Messages

Good day,

had issue today to login with freeradius. It is installed as plugin on our OPNsense box. Had run a debug with

Code Select Expand

radius -X. I attached a screenshot seems freeradius don't like

Code Select Expand

% at the end of my password.

Brgds,
MaDe

Versions
OPNsense 25.1.4_1-amd64
FreeBSD 14.2-RELEASE-p2
OpenSSL 3.0.16

Ok understand. Thanks for your help.

This was stable since two days ago...
Yes this is all I found...really strange.
Probably no other option and set up the whole thing new :-(

Hi,
thanks for your reply. Had a look into the system_20250311.log.
Only found this:

Code Select Expand

WARNING: Bogus Interrupt Trigger Mode. Assume CONFORMS
WARNING: Device "spkr" is Giant locked and may be deleted before FreeBSD 15.0.
atrtc0: Warning: Couldn't map I/O
<118>>>> Error in start script '50-frr'
Is there anything I should take a closer look at?
Thanks,
Made

Good day,
I have a strange issue. When I try to login via webinterface the box goes into a reboot. If I try to access the box via SSH it is working but any action like firmware upgrade etc. creates a reboot. Any suggestions where I can find logs to see what happens?

OPNsense 24.7.12_4 (amd64)
FreeBSD 14.1-RELEASE-p6 stable/24.7-n267992-a8a728bd015 SMP amd64
CPU: Intel(R) Core(TM) i5-5300U CPU @ 2.30GHz (2294.78-MHz K8-class CPU)
Origin="GenuineIntel"  Id=0x306d4  Family=0x6  Model=0x3d  Stepping=4

Thanks,
Made

Wie gesagt dynamic ist in diesem Fall keine Option. Aber danke.

Hi,
der Gedanke ist das ich zwei Gateways mit unterschiedlicher Priorität habe und dazu zwei routen. Fällt ein Gateway aus soll der Traffic über das Gateway laufen was noch aktiv ist.
Ja dynamic routing mache ich auch aber soll in diesem Fall nicht eingesetzt werden.

Moin zusammen,

ich habe ein Problem mit dem Routing in zwei VTI Tunneln.
Zwischen FW-A und FW-B bestehen zwei Tunnel. Hinter FW-B gibt es ein Netz das ich erreichen will, 10.3.2528/29.
Also habe ich zweit GWs mit unterschiedlicher Prirotität angelegt, einmal 10 für primary und einmal 254 als secondary. Wenn ich nun eine Route eintrage für das GW Prio 10 funktioniert alles sobald ich aber die zweite Route eintrage mit dem GW Prio 254 wird diese bevorzugt behandelt. Und der Traffic geht dann nur noch über das GW 254. Disable ich die Route mit Prio 254, droppt der Traffic. Nur wenn ich die Route mit Prio 254 lösche wird der Traffic wieder über die Router mit Prio 10 geroutet.
Ich hoffe ich habe das irgendwie verständlich ausgedrückt.
Habe ich da irgendwie ein Fehler drin, dachte das ich mit der GW Prio das static routing beeinflussen kann. Oder muss ich GW Gruppen anlegen?

Versions
OPNsense 24.7.8-amd64

Danke,
MaDe

Good day,
I tried to restart my VPN tunnel with Monit when tunnel endpoint is not reachable.
VPN setup is the new one --> CONNECTIONS [NEW].
I setup the monitor like descried in https://docs.opnsense.org/manual/monit.html#example-2.
Monit recognized the that the tunnel is down but ended up with an error.

Code Select Expand


2023-10-20T15:17:20 Error monit 'Restart_IPSEC' ping test failed
2023-10-20T15:17:20 Error monit Ping response for 10.56.255.44 4/4 timed out -- no response within 5 s
2023-10-20T15:17:15 Warning monit Ping response for 10.56.255.44 3/4 timed out -- no response within 5 s
2023-10-20T15:17:10 Warning monit Ping response for 10.56.255.44 2/4 timed out -- no response within 5 s
2023-10-20T15:17:05 Warning monit Ping response for 10.56.255.44 1/4 timed out -- no response within 5 s


I also tried it via CLI with this command:

Code Select Expand


# ipsec down b02cf2ec-96fd-4386-afb1-1c8b97918a9d


This working and shuts down the tunnel.
Did I miss something? Or will it be because I am using the 'new' setup for the VPNs?

Thanks,
MaDe

No errors when I remove the prefix-list from the route map

Code Select Expand


address-family ipv4 unicast
  redistribute connected
neighbor 10.113.255.0 activate
  neighbor 10.113.255.0 route-map rt_bgp_map out
neighbor 10.113.255.17 activate
  neighbor 10.113.255.17 route-map rt_bgp_map out
exit-address-family
!
address-family ipv6 unicast
  redistribute connected
exit-address-family
!

ip prefix-list acl_bgp_filter_out seq 10 deny x.x.x.x/29
!
ip prefix-list acl_bgp_filter_out seq 11 deny x.x.x.x/30
!
ip prefix-list acl_bgp_filter_out seq 999 permit 0.0.0.0/0 le 32
!
!
!
!
route-map rt_bgp_map permit 10
!
!
!
line vty
!


Good day,
I have an issue with the BGP routing. I use prefix-lists and add them to a route map.
I get this error msg:

Code Select Expand

[VAKV3-NMY7B][EC 100663337] error processing configuration change: error [internal inconsistency] event [apply] operation [modify] xpath [/frr-route-map:lib/route-map[name='rt_bgp_map']/entry[sequence='10']/match-condition[condition='ipv4-prefix-list']/rmap-match-condition/list-name]
So the error msg points me to the prefix lists but I can't determine what is wrong with the prefix lists.

Code Select Expand


vtysh -c "show running-config"
Current configuration:
!
frr version 8.5.3
frr defaults traditional
hostname hostname
log syslog informational
!
router bgp 64720
no bgp ebgp-requires-policy
no bgp default ipv4-unicast
neighbor 10.113.255.0 remote-as 64512
neighbor 10.113.255.0 update-source ipsec10
neighbor 10.113.255.0 timers 1 5
neighbor 10.113.255.0 timers connect 2
neighbor 10.113.255.8 remote-as 64841
neighbor 10.113.255.8 update-source ipsec30
neighbor 10.113.255.8 timers 1 5
neighbor 10.113.255.8 timers connect 2
neighbor 10.113.255.17 remote-as 64729
neighbor 10.113.255.17 update-source ipsec50
neighbor 10.113.255.17 timers 1 5
neighbor 10.113.255.17 timers connect 2
!
address-family ipv4 unicast
  redistribute connected
  neighbor 10.113.255.0 activate
  neighbor 10.113.255.0 weight 200
  neighbor 10.113.255.0 route-map rt_bgp_map out
  neighbor 10.113.255.8 activate
  neighbor 10.113.255.8 weight 99
  neighbor 10.113.255.8 route-map rt_bgp_map out
  neighbor 10.113.255.17 activate
  neighbor 10.113.255.17 weight 98
  neighbor 10.113.255.17 route-map rt_bgp_map out
exit-address-family
!
address-family ipv6 unicast
  redistribute connected
exit-address-family
exit
!
ip prefix-list acl_bgp_filter_out seq 10 deny x.x.x.x/29
ip prefix-list acl_bgp_filter_out seq 11 deny x.x.x.x/30
ip prefix-list acl_bgp_filter_out seq 999 permit 0.0.0.0/0 le 32
!
route-map rt_bgp_map permit 10
exit
!
end


Code Select Expand


# nano /usr/local/etc/frr/bgpd.conf
  GNU nano 7.2                                                                                /usr/local/etc/frr/bgpd.conf                                                                                Modified
neighbor 10.113.255.17 remote-as 64729
neighbor 10.113.255.17 weight 98
neighbor 10.113.255.17 update-source ipsec50
neighbor 10.113.255.17 timers 5 5
neighbor 10.113.255.17 timers connect 2

address-family ipv4 unicast
  redistribute connected
neighbor 10.113.255.0 activate
  neighbor 10.113.255.0 route-map rt_bgp_map out
neighbor 10.113.255.17 activate
  neighbor 10.113.255.17 route-map rt_bgp_map out
exit-address-family
!
address-family ipv6 unicast
  redistribute connected
exit-address-family
!

ip prefix-list acl_bgp_filter_out seq 10 deny x.x.x.x/29
!
ip prefix-list acl_bgp_filter_out seq 11 deny x.x.x.x/30
!
ip prefix-list acl_bgp_filter_out seq 999 permit 0.0.0.0/0 le 32
!
!
!
!
route-map rt_bgp_map permit 10
match ip address prefix-list acl_bgp_filter_out
!
!
!
line vty
!


When I compare the two outputs I see only the difference

Code Select Expand


vtysh
route-map rt_bgp_map permit 10


Code Select Expand


/usr/local/etc/frr/bgpd.conf
route-map rt_bgp_map permit 10
match ip address prefix-list acl_bgp_filter_out


OPNsense 23.7.6-amd64 is running on both systems.
Now I wonder if I have overlooked anything in the configuration. Maybe someone has an idea what I can still check. Thanks a lot,
MaDe

Hallo zusammen,

ich habe folgendes Problem:
Ich habe nginx als Reverse Proxy mit mehreren Upstream Servern konfiguriert. Nicht alle Upstream Server sind erreichbar und werden nur bei Bedarf angeschaltet. Das Setup funktionierte auch bis zum Upgrade auf V22.1.10.
Nun ist es aber so das nginx nicht mehr starten will und "nginx: [emerg] host not found in upstream " als Fehler ausgibt. Irgendwer eine Idee wie ich ngnix wieder zum Laufen bekomme?
Danke für Eure Idee.

Hallo zusammen,

ich würde gerne 2FA + GUI mit der OPNsense realisieren. Das ganze funktioniert soweit auch ganz gut.
Aber ich würde das ganze gerne so lösen:
Den Root User würde ich gerne deaktivieren und einen eigenen User anlegen. Außerdem einen Consolen User Account, falls ich mit dem 2FA Probleme bekommen dann sollte ich immer Zugriff auf die Console bekommen.

consolen user -> nur console
ssh user -> nur Key
gui user -> nur 2FA

Aber irgendwie habe ich nicht den Überblick wie ich das implementieren kann. Wenn ich zum Beispiel dem consolen user alle GUI Berechtigungen entziehe, kann ich auch nicht mehr die OPNsense Shell aufrufen. Gebe ich dem consolen user die Rechte geht der Zugriff auf die OPNsense Shell aber dann auch auf die GUI.
Und wie ist es bei SSH wenn ich 2FA aktiviere? Muss ich dann auch den Token mit übergeben?
Wie habt ihr den Zugriff umgesetzt? Für ein paar Tips wäre ich sehr froh.

Danke, MaDe

Moin,

danke für die Antworten. Ich habe die Aliases überarbeitet, jetzt funktioniert alles.

Danke & Gruß
MaDe

Moin zusammen,

Ich habe ein seltsames Problem mit einem Alias Eintrag. Ich habe mehrere Aliases (nicht nested) für URL Tables eingerichtet. So weit funktioniert das auch alles sehr gut. Aber dieser Alias wirft mir im Log immer diese Fehlermeldung raus. Ich werde aus der Fehlermeldung nicht richtig schlau, warum sollte er BlocklistDshield auflösen? Oder wird gemeint das feeds.dshield.org nicht aufgelöst werden konnte?
Für nen Tip wäre ich echt dankbar.

2021-12-01T13:52:00   /update_tables.py[37610]   resolving 1 hostnames (0 addresses) for BlocklistDshield took 0.03 seconds
2021-12-01T13:52:00   /update_tables.py[37610]   The DNS query name does not exist: Start. [for BlocklistDshield]   
2021-12-01T13:52:00   /update_tables.py[37610]   fetch alias url https://feeds.dshield.org/block.txt (lines: 49)

Gruß MaDe