine Library anderen Geräten zur Verfügung stellen. Mir ist allerdings nicht ganz klar welche Container Variable: PUID und PGID ich nehmen muss, damit ich mich am entsprechenden Dienst authentifizieren kann. Also sehr schwer für User ohne entsprechende Erfahrung dahinter zu kommen, wie das funktioniert. Ich bin davon ausgegangen, ich kann einfach die UID+GID von meinem unRAID User verwenden, aber pustekuchen ... geht nicht. Habt ihr ne Ahnung wie das geht? Was wie UID und GID? Welcher container? Benutz bitte immer UID 99 und GID 100 auf unRAID (das ist nobody:users). 1 hour ago, W0nderW0lf said: Generell zu dem Usermanagement, finde ich das schon sehr schade das so ein IMO wichtiges feature wie User-Rechte-Management nicht existent ist. Also du könntest dir portainer installieren und dir dort user einrichten und dann dort erlauben Docker zu starten oder zu stoppen. 1 hour ago, W0nderW0lf said: Wenn ich z.B. meiner Frau und meinem Kind Zugang zur Web-UI geben will, muss ich ja unweigerlich Root mit ihnen teilen Warum willst du das machen? Würd ich nie, für mich gibts nur einen Server Admin, viele Köche verderben den Brei (auch wenns die Familie ist)...😅 1 hour ago, W0nderW0lf said: Also im Bezug auf eigene Container oder Shares nach eigenem belieben verwalten. Container würd ich auch nicht von allen verwalten lassen aber da teilen sich die Meinungen, aber du kannst es mit der "Lösung" von oben versuchen mit Portainer. Du kannst jedem einen eigenen Share machen und dort könnte man dann alles drin machen sprich pro user einen User share und dann noch Lesezugriff auf andere shares. Ich kenne instanzen auf denen es 50 shares gibt und keiner kennt sich mehr aus weil jeder wahllos shares anlegt. Ich verfolge auch das Prinzip ein Admin und wenn jemand was will muss er zum Admin gehen. Quote Link to comment
W0nderW0lf Posted September 22, 2021 Author Share Posted September 22, 2021 Quote Was wie UID und GID? Welcher container? Benutz bitte immer UID 99 und GID 100 auf unRAID (das ist nobody:users). Mein unRAID User hätte die UID 1000 und GID 100 gehabt. Ich dachte das würde der Container vom System aus lesen und in den container importieren. Ich bin noch nicht so tief im Container Thema... Quote Also du könntest dir portainer installieren und dir dort user einrichten und dann dort erlauben Docker zu starten oder zu stoppen. Ich habe nun herausgefunden wo mein Problem war. Ich konnte weder bei dem Music Container (airsonic advanced) noch beim Portainer auf die Web-GUI zugreifen. Eingestellt hatte ich Network Type: Bridge. Und ich war in der annahme das ich so darauf zugreifen müsste http://<unraid-ip>:<Port> De facto musste ich aber auf Network Type: Custom br0 umstellen und eine eigene IP vergeben damit das funktioniert. Kommt auch jeder auf anhieb drauf das das so sein muss. (-_- ) .. oder vielleicht hätte es auch über Bridge funktioniert, nur mit meiner Config stimmt was nicht. Ich weiß es nicht... muss noch viel über unRAID und Container lernen... Generell ist das mein 1. Hypervisor. Quote Warum willst du das machen? Würd ich nie, für mich gibts nur einen Server Admin, viele Köche verderben den Brei (auch wenns die Familie ist)...😅 Container würd ich auch nicht von allen verwalten lassen aber da teilen sich die Meinungen, aber du kannst es mit der "Lösung" von oben versuchen mit Portainer. Du kannst jedem einen eigenen Share machen und dort könnte man dann alles drin machen sprich pro user einen User share und dann noch Lesezugriff auf andere shares. Ich kenne instanzen auf denen es 50 shares gibt und keiner kennt sich mehr aus weil jeder wahllos shares anlegt. Ich verfolge auch das Prinzip ein Admin und wenn jemand was will muss er zum Admin gehen. Dann macht aber wie gesagt, die Anmeldemaske keinen Sinn, wenn nur ein Account zur Anmeldung zulässig ist. Da reicht dann einfach ein Passwortfeld. Aber auch aufstrebende Köche müssen in der gleichen Küche mit den selben Utensilien kochen können. Wäre halt schön wenn ich meinem kleinen IT'ler seinen personal space zum "spielen" geben könnte ohne eine extra maschine zu kaufen. Nach dem Motto "Learning by doing" Wenn ich morgen drauf gehe, ist mein Sohn der einzige der den Brei rühren könnte. Solange das nicht der Fall ist, würde ich gerne wissen wer am System was gemacht hat. Dazu eben mehrere User mit Rechten. Quote Link to comment
ich777 Posted September 22, 2021 Share Posted September 22, 2021 5 minutes ago, W0nderW0lf said: De facto musste ich aber auf Network Type: Custom br0 umstellen und eine eigene IP vergeben damit das funktioniert. Kommt auch jeder auf anhieb drauf das das so sein muss. (-_- ) Da hats aber dann was, das sollte nicht so sein standardmäßig... 6 minutes ago, W0nderW0lf said: nur mit meiner Config stimmt was nicht. Ich weiß es nicht... muss noch viel über unRAID und Container lernen... Generell ist das mein 1. Hypervisor. Probier mal alles aus, das mit den containern war mir am anfang auch nicht geheuer aber jetzt ist es meine to go solution... 6 minutes ago, W0nderW0lf said: Dann macht aber wie gesagt, die Anmeldemaske keinen Sinn, wenn nur ein Account zur Anmeldung zulässig ist. Da reicht dann einfach ein Passwortfeld. Das könntest du ja mal anmerken, aber viele bots wissen das nicht wenn unabsichtlich mal jemand seinen Server so ins internet stellt und probieren es vielleicht mit Admin, admin, administrator usw. ist trotzdem irgendwo verständlich, ist bei vielen Routern doch auch so dort gibt es auch nur einen "admin" und kannst keinen zusätzlichen Benutzer anlegen und musst trotzdem immer admin eingeben, ich glaube du weiß auf was ich raus will... 8 minutes ago, W0nderW0lf said: Aber auch aufstrebende Köche müssen in der gleichen Küche mit den selben Utensilien kochen können. Kommt meistens nur Streit raus... unRAID ist da einfach vom prinzip her anders was ich auch in vielerlei Hinsicht gut finde, einfach ein anderes prinzip. 10 minutes ago, W0nderW0lf said: Wenn ich morgen drauf gehe, ist mein Sohn der einzige der den Brei rühren könnte. Solange das nicht der Fall ist, würde ich gerne wissen wer am System was gemacht hat. Dazu eben mehrere User mit Rechten. Dann empfehle ich dir einen Thread im Feature Request Unterforum aufzumachen... Aber das richtig umzusetzen ist schwierig, denn so wie es auf den Synos ist gefällt es mir persönlich nicht... Hat wie gesagt alles vor und Nachteile. Quote Link to comment
W0nderW0lf Posted September 22, 2021 Author Share Posted September 22, 2021 4 minutes ago, ich777 said: Da hats aber dann was, das sollte nicht so sein standardmäßig... Ich habe nach wie vor einen Punkt bei dem ich nicht weiß ob das ein Bug ist. Vielleicht hängt das auch damit zusammen. Ich kann z.B. kein Zertifikat über Management Acces provision' weil der sich über den DNS Rebound schutz beschwert. unRAID hat aber auch nicht erkannt, dass ich meine TLD (example.com) geändert habe und konnte auch nicht "Update DNS" anklicken. War ausgegraut... hat den Wert <Hostname.local> als Issuer beibehalten. Musste darum mein eigenes Zertifikat einspielen damit ich über HTTPS arbeiten kann. Hab hier schon mal gemeckert, aber leider hat mir niemand weiterhelfen können. Ich habe also keine Ahnung wo da jetzt genau der Wurm drinne ist, aber es wäre schön wenn ich einen Weg finden könnte, dass es auch auf dem Standardweg funktioniert. Ne Ahnung wo ich gucken müsste, damit ich das ganze einfach über die Bridge laufen lassen könnte? Danke nochmal für deine Zeit! Quote Link to comment
ich777 Posted September 22, 2021 Share Posted September 22, 2021 Ich bin da leider auch der falsche da ich das alles über SWAG mache... Lese auch du hast eine Fritzbox, da kenn ich mich überhaupt nicht aus und mag die dinger auch nicht sonderlich... @Ford Prefect kannst du hier evtl weiter helfen? Kannst du vielleicht einen Bug Thread aufmachen im richtigen Unterforum hier: Klick Bitte vergiss nicht das MyServers und so noch beta ist und ständig verbessert wird, bist du schon auf der 6.10.0-rc1 wenn nein würd ich dir empfehlen mal in die Richtung zu gehen wird wirklich laufend verbessert. Quote Link to comment
W0nderW0lf Posted September 22, 2021 Author Share Posted September 22, 2021 Ich hab mich gefreut, dann kam wieder die Ernüchterung. XD Zur Erläuterung. Meine Workstation sitzt hinter meiner Firewall (VM im unRAID = OPNsense). Ich komme zwar von meinem OPNsense LAN ins Fritzbox LAN und kann auf das Dashboard von unRAID zugreifen, aber nicht auf die Ports von den Containern. Erst wenn ich LAN trenne und ins Fritzbox WLAN gehe, kann ich darauf zugreifen. Darauf bin ich auch nicht gekommen, da ich sonst überall hin komme... muss also noch ein bisschen tüfteln. Das CA Provision problem bleibt aber bestehen. Auch ohne die OPNsense VM. Quote Link to comment
jj1987 Posted September 22, 2021 Share Posted September 22, 2021 4 hours ago, W0nderW0lf said: Ich kann z.B. kein Zertifikat über Management Acces provision' weil der sich über den DNS Rebound schutz beschwert Hast du denn gegen diesen Punkt etwas unternommen, sprich in der Fritzbox Unraid als Ausnahme vom Rebound-Schutz eingetragen? 1 Quote Link to comment
ich777 Posted September 22, 2021 Share Posted September 22, 2021 3 hours ago, W0nderW0lf said: Auch ohne die OPNsense VM. Ich muss dir sowieso gestehen gegen sowas bin ich sowieso strikt. Firewall Virtualisieren speziell auf unRAID. Du hast spätestens dann wenn du dir Plugins installierst die beim Start von unRAID auf updates prüfen ein Problem geschweige denn von evtl. anderen Problemen wenn unRAID mal offline ist, das könnte dann zu richtigen Problemen führen, real life... @mgutt hast du da nicht mal was gepostet mit dem Rebind von der Fritzbox? Quote Link to comment
mgutt Posted September 22, 2021 Share Posted September 22, 2021 42 minutes ago, ich777 said: hast du da nicht mal was gepostet mit dem Rebind von der Fritzbox? Schon öfter, aber hat ja @jj1987 schon gesagt, dass man da eine Ausnahme einstellen muss. 1 Quote Link to comment
Ford Prefect Posted September 22, 2021 Share Posted September 22, 2021 Ich hab mich gefreut, dann kam wieder die Ernüchterung. Zur Erläuterung. Meine Workstation sitzt hinter meiner Firewall (VM im unRAID = OPNsense). Ich komme zwar von meinem OPNsense LAN ins Fritzbox LAN und kann auf das Dashboard von unRAID zugreifen, aber nicht auf die Ports von den Containern. Erst wenn ich LAN trenne und ins Fritzbox WLAN gehe, kann ich darauf zugreifen. Darauf bin ich auch nicht gekommen, da ich sonst überall hin komme... muss also noch ein bisschen tüfteln. Das CA Provision problem bleibt aber bestehen. Auch ohne die OPNsense VM....Du hast doch Deine VM auf virtio aufgesetzt, oder? Was heisst jetzt Fritz WLAN???WLAN und LAN der Fritz sind in der Fritz gebridged und daher ein Netzsegment. Allerdings, wenn Deine opnsense Dein Router, inkl IDS/IPS sein soll, kann Deine Fritz nicht LAN, sondern nur WAN sein.Wenn Du in der opnsense LAN deaktiviert hast und dann von der Fritz aus auf unraid kommst, hast Du ein konzeptionelles Problem. Das Einzige Glückliche dabei ist, dass man in der Fritte das NAT nie ausschalten kann....sonst wären die bösen Buben schon da ...Du solltest mal ein Bild malen, was Duü überhaupt mit welchem Layer (L2-Etherner, L3- IP und L7-Apps, inkl. CA) vorhast. Von hier sieht es erstmal nicht sehr klar aus, sorry.Gesendet von meinem SM-G780G mit Tapatalk Quote Link to comment
W0nderW0lf Posted September 23, 2021 Author Share Posted September 23, 2021 19 hours ago, jj1987 said: Hast du denn gegen diesen Punkt etwas unternommen, sprich in der Fritzbox Unraid als Ausnahme vom Rebound-Schutz eingetragen? Habe ich noch nicht gemacht. Wusste auch nicht das man Ausnahmen hinzufügen kann. Ist die Frage ob das noch Sinn macht, wenn ich mit nem reverse Proxy meine eigene Domäne dafür nehmen kann. 19 hours ago, ich777 said: Ich muss dir sowieso gestehen gegen sowas bin ich sowieso strikt. Firewall Virtualisieren speziell auf unRAID. Du hast spätestens dann wenn du dir Plugins installierst die beim Start von unRAID auf updates prüfen ein Problem geschweige denn von evtl. anderen Problemen wenn unRAID mal offline ist, das könnte dann zu richtigen Problemen führen, real life... Ja naja ... Pro und Contra... Ich habe auch nicht alles durch OPNsense geroutet. Hab mir eben gleiches gedacht. Gab auch schon den Fall, dass die VM nicht hochfahren wollte, weil Kernel Error nach bad shutdown. Anderes Problem war auch, ich müsste ganz viele Rules erstellen und Ports öffnen, wenn ich andere nicht OPNsense Clients mit den Containern kommunizieren lassen will. Stattdessen möchte ich jetzt auf traefik oder anderen Proxy Lösungen setzen. Ganz sensible Dinge habe ich im OPNsense Netz. Geht mir primär um Medien (Mp3's, movies etc.) die über unRAID anderen zur Verfügung gestellt wird. Nix wirklich privates. 16 hours ago, Ford Prefect said: ...Du solltest mal ein Bild malen, was Duü überhaupt mit welchem Layer (L2-Etherner, L3- IP und L7-Apps, inkl. CA) vorhast. Von hier sieht es erstmal nicht sehr klar aus, sorry. Ich hoffe das ist so verständlich. Mein Client ist über LAN direkt mit OPNsense verbunden. Zu testzwecken kann ich immer auf WLAN wechseln. Aber das mache ich immer nur zum testen. Ich würde schon gerne im LAN sitzen bleiben. Ich möchte, sofern das mit dem traefik reverse proxy container klappt, meine Container von unterwegs erreichen. Wenn ich zu Hause bin, möchte ich jetzt nicht ständig von LAN ins WLAN wechseln, nur um den Webplayer (z.B. 192.168.50.54:4040) für meine Musik benutzen zu können. Damit ich die Container auch aus dem OPNsense LAN erreiche, muss ich den Containern eine eigene IP aus dem Subnetz 192.168.50.0/24 geben. Ich weiß nicht ob Traefik damit klar kommt, wenn alle Container ne eigene IP haben. Außerdem ist das dann in der Fritzbox Host Liste unübersichtlich, wer wer ist. Quote Link to comment
Ford Prefect Posted September 23, 2021 Share Posted September 23, 2021 Ich hoffe das ist so verständlich. Mein Client ist über LAN direkt mit OPNsense verbunden. Zu testzwecken kann ich immer auf WLAN wechseln. Aber das mache ich immer nur zum testen. Ich würde schon gerne im LAN sitzen bleiben. Ich möchte, sofern das mit dem traefik reverse proxy container klappt, meine Container von unterwegs erreichen. Wenn ich zu Hause bin, möchte ich jetzt nicht ständig von LAN ins WLAN wechseln, nur um den Webplayer (z.B. 192.168.50.54:4040) für meine Musik benutzen zu können. Damit ich die Container auch aus dem OPNsense LAN erreiche, muss ich den Containern eine eigene IP aus dem Subnetz 192.168.50.0/24 geben. Ich weiß nicht ob Traefik damit klar kommt, wenn alle Container ne eigene IP haben. Außerdem ist das dann in der Fritzbox Host Liste unübersichtlich, wer wer ist.Also welches IP Netzwerk hat denn das LAN mit den Clients?Du hast das Heimnetz der Fritz als WAN bezeichnet, benutzt es aber wie ein LAN.Fakt ist, so hast Du kein WAN an der OPNsense.Bzw. alles was im 192.168.50.0/24er ist, ist also böse, eben nicht LAN.Da gehört dann unraid und die Container nicht rein. Ich denke Du musst Dich entscheiden, wer hier zentrale ist, die Fritz oder opnsense. Das mit der Musik verstehe ich nicht...ist das der Mediaplayer der Fritz? Oder ein Container auf unraid? Klar geht das nur vom WLAN aus, weil js die opnsense denkt, dass das WAN ist und die Fritz es als sicheres Heimnetz ansieht. Du musst für WAN ein eigenes Netz nehmen. Das LAN (undxWLAN) der Fritz muss auch LAN der opnsense werden. Das einfachste wäre, in der Fritz das Gastnetz auf LAN4 zu aktivieren. Diesen LAN4 der Fritz mit dem WAN NIC der opnsense verbinden...gibt dann eine IP aus dem Gastnetz der Fritz für Dein WAN. Dann LAN NIC der opnsense mit einem aus LAN1/2/3 der Fritz verbinden. In der opnsense dann DHCP aus, wenn Du in der Fritz sehen willst, welche Clients am Start sind. Dann sollte es mit LAN und WLAN und unraid Dockern komplett klappen. Edit: Allerdings sollte Dir auch klar sein, dass Du so dann immer noch so aufgestellt bist, dass das WLAN Dein IDS/IPS komplett umgehst.Grundsätzlich solltest Du die Fritte maximal als Modem ansehen, nur WAN = I-Net darüber machen und das WLAN der Fritte deaktivieren, sowie an der opnsense ein eigenes LAN (und WLAN mit anderem AP) getrennt von der Fritte aufbauen. Gesendet von meinem SM-G780G mit Tapatalk Quote Link to comment
W0nderW0lf Posted September 23, 2021 Author Share Posted September 23, 2021 Erstmal Danke nochmal für deine Zeit und die Erklärungen. Quote Also welches IP Netzwerk hat denn das LAN mit den Clients? Du hast das Heimnetz der Fritz als WAN bezeichnet, benutzt es aber wie ein LAN. Ich habe 4 Subnetze hinter meiner OPNsense. Lan, Server, (wireless - dazu gleich mehr), gaming. Das Fritten LAN bedient alle WLAN Geräte und die sind nun mal in der Mehrheit... aber mehr dazu unten. Quote Fakt ist, so hast Du kein WAN an der OPNsense. Bzw. alles was im 192.168.50.0/24er ist, ist also böse, eben nicht LAN. Da gehört dann unraid und die Container nicht rein. Ich denke Du musst Dich entscheiden, wer hier zentrale ist, die Fritz oder opnsense. Das mit der Musik verstehe ich nicht...ist das der Mediaplayer der Fritz? Oder ein Container auf unraid? Klar geht das nur vom WLAN aus, weil js die opnsense denkt, dass das WAN ist und die Fritz es als sicheres Heimnetz ansieht. Dessen bin ich mir bewusst, aber die ganze Umstellung kostet Geld... Und die Server und Hardware die ich selber administriere möchte ich schützen und habe diesen Spagat zwischen, Frau muss alles in ruhe machen können ohne sich aufzuregen weil die technik spinnt und ich möchte meine "safe zone". Wir haben nun eine gemeinsame Library mit Musik und haben Spotify sowie andere Streaming abos gekündigt. Darum möchte ich möglichst bald alles zur Verfügung stellen. Quasi step by step umstellen. Ich habe sowas vorher auch noch nie gemacht, darum versuche ich einen Weg zu finden, alles sauber umzustellen, ohne das Frauchen auf meine Hilfe angewiesen wird, weil etwas nicht klappt, wie streaming oder so... So DIY kram bedeutet schon viel arbeit und funktioniert Erfahrungsgemäß nie out-of-the-box. 2 hours ago, Ford Prefect said: Du musst für WAN ein eigenes Netz nehmen. Das LAN (undxWLAN) der Fritz muss auch LAN der opnsense werden. Das einfachste wäre, in der Fritz das Gastnetz auf LAN4 zu aktivieren. Diesen LAN4 der Fritz mit dem WAN NIC der opnsense verbinden...gibt dann eine IP aus dem Gastnetz der Fritz für Dein WAN. Dann LAN NIC der opnsense mit einem aus LAN1/2/3 der Fritz verbinden. In der opnsense dann DHCP aus, wenn Du in der Fritz sehen willst, welche Clients am Start sind. Dann sollte es mit LAN und WLAN und unraid Dockern komplett klappen. Edit: Allerdings sollte Dir auch klar sein, dass Du so dann immer noch so aufgestellt bist, dass das WLAN Dein IDS/IPS komplett umgehst. Grundsätzlich solltest Du die Fritte maximal als Modem ansehen, nur WAN = I-Net darüber machen und das WLAN der Fritte deaktivieren, sowie an der opnsense ein eigenes LAN (und WLAN mit anderem AP) getrennt von der Fritte aufbauen. Ich bin da ganz bei dir. Das war auch mein Ursprünglicher Plan mit meiner China Hardware, aber da die Performance mich sehr enttäuscht hat, wäre das eine Zumutung gewesen. Ich benutze das "Fritz-WAN" in der tat wie ein LAN, aus dem einfachen Grund, weil ich noch keine dedizierten AP's habe die ich ans OPNsense koppeln kann. Das ist so ein Projekt das möchte ich machen, wenn ich meine "Basis" fertig habe. Aus dem einfachen Grund. Ich habe 2 Cisco MX Geräte hier auf die ich erst OpenWRT flashen muss... das dauert... Dann kam Corona und für Homeoffice brauchte ich ein stabiles Netz wo meine Frau 24/7 arbeiten kann, ohne auf meine Hilfe angewiesen zu sein. Vor allem wenn es um das drucken oder streamen mit dem handy geht. Also auf Chromecast oder wo auch immer. Dann gibt es die Notebooks von der arbeit die halt streng reglementiert sind und ausschließlich im WLAN arbeiten. Also ganz kann ich das LAN deswegen nicht aufgeben. Quote Link to comment
Ford Prefect Posted September 23, 2021 Share Posted September 23, 2021 ...daher mein Vorschlag zumindest die zwei Netzsegmente, welche selbst eine doofe Fritz sauber trennen kann zu verwenden. Also das Fritz Gastnetz für WAN und das Fritz Heimnetz (inkl. WLAN) für das LAN Segment Deiner opnsense. Wenn Du in der opnsense einen dedizierten NIC für WAN und einen für LAN bereitstellen kannst, wäre das doch schon was.Zur Not einen 30-50EUR (neu) VLAN fähigen Switch davor und alles in dem NIC zur opnsense in VLAN getrennt tunneln.Bist Du in Deinem anderen Thread denn weiter und kannst jetzt vt-d pass-through zur VM?Gesendet von meinem SM-G780G mit Tapatalk Quote Link to comment
W0nderW0lf Posted September 23, 2021 Author Share Posted September 23, 2021 Wäre möglich, aber riskant. Ich habe die Befürchtung das bei meinen strengen OPNsense regeln vieles nicht mehr funktionieren wird. Ich bin quasi am "degooglen". Chromecast und unsere Android Geräte sind auf den google kack angewiesen. Dann auch noch der Drucker... ne Menge Ports die da geöffnet werden müssten. Das macht man nicht einfach mal an einem Abend. Laut Manual sollte das standardmäßig aktiv sein. Ich kann aber in unRAID nicht exklusiv die PCIe Karte zuweisen. Im BIOS ist es aber auch wirklich aktiviert. VT for Direct I/O Enables or disables the Virtual Machine Monitor (VMM) from utilizing the additional hardware capabilities provided by the Intel Virtualization technology for direct I/O. ● Enable VT for Direct I/O This option is set by default. Quote Link to comment
W0nderW0lf Posted September 23, 2021 Author Share Posted September 23, 2021 So sieht das bei mir aus @Ford Prefect Quote Link to comment
Ford Prefect Posted September 23, 2021 Share Posted September 23, 2021 Ok, das mit vt-d ist komisch....mal das neueste BIOS drauf und den Hersteller gefragt??Dein LAN, Multi-Segment Problem habe ich auch nicht ganz verstanden. Du willst für die Fremdgeräte (4men Läppi) Zugang zum I- Net -> auch ins Gast-Wlan.Ein LAN/WLAN Segment in "normal", für alle Clients ( Frau) -> Fritz Heimnetz...und eines nur für Dich ( Du kommst raus, aber keiner kommt rein), nur LAN -> LAN2 in opnsenseEin Service-LAN für Drucker, unraid usw.. -> Zugriff je nach Service aus LAN1 und LAN2 -> das Einfachste wäre auf dem unraid NIC VLAN zu aktivieren und es über fie opnsense über Firewall und inter-Vlan Routing Regeln zu lösen.Gesendet von meinem SM-G780G mit Tapatalk Quote Link to comment
Ford Prefect Posted September 23, 2021 Share Posted September 23, 2021 So sieht das bei mir aus @Ford Prefect...da hat doch jeder NIC eine eigene IOMMU group...sollte doch gehen. Ich bin gerade unterwegs und habe nur ein Phone ohne unraid Zugriff.Kann da aus der Ferne nicht mehr zu sagen, aktuell. Schaue mir die Konfiguration auch nicht jeden Tag an.Edit: ...so sieht es bei mir aus: ...ist das noch unraid v6.8.3 oder schon 6.9.2 ??Gesendet von meinem SM-G780G mit Tapatalk Quote Link to comment
W0nderW0lf Posted September 23, 2021 Author Share Posted September 23, 2021 Also es ist die neueste BIOS Version. Hab ein Update vor dem unRAID Setup gemacht. Ich denke ich werde von Dell keine Unterstützung bekommen, weil die sich von jeglichen nicht Windows Systemen im Client bereich distanzieren wollen. Darum gibt es im BIOS auch kein Legacy boot mehr sondern nur noch UEFI.. Darum war die 1. Einrichtung auch ein Kampf. Bei meinen recherchen damals hatte ich auch gelesen, dass sich unRAID alles untern Nagel reisst und man alles flexibel zuteilen kann. Funzt wohl doch nicht so wie ich mir das vorgestellt habe. Quote Link to comment
Ford Prefect Posted September 23, 2021 Share Posted September 23, 2021 Ich kann nicht ausschließen, dass es was mit dem Dell zu tun hat. Evtl. kannst Du in der Boot.cfg noch mit ein paar Kernel Parametern spielen, die vfio betreffen. Die IOMMU group und due devices sind ja da.Weiss nur nicht, warum bei Dir quasi die falschen angemarkert sind... Gesendet von meinem SM-G780G mit Tapatalk Quote Link to comment
W0nderW0lf Posted September 23, 2021 Author Share Posted September 23, 2021 Ich habe übrigens 6.9.2 Im Bios kann ich leider wenig einstellen was die Karte und VT betrifft. Ulkig fand ich, dass die 4 NIC's 8x als UEFI PXE Bootable angezeigt wurden. Also vllt ist das ein kompatibilitätsproblem, oder die Karte ist zu alt für das Mainboard... Ich weiß es nicht. Die Karte funktioniert ja... nur woran die IOMMU Group ausgemacht wird, I dont know. Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.