Recent posts

#1

Q-Feeds (Threat intelligence) / Re: Looking for testers Q-Feed...

Last post by Q-Feeds - Today at 11:49:11 PM

kondmatex-app.com blocked!
thanks

Awesome, glad it works!

#2

26.1 Series / Re: What is ip6 equivalent of ...

Last post by OPNenthu - Today at 11:33:27 PM

You can't use ::1 but the ULA should work.

In my setup I assigned a ULA VIP to the Loopback interface where Unbound also listens, then with a DNAT rule I forward outbound DNS on port 53 to that ULA IP.  Slightly different use case (to trap and redirect unencrypted DNS escapes) but same principle.  Seems to work OK.

#3

26.1 Series / What is ip6 equivalent of ip4 ...

Last post by opnseeker - Today at 11:16:51 PM

In my setup unbound runs on a loopback interface (used for Opnsense GUI and few other services) at port 53053.

I am trying to write a Dest NAT rule that redirects all DNS requests (from some VLANs) reaching Opnsense (port 53) to 53053 on the loopback interface.

My ip4 rule works with redirect ip as 127.0.0.1. But I can't figure out the equivalent ip6 address. ::1 doesn't work and neither does the ULA address statically assigned to the interface.

Any suggestions would be appreciated.

#4

General Discussion / Re: ddclient and deSEC

Last post by Ampfinger - Today at 11:16:18 PM

The easiest fix would be to add "preserve" to both options, so you can individually update A and AAAA without deleting the other one.
I use the native backend, not sure if ddclient haves different

@meyergru
This is the reason I can't use it at the moment. I need this (I'm behind CGNAT connection and use a VPS for the ipv4 connection)
If you only update AAAA at desec.io and use os-ddclient, A Record will be deleted.

There's a API command at desec.io for this (perserve A Record) but it's not implemented in os-ddclient / opnsense.

#5

General Discussion / Re: DynDNS client for deSEC.io

Last post by meyergru - Today at 10:58:14 PM

Are you aware that ddclient is on its way out as discussed here and that it has long be superseded by the native backend for os-ddclient?

This native backend already supports deSEC.

#6

General Discussion / Re: ddclient and deSEC

Last post by meyergru - Today at 10:56:38 PM

Are you aware that ddclient is on its way out as discussed here and that it has long be superseded by the native backend for os-ddclient?

This native backend already supports deSEC.

#7

German - Deutsch / Re: OPNsense Cluster und Let's...

Last post by Patrick M. Hausen - Today at 10:40:39 PM

Wahrscheinlich dadurch, dass der ACME-Client doch nur auf dem aktiven Knoten läuft und die Zertifikate repliziert werden.
Wenn ein Failover passiert, ist das ja kein Zustand, der Wochen anhalten soll. Und wenn doch, kann man dann dir Zertifikatsausstellung auf dem Ex-Standby, jetzt Master aktivieren, bis der andere Node repariert ist.

Es geht ja erst mal nur darum, dass bei einem unerwarteten Failover mitten in der Nacht alle Anwendungen weiter laufen.

#8

German - Deutsch / Re: OPNsense Cluster und Let's...

Last post by TheExpert - Today at 10:31:34 PM

Jetzt habe ich den HAProxy eingerichtet und das Wildcard-Zertifikat hinterlegt. Die HAProxy-Konfiguration wird über die Cluster-Synchronisation auf den Backup-Knoten repliziert. Dabei geht aber die Zertifikatszuordnung verloren. Das ist ungeschickt.

Auf dem Backup-Knoten wird ebenfalls ein Wildcard-Zertifikat über Let's Encrypt abgerufen und der Name ist identisch, aber es ist inhaltlich ein anderes Zertifikat. Somit ist klar, dass die Zuordnung nicht möglich ist, da das referenzierte Wildcard-Zertifikat des Master-Knoten auf dem Backup-Knoten nicht vorhanden ist.

Wenn ich die Zertifikate mit der Cluster-Synchronisation repliziere, wird zwar das Wildcard-Zertifikat des Master-Knoten auf den Backup-Knoten kopiert, aber dann geht das Wildcard-Zertifikat des Backup-Knotens verloren.

Wie löse ich das nun am besten?

#9

German - Deutsch / Routing Probleme mit Fritzbox ...

Last post by SirNibo - Today at 10:18:51 PM

Hallo,

ich würde gerne einen Standort über das Fritzbox Wireguard mit unserem VPN Gateway verbinden.
Zurzeit ist das mit einem Rapsberry Pi verbunden, wie auf dem ersten Bild. Das Konstrukt funktioniert Problemlos.

Wir möchten aber den Pi weghaben und das mit der Fritzbox verbinden, wie auf dem zweiten Bild. Auf blöd haben wir einfach die Pi WireGuard Config in die Fritzbox hochgeladen.
Das ganze verbindet sich auch. Die Verbindungen funktionieren aber nur in eine Richtung.

172.23.56.0/24) -> 192.168.188.0/24 funktioniert.
192.168.188.0/24) -> 172.23.56.0/24 funktioniert nicht.

Ich dachte das lag zuerst an den abgeschalteten statischen Routen in der Fritzbox die den Pi als Gateway für die Netze 10.143.32.10/24 und 192.168.188.0/24 angibt. Das weglöschen der Route löst das Problem aber nicht.

Kann es sein das die Fritzbox irgendwelche einschränkungen hat?

Fritzbox WireGuard Config

Code Select Expand

[Interface]
Address = 10.143.32.4/24
ListenPort = XXXXX
PrivateKey = XXXXX

[Peer]
PublicKey = XXXXX
AllowedIPs = 10.143.32.0/24, 192.168.188.0/24
PresharedKey = XXXXX
Endpoint = XXXXXX
Aktueller Aufbau
You cannot view this attachment.

Neuer Aufbau
You cannot view this attachment.



Gruß
SirNibo

#10

25.7, 25.10 Series / Re: Dnsmasq stops occasionaly

Last post by ligand - Today at 09:42:54 PM

Issue opened.

https://github.com/opnsense/ports/issues/258