Messages

Hi,

I'm currently planing to use Zabbix as our monitoring solution. With pleasure I have noticed, that there is a zabbix-proxy plugin, which I could use to monitor some remote offices (where OPNsense is the firewall).

My Questions is related to the CARP / HA Setup and the zabbix-proxy. Do I configure the zabbix-proxy to listen on the CARP interface or do I configure both firewalls as a proxy and implement two proxys in my zabbix server? I would prefer one zabbix-proxy from the zabbix-server view. Doesn't madder if I have to configure two "standalone" proxys or two with CARP functionality.

Hope someone has experience with this topic and can give some hints.

Regards,
Julian

Ok, nachdem der Provider nun ein Routing zu mir konfigurierd hat funktioniert es auch, wenn ich auf meinen LAN-Interfaces ein passendes IPv6 Subnetz in /64 konfiguriere.

Jetzt muss ich nur noch das Konstrukt aus DHCPv6 und Router Advertisement Service dazu bringen, dass das auch mit MacOS und iOS/Android geht. Windows würde schon funktionieren.

MacOS,iOS/Android haben eine passende IPv6, die default IPv6-Route zeigt bei diesen Clients aber auf die IPv6 Link Local adresse der Firewall, nicht auf die CARP IPv6 auf den LAN Interface. Wäre für mich ja auch noch ok, aber Traffic funktioniert von den Clients leider nicht.

Hat da jemand Empfehlungen?

Ich hab bei mir das Plugin "os-api-backup" aktiviert und ein Cron-Job (kleines Bash Script) läd einmal am Tag die Konfig und schreibt diese in ein git-Repo. Damit habe ich auch gleich eine Versionierung.

Für das Script hab ich einfach einen User angelegt, der nur das Recht hat, diesen Download aus zu führen.

Habe mit dem Provider gesprochen. Wir teilen das Netzwerk auf und nehmen ein /64 als Koppel-Netzwerk und dann setzten wir statisches Routing für alle anderen Subnetze auf. Damit sollte auch das Routing funktionieren...

Was mich nur etwas wundert, der Provider möchte auf seinen IPv6 Router Interface weiterhin /56 als Mask verwenden und alle anderen Netze mit statischen Routen an meine Firewall routen.

Das finde ich etwas komisch, müsste aber ja funktionieren, weil "Striktere"/genauere Routen Ja eine höhere Prio haben.

Was wäre das korrekte Router Advertisements Setting, um von Windows über Mac bis hin zu iOS und Android alle Client-Betriebsysteme zu unterstützen? Für die Smartphones benötige ich ja auf jeden Fall SLAAC, also müsste es "Assisted" oder "Stateless" sein, damit ich alle Varianten unterstütze?

Der Provider ist Colt mit einer Standleitung für ein Büro.

Ich bin jetzt mal mit dem Provider in die Diskussion gegangen, wie er sich den das Netzwerk-Design so vorgestellt hat...

Ein /56 als Zuteilung für ein Unternehmen ist ja ok, aber ich muss das halt irgendwie aufteilen und routen können, nicht als ganzen verwenden...

Es ist ja kein Transfer-Netz vorhanden, das /56 ist direkt auf meinem WAN, mit dem Hinweis vom Kunden verwendbare IP-Adressen...

Bin ich richtig der Annahme, das ich eigentlich DHCPv6 mit Prefix-Deligation oder ein weiteres Transfer-Netz benötige?

Wie geschrieben, das Netz ist statisch und zwar ein /56. Kein DHCPv6 vom Provider zu mir und auch kein "Koppel-Netzwerk" oder dergleichen.

Lediglich eine Gateway IP hat sich der Provider aus dem /56 Netz genommen.

Das Update ist schon für die nächsten Tage geplant.

Hallo,

ich würde gerne IPv6 bei mir einrichten, jetzt hat mir mein Provider ein statisches /56 IPv6 bereitgestellt, welches bei mir auf dem WAN Interface anliegt.

Mein Problem ist jetzt, wie bekomme ich dieses Netz (genauer einzelne Sub-Netzte) auf die LAN Seite? Bisher kannte ich hier immer nur DHCPv6 Prefix-Delegation, um das Netz weiter aufzuteilen. Wie mache ich das, wenn ich ein statisches Netz zur verfügung habe?

Auf LAN Seite würde ich Windows, MacOS, Android und iPhones haben. Für die Smartphones benötige ich SLAAC, da die Clients ja kein DHCPv6 unterstützen. Das heißt, ich müsste es dort per Router Advertisment konfigurieren, wie stelle ich aber WAN und LAN Interface ein?

Aktuell läuft Version "OPNsense 20.1.3"

Bin für Tipps Dankbar!

Grüße
Julian

Wo landen eigentlich die Firewall Regeln, die von Master auf Standby gesynct werden, wenn auf Master z.B. für einen OpenVPN Server unter Interfaces ein eigenes Interface erstellt und dort die Regeln konfiguriert wurden?

Da dies ja manuell erstellt wurde, wurde das "Interface" ja nicht gesynct, der openVPN Server ist auf der Standby aber ja vorhanden...

Also per ssh kann ich mich ebenfalls nicht einloggen. Somit scheidet die console auch aus.

Ausfall wäre nicht gut, da sie Produktiv ist.

Was ich mich frage, Wie vollständig der sync zwischen den Systemen ist. Grund: Ich habe auf der Master z.B. Interfaces für openVPN Server erstellt. Die habe ich auf der Standby nicht...

Ob die HA Synchronisation hilft weiß ich nicht, da dieser Part ja auch nicht auf die Standby übertragen wird. Diese systemspezifischen Werte werden ja nicht immer mit übertragen...

Hallo,

ich habe mich scheinbar aus der WebGUI meiner OPNsense ausgesperrt. Nun bräuchte ich eure Hilfe, um wieder in das System zu kommen.

Ich vermute, es hat damit zu tun, das ich unter System->Settings->Administration->"Authentication: Server" LDAP Server ausgewählt und die default "Local Database" dabei vergessen habe.

Wenn ich mich mit einem LDAP-User anmelde, bekomme ich nur "no page assigned to this user"
Mit meinem lokalen admin-User bekomme ich "Wrong username or password" - die Zugangsdaten stimmen aber.
Ich hätte noch einen "sync" User zur verfügung, der hat aber nur das Recht auf "GUI -> XMLRPC Library"

Zu dem Setup:
Die OPNsense FW läuft in einen High Availability Cluster (auf den Standby Knoten komme ich noch problemlos).
Es ist die Version "OPNsense 19.1.2". Das ganze System läuft in einer virtualisierten Umgebung (KVM), würde also auch an die Festplatte direkt kommen.

Hoffe jemand hat eine Idee, wie ich das System noch retten kann. Würde die FW ungern löschen und neu aufbauen...

Grüße
Julian

Hi,

I have the same Issue with a clean install of OPNsense 19.1 on a new DELL PowerEdge R340 Server.

Using the Boot Options and trying the different Images (nano, dvd,vga) did not help. Also tried enabling and disabling UEFI in the BIOS does not helped.

kernel trap 12 with interrupts disabled
Fatal trap 12: page fault while in kernel mode
Stopped at fpuinit+0x179: orb $0x10,ctx_switch_xsave+0x3

Yeah, it is the same topic, but no working solution yet  :'(

I switch over...

I found the Issue. The problem was a wrong mtu size one the lan interface. The lan interface was in a virtual vxlan and the overhead dropped the packages. Fixing the mtu fixed the sync issue.

Hello,

I try to install OPNsense 19.1 on a new DELL PowerEdge R340 Server. I use the nano image. At the boot process I get a kernel panic, see attached screenshot

kernel trap 12 with interrupts disabled
Fatal trap 12: page fault while in kernel mode
Stopped at fpuinit+0x179: orb $0x10,ctx_switch_xsave+0x3

I tried the 64 bit nano and dvd image. Both with this error.

Has anybody a solution for this?

Regards
Julian