Messages

Hi.

In the beginning I was a little sceptical about OPN, since I readt a lot of negative stuff on the web. After testing both over a period of time and seeing the pfsense behaviour and direction they were taking, I felt more and more uncomfortable with PF.
Furthermore OPN seemed a lot more friendly and open minded to me, so I decided to go with OPN.
Like with every software now and then, there are problems, but the experience I made in this forum is 100% positive and I'm still feel this decision was correct.

I think positive feedback in forum happens very seldom, since most of the people visit them for asking for solution for actual problems.

Therefore I want to leave a big "thank you for the great job" to Franco, Fabian, Mimugmail, JeGr and all the others I forgot, who seem to be always online and share their experience with others :-)

So if you're still just considering....

Believe me: OPNsense rocks!

Ok,
danke schonmal. Über das Vigor stolpert man irgendwie am laufenden Band und scheint ja wirklich das einzige Gerät zu sein, was den vollen Funktionsumfang bereitstellt. Ich wünsche mir ja immer noch irgendeine kleine PCIe Karte, die man einfach direkt in die APU stecken kann und eine zweite Büchse überflüssig macht. Aber das bleibt wohl erstmal eine Wunschvorstellung...
MFG
Wayne

Hi,
ich würde gerne die Fritzbox komplett loswerden und meine public IP auf dem WAN der OPN haben.
Kann jemand ein gutes Modem empfehlen ? Oder gibt es irgendwo noch einen billo VDSL2 / Vectoring Router, den man als transparente Bridge betreiben kann ?
MFG
Wayne

Hi,
das wurde es bei mir unter der 17.7.5-amd64 nicht. Ich musste es manuell eintragen. Mittlerweile funktioniert das whitelisting aber.
Danke dir.

Schade :-)

Genau.
So sieht es bei mir auch aus, wenn ich das kommagetrennt mache.
Allerdings "merkt" die OPN sich die IPs und MACs nur, wenn ich sie über einen Editor direkt in die Konfiguration schreibe.
Zusätzlich dazu wird die zweite MAC und IP igrnoriert.
Könntest du mal in deiner conf.xml schauen, sofern sie bei dir von der WebGUI geschrieben wird, ob die IPs und MACs jeweils in einem XML-Tag eingefasst sind, oder ob mehrere Tags, also jeweils eins pro IP / MAC existieren ? Das wäre super.
Ich habs momentan so

<allowedAddresses>1.1.1.1,2.2.2.2</allowedAddresses>
<allowedMACAddresses>11::22:33:44:55:66,22:33:44:55:66:77</allowedMACAddresses>

Wie sieht das bei dir aus ? Und noch wichtiger: Funktioniert das bei dir ?
MFG
Wayne

Ich hatte beides probiert. Ohne Komma zieht der beide IPs in ein graues Kästchen der GUI.

Hi,
ja und nach der ersten IP auch.
Warum ? Muss das ein Semikolon sein  ?

Hi,

ich habe einen Bug im CaptivePortal auf Version OPNsense 17.7.5-amd64 entdeckt.
Ich hoffe das ich an dieser Stelle richtig bin, ansonsten melde ich ihn auch gerne woanders....

Wenn ich z.B. in den Feldern

Allowed addresses

und

Allowed MAC addresses

Geräte whitelisten will, dann wird dies nicht in die Konfiduration (/conf/config.xml) übernommen. Bisher habe ich es nur geschafft, das Captive Portal durch manuelles editieren der XML und anschliessenden Neustart dazu zu bringen die MAC und die IP zu schlucken.

Aktuell habe ich allerdings das Problem, dass ich ein weiteres Gerät whitelisten muss. Habe ich jetzt auch direkt mit vi in die XML geschrieben. Zuerst kommasepariert, dann mit Leerzeichen. Leider wird in beiden Fällen die zweite IP ignoriert und ei Whitelist greift nicht. Hat jemand vielleicht ne Idee, wie ich meiner OPN die zweite IP beibringe ?

MFG
Wayne

Hi,
klar, das würde natürlich einen Teil der Filter garnicht erst antriggern, aber eine "known bad" Liste würde in einem solchen Fall doch trotzdem greifen oder ? Mir ist es irgendwie zuwider TLS zu schrotten, ich finde das hinterhältig.
Ich glaube ich werde dann auf Port 80 "normal" filtern und TLS dann eben nur auf Hostnamen-Basis. Oder meinst du, dass sich der Aufwand dafür nicht (mehr) lohnt ?
MFG
Wayne

So far:

"Windows" matches al Windows-versions, while "linux" matches on all Linux-Kernel-Versions.
But I haven't figured out, how to write a rule for an iOS-device yet.

Any idea ?

BNG ?
Nie gehört.
Meinst du vielleicht das BND-Netz der Telekoma ?

Another question: Is it possible to proxy https traffic without tls-interception ?

Hi,

bei mir lag das Problem nicht an der Konfiguration, sondern an dem verwendeten Release. Zwei Updates später ging das wieder. Zu war es zumindest bei mir. Dennoch hat Mimugmail nicht unbedingt unrecht. Bei der verwendung von VLANs und CARP kann man schnell einen Fehler machen. Ich hatte auf einem anderen System mal das Problem, dass ich die Interfaces auf den beiden Nodes nicht exakt in der gleichen Reihenfolge erstellt habe. Wenn die VIPs dann hinterher sprechen wollen, führt das zu Chaos.

Was du mal testweise machen kannst um sowas auszuschliessen: Die Konfig des Backups sichern, die des Masters exportieren, modifizieren (also IPs anpassen, Hostnamen, Skew, und das disablen von Sync-to usw.) und dann auf dem Slave wieder einspielen. Dann hast du definitiv die gleiche Interface-Reihenfolge und (fast) gleiche Konfig.

Nutz du VLAN Interfaces über LAGGs ? Darin lag mein Problem. Bei mir hat CARP im Zusammenhang mit LAGGs und VLANs beim Entfernen eines Kabels aus einem LAG-Port (LAN-Seite) zu einem Failover geführt, der sich allerdings auch nur lan-seitig ausgewirkt hat. Sprich ich hatte einen Split-Brain, der sich auch ohne ein paar mal zwischen Maintenance Mode hin und herzuschalten auch nicht mehr lösen ließ. Konsolenseitig hat sich das Ganze dadurch bemerkbar gemacht, dass die carp-demotion auf beiden Büchsen amok gelaufen ist.

Kann mich zwar nicht mehr an alles erinner (das Thema war ein einziger Brainfuck), aber falls du Fragen hast, melde dich. Ich versuch's dann mal.

LG
Wayne

Does OPN drop invalid packets like XMAS and SYN+RST or SYN+FIN by default, or do I have to specify them with en explicit rule ?I'm talking about something similar like this (iptables)

IPTABLES -A INPUT -p tcp --tcp-flags ALL ALL -j DROP

Kind regards,
Wayne