Messages

They are using probably LE certs. OPNsense seems to have an issue with them since the DST Root CA X3
expired today. Updating OPNsense also fails, if the mirror is using a LE certs. https://forum.opnsense.org/index.php?topic=24968.msg119835#msg119835
I checked unicast.censurfridns.dk and anycast.censurfridns.dk and they are failing for me and using LE certs. Seems like a pattern to me.

Just tested:

Code Select Expand

[admin@OPNsense ~]$ fetch -o mimugmail.conf https://www.routerperformance.net/mimugmail.conf
Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
5843273977856:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
fetch: https://www.routerperformance.net/mimugmail.conf: Authentication error

A simple fetch also fails.

Just to share my solution:

• remove any 3th party repros from /usr/local/etc/pkg/repos/
• change either to a http mirror or to dns-root.de
• update

I will wait for a fix for the LE certs, then I will add the 3th party repros again.

Doesn't seem to matter what mirror I choose, it's the same every time  :'(

Do you use other repositories? The one from @minugmail has also this issue. And if one repository having issues, then the update is not possible via WebGUI.

Changed the mirror from default to dns-root.de and it worked. Must be an issue on the default mirror

https://mirror.dns-root.de has no LE cert. The issue seems to be with LE certs. That would also explain the failure of the DNS over TLS servers I saw this afternoon (unicast.censurfridns.dk, anycast.censurfridns.dk).
If I use dns-root.de I get the following:

Code Select Expand

Currently running OPNsense 21.7.3_1 (amd64/OpenSSL) at Thu Sep 30 17:58:32 CEST 2021
Fetching changelog information, please wait... Certificate verification failed for /O=Digital Signature Trust Co./CN=DST Root CA X3
862769819648:error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed:/usr/src/crypto/openssl/ssl/statem/statem_clnt.c:1915:
fetch: https://pkg.opnsense.org/FreeBSD:12:amd64/21.7/sets/changelog.txz.sig: Authentication error
Updating OPNsense repository catalogue...
Fetching meta.conf: . done
Fetching packagesite.txz: .......... done
Processing entries: .......... done
OPNsense repository update completed. 767 packages processed.

In System: Trust: Authorities kannst du es löschen. Bei mir hatte es die Bezeichnung R3 (Let's Encrypt). Das neue hat die Bezeichnung R3 (ACME Client).
Danach dann alle ACME Zertifikate erneuern.
Und schließlich neu zuweisen.

KH

Hi,

the steps are:

• Delete the expired R3 CA cert.
• Renew all your certs.
• Reassign your certs where the old ones where used.

KH

The debian machine is behind the OPNsense. And there is no real difference between the debian machine and the OPNsense itself.

Hi,

I just tested it, and I get my full gigabit bandwidth regardless if I have the Reporting->Traffic page open or not.
I used the speedtest cli on debian 10 and on the opnsense itself.

I run my opnsense on a Protectli FW6. No idea what goes wrong on your side.
Try to run top on the command line and do you speedtest then with the Traffic page open. Also you can have a look in Proxmox how the Opnsense VM and the CPU load is when you run the speedtest. 

KH

You can also go to System : Trust : Authorities, remove the old CA which expires today, then go to LE plugin and renew all, then go to your sevices and look if they are correctly linked and restart.

No patch necessary.

You have to assign the certificates to the webservice/HA-Proxy Public Services again manually afterwards. I have automatic restart of the services enabled. So in my case the links where gone.

It looks like the certificate for https://forum.opnsense.org/ also will have the same issue today.

For me https://forum.opnsense.org/ has a good one.

KH

[DST Root CA X3]

It is even more urgent. The DST Root CA X3 certificate is valid till Thursday 30. September 2021 at 16:01:15, but the R3 intermediate certificate is only valid till Wednesday, 29. September 2021 at 21:21:40.

This means today at 9:21:41 pm the certificate chain will break. At least for my certificates.

KH

PS: Timezone is CEST

Hi,

navigiere irgendwo anders hin. Z.B. anderes Interface in den Rules oder die Lobby.
Deine Änderungen werden dann verworfen.

Gruß KH

Hi pmhausen

Auch IPv6 ULA ?

Gruß KH

Hi,

bei mir funktioniert ein Kyocera M5521cdw problemlos über mehrere VLANs mit AirPrint. Allerdings habe ich auch IPv6 aktiviert, inkl. IPv6 ULA Adressen. Vielleicht tut es deshalb. Ich verwende anstatt mdns-repeater den udpbroadcastrelay zum Weiterleiten der Bonjour-Pakete.
Am Wochenende bin ich wieder Zuhause und kann dann mal meine Konfiguration dokumentieren und hier posten.

Gruß KH

Was muss ich beim mdns-repeater noch einstellen, dieses Plugin habe ich schon versucht, aber nicht so wirklich verstanden?

Mit der any,any Regel sollte es funktionieren, sobald du das LAN und das Drucker-Netzwerk auswählst und das Plugin aktiv schaltest.
Ich konnte das damals nicht richtig testen, da die Firmware meiner APs einen Bug hatte.

Auch denn udpbroadcastrelay hatte ich schon mal Installiert aber wieder runter geworfen da ich damit noch weniger anfangen konnte!

Ich danke schon mal für die Hilfe!

Der ist mächtiger. D.h. der kann mehr und ist deswegen komplizierter. Da gibt es einen Thread zum einstellen https://forum.opnsense.org/index.php?topic=15721.0

Gruß
KH

Hi,

da du auf die Weboberfläche zugreifen kannst, können wir davon ausgehen, dass du Firewall-Regeln erstellt hast und die Daten vom Drucker ins LAN kommen. Grad gelesen, sind da.
Eventuell braucht der Treiber des Druckers die Informationen über Bonjour/Multicast um sich korrekt einzustellen.

Um das zu aktivieren solltest du dann eines der Plugins mdns-repeater oder udpbroadcastrelay installieren und zugehörige Firewall-Rules erstellen.

Gruß
KH