Messages

Hi Franco,

thanks for the update.

The issue is resolved with this fix and nat synchronization is working again.

I have now deployed it to the affected firewalls and it works on all of them.

Since I first installed it only on one of the target firewalls and then tested the synchronization immediately afterwards, I can confirm that updating only the target firewall was already sufficient.


Christian

Ich glaube du hast keine Option übersehen — das ist tatsächlich ziemlich nah an dem aktuellen Stand von OPNCentral.

Die Plattform entwickelt sich zwar sichtbar weiter und mit 26.4 wurde ja begonnen, Firewall-Regeln auf das neue MVC/API-System umzustellen, aber im Moment ist OPNCentral noch eher ,,zentralisierte Konfigurationsverteilung" als echtes zentrales Management wie man es z.B. von FortiManager, Panorama oder Sophos Central kennt.

Gerade bei heterogenen Umgebungen mit:

unterschiedlichen VLANs
zusätzlichen WireGuard/OpenVPN-Tunneln
abweichenden Interface-Layouts
standortspezifischen Regeln

stößt das Konzept aktuell sehr schnell an Grenzen.

Das Hauptproblem ist genau das was du beschrieben hast:
die Zuordnung basiert intern stark auf der Reihenfolge bzw. den generierten Interface-IDs (opt1/opt2 usw.) und nicht auf stabilen frei definierbaren Interface-Objekten. Dadurch funktioniert das Ganze praktisch nur wirklich zuverlässig wenn die Firewalls nahezu identisch aufgebaut sind.

Ich glaube aber auch, dass OPNsense das durchaus bewusst ist. Wenn man sich die Entwicklung der letzten Versionen anschaut, sieht man schon klar die Richtung:

Migration auf MVC/API
neue zentrale Rule-Engine
immer mehr API-fähige Komponenten
OPNCentral-Ausbau
automatische Host-Erkennung
zentralisierte Verwaltungsidee

Aber aktuell steckt das Ganze technisch noch mitten im Umbau.

Für identische Außenstellen (wie bei uns) funktioniert OPNCentral heute schon durchaus brauchbar.
Für echte Multi-Site-Umgebungen mit individuellen Standorten fehlt aber aus meiner Sicht noch:

stabile Interface-UUIDs
Mapping nach Namen statt Reihenfolge
Template-/Variablen-System
Merge statt Replace
standortspezifische Overrides

Erst dann wird daraus wirklich ,,zentrale Verwaltung" und nicht eher eine intelligente 1:1 der config.xml.

I sent the two PMs.

Hello Franco,

pluginctl -n nat returns no output on my system.

At first I thought I may have missed a migration step because the firewall rules in 26.4 had to be manually converted to the new MVC system. However, from what I have been able to verify so far, NAT still appears to be largely legacy-based at the moment.

Therefore I assume my system is still using the classic NAT configuration from config.xml.

Would you prefer only the NAT section or a full config.xml for reproduction?

And on which firewall does the problem occur — source or destination?

Thanks,
Christian

Hello,

after upgrading OPNsense Business to 26.4 we are seeing OPNcentral sync failures on some firewalls during NAT synchronization.

Error:

TypeError: Cannot access offset of type string on string in /usr/local/opnsense/mvc/app/controllers/Deciso/OPNcentral/Api/Sync/BaseSection.php:162

Stack trace:

Deciso\OPNcentral\Api\Sync\BaseSection->array_iterator()
Deciso\OPNcentral\Api\Sync\Nat->extend()
Deciso\OPNcentral\Api\SyncController->reconfigureAction()

Observations:

only happens after upgrade to 26.4
issue seems related to NAT / Destination NAT migration
affected systems use multiple Destination NAT redirect rules
disabling NAT sync avoids the issue
not all firewalls are affected

It looks like one NAT-related config structure is returned as string instead of array and crashes array_iterator().

Has anybody seen similar behavior after migrating to 26.4?

Regards
Christian

Quick feedback. It works in 25.10.1.

okay. Done:

https://github.com/opnsense/core/issues/9481

regards

Christian

Hi,

we're using OPNsense Business with OPNcentral and would like to centrally push Remote Logging / Syslog settings to multiple firewalls.

I can't find any provisioning option for this.
Is this currently possible or planned?

Thanks!

Ist im Update 25.10_2 schon enthalten.
Zu finden unter Verwaltung- Host- Konfiguration - Allgemeine Einstellung - Den Haken bei Auto Login rausnehmen.

https://github.com/opnsense/core/issues/9305#issuecomment-3430605677

Hallo,
Es ist derzeit nicht möglich. Kommt aber demnächst.

https://github.com/opnsense/core/issues/9305#issuecomment-3430605677

LG

Christian

Okay.

https://github.com/opnsense/core/issues/9305

Hello everyone,

we are using OPNsense Business 25.10 with the OPNcentral module enabled and would like to adjust the current login behavior when accessing managed hosts.

At the moment, when clicking on a host in OPNcentral, an automatic WebGUI login is performed using the API user credentials stored in OPNcentral.
We would like to disable this automatic login, so that instead the regular login dialog (OpenID Connect / Keycloak) appears.
The goal is to ensure that all administrative access is authenticated through our central Identity Provider and properly logged for auditing purposes.

OpenID integration already works reliably on the individual firewalls.
However, within OPNcentral we cannot find any option to disable the automatic login or switch to OpenID-based authentication.

So our questions are:

Is there any way (e.g. via a configctl opncentral.* parameter or configuration setting) to disable automatic WebGUI login via OPNcentral?

Alternatively, can OPNcentral be configured to always show the regular OpenID login when accessing a managed host?

Thanks in advance for any advice or workaround!
Christian

In Keycloak

Neuen Client vom Typ OpenID Connect anlegen

Client-Authentifizierung und Standard Flow aktivieren

Redirect-URI:
https://<fw-fqdn>[:<port>]/api/oidc/rp/finalize/<application-code>
(Port nur angeben, wenn er vom Standard 443 abweicht)

Post-Logout-Redirect-URI:
https://<fw-fqdn>[:<port>]/*

Web Origins:
https://<fw-fqdn>[:<port>]

Für mehrere Firewalls einfach weitere Redirect-URIs im selben Client ergänzen

Scopes: openid profile email

Mapper anlegen:

preferred_username → User Property username

email → User Property email

name → Full Name (oder firstName + lastName)

groups → Group Membership Mapper (Full path aus, Add to ID/Access/Userinfo an)

Client-ID und Client-Secret notieren

In OPNsense 25.10 BE

Menü: System → Zugriff → OpenID Connect → ,,+" neuen Provider anlegen

Application code: frei wählbar (z. B. opnsense-gui-admin)

Dienst: WebGui / Admin

Provider URL: https://<keycloak-host>/realms/<realm>

Client-ID / Client-Geheimnis: aus Keycloak

Authentifizierungsmethode: Use offered

User identification field: preferred_username oder email

Create user: aktivieren

Damit authentifiziert sich die OPNsense-Weboberfläche zentral über Keycloak (OpenID Connect).

Bei uns läuft alles über keycloak.

Ich mache später einen neuen Post auf wo ich kurz beschreibe was bei mir drinnen steht.

Habe ein neuen Thread dafür angelegt. - Kurzanleitung: Keycloak-Integration mit OPNsense (OpenID Connect)