Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - cwt

#1
Das ,,riecht" verdächtig nach asymmetrischem Routing. OPN ist im Vergleich zu Sophos strikter. Bzw. Sophos legt bei Rules im Hintergrund auch NAT-rules an, was OPN nicht tut. Da Du noch Zugriff auf die Sophos hast, würde ich die NAT-Tabellen mal vergleichen.
#2
Du schreibst: Multi-WAN. Wie sehen denn die Rules sowie das Outbound-NAT für den Konnektor aus?

Wenn via Rule das Gateway für den Konnektor vorgegeben wird, ist reply-to entsprechend gesetzt?
#3
26.1, 26,4 Series / Re: CVE-2026-45257
June 15, 2026, 01:44:47 PM
Quote from: franco on June 15, 2026, 12:31:35 PM26.1.10 is being released later this afternoon.


Cheers,
Franco

Thank you for the info :-)
#4
26.1, 26,4 Series / CVE-2026-45257
June 15, 2026, 12:03:29 PM
Howdy!

The recently published CVE-2026-45257 - also called "bumsrakete" - affects FreeBSD 15.0, 14.x and 13.x.

Are there any considerations to patch OPNSense?

Cheers

https://www.freebsd.org/security/advisories/FreeBSD-SA-26:26.ktls.asc
https://bumsrake.de/
#5
German - Deutsch / Re: Umgang mit VLAN
May 25, 2026, 05:07:57 PM
Die Devolo Adapter (die reiner Powerline Adapter, nicht die Wifi-Teile) reichen alles VLAN Traffic weiter. Also auch tagged Pakete. Allerdings kann man nicht konfigieren, was und was nicht.

Ich persönlich bin kein Unifi-Fan. Für SOHO und ,,besseres Privat-Wifi" empfehle ich meist EAPs von TP-Link (aber das ist Geschmacksache). Deren Controller für erwetertes Wifi-Management läuft entweder als Hardware Appliance oder ggf. als native Installation bzw. auch in Docker. Damit kann man m. E. relativ einfach mehrere (isolierte) Wifis mit VLAN support aufbauen.
#6
Falls Deine Switch es unterstützt, könntest Du auch einen bond (LACP) für die bridges erstellen. Realtek ist bekanntermaßen nicht so 100%ig mit dem PVE ,,gut Freund". Wie sieht denn Deine Netzkonfig innerhalb vom PVE aus?
#7
As already mentioned above filtering services like AdGuard Home or PiHole can give you a quantum of control over what can be visited and what not.

ZenArmor has additional options which can be combined with existing Adblocking DNS services to prevent bypassing filtering mechanisms. One option is to block DoH (DNS over HTTPS). Afaik this feature is available in the smallest subscription (SOHO) but I'm not 100% sure. And there are web filtering options available (categories of known services/sites). These services rely on lists which are maintained by ZenArmor. But it's also possible to extend these with your own custom rules or addresses, like in AdGuard Home and in PiHole.

If you implement DNS blockers be sure to force DNS requests which bypass your DNS sinkhole with appropiate NAT rules.


Cheers
#8
Befindet sich die NAS im selben Subnetz wie der Client? Falls der Zugriff von außerhalb erfolgen soll, musst Du mit port forwarding den Zugriff auf Port 5001 der NAS gestatten und zudem via (D)DNS selbst darauf zugreifen, damit der korrekte Link erstellt wird.
#9
Salve!

Ich habe heute ein seltsames Phänomen bei einer Sense erlebt. Sobald ich ein nicht mehr aktives Gateway nebst zugehöriger WAN-Schnittstelle lösche, erhalte ich nach kurzer Zeit beim Aufruf von Seiten (auch die der Sense) den Fehler im Browser:

"SSL_UNRECOGNIZED_NAME_ALERT"

Bisher waren auf der Sense 7 WAN-Schnittstellen nebst 7 Gateways vorhanden. Aktiv ist nur noch ein synch. Glasfaser-Anschluss, die übrigen wurden früher für VDSL genutzt (FritzBox <-> WANXY).

Outbound rules im Zusammenhang mit den inaktiven Gateways gibt es nicht. Ebenso kein policy based routing auf den (V)LAN-Interfaces über Gateways.

Auf der Sense läuft Unbound als Resolver (löst gegen roots auf). Als outgoing interface ist hier lediglich das Glasfaser-Gateway gesetzt.

DNS-Server sind in den Settings nicht gesetzt. Proxy wird ebenfalls nicht genutzt.

Ich habe jetzt ad hoc nur noch ZenArmor (Business) im Verdacht. Allerdings ist dies nur für einen Teil der Interfaces für VLAN/LAN aktiviert.

Ein Reboot hatte keine Wirkung. Sobald ich die GUI der Sense aufrufen wollte, kam o.g. Fehler. Da ging nur der SSH-Zugriff und die Wiederherstellung der letzten Config.

Schon mal jemand ein ähnliches Problem gehabt?

OPNsense 24.1.6-amd64

LG & schönes WE!
#10
German - Deutsch / Re: Routing back WAN to WAN
June 30, 2023, 01:51:26 PM
Wie sieht denn die DNS Config aus? Läuft Unbound als Resolver? Sind ggf. overrides aktiv?

Du könntest probieren, den mailserverspezifischen Traffic (SMTP/SMTPS) von DMZ1 auf DMZ2 zu erlauben und umgekehrt.
#11
German - Deutsch / Re: Firewall austauschen
March 06, 2023, 09:23:34 AM
Baud rate: 38400
Data bits: 8
Stop bits: 1
COMX entsprechend Deinem COM-Port

Wenn die Verbindung aufgebaut wird, im Terminal aber nix angezeigt wird, testweise mal eine Taste drücken.
#12
Das gleiche Problem habe ich nicht, aber ähnlich gelagert. Sense mit 6 Stück Draytek Modems (VDSL), welche unregelmäßig ,,flappen". D.h., die Verbindungen sind für einige Minuten (5-20) weg und kommen dann wieder. An den Providern liegt es nicht, das wurde schon getestet und in den Logs der Drayteks finden sich keine Hinweise darauf, dass der Synch weg war. Unter V22 ist das Problem weg bzw. tritt nicht auf.
#13
German - Deutsch / DHCP - Bug oder feature?
February 21, 2023, 05:41:14 PM
Mahlzeit!

Ich hätte mal eine Verständnisfrage bzgl. des DHCP in der Sense bzw. folgendes Phänomen hatte ich auf drei verschiedenen Systemen (alle V23.1.x):

Erzeuge ich einen statischen Lease-Eintrag noch bevor ein Endgerät sich erstmals im Subnet ,,gemeldet" hat, findet keine Kommunikation durch das Endgerät statt, sobald es sich mit dem entsprechenden Subnet verbindet. Die Sense zeigt dann zwar an, das der Lease für die MAC aktiv ist, aber ich kann weder vom Endgerät noch zum Endgerät bspw. pings schicken.

Jedes Endgerät (Drucker, Smartphone, etc.) erhält auch die gesetzte IP, aber Traffic findet nicht statt.

Gehe ich den anderen Weg (Endgerät verbinden, Lease aus dem Pool wird zugeteilt und dann über die GUI einen statischen Eintrag erzeugen), klappt alles ohne Probleme.

Anfangs dachte ich noch, ich hätte Typos in der Notation der MAC gehabt (bspw. Leerzeichen durch copy and paste), dem war aber nicht so. Wenn das Phänomen nur an einer Sense auftreten würde, ok. Aber auf verschiedenen Systemen?

Oder muss sich jedes Gerät erstmal ,,normal" vom DHCP eine Adresse aus dem Pool geben lassen, damit sich statische Einträge erzeugen lassen?

Grüße
#14
Bei mir ging anscheinend entweder etwas schief oder es verträgt sich etwas nicht.

Wenn ich System -> Firmware -> Status aufrufe, erscheint im Tab der "Ladekreis", bei Type, Version, etc. wird dann nichts angezeigt. Wechsele ich auf den Reiter "Updates", erscheint ebenfalls der Ladekreis und im Output steht nur folgendes:

Quote"*GOT REQUEST TO CHECK FOR UPDATES*"
Currently running OPNsense 23.1 at Fri
Jan 27 17:48:42 CET 2023
Fetching changelog information, please
wait...
fetch: transfer timed out
Llpdating OPNsense repository catalogue...

Unbound läuft als DNS, keine DNS-Server in System -> Settings -> General hinterlegt. DNS Lookup funktioniert ohne Probleme (via GUI). Ein Lookup auf pkg.opnsense.org spuckt sofort den A und AAAA Record aus.

Alle Dienste laufen, es findet sich lediglich ein Fehler in Log Files -> General:

Quoteopnsense   /usr/local/etc/rc.bootup: The command '/usr/local/etc/rc.d/strongswan onestop' returned exit code '1', the output was 'strongswan not running? (check /var/run/daemon-charon.pid).'

Reboot habe ich bereits mehrfach durchgeführt, keine Veränderung.
#15
Nachdem ic
Quote from: Bob.Dig on October 02, 2022, 11:39:18 AM
Can you show more of your client config? You don't need to censor anything other then the private key and the server address.

Nix spezielles.. Beispiel vom Windows Client:

QuoteName: Peer1
Public Key: VH2Yp1Yo7wWWgUbFU4hv4DMj9NupwN3++DJ5oM2y2lg=
[Interface]
PrivateKey = XXXXXXX
Address = 10.20.30.2/24
DNS = my.local.unbound.dns.ip

[Peer]
PublicKey = 7NhL4ej1pKZowbChrJG8+QrGEFw+Gv/rcRTLZCn1PD4=
PresharedKey = XXXXXXXXX
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = mydomain.de:59999

Verwende ich einen Wireguard Server im LAN/VLAN (VM oder LXC) abseits von OPNsense mit entsprechendem NAT auf die IP, funktioniert alles ohne Probleme...