"
Oh man! Ja, danke, gefunden...
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
#2
German - Deutsch / SNMP? Bin ich blind?
September 16, 2025, 01:12:02 PM
Moin,
mal wieder eine Frage zum "Stups-mich-mit-der-Nase-drauf"...
Ich möchte gerne SNMP bei meinen OPNSense aktivieren.
Sämtliche Suchmaschinenlinks sagen: "Plugin os-net-snmp installieren". Aber das gibt es in meienr aktuellen OPNSense nicht. Es gibt nur ein Paket net-snmp, was aber augenscheinlich bereits installiert ist.
Nur: Wo konfiguriere ich das Ganze??? Irgendwie finde ich das nicht...
Danke!
/KNEBB
mal wieder eine Frage zum "Stups-mich-mit-der-Nase-drauf"...
Ich möchte gerne SNMP bei meinen OPNSense aktivieren.
Sämtliche Suchmaschinenlinks sagen: "Plugin os-net-snmp installieren". Aber das gibt es in meienr aktuellen OPNSense nicht. Es gibt nur ein Paket net-snmp, was aber augenscheinlich bereits installiert ist.
Nur: Wo konfiguriere ich das Ganze??? Irgendwie finde ich das nicht...
Danke!
/KNEBB
#3
German - Deutsch / Re: Unvound leitet nicht weiter?!
September 15, 2025, 03:36:37 PM
Moin,
ich wollte gerade schreiben: "Gute Idee, aber habe ich nicht". Getestet, festgestellt, dass ich das wohl doch gemacht hatte.... :(
Gerade eben einen weiteren Eintrag hinzugefüht- und er löst ohne Neustart sauber auf... ich wieder...
Gut, verbleibt die Frage, ob die die "Negative Caching TTL" irgendwie einstellen kann? Ist das "Maximale negative TTL für RRSets und Nachrichten"?
Danke fürs "mit-der-Nase-draufschubsen"!
/KNEBB
ich wollte gerade schreiben: "Gute Idee, aber habe ich nicht". Getestet, festgestellt, dass ich das wohl doch gemacht hatte.... :(
Gerade eben einen weiteren Eintrag hinzugefüht- und er löst ohne Neustart sauber auf... ich wieder...
Gut, verbleibt die Frage, ob die die "Negative Caching TTL" irgendwie einstellen kann? Ist das "Maximale negative TTL für RRSets und Nachrichten"?
Danke fürs "mit-der-Nase-draufschubsen"!
/KNEBB
#4
German - Deutsch / Unvound leitet nicht weiter?!
September 15, 2025, 12:12:28 PM
Moin,
ich habe in meinen Netzwerken einen zentralen Bind9 DNS Server stehen.
Die beiden OPNSense haben den Unbound installiert, dieser ist so eingestellt, dass er für zwei Zonen (die lokalen) eine Query-Forwarding ("Abfrage Weiterleitung") macht.
Das funktioniert eigentlich ganz gut, aber neue Einträge im bind hat der Unbound erst nach "gefühlten Ewigkeiten" (ich rede hier eher von Stunden bzw. Tagen als von Minuten!).
```
user@client ~ % host intelli.domain.de 192.168.100.2 # Anfrage an den bind9
Using domain server:
Name: 192.168.100.2
Address: 192.168.100.2#53
Aliases:
intelli.domain.de has address 192.168.200.19
user@client ~ % host intelli.domain.de 192.168.110.2 # Anfrage an den Unbound #1
Using domain server:
Name: 192.168.110.2
Address: 192.168.110.2#53
Aliases:
Host intelli.domain.de not found: 3(NXDOMAIN)
```
Erst nach einem manuellen Neustart/ Stop& Start des Unbound hat er den Eintrag drinnen.
Jemand eine Idee, warum das so ist? Der sollte doch bei (noch) unbekannten A-Records den eigetragenen Uplink befragen... tut er aber scheinbar erst nach eienm Neustart.
/KNEBB
ich habe in meinen Netzwerken einen zentralen Bind9 DNS Server stehen.
Die beiden OPNSense haben den Unbound installiert, dieser ist so eingestellt, dass er für zwei Zonen (die lokalen) eine Query-Forwarding ("Abfrage Weiterleitung") macht.
Das funktioniert eigentlich ganz gut, aber neue Einträge im bind hat der Unbound erst nach "gefühlten Ewigkeiten" (ich rede hier eher von Stunden bzw. Tagen als von Minuten!).
```
user@client ~ % host intelli.domain.de 192.168.100.2 # Anfrage an den bind9
Using domain server:
Name: 192.168.100.2
Address: 192.168.100.2#53
Aliases:
intelli.domain.de has address 192.168.200.19
user@client ~ % host intelli.domain.de 192.168.110.2 # Anfrage an den Unbound #1
Using domain server:
Name: 192.168.110.2
Address: 192.168.110.2#53
Aliases:
Host intelli.domain.de not found: 3(NXDOMAIN)
```
Erst nach einem manuellen Neustart/ Stop& Start des Unbound hat er den Eintrag drinnen.
Jemand eine Idee, warum das so ist? Der sollte doch bei (noch) unbekannten A-Records den eigetragenen Uplink befragen... tut er aber scheinbar erst nach eienm Neustart.
/KNEBB
#5
25.1, 25.4 Series / [SOVLED] Re: Unbound using multiple DNS Servers for Query Forwarding?
July 19, 2025, 10:16:09 AM
8)
Sorry- I had to log off and logon again. And then it worked. My fault!
Ok, I guess it is done now. Sorry for confusion.
Going to add a second entry for my local domains.
THANKS!
Sorry- I had to log off and logon again. And then it worked. My fault!
Ok, I guess it is done now. Sorry for confusion.
Going to add a second entry for my local domains.
THANKS!
#6
25.1, 25.4 Series / Re: Unbound using multiple DNS Servers for Query Forwarding?
July 19, 2025, 09:33:10 AM
You have not tried, no?
I can not add a second entry with same domain.
I can not add a second entry with same domain.
#7
25.1, 25.4 Series / Re: Unbound using multiple DNS Servers for Query Forwarding?
July 19, 2025, 07:33:50 AM
Hi,
sorry, I was not clear enough.
I was talking about the zone-based forwarding. I have a local DNS for my local zone. So I want Unbound to forward only those queries to my local DNS servers. And use the system configured servers for all other queries.
So yes, my Unbound uses configured "uolink" servers- except for the local domain. But for the local domain I can only add a single server in the GUI...
/KNEBB
sorry, I was not clear enough.
I was talking about the zone-based forwarding. I have a local DNS for my local zone. So I want Unbound to forward only those queries to my local DNS servers. And use the system configured servers for all other queries.
So yes, my Unbound uses configured "uolink" servers- except for the local domain. But for the local domain I can only add a single server in the GUI...
/KNEBB
#8
25.1, 25.4 Series / [SOLVED] Unbound using multiple DNS Servers for Query Forwarding?
July 19, 2025, 05:08:30 AM
Hi,
as far as I can tell the docs for Unbound say it can use multiple forwarders for query forwarding: "The servers listed as forward-host:"
In OPNSense I have not found an option to set multiple forwarders- seems like only a single one is possible.
How can I configure multiple hosts as forwad hosts?
Thanks!
/KNEBB
as far as I can tell the docs for Unbound say it can use multiple forwarders for query forwarding: "The servers listed as forward-host:"
In OPNSense I have not found an option to set multiple forwarders- seems like only a single one is possible.
How can I configure multiple hosts as forwad hosts?
Thanks!
/KNEBB
#9
German - Deutsch / Re: von Extern eigene OPNSense mit nmap gescannt
July 18, 2025, 02:13:23 PM
Und Du bist Dir sicher, dass das die richtige IP ist? Hast Du an den `nmap`mal ein "-O" rangehängt?
Und zur Struktur: V-DSL? Fritz!? Welche IP zeigt Deine OPNSense auf "ROT" an?
Und zur Struktur: V-DSL? Fritz!? Welche IP zeigt Deine OPNSense auf "ROT" an?
#10
German - Deutsch / Re: ntp zu externem Zeitserver klappt nicht (?)
July 09, 2025, 01:17:33 PM
Ja, das mit den Pools ist mir schon klar... ich dachte halt nur, der betrachtet die dann als einen. Aber nein, er greift sich ein paar davon raus. Verstanden.
So sieht das aktuell aus:
So sieht das aktuell aus:
Code Select
root@router:~ # ntpq -pn
remote refid st t when poll reach delay offset jitter
==============================================================================
0.opnsense.pool .POOL. 16 p - 64 0 0.000 +0.000 0.000
1.opnsense.pool .POOL. 16 p - 64 0 0.000 +0.000 0.000
-185.252.140.126 218.73.139.35 2 u 493 512 377 25.704 -0.404 0.432
+152.70.19.169 169.254.169.254 3 u 248 512 377 22.091 +0.289 12.878
-31.209.85.242 .GPS. 1 u 393 512 377 21.890 +3.028 0.272
*78.47.168.188 17.253.14.123 2 u 488 512 377 26.540 +0.170 0.124
-148.251.5.46 192.53.103.103 2 u 491 512 377 25.612 -0.229 0.103
-77.90.40.94 3.227.217.39 4 u 379 512 377 20.700 -0.159 0.473
-49.13.14.46 205.46.178.169 2 u 466 512 377 26.436 +0.392 0.123
-85.214.83.151 192.53.103.104 2 u 342 512 377 26.057 +1.241 0.595
-212.132.97.26 192.53.103.104 2 u 434 512 377 15.758 -3.255 0.698
+158.180.28.150 169.254.169.254 3 u 422 512 377 22.092 +0.298 13.660
-5.45.97.204 68.126.43.53 2 u 193 512 377 25.851 -0.022 0.259
#11
German - Deutsch / Re: Failover und internes Routing
July 08, 2025, 11:55:35 AM
Verstehe ich nicht ganz,
die "roten" Failover haben doch nichts mit den Regeln zu tun?
Von internesNetz1 in internesNetz2 geht doch komplett an den Gateways (ROT) vorbei!
Und für den Internetzugang muss das doch auch nicht sein- gibst einfach kein Gateway an (ist ja bei DSL sowieso dynamisch). Dann entscheided die Sense, welches Gateway sie nimmt. Die bisherigen WErte Quelle, Zile und Port sind doch unverändert gültig, braucht man doch keine neuen Regeln...
die "roten" Failover haben doch nichts mit den Regeln zu tun?
Von internesNetz1 in internesNetz2 geht doch komplett an den Gateways (ROT) vorbei!
Und für den Internetzugang muss das doch auch nicht sein- gibst einfach kein Gateway an (ist ja bei DSL sowieso dynamisch). Dann entscheided die Sense, welches Gateway sie nimmt. Die bisherigen WErte Quelle, Zile und Port sind doch unverändert gültig, braucht man doch keine neuen Regeln...
#12
German - Deutsch / Re: ntp zu externem Zeitserver klappt nicht (?)
July 08, 2025, 11:48:38 AM
Das bringt mich jetzt nicht weiter :D
Verstehe halt nicht, warum er immer nur einen als "Aktiver Peer" nutzt und die anderen alle als "Ausreißer" (bzw. einer "Kandidat") markiert sind...
Dann holt er sich doch die Zeit nur von einem? Sollte er nicht wenigstens zwei haben?
Verstehe halt nicht, warum er immer nur einen als "Aktiver Peer" nutzt und die anderen alle als "Ausreißer" (bzw. einer "Kandidat") markiert sind...
Dann holt er sich doch die Zeit nur von einem? Sollte er nicht wenigstens zwei haben?
#13
German - Deutsch / ntp zu externem Zeitserver klappt nicht (?)
July 08, 2025, 10:08:30 AM
Moin!
Bei meiner OPNSense (aktueller Stand) habe ich den ntp-Dienst (Netzwerk-Zeit) aktiviert. Zwei externe Zeitserver sind konfiguriert und als "Bevorzugt" eingetragen:
```
0.opnsense.pool.ntp.org
1.opnsense.pool.ntp.org
```
Bei beiden zeigt er im Status "Unerreichbar/ Ausstehend" an :( Einen anderen Server hat er dagegen als "Aktiver Peer" gelistet- vermutlich ein Server aus dem Pool.
Fragen:
Die Namensauflösung der Sense ist einwandfrie, gerade direkt auf der ssh-Konsole bei Pool-Aliase problemlos auflösen (und pingen) können.
Und nein, es sind keine Regeln definiert, die den ausgehenden Verkehr beschränken...
Danke für Tipps!
/KNEBB
Bei meiner OPNSense (aktueller Stand) habe ich den ntp-Dienst (Netzwerk-Zeit) aktiviert. Zwei externe Zeitserver sind konfiguriert und als "Bevorzugt" eingetragen:
```
0.opnsense.pool.ntp.org
1.opnsense.pool.ntp.org
```
Bei beiden zeigt er im Status "Unerreichbar/ Ausstehend" an :( Einen anderen Server hat er dagegen als "Aktiver Peer" gelistet- vermutlich ein Server aus dem Pool.
Fragen:
- Ist das normal, dass er die beiden Pool-Aliase als "Unerreichbar/ Ausstehend" anzeigt?
- Warum synct er sich mit nur einem Rechner, obwohl ja eigentlich zwei angegeben sind?
Die Namensauflösung der Sense ist einwandfrie, gerade direkt auf der ssh-Konsole bei Pool-Aliase problemlos auflösen (und pingen) können.
Und nein, es sind keine Regeln definiert, die den ausgehenden Verkehr beschränken...
Danke für Tipps!
/KNEBB
#14
German - Deutsch / Re: Fritzbox vor Opnsense bei Glasfaseranschluss SWN NEumünster
July 07, 2025, 05:18:03 PMQuote from: derMike on July 04, 2025, 01:03:24 PMIch habe bei SWN angerufen, Antwort: Für Private GEräte geben wir keinen Support, dafür ist der Kunde selber verantwortlich.
Das ist die übliche Ausrede von den Providern. Es gibt eine eindeutige Schnittstellenbeschreibung- lass Dir die geben (bzw. den Link dazu). Dazu sind sie verpflichtet. Und wenn dann Benutzername/ KEnnwort notwendig sind, müssen sie das auch rausrücken.
Die sollen keinen Support für Deine OPNSense machen, verlangt ja keiner. Aber die Schnittstelle muss problemlos genutzt werden können.
Bei mir (nicht NMS) haben sie auch ewig rumgezickt, aber letztendlich akzeptiert.
/KNEBB
#15
24.1, 24.4 Legacy Series / HowTo/ Hint: Spamassassin getting blocked due too many queries
June 11, 2024, 08:12:03 AM
Hi,
I have Unbound running on my OPNSense and a public mailserver with spamassassin behind.
I noticed log messages on my mailserver like this:
All with different but similar error messages.
Initially I did not have unbound configured but used some default open DNS servers.
Doing a search for the above errors lead into "install a local resolver like unbound". So did I. Same result, just less frequent.
For those who have similar issues, here's the solution.
The root cause is the blacklist queries are coming from very high frequent nameservers like Google (1.1.1.1) or Quad (9.9.9.9) which I had configured as forwarder. And the blacklists saw the queries only from these IPs and blocked them due to high volume.
I noticed this by doing a dig command:
So this revealed a Cloudflare IP. But where did it come from?
In my Unbound I had configured forward servers. So my Unbound forwarded all queries to the high volume DNS servers, too.
Obviously using a local cache did not help here.
Finally I configured my Unbound to NOT use any forwarders - or use the local ISP DNS servers.
Once done, the above messages went away and I am back to proper spam protection.
Just in case it helps for some guys searching for the same issue.
/KNEBB
I have Unbound running on my OPNSense and a public mailserver with spamassassin behind.
I noticed log messages on my mailserver like this:
Code Select
Jun 11 06:16:23 net spamd[9635]: check: dns_block_rule URIBL_BLOCKED hit, creating /root/.spamassassin/dnsblock_multi.uribl.com (This means DNSBL blocked you due to too many queries. Set all affected rules score to 0, or use "dns_query_restriction deny multi.uribl.com" to disable queries)
Jun 11 06:16:23 net spamd[9635]: check: dns_block_rule RCVD_IN_ZEN_BLOCKED_OPENDNS hit, creating /root/.spamassassin/dnsblock_zen.spamhaus.org (This means DNSBL blocked you due to too many queries. Set all affected rules score to 0, or use "dns_query_restriction deny zen.spamhaus.org" to disable queries)
Jun 11 06:30:12 net spamd[9635]: check: dns_block_rule URIBL_BLOCKED hit, creating /root/.spamassassin/dnsblock_multi.uribl.com (This means DNSBL blocked you due to too many queries. Set all affected rules score to 0, or use "dns_query_restriction deny multi.uribl.com" to disable queries)
Jun 11 08:00:35 net spamd[9635]: check: dns_block_rule RCVD_IN_VALIDITY_CERTIFIED_BLOCKED hit, creating /root/.spamassassin/dnsblock_sa-trusted.bondedsender.org (This means DNSBL blocked you due to too many queries. Set all affected rules score to 0, or use "dns_query_restriction deny sa-trusted.bondedsender.org" to disable queries)
Jun 11 08:00:35 net spamd[9635]: check: dns_block_rule RCVD_IN_VALIDITY_SAFE_BLOCKED hit, creating /root/.spamassassin/dnsblock_sa-accredit.habeas.com (This means DNSBL blocked you due to too many queries. Set all affected rules score to 0, or use "dns_query_restriction deny sa-accredit.habeas.com" to disable queries)
Jun 11 08:00:35 net spamd[9635]: check: dns_block_rule RCVD_IN_VALIDITY_RPBL_BLOCKED hit, creating /root/.spamassassin/dnsblock_bl.score.senderscore.com (This means DNSBL blocked you due to too many queries. Set all affected rules score to 0, or use "dns_query_restriction deny bl.score.senderscore.com" to disable queries)All with different but similar error messages.
Initially I did not have unbound configured but used some default open DNS servers.
Doing a search for the above errors lead into "install a local resolver like unbound". So did I. Same result, just less frequent.
For those who have similar issues, here's the solution.
The root cause is the blacklist queries are coming from very high frequent nameservers like Google (1.1.1.1) or Quad (9.9.9.9) which I had configured as forwarder. And the blacklists saw the queries only from these IPs and blocked them due to high volume.
I noticed this by doing a dig command:
Code Select
root@netp:/# dig @opnsense 2.0.0.127.multi.uribl.com txt +short
"127.0.0.1 -> Query Refused. See http://uribl.com/refused.shtml for more information [Your DNS IP: 172.70.241.83]"
So this revealed a Cloudflare IP. But where did it come from?
In my Unbound I had configured forward servers. So my Unbound forwarded all queries to the high volume DNS servers, too.
Obviously using a local cache did not help here.
Finally I configured my Unbound to NOT use any forwarders - or use the local ISP DNS servers.
Once done, the above messages went away and I am back to proper spam protection.
Just in case it helps for some guys searching for the same issue.
/KNEBB
