Messages

Bonjour,
Je laisse en permanence sur un ecran en 1080x1980 (24" en portrait), les modification que j'apporte au dashboard ne restent pas.
Je suis en Versions
OPNsense 24.7.5_3-amd64
FreeBSD 14.1-RELEASE-p5
OpenSSL 3.0.15

Quoique je fasse il me réorganise l'écran sans tenir compte de mes modifications bien que je fasse le SAVE

Merci à vous.

Hi,
I had updated to 23.1.5, and since i cannot use zabbix agent anymore.
Every time it notify me that it is deprecated as of 31 march 2023.

is there any way to have a zabbix agent correctly installed?

regards

Bonjour,

j'essaye de faire marcher HAPROXY, mais impossible d'y arrive, à chaque fois une error 503.
j'ai fait une configuration toute bête avec juste les paramètres par défaut et les statistiques. impossible, erreur 503 aussi à chaque fois.
je suis en 22.1; j'ai pourtant eu une configuration qui marchait avant, mais depuis impossible d'en faire qui fonctionne. Le parefeu ne bloque pas.

C'est déprimant, toute autre configuration ailleurs que sur OPNSense marche (mais le texte est différents).

la configuration est pourtant simple:

#
# Automatically generated configuration.
# Do not edit this file manually.
#

global
    uid                         80
    gid                         80
    chroot                      /var/haproxy
    daemon
    stats                       socket /var/run/haproxy.socket group proxy mode 775 level admin expose-fd listeners
    nbproc                      1
    nbthread                    1
    hard-stop-after             60s
    no strict-limits
    tune.ssl.default-dh-param   2048
    spread-checks               0
    tune.bufsize                16384
    tune.lua.maxmem             0
    log                         /var/run/log local0 debug
    lua-prepend-path            /tmp/haproxy/lua/?.lua
    ssl-default-bind-options no-tls-tickets no-tlsv10 no-sslv3 ssl-min-ver TLSv1.2 ssl-max-ver TLSv1.3
    ssl-default-bind-ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
    ssl-default-bind-ciphersuites TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256

defaults
    log     global
    option redispatch -1
    timeout client 30s
    timeout connect 30s
    timeout server 30s
    retries 3
    default-server init-addr last,libc

# autogenerated entries for ACLs


# autogenerated entries for config in backends/frontends

# autogenerated entries for stats
userlist stats_auth
    user testu insecure-password Test01!
    # NOTE: UserlistAddUsers called with empty group data

listen local_statistics
    bind            127.0.0.1:8822
    mode            http
    stats uri       /haproxy?stats
    stats realm     HAProxy\ statistics
    stats admin     if TRUE

listen  remote_statistics
    bind            192.168.1.254:8081
    mode            http
    stats uri       /haproxy?stats
    stats hide-version
    acl auth_ok http_auth(stats_auth)
    stats http-request allow if auth_ok
    stats http-request auth realm HAProxy\ statistics

Bonjour,
J'essaye vainement d'avoir le status de mes interfaces réseaux avec Zabbix Agent.
j'ai vu vori que pour se faire, il fallait que l'agent regarde dans /sys/class/net.
Seulement voilà, il n'y a rien dans /sys.

Un ls -l / me donne:
lrwxr-xr-x   1 root  wheel       11 Feb 14 10:48 sys -> usr/src/sys

Et dans /usr/src il n'y a strictement rien.

comment puis je faire pour cela? vu que /proc aussi est vide.

Merci

lol même en obligation familiales :)
la box orange ne permettait pas de pouvoir le minimum dont j'ai besoin et son wifi etait de la m... meme à deux mètres

En fait c'est pour chez moi. Donc je vais surement m'appuyer sur Webmin pour certaines applications, pour le reporting j'aurais celle qui est la plus adaptée pour chaque application, le tout mis en menu avec un petit frontal (et encore).

il faut encore que je précise les choses.
mais je suis tpout à fait d'accord avec toi concernant les solutions propriétaires (en particulier fortinet et sonicwall pour ce qui me concerne, celle que cje connais). le seul outil propriétaire qui me semble avec du mérite à être payant, c'est Checkpoint, mais on est plus du tout dans la même cours.

effectivement une entreprise de 5000 personnes avec du PNsense ou du Pfsense, c'est peut etre un peu juste, les deux outils ne sont pas non plus conçus pour.

En fait, l'interface web ne m'important pas vraiment, une debian buster m'ira parfaitement.
il y a moyen de durcir le système et toutes les fonctionnalités dont j'ai besoin s'y trouve, voir même en mieux en ce qui concerne le DNS et le DHCP(v4 et v6) par exemple.
Et concernant l'IDS je pourrait avoir plus de choix/options. Suricata ne m'emballe pas vraiment, je pense plutot aller vers du prelude et snort, voir OSSC mais trop gros pour mon utilisation.

Quand au parefeu, shorewall suffira largement à mes besoins, quitte éventuellement à passer sinon par ufw.

HAproxy pas de soucis avec.

squid idem

bref.. faut que j'étudie la chose. j'ai déjà la Debian avec un système durci.

MAl expliquée plutot :)
Je veux renvoyer les alertes suricata vers Prelude.
C'est une fonctyionnalité qui est comprise dans suricata a condition que ce soit compilé avec. Hors le package OPNsense n'est pas compilé avec libprelude.

Donc je voulais savoir si c'était lié au fait que Prelude est (à priori) non-free,  et si c'était possible de compile prelude sur OPNsense?

Sinon je crois que je vais finir par virer OPNsense car il y a trop de chose qui ne convienne pas (notamment sur les reporting pas terribles).

Das les logs non. Car il suffirait d'une modification de DNS pour que tes logs perdent toute leur valeur.
Donc ceux-ci seront toujorus avec des adresses IP.

par contre sur la vue "live" des logs du firewall tu peux activer la résolution des noms (mais c'est l'interface web qui s'en charge).

On ne fait jamais de résolution de nom dans les logs d'un firewall, ce serait une erreur. Ce sont toujours les frontend d'analyse et/ou d'affichage de ces logs qui ajoutent une fonctionnalité de DNS.

Bonjour,
J'utilise prelude pour le regroupement de mes logs.
j'ai remarqué que suricata sur OPNsense n'était pas compilé avec libprelude, et de plus que prelude n'est pas dans les packages.

est-ce lié au fait que prelude serait non-free?

De fait, je suis obligé d'utiliser le remote log server, puis sur ce remote server de recupérer les logs envoyés par OPNsense avec prelude-lml. et là je bloque sur la configuration de prelude-lml pour suricata, comment paramétrer le format.

Une autre solution consiste à sniffer les paquets DHCP de la box vers le FAI pour s'assurer du contenu des options.

¨Pour se faire il faut simplement se brancher entre l'ONT et la box avec un petit switch et regarder les paquets DHCP.

Dans le contenu des datas des paquets, on trouves toutes les options avec leurs valeurs: celle envoyées et celles reçues.

Du coup, tu as directement la valeur de l'option 90 à utiliser

J'ai pu compléter ainsi la configuration de l'OPNSense (cependant, ça ne marche pas pour la télé, [et resté sans réponse sur le forum], donc opération à revoir chez moi).

Bonjour,
après un redémarrage, le Web GUI ne redémarre plus automatiquement.
C'est arrivé d'un seul coup, après la config IPTV (pas de lien à mon avis).
Je suis obligé de faire en console:

Code Select Expand

/usr/local/sbin/lighttpd -f /var/etc/lighty-webConfigurator.conf
Comment remettre son redémarrage en mode automatique?
Sur l'interface, tout est correct.
Merci
Cordialement

Laurent