Messages

Edit:

Did a bit more poking around on a second instance. It seems the problem stemms from

Code Select Expand

/usr/local/bin/netbird up -m 'https://api.netbird.io:443' -k '22BCF562-xxxx-xxxx-xxxx-1CA4723CC26B'
as that is what configd is stumbling over. I checked on the console that the binary itself can be run. That was fine. Upping with the parameters like in the error threw those errors on the console:

Code Select Expand

2025-09-12T16:42:41+02:00 INFO ./caller_not_available:0: 2025/09/12 16:42:41 WARNING: [core] [Channel #1 SubChannel #2]grpc: addrConn.createTransport failed to connect to {Addr: "/var/run/netbird.sock", ServerName: "localhost", Attributes: {"<%!p(networktype.keyType=grpc.internal.transport.networktype)>": "unix" }, }. Err: connection error: desc = "transport: Error while dialing: dial unix /var/run/netbird.sock: connect: no such file or directory"
2025-09-12T16:42:42+02:00 INFO ./caller_not_available:0: 2025/09/12 16:42:42 WARNING: [core] [Channel #1 SubChannel #2]grpc: addrConn.createTransport failed to connect to {Addr: "/var/run/netbird.sock", ServerName: "localhost", Attributes: {"<%!p(networktype.keyType=grpc.internal.transport.networktype)>": "unix" }, }. Err: connection error: desc = "transport: Error while dialing: dial unix /var/run/netbird.sock: connect: no such file or directory"
2025-09-12T16:42:44+02:00 INFO ./caller_not_available:0: 2025/09/12 16:42:44 WARNING: [core] [Channel #1 SubChannel #2]grpc: addrConn.createTransport failed to connect to {Addr: "/var/run/netbird.sock", ServerName: "localhost", Attributes: {"<%!p(networktype.keyType=grpc.internal.transport.networktype)>": "unix" }, }. Err: connection error: desc = "transport: Error while dialing: dial unix /var/run/netbird.sock: connect: no such file or directory"
Error: failed to connect to daemon error: context deadline exceeded
Error: failed to connect to daemon error: context deadline exceeded

If the daemon is not running please run:
netbird service install
netbird service start

So I checked the service. It is installed and set up but - of course - not started. Starting it does nothing as it gets stopped immediatly. But the CLI for `netbird service` shows that the global flag -k for key registration can be send with the service keyword, too. Not only with the up command (which should only bring it up when configured). So my guess was, that the service has to register with

Code Select Expand

netbird service -k <key> instead of

Code Select Expand

netbird up -k <key> and I tried running that manually.

Starting the service with the key worked and showed status "running". GUI also switched to "green" and could stop/start without problems. So I guess the problem is the initial setup that has to be done with the `service` keyword, not with the `up` one?`

Cheers!

https://www.reddit.com/r/opnsense/comments/1nezozf/comment/ndsqg3p/

Thanks Franco,

but as the original Reddit user seems not to have opened an issue (didn't find one when searching), I opened one as requested. Also I'm in touch with Netbird devs and shot them the log and description, too.

https://github.com/opnsense/plugins/issues/4934

If you can point me to a thing, I can do to get more debug details as to why the agent won't start, fire away, happy to test/help.

Cheers
\jens

Hi,

tested the new Netbird integration and tried my test setup key but the service won't start at all:

[cf80a216-e515-45cc-acc1-a3cf1899ed2c] Script action failed with Command '/usr/local/bin/netbird up -m 'https://api.netbird.io:443' -k '22BCF562-xxxx-xxxx-xxxx-1CA4723CC26B'' returned non-zero exit status 1. at Traceback (most recent call last): File "/usr/local/opnsense/service/modules/actions/script_output.py", line 78, in execute subprocess.run(script_command, env=self.config_environment, shell=True, File "/usr/local/lib/python3.11/subprocess.py", line 571, in run raise CalledProcessError(retcode, process.args, subprocess.CalledProcessError: Command '/usr/local/bin/netbird up -m 'https://api.netbird.io:443' -k '22BCF562-xxxx-xxxx-xxxx-1CA4723CC26B'' returned non-zero exit status 1.

Also the plugin doesn't log its own errors in its tab (most likely because the messages were thrown from controld and not netbird itself).

Cheers,
\jens

Bei alle Youtube Videos die eine OpnSense auf einen Promox via VM einrichten, erscheinen die Intefaces korrekterweise WAN (vtnet0) und die LAN (vtnet1)

Dann sind die Tutorials wahrscheinlich alt. Neue OPNsense Versionen machen immer das erste Interface zum LAN, das zweite zum WAN. Das hat sich in einer Version mal getauscht (man entschuldige dass ichs nicht mehr auswendig weiß welche :)) aber das "Autosetup" erkennt das erste (vtnet0) eben als LAN und das zweite (vtnet1) als WAN. Einfach so im Proxmox anpassen/ändern, dann gibts weniger Streß. Ansonsten kannst du nach Booten natürlich wie @viragomann sagt auch einfach die Interfaces anders herum mappen. Das ist ja nicht in Stein gemeißelt :)

Cheers

1. Ist Unbound für externe Auflösung und DNSmasq für interne Auflösung zuständig?

Nein, das sind zwei Werkzeuge. Unbound ist ein DNS Resolver - der löst selbst DNS über die Root Server auf. DNSmasq ist ein Forwarder, der schickt nur alles an irgendeinen DNS Server (oder mehrere) draußen weiter. Ich persönlich bin kein Fan von Forwarding, weil ich mich dann verlasse auf das was der Forwarder mir sagt und das wieder zentralisiert, was dezentral sein sollte. Was du tust, liegt ganz bei dir und deinen Vorlieben. Beide laufen aber theoretisch auf dem gleichen Port also entweder - oder. Der Umbruch der stattfindet ist lediglich der default, und da DNSmasq auch DHCP spielen kann, ist das für kleine Setups vielleicht einfacher (ähnlich wie Pihole). Ich bevorzuge klar Unbound für DNS und was anderes (Kea, ISC, Dnsmasq, egal) für DHCP. Je nach Bedarf.

2. Wie kann ich statische IP-Adressen im internen Netzwerk automatisch bei DNS eintragen lassen? Oder muss ich das manuell machen? Ich kenne es nur manuell.

Wenn es um IPs geht, die Geräte via DHCP fix haben (static reservations), die können in DNS mit reingeladen werden. Hängt aber von DHCP/DNS Kombo ab. Wenn es um völlig getrennte IPs geht (Geräte statisch konfiguriert), dann kann man sowohl Unbound als auch DNSmasq über Host Overrides problemlos Einträge dazukonfigurieren. Oder du machst dann das große Fass auf und machst bspw. das Bind Paket mit rauf und machst eine eigene interne Domain mit DNS Server. Was du da vor hast, weiß ich ja nicht :)

Cheers
\jens

"DHCP langsam" - wenn es nicht eins der MAC Phänomene oben ist - ist gern bei STP am Start, wenn die Ports lahm versuchen irgendwelche Loops zu checken und dann irgendwann DHCP stattfinden kann. "Portfast" ist ja nur ein Alias für RSTP auf den Büchsen anmachen - oder eben STP komplett aus auf den MAC Ports. Dann sollte der Port zumindest nicht blocken und DHCP schnell(er) laufen. Hatte hier auch mal aus alten Gründen auf STP downgraden müssen, aber das war elend. Selbst Windosen haben ewig für DHCP gebraucht. Das könnte also durchaus mit reinspielen.

Cheers

n dem ICMP Paket steht, dass es von Server zu Client gehen sollte.
Wenn ich die Details von dem Paket anschaue, dann sehe ich, dass das Paket aber auf dem Client angekommen ist.

Nun wundert es mich, dass dieses ICMP Paket überhaupt existiert.

Meine aktuelle Vermutung ist, dass die FWInternBackup das Paket dank Promiscuous Mode mitbekommt, denkt es wäre was für die FWInternBackup, es versucht zuzustellen (indem sie das Paket erst an ein anderes Gateway 10.46.23.2 und dieses dann an die FW1 weiterleitet) , es sich dann wieder im Proxmox Host "im Kreis dreht" und dann irgendwann der TTL zuschlägt und die FWInternBackup den Client via ICMP informiert.

Vielleicht denke ich hier verkehrt, aber das klingt im ersten Moment überhaupt nicht nach Firewall. Du schreibst doch, dass das Paket vom Server zum Client gehen soll. Und dass die Backup Kiste das mitbekommt, wahrscheinlich weil sie promisc das Paket sieht. Dann würde es die FWIntern aber ebenfalls sehen und zustellen, es käme also so oder so an. Es wurde ja vom Server und nicht von der InternBackup gesendet. Was hat diese dann damit zu tun? Und an welche Adresse schickt es der Server? Oder hat der Server vllt. ein falsches Gateway und deshalb bekommt es die falsche Firewall ab?

Das ist alles ohne die genauere Konfig zu kennen etwas nebulös :)

Cheers
\jegr

Kurze Info: War zwar die letzten beiden Wochen wegen Urlaub nicht da, die "Bar" war aber trotzdem wie immer geöffnet. Wir machen auch keine Sommerferien :) Heißt nächster regulärer Termin ist der 8.8.2025, siehe auch hier: => NSFW.pub

Mehr als ein Gateway auf WAN Seite würde ich absolut tunlichst vermeiden.

Kannst Du mir bitte helfen zu verstehen, warum asymmetrisches Routing mit zwei Gateways im selben Netzwerk (WAN) ein potentielles Problem ist, aber nicht mit den selben Gateways in 2 Netzwerken?

Es geht ja dann nicht um die SELBEN Gateways in 2 Netzen, sondern so eine Box in ein separates Netz (via VLAN, eigenes Interface, whatever) zu packen, wo nur noch die Box und die Sense drin spielen. Warum?

Die *sensen aktivieren bei WAN-style Gateways einen Zusatz im pf Filter, der Regeln auf dem WAN Interface ein "reply-to" hinzufügt, damit der Traffic der darüber reinkommt garantiert wieder dort rausgeht, wo er herkam. Gerade bei VPNs und Co kann das durchaus wichtig werden. Hast du jetzt 2 Gateways auf dem WAN und reply-to ist aktiv, dann kommt Traffic von der Box, geht zur Sense (und dem Client dahinter), kommt als Antwort zurück, geht aber NICHT wieder zur VPN Box, sondern geht zum Default-GW vom WAN -> dem Router davor. Je nachdem was das für ne Kiste ist und wie gut der Asymmetrie abkann, kann der das Paket mit Glück dann an die VPN Box weiterschicken (wenn Routen eingetragen sind), aber insgesamt ist das immer ein Konstrukt, das leicht brechen kann. Schaltet man reply-to ab, kann sein, dass vllt. andere Sachen, VPNs o.ä. nicht mehr sauber funktionieren wie gedacht.

Packt man jetzt einfach die Registerbox mit ihrem VPN in ein dediziertes VLAN/Interface an die Sense, dann wird die für das Remote Netz einfach als weiteres "WAN" an der Sense behandelt. Es gibt sauberes Routing mit einem GW pro Interface (WAN Kram bleibt WAN Kram, RemoteNetz XY wird sauber an die Registerbox geroutet) und alles läuft auf einem genau festgelegten Weg da lang, wo es soll ohne aus Versehen irgendwo anders abzubiegen.

Ich hoffe das war halbwegs verständlich ausgedrückt :)

Cheers
\jens

Zwei Tunnel mit identischer Phase 1, aber unterschiedlichem Gateway

Kurze Rückfrage: Was genau ist damit gemeint? Identische P1 aber unterschiedlichem GW? Also selbes Gerät über zwei unterschiedliche IPs?

Wäre es da statt classic P2 VPNs nicht einfacher zwei VTI (routed IPSEC) anzulegen und dann auf der Sense da nen Failover Gateway drüber zu packen? Oder kann das die Sophos nicht?

Ansonsten wir das bei IPsec ohne Hilfsmittel m.E. ziemlich bastelig. Automatisch geht da meine ich wenig - oder was stellt die Sophos da für Werkzeuge zur Verfügung, dass sie automagisch einen IPsec Tunnel auf einen anderen umschaltet? Da stecke ich in der Sophos zu wenig drin.

Cheers
 \jens

Hinweis: Je nach settings im OVPN Server und beim Export wird die OVPN Datei vllt nicht korrekt gelesen (von OpenVPN Connect auf iOS oder Android). Empfehle daher entweder einen anderen Client zu nutzen (OpenVPN von Arne Schwabe bei Android, Passpartout in iOS) oder die Serverkonfig anzupassen und entsprechende Konfigparameter statt dessen direkt am Client zu setzen. Das wird aber vom Client angemeckert wenn da was nicht klappt.

Bei iOS auch wichtig: entweder keine Domain pushen per DNS oder alle notwendigen, die via VPN aufgelöst werden sollen. iOS/Apple ist da leider zickig.

Cheers

Nur ein gewöhnliches Paket mit gesetztem ACK. Fließen die Pakete auch wirklich in beiden Richtungen durch die Firewall durch? Also hat der Ziel-Host 192.168.234.175 definitiv keine andere Route in das Netzwerk 192.168.10.0/24 an der OPNsense vorbei?

Ich mag mich täuschen, aber das Paket stimmt mich auf asymmetrischen Traffic. Da ist NUR ein Ack. Kein SYN. Die Firewall filtert aber per default nur SYNs und packt sie dann in die State Table. Wenn da Pakete abgelehnt werden, die NUR Ack sind, dann gabs entweder kein Syn oder über ein anderes Interface und der State passt nicht. Das sieht für mich nach Dreieck Routing aus. Da ich die Changelogs nicht auswendig im Kopf habe: gabs diesbezüglich eine Änderung beim State Tracking o.ä.?

Hallo OPNsense-Gemeinde,
Was für Konsequenzen kommen auf uns zu? Wird nach dem Update auf 26.1 OpenVPN nicht mehr funktionieren oder kann man dann keine Profile mehr erstellen.

Muss man alle Profile neu erstellen? Bitte um Aufklärung. Wir haben 150 OpenVPN-Profile (LEGACY) in Benutzung.

Sofern am vorhandenen OpenVPN Instance Service nicht noch Änderungen und Ergänzungen dazu kommen, wird das leider ein ziemliches Chaos werden. Da das Instanz-Zeugs leider keinerlei alte Cipher in der Liste unterstützt, sondern nur das, was OpenVPN eh schon als Standard hat (AES-GCM-256,128 und Chacha20) werden alle OpenVPN Verbindungen mit AES-CBC oder altem BF-CBC nach Abschalten des alten Legacy Pakets nicht mehr funktionieren. Ich hoffe sehr, dass der Instanz-Server bis dahin sämtliche fehlende (leider einige) Schalter und Settings bekommen wird, dann kann man ggf. auch abschätzen, was das für eine Arbeit wird das umzustellen.

Wenn sich weiterhin allerdings nichts tut, wird das auch einigen unserer Kunden extrem weh tun und das Update erstmal verhindern. Das wird sich dann sicherlich im kommenden oder nächsten Update dann zeigen, wenn wie angekündigt der Legacy Service dann zum Paket wird und danach erst verschwinden soll. Wenn der dann ausgelagert zum Paket wird, wird es wahrscheinlich dann nach Installation des Pakets noch weiterlaufen.

Wie gesagt kann man das leider erst ersehen, wenn man weiß, wie es mit dem Instanz-Server weitergeht.

Cheers

Man könnte die Registerbox auch einfach in das Netz zwischen LAN der Fritte und WAN der OPNsense legen, wenn die OPNsense sowieso NAT macht. Also, LAN der Fritte als 192.168.9.1/24 konfigurieren, DHCP dessen abschalten, die Registerbox und das WAN der OPNsense ans LAN der Fritte anschliessen. Danach auf der OPNsense das WAN als 192.168.9.2/24 (oder so) konfigurieren, die Adresse der Registerbox als Gateway definieren und die Routen eintragen. Dann spart man sich das ganze Outbound NAT.

Mit mehr als einem Gateway auf der WAN-Seite der OPNsense empfehle ich auch Firewall: Settings: Advanced: Disable force gateway zu aktivieren.

Code Select Expand

------------
| Fritzbox |
------------
        |
        | 192.168.9.0/24
        |              ---------------
        |---------------| Registerbox |
        |              ---------------
        |
------------
| OPNsense |
------------


Mehr als ein Gateway auf WAN Seite würde ich absolut tunlichst vermeiden. Ja man kann das machen. Es gibt aber jede Menge Fallstricke dafür und force Gateway ist nicht der einzige. Da spielt dann bspw. noch der reply-to von den WAN Regeln mit rein, etc. etc. und genau WENN man sowas wie ein auf-erzwungenes Gateway hat, das man integrieren muss, ist ein sauberes Transfernetz damit Gold wert und reduziert Fehlerquellen wie asymmetrisches Routing und Co auf ein Minimum. Alles andere - die Box ins LAN, WAN etc. zu packen - fördert nur Probleme.

Cheers

a) Ist das prinzipiell ähnlich oder sind das zwei paar Schuhe?

Wenn du die Einbindung meinst der Liste, dann ist das Prinzip gleich/ähnlich. Nur eben andere URI zum Abrufen. Du solltest dann aber ggf. mal nachlesen, welche firehol Liste (level 1, 2, 3...) genau WAS tut, was beinhaltet und für welchen Zweck die gedacht ist. Bspw. ist L1 eine recht generische Liste, hat aber bspw. die ganzen privaten Adressen, Multicast und Co mit drin, was man ggf. intern->extern nicht alles blocken will. Da braucht es dann ggf. eine gefilterte Liste mit negativ-Aliasen mit drin.

b) Nutzen die SPAM-Haus-Listen auch gegen SPAM-Mails? Gelistete E-Mailserver dürften doch theoretisch abgeblockt werden, oder?

Spam Blocklisten und Spam-Server Blocklisten sind zweierlei Dinge. Wenn du von der Spamhaus DROP oder EDROP Liste sprichst, dann hat die nichts oder nicht nur was mit Spam zu tun, sondern listet generell ziemlich offensive IPs, die man nicht haben will. Ransomware Crypto, Malware, Botnetze und Co können da enthalten sein. Das hat also nicht(s) nur mit Mailservern zu tun, weil die Bude Spamhaus heißt :)

Zusätzlich sind DROP und EDROP meistens in den größeren Listen schon mit enthalten. Firehol Level 1 enthält bspw. schon 100% von DROP und EDROP sowie DShield und ET_spamhaus und ET_block:



Somit kann man hier sich dann ggf. die ein oder andere Liste weil bereits enthalten einfach einsparen :)
Wichtig ist aber hier genau drauf zu achten, was man für welchen Zweck einbindet. Einfach Level 2 & 3 bspw. zu nutzen kann/wird zu false positives führen. Auf Level 2 oder 3 landen schon gerne mal CDN oder bekanntere IPs von Github, Gitlab, Discord und Co, wenn deren Dienste mal wieder zum Upload von irgendwelchem Schadcode verwendet werden. Das muss man im Auge haben und ggf. mit einer Allowliste gegensteuern, die solche IPs rauszieht.

Cheers