Messages

Habe es selbst gelöst:

Eine Analyse hat ergeben, dass der Zeitserver nicht mehr lief. Dadurch kam es dann zu folgender Aussage der OpenSense, beim Versuch zu updaten:

Fetching changelog information, please wait... Certificate verification failed for ...

Ein "ntpq -p" auf der Console ergab, dann, dass der Zeitserver rumzickt.

Dann habe ich mit z.B. "date 202606051430" auf der Console die Uhrzeit manuell gesetzt. Dann konnte ich die Updates laden.
Das hat aber nicht dieses nervige Problem mit dem Zeitserver gelöst. Der zickt immer noch rum.

Zumindest hatte ich dann die OpenSense wieder auf dem neuesten Stand. Nun muss ich mich wohl mit dem Zeitserver auseinandersetzen (mal wieder).

Wahrscheinlich die einfach die BIOS Batterie leer...

Hallo,

seit ca. einer Woche erhalte ich Fehlermeldungen, wenn ich schauen will ob Updates verfügbar sind.

Hier die Ausgabe der Firewall:

Could not find the repository on the selected mirror.

Wer kann mir sagen woran es liegt und wie ich diese Sache beheben kann?
Der Mirror steht auf default. Auch andere Mirrors bringen keine Verbesserung.

Hallo,

momentan habe ich mir z.Zt. endlich mal wieder den Raum genommen und meine Firewall neu aufgesetzt und dabei dann die neueste Version von OpenSense aufgespielt.
U.a. musste das so passieren, da ich die vorige Version, der auch zuvor installierten OpenSense, nicht mehr updaten konnte. Aber das ist ein anderes Thema..

Also hat sich mein schon länger gehegter Wunsch (nach einigen Anlaufschwierigkeiten) erfüllt, alles besser, neuer und weiter umzusetzen und nun habe ich
momentan ein recht nettes Setup der OpenSense auf einer Sophos XG 230 am Laufen und mir alle möglichen Wünsche, von z.B. zwei LANs, zwei VLANs , Bridge, alles jeweils mit DHCP (ISC DHCPv4) in Verbindung mit Unbound DNS + IDS angelegt. (Als Sahnehäubchen habe ich noch von meiner FritzBox, die für die Telefonie zuständig ist und vor der OpénSense sitz, DoT von der FB auf alle OpenSense Schnittstellen rübergezogen und dazu den NTP der OpenSense auf den LAN Schnittstellen eingerichtet.) Alles lieft dann ganz gut (bis es endlich mal lief..), aber dann bekam ich plötzlich Probleme mit dem Unbound DNS. Mit dem hatte ich sowieso meine Anlaufschwierigkeiten, aber das soll hier auch nicht das Thema sein. Nachdem ich im Netz noch viele weitere Verbesserungstipps gelesen hatte, fand ich auf dieser Seite folgende Tipps:

When using IPS mode make sure all hardware offloading features are disabled in the interface settings (Interfaces ‣ Settings). Prior to version 20.7, "VLAN Hardware Filtering" was not disabled which may cause issues for some network cards.

Diese Tipps hatte ich dann umgesetzt und folgende drei Haken rausgenommen:

Hardware CRC    Disable hardware checksum offload
Hardware TSO    Disable hardware TCP segmentation offload
Hardware LRO    Disable hardware large receive offload

Als ich danach irgendwann Probleme mit DNS bekam und keine Verbindungen mehr möglich waren, hatte ich diese Tipps dann in Verdacht und habe das Ganze rückgängig gemacht und siehe da, Unbound DNS funktionierte wieder! Da war mir klar, es muss an diesen vermeintlich guten Tipps liegen?!

Es gab vorher die folgende Fehlermeldung in Unbound DNS (und die Statistik fehlte, was mir gezeigt hat das Unbound DNS nicht funktionierte...):
Zwischenzeitlich hatte ich noch einen Neustart der OpenSense gemacht und dann ging Unbound DNS kurz wieder und dann nicht mehr,
bis ich die Tipps rückgängig gemacht habe.

Errorunbound[26979:0] error: remote control failed ssl: Connection reset by peer

Also was ist da genau passiert und wer kann den Zusammenhang erklären? Ich weiß es jedenfalls nicht. Oder war das alles nur Zufall?

Und du hast die "allow all" Regel auf LAN auch noch? Dann müssen alle Geräte an igb0/2/3/4/5 miteinander reden können.

Jau, das wars! Habe die LAN Regeln noch mal überprüft und die "allow all" Regel hatte ich durch eigene ersetzt und da fehlte dann die Logik, dass die Schnittstellen dann alle untereinander kommunizieren können. Wenn ich das irgendwann wieder individuell anpassen will, muss ich mir mehr Gedanken dazu machen..

Damit wäre diese Sache dann gelöst. Vielen Dank!

Und du hast unter Interfaces > Assignments dem LAN die Bridge zugewiesen? Und nach dem setzen der Tunables rebootet?

Ja und Ja

Wenn alles ja, poste doch mal die Ausgabe von "ifconfig"

hier die Ausgabe von ifconfig (ich gehe mal davon aus, dass die MAC Adressen nicht benötigt werden..):

Code Select Expand

igb0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        description: OPT1 (opt1)
        options=4800028<VLAN_MTU,JUMBO_MTU,HWSTATS,MEXTPG>
        ether xx:xx:xx:xx:xx:f0
        media: Ethernet autoselect
        status: no carrier
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
igb1: flags=1008843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST,LOWER_UP> metric 0 mtu 1500
        description: WAN (wan)
        options=4900028<VLAN_MTU,JUMBO_MTU,NETMAP,HWSTATS,MEXTPG>
        ether xx:xx:xx:xx:xx:f1
        inet 192.168.2.xxx netmask 0xffffff00 broadcast 192.168.2.255
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
igb2: flags=1008943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST,LOWER_UP> metric 0 mtu 1500
        description: OPT2 (opt2)
        options=4800028<VLAN_MTU,JUMBO_MTU,HWSTATS,MEXTPG>
        ether xx:xx:xx:xx:xx:f2
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
igb3: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        description: OPT3 (opt3)
        options=4800028<VLAN_MTU,JUMBO_MTU,HWSTATS,MEXTPG>
        ether xx:xx:xx:xx:xx:f3
        media: Ethernet autoselect
        status: no carrier
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
igb4: flags=1008943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST,LOWER_UP> metric 0 mtu 1500
        description: OPT4 (opt4)
        options=4800028<VLAN_MTU,JUMBO_MTU,HWSTATS,MEXTPG>
        ether xx:xx:xx:xx:xx:f4
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
igb5: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        description: OPT5 (opt5)
        options=4800028<VLAN_MTU,JUMBO_MTU,HWSTATS,MEXTPG>
        ether xx:xx:xx:xx:xx:f5
        media: Ethernet autoselect
        status: no carrier
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
igb6: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=4800028<VLAN_MTU,JUMBO_MTU,HWSTATS,MEXTPG>
        ether xx:xx:xx:xx:xx:f6
        media: Ethernet autoselect
        status: no carrier
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
igb7: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=4800028<VLAN_MTU,JUMBO_MTU,HWSTATS,MEXTPG>
        ether xx:xx:xx:xx:xx:f7
        media: Ethernet autoselect
        status: no carrier
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
lo0: flags=1008049<UP,LOOPBACK,RUNNING,MULTICAST,LOWER_UP> metric 0 mtu 16384
        options=680003<RXCSUM,TXCSUM,LINKSTATE,RXCSUM_IPV6,TXCSUM_IPV6>
        inet 127.0.0.1 netmask 0xff000000
        inet6 ::1 prefixlen 128
        inet6 xxxx::xxxxx prefixlen 64 scopeid 0x9
        groups: lo
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
enc0: flags=0 metric 0 mtu 1536
        options=0
        groups: enc
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
pflog0: flags=20100<PROMISC,PPROMISC> metric 0 mtu 33152
        options=0
        groups: pflog
pfsync0: flags=0 metric 0 mtu 1500
        options=0
maxupd: 128 defer: off version: 1400
        syncok: 1
        groups: pfsync
bridge0: flags=1008843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST,LOWER_UP> metric 0 mtu 1500
        description: LAN (lan)
        options=0
        ether xx:xx:xx:xx:xx:xx
        inet 192.168.3.254 netmask 0xffffff00 broadcast 192.168.3.255
        id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15
        maxage 20 holdcnt 6 proto rstp maxaddr 2000 timeout 1200
        root id 00:00:00:00:00:00 priority 32768 ifcost 0 port 0
        member: igb5 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 6 priority 128 path cost 2000000
        member: igb4 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 5 priority 128 path cost 200000
        member: igb3 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 4 priority 128 path cost 2000000
        member: igb2 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 3 priority 128 path cost 20000
        member: igb0 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 1 priority 128 path cost 2000000
        groups: bridge
        nd6 options=9<PERFORMNUD,IFDISABLED>

Du musst nur die Anleitung befolgen, speziell die beiden Tunables in Schritt 6 setzen:

Schrieb ich ja schon, dass ich das nach dieser Anleitung genau befolgt habe und es geht trotzdem nicht.

Ähnlich wie in diesem Thread (https://forum.opnsense.org/index.php?topic=33621.0), habe ich eine Bridge für ein LAN erstellt, um mir ein zusätzliches Switch für dieses LAN zu sparen. In der Bridge habe ich die weiteren freien physikalischen Ethernet Ports der Firewall zusammengefasst, damit ich z.B. einen Drucker über die Bridge von einem Client PC aus nutzen kann.

Die Bridge habe ich nach der Anleitung von OpenSense erstellt. Leider kann ich den Drucker nicht anpingen!

Bedauerlicherweise ist der Tipp aus dem Thread auch offensichtlich fehlerhaft, dass die Option "enable link-local address" in den Einstellungen der Bridge gesetzt werden muss. Nachdem ich das gelesen und eingestellt habe, war ich von der OpenSense ausgesperrt und ich musste eins der vorigen Backups einspielen, um wieder auf die OpenSense zu kommen.

Ansonsten funktioniert die Bridge auf allen Ports der Firewall, wenn ich z.B. mit dem Client PC alle Ports der Firewall nach und nach umstecke und durchprobiere. Offensichtlich kennen sich die Ports nicht untereinander.

Oder muss ich dazu erstmal eine Regel erstellen?
Wenn ja, dann wäre die Aussage (aus dem Netz...) das sich so eine Bridge wie ein Switch verhält ja nicht richtig.

Nach der Anleitung bin ich das Ganze auch noch mal durchgegangen, habe ein zweites Zertifikat angelegt und die Fehlermeldung bezüglich des Zertifikats war erstmal weg.

Trotzdem funktioniert der Proxy nicht richtig und der Download dieses Testfiles erzeugt keine Fehlermeldung der OpenSense.

Zusätzlich habe ich nun das Problem, wenn ich das erste Zertifikat löschen will, eine Fehlermeldung mit "Item in use" "webgui - [system.webgui]" erscheint. Dieses Zertifikat ist unter "Zertifikate" und als benutzt angehakt. Aber ich kann es nicht löschen, da es ja Benutzung ist. Scheint wohl unerforschtes Neuland zu sein, wenn man in OpenSense schon ein Zertifikat eingefügt hat, ein weiteres hinzufügt, das erste löschen will und das zweite dann nutzen will...

Nachtrag: ne jetzt eine Fehlermeldung bezüglich des Zertifikats auch wieder da:

"net::ERR_CERT_AUTHORITY_INVALID"

Nachtrag: offensichtlich wechselt der Browser Chrome zwischen den Zuständen, dass der Fehler angezeigt wird, oder nicht?! Da ich das erste Zertifikat unter Windows und im Browser entfernt habe..aber ich kann der OpenSense nicht beibringen, wie das zweite erstellte Zertifikat genutzt werden soll...bzw. ich gebe es im WebProxy an, aber es wird noch immer das erste Zertifikat genutzt, welches ich schon längst gelöscht habe?!

Anleitungen dazu sind offensichtlich wenig vorhanden.

Ich finde es auch merkwürdig, wenn ich das erste Zertifikat in Windows und im Browser entfernt habe, dass dann die OpenSense es trotzdem weiterbenutzt bzw. mir mit der Fehlermeldung gesagt wird, es sei in "use"

Hallo,

anhand der Anleitung von https://www.youtube.com/watch?v=vOspom77N2w
habe ich den Webproxy mit clamAV eingerichtet und die entsprechenden Regeln erstellt.

Nun habe ich auf

https://github.com/fire1ce/eicar-standard-antivirus-test-files/blob/master/eicar-zip.zip

das eicar-zip.zip Testfile heruntergeladen und ich bekomme keine Warnung (wie in dem Video gezeigt) bzw. der Download der Datei wird nicht verhindert.

Außerdem ist seit Einrichtung des Webproxys die Sache mit einem selbstsignirtem Zertigfikat fehlerhaft.
Dazu bekomme ich folgende Meldung:

Habs gelöst.

Ich musste die WAN Schnittstelle auf DHCP stellen damit es funktioniert. Sonst war kein Gateway bei der WAN Schnittstelle eingetragen (unter "Schnittstellen", "Überblick"). Wie man dort manuell ein Gateway hinterlegt weiß ich nicht.

Zustätzlich musste ich den Workaround aus

https://forum.opnsense.org/index.php?topic=27244.0

auch machen (ich hatte diese Regel temporär vorerst wieder deaktiviert).

Da interpretierst du etwas falsch.

OK

Also ich habe es auch schon nach folgender Anleitung probiert und das hat auch nicht funktioniert:

https://forum.opnsense.org/index.php?topic=27244.0

Also wenn ich unter "Schnittstellen", "Diagnose", "Netstat" schaue, dann ist klar zu sehen, dass auf der WAN Schnittstelle bezüglich der IPv4 Geschichte keine Daten gesendet oder empfangen wurden:

Code Select Expand


[wan] (igb1) / 192.168.2.252
name: igb1
flags: 0x8863
network: 192.168.2.0/24
address: 192.168.2.252
received-packets: 0
received-bytes: 0
sent-packets: 0
sent-bytes: 0

Fangen wir doch mal damit an, dass du uns einen Skizze machst, wie dein Netzwerk aufgebaut ist. Mit allen IP-Adressen, bitte.

Hier:

Hallo,

ich möchte meine neue OpenSense einrichten und habe dabei ein paar Schwierigkeiten..
Die Sache ist, die OpenSense wird hinter einem Router als Firewall für mein privates LAN eingesetzt und aktuell
funktioniert die Verbindung zwar, ist aber sehr zeit zeitverzögert.

Mir war bis heute nicht bekannt, dass die OpenSense mittlerweile nur noch ein v6 Gateway hat (habe die OpenSense schon länger nicht mehr genutzt..)
steht jedenfalls hier: https://www.computerbase.de/forum/threads/ipv4-client-an-ipv6-gateway-opnsense.2012005/

Also ich hatte eigentlich ursprünglich geplant, dass ich nur ein IPv4 Netz konfiguriere, da ich mich bezüglich IPv6 nicht fit genug fühle. Dann hatte ich IPv6 ausgeschaltet und ich hatte gar keine Verbindung mehr.
Dann habe ich das oben genannte gelesen und IPv6 wieder aktiviert und dann ging es wieder, wie am Anfang, wo noch die Standardeinstellungen gesetzt waren.

Nun ist die Verbindung aber sehr verzögert (man muss mehrere Sekunden warten bis eine Seite geöffnet ist) und möchte wiesen, woran das liegen kann? Also am Router, der vor der OpenSense ist, liegt es nicht, da wenn ich meinen Client PC wieder auf das Netz des Routers konfiguriere alles einwandfrei funktioniert.

Und kann ich die OpenSense auch so konfigurieren, dass IPv6 gar nicht nötig ist? Ich brauche das in dem OpenSense LAN Netz eigentlich gar nicht und würde es eigentlich deaktivieren wollen...

Ein bisschen wenig Infos zu deinem Aufbau, so können wir nur raten, ein Grafischer netzwerkplan währe schön. Aus der geposteten ip denke ich das du irgendwie eine FRITZbox in deinem Netzwerk hast

schau mal hier (der hat es Prinzip genau wie ich gelöst, nur das die IPs nicht die selben sind. Die FritzBox ist im Netz 192.168.10.0/24, die WAN Schnittstelle der OpenSense per DHCP auch und das LAN ist aktuell noch 192.168.1.0/24):

https://administrator.de/forum/opnsense-proxy-einstellungen-windows-client-646653.html

Regeln habe ich momentan noch nicht viele: ich beschränke mich momentan auf die Ports für http, https und DNS, die auf der LAN Schnittstelle erstmal alles ausgehende für diese Ports durchlassen. Die Regeln will noch anpassen, aber erstmal will ich die Grundkonfiguration machen und dazu soll ein Proxy dienen, mit C-ICAP und Virenscanner als Dienste. Ansonsten habe ich noch das IDS aktiviert und die Regeln dazu aktualisiert.

Es macht auch keinen Unterschied für den Proxy, wenn ich alle meine erstellten Regeln deaktiviere und nur die Standard-Regeln arbeiten lasse.

Mir ist die Lokik von der OpenSense auch noch nicht ganz klar: wenn ich jetzt z.B. den ausgehenden Traffic für die Geräte auf der LAN Schnittstelle der OpenSense filtern will, wo müsste ich das am besten machen? Auf der LAN oder der WAN Schnittstelle der OpenSense oder kann ich mir eine aussuchen?

Die Reihenfolgen Geschichte ist mir auch nicht ganz klar: Wenn ich z.B. alles ausgende erstmal blocken will, wie müsste ich das am besten machen? Erstmal oben eine Regel die alles blockt (die oben hat ja eine höhere Priorität und dann nach und nach öffen, was ich nutzen will? So habe ich es getestet und hat nicht funktioniert.

Dann habe ich es umgekehrt gemacht und das hat funktionert, wobei ich mir nicht sicher bin, ob das so richtig ist und auch wirklich alles andere geblockt wird, was nicht den Ports entspricht, die ich durchlassen will, da es ja einige Standardregeln gibt...

Wenn es doch eine Regel gibt, die für IPv4 und IPv6 alles ausgende auf der LAN Schnittstelle durchwinkt, zeigt doch alles was darunter ist keine Wirkung, oder sehe ich das falsch?

Hallo,

ich wollte mir den Proxy für einen Virenscanner nach der folgenden Anleitung einrichten und mein Client PC wird damit ausgesperrt. Woran kann es liegen?

https://docs.opnsense.org/manual/how-tos/cachingproxy.html

Ich habe alles wie in der Anleitung beschrieben befolgt. Mir ist auch aufgefallen, das ich LAN IPs aus privaten Netzen bekomme (die mit diversen Regeln nach Protokoll-Filterung geblockt werden), die bei mir im LAN gar nicht existieren (z.B. aus dem Netz 192.168.178.0). Was kann das sein?

Die Fehlermeldung sagt, du hast keine IPv4-Adresse auf WAN und kannst deshalb keinen Gateway anlegen.

Ja ich hatte die IP für WAN mehrmals gesetzt, aber das lag daran, da ich vor der Konfiguration das Patchkabel für die WAN Schnittstelle gezogen hatte und die OpenSense offline konfiguriert hatte. Ich hatte nicht daran gedacht, das Kabel wieder einzustecken..

War in diesem Fall mein Fehler und ich bin davon ausgegangen, das die OpenSense in der Standardkonfiguration einen DNS-Server bereitstellt bzw. kann auch sein, dass ich DNS falsch konfiguriert hatte.
Jedenfalls bekomme ich keine Verbindung, wenn die die OpenSense als DNS eintrage.

Ich hatte schon länger keine OpenSense hier in meinem Netzwerke eingebunden und solche Fehler passieren einem dann wohl offensichtlich, wenn man mal "eben" wieder eine OpsenSense ins Netzwerk bringen will...

Trotzdem Danke.