Messages

Hi,
I currently try to use the ACME-Client from OpnSense what depents on acme.sh to issue certificates from my own pki.
On my other Linux-Systems this works great, but i have some issue with opnsense.

The Challenge seems to be the issue.
Normaly i use as challenge type http-01.

If I choose this setting -> it won't work.

Can anybody explain what "automatic port forward" is generated when i use this setting?

The Webinterface from my opnsense is running on a different port (not 443).

Thanks for your help!
Kinds regards

Are you sure?
Thats the guide from this forum, and as expected many use this setup.

Just for information, I restartet suricata and get now 80 MB/s whats better then before.

And I found something interessting in the log:

"Out of memory" or something like that, I didn't have it in the log anymore.

What is this?
The memory consumation is minimal of my opnsense instanz.

Hi!
I searching for a while to find the issue in my home network what is limitating the throughput.
But now its clear. Its Surricata.

My Setup is a SuperMicro Board with C2750.
If I enable Surricata with IPS I can only get 100mbit throughput, but if I disable it, I am near 1 Gig (Arround 780mbit).

So what can I do to optimize the throughput?

My current setup looks like this:

[X] Disable hardware checksum offload
[X] Disable hardware TCP segmentation offload
[X] Disable hardware large receive offload

Disable VLAN Hardware Filtering.

I have only one interface for my local network with 10 VLANs.

IPS-Settings:

Interfaces: LAN, WAN (thats my physical interfaces)
Pattern matcher: Hyperscan
Promiscuous mode: "not checked"
Home networks: LAN-Adresses, WAN-Adress

Thanks for your help!
kind regards

Hi,
I have upgraded to the latest version of OPNSense but for now the NET-SNMP Service won't start any more.
If i try to start it manually through the cli I receive the same error as shown in the logs.

Code Select Expand

Starting snmpd.
/usr/local/etc/rc.d/snmpd: WARNING: failed to start snmpd

Any Ideas about that?

Davon bin ich ausgegangen, weißt du zuföllig wer das Plugin supported?

LG

Hallo,
habe heute meine OpnSense gepatcht und musste feststellen, dass seit dem Update auf 23.1_6 das Plugin für Home-Asisstant einen regelmässigen Crash verursacht.

Anbei der Logauszug:

Code Select Expand

#0 /usr/local/etc/inc/xmlrpc/hass.inc(12): eval()
#1 /usr/local/opnsense/contrib/IXR/IXR_Library.php(446): exec_php_xmlrpc('\nini_set('displ...')
#2 /usr/local/opnsense/contrib/IXR/IXR_Library.php(384): IXR_Server->call('opnsense.exec_p...', '\nini_set('displ...')
#3 /usr/local/opnsense/contrib/IXR/IXR_Library.php(357): IXR_Server->serve('__construct(Array)
#5 /usr/local/www/xmlrpc.php(104): XMLRPCServer->start()
#6 {main}
  thrown in /usr/local/etc/inc/xmlrpc/hass.inc(12) : eval()'d code on line 8
[02-Feb-2023 18:51:33 Europe/Vienna] PHP Fatal error:  Uncaught TypeError: Cannot access offset of type string on string in /usr/local/etc/inc/xmlrpc/hass.inc(12) : eval()'d code:8

Danke für die Hilfe!

Hi,
habe das selbe Problem. Auch schon seit mehreren Versionen.
Logs werden auch keine geschrieben.

@tuxtom007,
bitte sei doch so nett und ließ nochmals was ich geschrieben habe.
Meine Empfehlung für seinen Aufbau ist es Proxmox zu verwenden.

Da er aber mit Centos liebäugelt würde ich wie gesagt eher zu RHEL greifen, den da gibt es wie du ja sicherlich wissen wirst, eine kostenlose Subscription für 16 Hosts.

Und ja, jeder interpretriert private Bedürfnisse/Verfügbarkeiten anders, vielleicht will ich ja nur dem Alptraum aus dem Weg gehen wenn um 08:00 bei der PrimeTime das Streaming nicht klappt und die Damen im Haushalt ihrer Sendung nicht folgen können  ;D

Aus eigener Erfahrung kann ich dir eigentlich auch Proxmox (mit Enterprise Sub.) ans Herz legen. Hab einige Hypervisor bereits hinter mir aber für den Use-Case und keiner "Norm" Hardware ist das eigentlich der beste Kompromiss und zudem auch schön schlank.

Zudem kannst du je nach Setup auch noch von der Magie des ZFS profitieren. (Snapshots, Backups im Laufenden Betrieb etc...)

Das alles kannst du natürlich auch mit KVM machen, den Proxmox ist nichts anderes als ein "Userfriendly" WebIF für KVM.

Was das aber im konkreten Bedeutet ist, das du sämtliche Automatisierungen, Starts, etc. selbstständig machen musste.

Weil du Centos ansprichst, würde ich wohl eher zu RHEL greifen und dann mit dem Cockpit ein "Proxmox ähnliches" Setup errichten.
Ginge zwar mit Centos auch, aber wir reden hier a von "Stabilität" (Kleiner Downstream hint ;-) )

Hi,
hab es eben geprüft, scheinbar bei mir das selbe Problem.
Eventuell hat es etwas mit dem Repo zu tun.

So wie es aussieht, hat deine Instanz keinen DNS-Server bzw. keinen Zugriff auf einen.
AdGuard läuft? bzw. ist in der Lage einen externen DNS-Server z.b. Quadnine,Cloudflare zu erreichen?

Try to make a custom.conf in the pre-auth folder, but it seems that the wildcard didn't work.

If i use .debian.org i only can access www.debian.org and not more. Whats wrong there?

Also i can't get the UT1 Rules up and Running, looks really buggy (update script).

Code Select Expand

#acls
acl repository dstdomain debian.org

## debian server ##
acl debian src 172.31.152.1


http_access allow debian repository
http_access deny debian all

Thanks for help

Hi,
i currently try to establish another layer of security by webproxy filtering.
But on my opnsense installation i have diverend usecases which sites are allowed or not.

Especually my Linux-Servers should get access to *.debian.org, the windows-server should get access to *.microsoft.com

But i didn't found any way to make rules per host or subnet or interface.

Can anybody give me a short advices how to realize that use-case?

I don't want to have an outbound "any" connection from my servers... they should only receiver their repos. And as Benefit a could enable the caching functionality.

thanks for your help!

Hi,
I have few hosts for developing and I wan't to isolate them from the whole internet, just only github.
So can you tell me, is there any way like on Checkpoint or Palo or some kind of firewalls to place i firewall-Rule where the destination is an objekt called *.github ?

And in the Background it makes a Reverse-Lookup for the DNS-Entrys and Puts them in the Alias-List?

Thanks for Feedback.
Kind regards

@fabian
Thanks, but why you would not like to share more information about that?
Isn't it possible to get an config example?