Topics

Hallo alle zusammen,

ich habe schon seit bestimmt einem Jahr das Problem, dass meine Windows Maschinen kein Update mehr innerhalb des LAN's bekommen. (LAN) Darf bei mir überall hin.
Ich nutze Suricata, Zenarmor und Adguard gebündelt auf der Firewall.
Zur Fehleranalyse habe ich jeden Dienst händisch gestoppt und auf meiner Maschine nach Updates gesucht. Leider kein Erfolg, egal welchen Dienst ich abschalte.
Im Firewall Live-Log habe ich keine blocks erkennen können. In Surricata selber werden nur ICMP echo's gemeldet. Zenarmor hat lediglich www.bing.com geblockt. Adguard wiederum hat recht viel geblockt, was aber letzten endes nur telemetrie und ad-server von Microsoft sind.. however.. ich habe mal alle Filter zum Testen entsperrt, aber da scheint nix zu passieren. Selbst wenn ich adguard deaktiviere bringt das keine Änderung.
Wenn ich über die Firewall das LAN interface sniffe und den Moment aufzeichne, wo ich in Windows nach Updates suche, wird leider keine Anfrage verschickt.

Sobald ich meinen Windows Rechner an meine Fritzbox ohne Firewall hänge, geht alles ohne probleme... Es liegt nur an der Firewall und ich bin nicht im Stande genau zu lokalisieren was und wo geblockt wird.
Ich habe sogar ein Alias mit allen offiziell bekannten Windows Update Servern gemacht, aber das scheint auch nicht zu helfen.

Im Anhang seht ihr meine "Fließende" Regel für Windows Updates

Habt ihr eine Idee?

LG
W0nderW0lf

Hello everyone,

I experience that my Server with fail2ban - bans the proxy instead of the attacker.
I thought the header X-Forwarded-For has been hardcoded into NGINX. Either it's a bug, or it's an option I can't find.
Any idea where to set the header, or is this something for a bugreport?

Hallo an alle und auch an Fabian das NGINX allwissen hier. :D

Ich habe das Problem das mein Nextcloud Server mit Fail2ban meinen proxy immer bannt, statt den tatsächlichen Angreifer zu bannen. Scheinbar fehlt der Header x-forwarded-for
Laut einem älteren Beitrag hat Fabian das in NGINX hardcoded. Ist das noch der Fall?
https://forum.opnsense.org/index.php?topic=9977.0
Wenn nein, wo kann ich das einstellen, damit nicht immer der proxy gebannt wird?

Danke vorab!

VG

Hi alle,

ich habe gesehen, dass DynDNS Legacy aus dem repo verschwinden wird und das man auf os-ddclient umsteigen soll.
Dem bin ich natürlich nach gegangen und hab die config soweit vorbereitet. Allerdings sehe ich nicht, dass DDClient irgendwas protokolliert. Was mich allerdings stutzig macht, es gibt keine Möglichkeit einen 2FA Token anzugeben. Geschweige denn ausschließlich eine Tokenbasierte authentifizierung einzurichten.
Ist das gewollt? Wird sich das ändern? Ansonsten stehe ich der Umstellung eher skeptisch gegenüber.

LG

W0nderW0lf

Hi everyone,

I try to clean up my log errors and on every config I have this one error:

Code Select Expand

388 no live upstreams while connecting to upstream, client: x.x.x.x, server: some.domain.com, request: "GET /rest/getCoverArt.view?u=simsa&t=b919d772645533e1647af3d8106f9622&s=6IWsdzb&v=1.13.0&c=substreamer&f=json&size=500&id=cf464d1226945f4a913f06237a281bd7 HTTP/1.1", upstream: "http://upstream67c0fb4aebe44d9884a90b4cf7d49264/rest/getCoverArt.view?u=simsa&t=b919d772645533e1647af3d8106f9622&s=6IWsdzb&v=1.13.0&c=substreamer&f=json&size=500&id=cf464d1226945f4a913f06237a281bd7", host: "some.domain.com"

I red that it has something to do with the header config. Unfortunately I cannot find a guide or documentation on how to fix this. I found this page (https://debugah.com/there-are-a-lot-of-no-live-upstreams-while-connecting-to-upstream-about-nginx-logs-8008/) describing that I would need to set the proxy_set_header: Connection=" "
In the GUI I saw "Security Headers", but is this the same? And what area should I focus on if so?

Thx 4 help forward

Hi

Der Titel mag etwas komisch klingen, beschreibt aber mein Problem ziemlich genau.
Ich finde leider keine Antwort darauf.

Mein Netz:

      WAN / Internet
            :
            : Kabel
            :
      .-----+-----.
      |  Gateway  |  (Fritzbox)
      '-----+-----'
            |
        WAN | IP or Protocol
            |
      .-----+------.   private DMZ         .------------.
      |  OPNsense  +--------------------+ unRAID | (Navidrome"Musik") https://musik.example.com
      '-----+------'   192.168.200.0/26  '------------'
            |
        LAN | 192.168.1.0/24
           
Seit heute habe ich wieder meinen unRAID im Betrieb der länger wegen eines Defekts ausgefallen ist. Auf meinem unRAID habe ich 2 Container am laufen wovon einer eben Musik Streaming anbietet. Navidrome nennt sich das Ding. Damit ich von überall darauf zugreifen kann, habe ich auf OPNsense den NGINX reverse proxy eingerichtet. Das hatte vor ein paar Wochen auch wunderbar geklappt. Lief alles. Keine nennenswerte Fehler mehr im Log... Long story short:

Wenn ich über meinen Browser musik über https://musik.example.com streame, kann es vorkommen das nach ein paar sekunden bis minuten nichts mehr geht. Also genauer gesagt keine DNS Auflösung mehr. Zumindest Richtung Internet. Im LAN kann ich noch alles bis zur OPNsense und unRAID auflösen. Alles andere ist dann erstmal tot. Das einzige was hier abhilfe schafft, ist ein reboot von OPNsense.
Ich verwende DoT mit unbound DNS, aber da finde ich nichts auffälliges. Das tut laut protokoll weiterhin normal anfragen auflösen, bis auf eben die meiner Clients. Z.B. ein "ping oder whois cloudflare.com" schlägt fehl.

NGINX und Unbound neuzustarten hat leider nichts gebracht. DNS flush cache habe ich auch aktiviert, aber scheint nichts zu nützen. Lediglich OPNsense reboot schafft hier abhilfe.

Wenn ich den Container über die https://IP:Port verwende habe ich keine probleme. Das wäre zwar generell auch in Ordnung, aber verstehen möchte ich trotzdem warum das passiert. In den Logs von NGINX finde ich rein gar nichts was auf die Ursache schließen lässt. Es wird schlicht einfach nichts zu dem Zeitpunkt geloggt.
Meine anderen Clients im LAN haben dann ebenfalls kein Internet mehr. Über das WLAN meiner Fritzbox funktioniert normal alles weiterhin. Also hängt es ausschließlich an OPNsense.

Habt ihr ne idee wonach ich gucken könnte?

Mein Update scheint fest zu hängen. Soll ich die Kiste neustarten, oder noch ein weilchen warten?

Code Select Expand


/var/cache/pkg/bind-tools-9.16.22~8ed803a563.txz
/var/cache/pkg/bind-tools-9.16.22.txz
The cleanup will free 41 MiB
Deleting files: .......... done
All done
Nothing to do.
Starting web GUI...done.
Generating RRD graphs...done.
Fetching base-21.7.5-amd64.txz: ...

Moin moin alle,

Ich habe gestern versucht eigene Rules fürs whitelisting zu basteln. Leider finde ich keinen Guide der einen einfachen Weg aufzeigt. Viele verwenden zusätzliche Tools wie "rule generator nxtools"um das Log verständlicher zu machen.
Ich habe versucht anhand der Doku eine Rule zu erstellen. Siehe:
https://github.com/nbs-system/naxsi/wiki/naxsilogs
https://github.com/nbs-system/naxsi/blob/master/naxsi_config/naxsi_core.rules

Mein error log:

Code Select Expand

2021/10/28 09:36:51 error 8192#100150 *1 NAXSI_EXLOG: ip=111.22.33.44&server=mucke.example.com&uri=%2Frest%2Fstream&id=17&zone=HEADERS&var_name=accept&content=audio%2Fwebm%2Caudio%2Fogg%2Caudio%2Fwav%2Caudio%2F%2A%3Bq%3D0.9%2Capplication%2Fogg%3Bq%3D0.7%2Cvideo%2F%2A%3Bq%3D0.6%2C%2A%2F%2A%3Bq%3D0.5, client: 111.22.33.44, server: mucke.example.com, request: "GET /rest/stream?u=odin&t=1fd5989b84d42d7d017cdb5e69a6d1f2&s=be1ab3&f=json&v=1.8.0&c=NavidromeUI&id=1429d0d6a01880afaecb6705c19d7de3&_=1635406610710 HTTP/2.0", host: "mucke.example.com", referrer: "https://mucke.example.com/app/"
2021/10/28 09:36:51 error 8192#100150 *1 NAXSI_FMT: ip=111.22.33.44&server=mucke.example.com&uri=/rest/stream&vers=1.3&total_processed=11&total_blocked=3&config=learning&cscore0=$LIBINJECTION_SQL&score0=8&zone0=HEADERS&id0=17&var_name0=accept, client: 111.22.33.44, server: mucke.example.com, request: "GET /rest/stream?u=odin&t=1fd5989b84d42d7d017cdb5e69a6d1f2&s=be1ab3&f=json&v=1.8.0&c=NavidromeUI&id=1429d0d6a01880afaecb6705c19d7de3&_=1635406610710 HTTP/2.0", host: "mucke.example.com", referrer: "https://mucke.example.com/app/"
2021/10/28 09:51:06 error 13575#100974 *1 js exception: TypeError: cannot get property "split" of undefined
Was mache ich wenn es kein NAXSI_FMT Log gibt?

Code Select Expand


2021/10/29 09:52:06 error 61853#101734 *52 NAXSI_EXLOG: ip=111.22.33.442&server=mucke.example.com&uri=%2Frest%2FgetCoverArt.view&id=1000&zone=ARGS&var_name=c&content=substreamer, client: 111.22.33.442, server: mucke.example.com, request: "GET /rest/getCoverArt.view?u=odin&t=b9f082fda448ce38bed40f30dd0abbb0&s=2ImvkNK&v=1.13.0&c=substreamer&f=json&size=500&id=567c7510b719964b11e26c518b2c5f28 HTTP/2.0", host: "mucke.example.com", referrer: "https://localhost/"
2021/10/29 09:52:06 error 61853#101734 *52 no live upstreams while connecting to upstream, client: 111.22.33.442, server: mucke.example.com, request: "GET /rest/getCoverArt.view?u=odin&t=b9f082fda448ce38bed40f30dd0abbb0&s=2ImvkNK&v=1.13.0&c=substreamer&f=json&size=500&id=567c7510b719964b11e26c518b2c5f28 HTTP/2.0", upstream: "http://upstream67c0fb4aebe44d9884a90b4cf7d49264/rest/getCoverArt.view?u=odin&t=b9f082fda448ce38bed40f30dd0abbb0&s=2ImvkNK&v=1.13.0&c=substreamer&f=json&size=500&id=567c7510b719964b11e26c518b2c5f28", host: "mucke.example.com", referrer: "https://localhost/"
Meine Rule: (Siehe Bild)

In der Beschreibung der Rule Types steht auch: Basic rules need to be added to a policy to allow assosciation with a location.
Soll ich auch eine benutzerdefinierte policy erstellen und an meine location anbinden, oder soll ich eine bestehende nutzen?

Wichtigste Frage IMO, gibt's nen trick um herauszufinden welche value man eintragen müsste? $HEADERS_VAR:accept habe ich in einem anderen Forum gefunden, ohne die Syntax dahinter wirklich zu verstehen. siehe: https://issueexplorer.com/issue/nbs-system/naxsi/554

Danke vorab für jede Hilfe!

Hallo an alle,

Ich versuche navidrome (music streaming) von außen erreichbar zu machen. -> funktioniert auch, aber ich bekomme einige fehler beim streamen oder das runterladen von songs geht nicht.

ich sehe online das es diverse settings gibt die man noch für den container bräuchte. Allerdings bin ich mir nicht sicher welche von den settings über die UI setzbar sind.

Ähnliches wurde bereits hier mal diskutiert: https://forum.opnsense.org/index.php?topic=16595.0
Aber da weiß ich nicht was sich seit da an geändert hat. Ich bin mir auch nicht sicher ob ein Backup der OPNsense config manuelle settings in den nginx-xyz.conf files über das terminal mit sichern würde. Ich würde gerne vermeiden bei einer Wiederherstellung von vorn anfangen zu müssen.

Der Einfachheit halber.. gibt es eine Doku wo man diese settings in der UI finden kann?

Code Select Expand

add_header Strict-Transport-Security "max-age=31536000" always;
proxy_pass http://127.0.0.1:4533/;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr; # < vermutlich über "config: http server" "PROXY-Protokoll=y; "Real IP Source=X-Real-IP"
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Protocol $scheme;
proxy_set_header X-Forwarded-Host $http_host;
proxy_buffering off; # Ich vermute unchecken von "Request/Response Buffering"


Danke vorab für jede Hilfe!

Moin moin,
eine Frage zu den Proxies und VPN.

Wenn ich den Cloudflare Proxy Service und Nginx Reverse Proxy verwende. Wie bekomme ich dann VPN mit Wireguard hin? Wenn ich den Cloudflare Proxy aktiviere, komme ich nicht mehr zu meiner Firewall. Vermutlich weil ich über den Cloudflare Proxy mit einer anderen IP komme und erst eine (HTTP Server) config mit "Real IP Source" = Cloudflare Connecting IP - bräuchte..?
Wie habt ihr das bei euch gelöst? VPN Endpoint ist bei mir OPNsense.

Moin moin männas,

Ich habe mich schon seit Ewigkeiten gewundert warum ich immer einen Timeout bei github bekomme. (Sehr oft aber nicht immer)

Code Select Expand

lan Oct 7 22:54:04 192.168.1.118:51824 140.82.121.3:443 tcp FireHOL Blacklist OUT
lan Oct 7 22:54:04 192.168.1.118:51822 140.82.121.3:443 tcp FireHOL Blacklist OUT
lan Oct 7 22:54:00 192.168.1.118:51824 140.82.121.3:443 tcp FireHOL Blacklist OUT
lan Oct 7 22:54:00 192.168.1.118:51822 140.82.121.3:443 tcp FireHOL Blacklist OUT
lan Oct 7 22:53:58 192.168.1.118:51824 140.82.121.3:443 tcp FireHOL Blacklist OUT
lan Oct 7 22:53:58 192.168.1.118:51822 140.82.121.3:443 tcp FireHOL Blacklist OUT
lan Oct 7 22:53:57 192.168.1.118:51824 140.82.121.3:443 tcp FireHOL Blacklist OUT
lan Oct 7 22:53:57 192.168.1.118:51822 140.82.121.3:443 tcp FireHOL Blacklist OUT

Anscheinend ist FireHOL daran schuld das ich github nicht besuchen kann.
Kann man irgendwo herausfinden warum das geblockt wird und ob man dafür eine Ausnahme machen kann ohne auf FireHOL zu verzichten?

Danke vorab für jede hilfe!

Moin moin,
Ich versuche momentan herauszufinden was die sicherste Methode wäre, um auf meine Daten (unkompliziert) zuzugreifen.

Ich habe einen kleinen Nextcloudpi bei mir stehen und möchte gerne auch plex von außerhalb erreichbar machen. Derzeit habe ich  Wireguard konfiguriert, aber Frau und Kind haben 2 linke Hände was Technik betrifft, darum die Frage, was wäre die sicherste Methode um idiotensicher über eine einfache URL auf seine Cloud zuzugreifen? Geht auch darum das wir z.B. auch Bilder von unterwegs aus übers Handy in die Cloud syncen wollen, oder Musik streamen. Oder z.B. auch mal für den Notfall, falls die Brieftasche im Ausland verloren geht.

Ich habe diverse doku's gefunden und mir auch mal die OPNsense Doku angesehen und bin unschlüssig was denn nun besser geeignet wäre.
Eine DMZ ist ja im prinzip wie es der Name schon sagt, demilitarisiert und hat nur den Vorteil das interne Netz vor schnüfflern zu schützen. Der Webserver in der DMZ ist aber nur so gut geschützt wie seine config es zulässt. Sprich Fail2ban.. SELinux, Apache config etc. Gleiches gilt auch für den Proxy, aber dafür brauche ich keinen extra Router.
NGINX und HAProxy sind laut Aussagen beides gute Möglichkeiten, sind aber auch kein Allheilmittel. Außerdem ist die Konfiguration alles andere als Simpel.

Was sind denn eure Empfehlungen und Erfahrungen?
2FA + NGINX + Firewall rules für mein "Server" Subnetz.
Für eine DMZ bräuchte ich eine extra Kiste. Außerdem habe ich da mehr bedenken um die Sicherheit meiner persönlichen Daten.
Worauf müsste ich bei der Proxy config achten, bzw. was welches Produkt wäre besser geeignet? > NGINX/HAProxy

Moin moin,

Ich versuche von meinem LAN aus auf einen Docker Container zuzugreifen der hinterm WAN liegt und bekomme dabei nur einen Timeout

Kurz zum Setup:
- Fritzbox 6590
#Bin von meiner China Hardware auf unRAID VM umgestiegen. Funzt alles tadellos. Sogar perfomanter als vorher.
- Hypervisor: unRAID
--5 NIC's
1x WAN unRAID (IP 192.168.50.54, Dashboard: 443)
1x WAN OPNsense (IP 192.168.50.57)
3x LAN exklusiv für OPNsense <- Hier bin ich angeschlossen.

Auf unRAID laufen derzeit 3 Container unter der gleichen IP wie das Dashboard (192.168.50.54:4040, 9000, 8443)

Keines davon erreiche ich, wenn ich mich im OPNsense LAN befinde. Nur wenn ich ins Fritzbox W/LAN wechsel erreiche ich die über den Browser. Auf das unRAID Dashboard über 443 kann ich ganz normal zugreifen.
In den Firewall Logs wird nicht angezeigt das darauf irgendwas geblockt wird. Habt Ihr ne Ahnung woran das liegen könnte?
Ich bin noch nicht ganz vertraut mit Portweiterleitungen, aber kann es damit zusammenhängen?
Ich könnte problemlos auf die Dashboards zugreifen, wenn ich den Containern jeweils eine eigene IP aus dem Fritzbox LAN zuweisen würde, aber das möchte ich nicht, weil ich mir für jeden Container IP und Port merken müsste.

Moin moin Freunde der digitalen Feuerwalze,

ich kämpfe seit gestern mit Wireguard und ich bin gerade ein bisschen am verzweifeln..

Ich habe mir einige Anleitungen angesehen und generell würde eine Verbindung zustande kommen. Zumindest, wenn ich versuche mich mit meiner Linux Client config von intern über LAN an Wireguard anzumelden.
Wenn ich von außerhalb komme klappt das leider nicht...

Ich möchte mit meinem Handy mich ins Netz verbinden. Wenn ich beim Verbindungsaufbau mir die Firewall ansehe, versperrt mir die "default deny regel" den Weg.

Code Select Expand

Schnittstelle Zeit                      Quelle                 Ziel     Protokoll Etikett
     WAN     Aug 22 21:03:20 irgendneIP:57927 192.168.1.1:51820 udp Default deny rule

Firewall WAN Regeln:

Code Select Expand

  Protokoll Quelle Port Ziel Port Gateway Zeitplan Beschreibung

IPv4+6 UDP * * WAN Adresse 51820 * * VPN

NAT Portweiterleitung:

Code Select Expand

WAN UDP * * WAN Adresse 51820 100.65.0.1 51820 Wireguard

Ich muss gestehen das debugging bei wireguard ist relativ bescheiden. Also auch Clientseitig... Ich weiß nicht woran es lag, aber ich habe heute zwischendurch auf meinem Handy im Log gesehen "received invalid message from <opnsense-fqdn>" War aber auch nur von kurzer dauer... Bin mir nicht sicher was ich richtig, oder falsch gemacht habe... aber fakt ist, der default weg nach Anleitung funktioniert bei mir nicht out of the box...

Hätte jemand eine Idee woran das liegen könnte?

Ich verwende eine Strato Domain mit Cloudflare ohne DNS Proxy. Unbound mit DNS over TLS. Opnsense selbst verwendet LibreSSL

Danke vorab für jede Hilfe!

Hi folks,

after upgrading my installation to 21.7 my network was unreachable.
It seems that sensei killed the whole device after booting.
It becomes unresponsive. I cannot login via ssh or browser. Keyboard and VGA is also unresponsive but it shows something like that:

Code Select Expand

FreeBSD/amd64 (my.firewall) (ttyv0)

login: 987.787088 [ 853] iflib_netmap_config        txr 2 rxr 2txd 1024 rxd 1024 rbufsz 2048
987.787348 [ 853] iflib_netmap_config        txr 2 rxr 2txd 1024 rxd 1024 rbufsz 2048
....


should I roll back and wait?
I already reinstalled with the newer image version and restored my backup. As soon as I install mongodb and start sensei, OPNSense crashes again. :(

Hallo Freunde,

ich habe vorhin versucht Opnsense upzudaten, allerdings hängt der immer an der gleichen Stelle. Scheinbar passt ihm die größe von remote nicht...
Habe nur ich das Problem?

Habe bereits den pkg clean gemacht und nochmal von vorn probiert. gleiches problem. Liegt das am Server der die Pakete hostet?

pkg update -f bringt leider auch nichts.

Code Select Expand

41 MiB to be downloaded.
[1/36] Fetching syslog-ng-3.33.2.txz: .......... done
[2/36] Fetching ruby-2.7.4,1.txz: .......... done
[3/36] Fetching python37-3.7.11.txz: .......... done
[4/36] Fetching py37-sqlite3-3.7.11_7.txz: .... done
[5/36] Fetching py37-pymongo-3.12.0.txz: .......... done
[6/36] Fetching py37-dns-lexicon-3.6.1.txz: .......... done
[7/36] Fetching py37-cffi-1.14.6.txz: .......... done
[8/36] Fetching php74-zlib-7.4.21.txz: ... done
[9/36] Fetching php74-xml-7.4.21.txz: ... done
[10/36] Fetching php74-sqlite3-7.4.21.txz: ... done
[11/36] Fetching php74-sockets-7.4.21.txz: ..... done
[12/36] Fetching php74-simplexml-7.4.21.txz: ... done
[13/36] Fetching php74-session-7.4.21.txz: ..... done
[14/36] Fetching php74-pdo-7.4.21.txz: ...... done
[15/36] Fetching php74-openssl-7.4.21.txz: ........ done
[16/36] Fetching php74-mbstring-7.4.21.txz: .......... done
[17/36] Fetching php74-ldap-7.4.21.txz: .... done
[18/36] Fetching php74-json-7.4.21.txz: ... done
[19/36] Fetching php74-gettext-7.4.21.txz: . done
[20/36] Fetching php74-filter-7.4.21.txz: ... done
[21/36] Fetching php74-dom-7.4.21.txz: ....... done
[22/36] Fetching php74-curl-7.4.21.txz: .... done
[23/36] Fetching php74-ctype-7.4.21.txz: . done
[24/36] Fetching php74-7.4.21.txz: .......... done
[25/36] Fetching os-acme-client-2.6.txz: .......... done
pkg-static: cached package os-acme-client-2.6: size mismatch, fetching from remote
[26/36] Fetching os-acme-client-2.6.txz: .......... done
pkg-static: cached package os-acme-client-2.6: size mismatch, cannot continue
Consider running 'pkg update -f'
Starting web GUI...done.
Generating RRD graphs...done.
***DONE***

Hallo Community,

ich wollte mal wissen, was ihr hier an "aktueller" Hardware empfehlen könntet.

Ich bin auf der Suche nach Hardware mit min. 4x 1GB Ports und einem Prozessor der besser ist als mein alter Intel J1900.

Kann gerne auch ohne Festplatte sein (würde einfach die m2 ssd aus der alten appliance ausbauen) und eventuell ohne Arbeitsspeicher, sofern mein jetziger kompatibel wäre.

In meinem aktuellen Setup habe ich Suricata und Sensei aktiv, allerdings frisst das recht viel Performance und darum suche ich etwas das nicht zu teuer ist, aber auch nicht zu schwach um die Geschwindigkeit zu drosseln.

Danke vorab für jede Empfehlung!

Guten Morgen allerseits.

Seit dem gestrigen Upgrade von 20.7.8 auf 21.1 lassen sich keine Updates mehr überprüfen. Alle Plugins bleiben auf (verwaist)
Wenn ich nach Aktualisierungen Prüfe erhalte ich folgende Meldung.

Code Select Expand

Updating OPNsense repository catalogue...
OPNsense repository is up to date.
Updating SunnyValley repository catalogue...
pkg-static: https://updates.sunnyvalley.io/opnsense/FreeBSD:12:amd64/21.1/LibreSSL/latest/meta.txz: Not Found
repository SunnyValley has no meta file, using default settings
pkg-static: https://updates.sunnyvalley.io/opnsense/FreeBSD:12:amd64/21.1/LibreSSL/latest/packagesite.txz: Not Found
Unable to update repository SunnyValley
Error updating repositories!
A firmware update is currently in progress.

Wenn ich andere Server auswähle, erhalte ich trotzdem die gleiche Meldung.

"Konnte das Repository auf dem ausgewählten Spiegelserver nicht finden."

Ist da was bekannt?

Moin moin,

ich kämpfe momentan damit, dass suricata die Rules nicht richtig anwendet.
Ich habe das Problem, dass "Dietpi" (RPi Betriebssystem) nicht in der Lage dazu ist, eine Firmware trotz Erlaubnis ordentlich runterzuladen. Bei der Einrichtung von dem Raspberry stürzt es regelmäßig an der gleichen stelle ab, weil Suricata den Download jener Treiber blockt.
Über jenes Problem habe ich schon mit dem Entwickler gesprochen. Leider kann dieser mir keine richtige Lösung anbieten.
Nichts desto trotz wundert mich, dass Suricata trotz der Regel "Alarm" statt Block, trotzdem blockiert:
Ich habe Suricata neugestartet. Ich habe Suricata-update gemacht und auch die Firewall neugestartet, aber es nützt nichts. Die Regel ist deaktiviert und auf Alarm gestellt und trotzdem wird die Firmware zerhackstückelt.

Woran kann das liegen?

Moinsen,

eine Frage an die Community. Was tun, wenn OPNsense bei der Geschwindigkeit der Bottleneck ist?
Ich hätte über meine Fritzbox 6591 zwischen 80-95 MBit/s. Über OPNsense erreiche ich nicht mal 200.
Der Schnitt liegt bei 10-18MBit/s Also gerade mal fast 20% der möglichen Geschwindigkeit.

Mein Netz:

      WAN / Internet
            :
            : Cable Fritzbox 6591 1Gbit
            :
      .-----+-----.
      |  Gateway  |
      '-----+-----'
            | 192.168.178.1/24
            |    + -------------------- TV + Firmen Notebook
    WAN |
            |
      .-----:-------.
      |  OPN:sense  +-------.
      |    |           |         |
      '-----:-------'         |
            |                    | Multimedia 192.168.50.1/25
            |
      LAN | MGMT 192.168.1.1/25           
             |
    ...-----+------... (Clients/Servers)



Aufgefallen ist mir die lahme Verbindung erst als ich den Web-Proxy eingeschaltet hab. Ich wollte Seiten einfach filtern und bei YouTube hat alles immer unglaublich lange gedauert. Generell hat das laden auf fast allen Seiten lange gedauert. Mit dem Proxy habe ich maximal  6MBit/s erreicht. Ich habe aber keine anderen Clients oder Server zu der Zeit im Betrieb gehabt. Somit kann ich schon mal ausschließen, dass andere Geräte die Bandbreite für sich beanspruchen. Wenn ich den Proxy abschalte, erreiche ich die oben angegeben 10-18.

Checkliste OPNsense:
- Die Intel J1900 CPU liegt im Schnitt unter 20%
- 8GB RAM zwischen 50 und 70%
- 4x 1GBit Intel NIC
- Auf der Fritzbox hat OPNsense ebenfalls 1Gbit zur Verfügung
- Config:

• Dynamisches DNS
• Suricata (WAN)
• Sensei (LAN)
• Maltrail
• Unbound DNS mit DoT
• OpenDNS filter
• IPv6 unterstützung mit IPv4 bevorzugt
• NAT Portforwarding Port 53 von LAN zu OPNsense
• Keine Firewall rule die sich auf die Geschwindigkeit auswirken könnte
• Alle Interfaces haben 1000T Base Full Duplex
• MTU 1500 (Default)

- Die Kabel sind CAT6

Weiß leider nicht was ich sonst noch checken könnte.
Danke vorab für jede Hilfe!

Grüße
-WW