Messages

Good day all,

in combination with a Private VLAN I also use Proxy ARP.
With this I want to prevent that device A can directly address a device B, C or anything else in the same subnet without firewall rules being applied to it.
Without Proxy ARP, however, requests to devices would come to nothing because the matching MAC address cannot be determined. With Proxy ARP the OPNSense reports, so that the packet goes through the router and firewall rules can be applied.

This works without any problems. Unfortunately only for IPv4. For IPv6 the NDP is used instead of ARP.
Is there a workaround that has the same effect as proxy ARP? Unfortunately I did not find a proxy NDP.
Otherwise my devices could reach the whole internet - just not the endpoints, which are actually right next door.

Greetings
Martin

Guten Tag zusammen,

in Kombination mit einem Private VLAN nutze ich auch Proxy ARP.
Damit möchte ich verhindern, dass Gerät A direkt ein Gerät B, C oder sonstwas im gleichen Subnetz ansprechen kann, ohne dass Firewallregeln darauf angewendet werden.
Ohne Proxy ARP würden Anfragen an Geräte aber im Sande verlaufen, da die passende MAC Adresse nicht ermittelt werden kann. Mit Proxy ARP meldet sich die OPNSense, sodass das Paket durch den Router geht und somit Firewallregeln angewendet werden können.

Das funktioniert an sich problemlos. Leider nur für IPv4. Für IPv6 wird das NDP anstatt ARP verwendet.
Gibt es einen Workaround, der die gleiche Wirkung wie Proxy ARP hat? Ein Proxy NDP habe ich leider nicht gefunden.
Ansonsten könnten meine Geräte das ganze Internet erreichen - nur halt nicht die Endpunkte, die eigentlich direkt nebenan stehen.

Grüße
Martin

Zusätzlich kann ich noch diese beiden Server empfehlen:

https://speedtest.wtnet.de/
https://speedtest.myloc.de/

Beide Server bieten auch mehrere Möglichkeiten an, die Geschwindigkeit zu ermitteln.

Hello,

i've noticed that my system drive was filled very quickly.
It turned out that the logs in /var/log/dhcpd are getting very large (about 7GB/day).
Every Day a new log file gets created with the name /var/log/dhcpd/dhcpd_yyyymmdd.log.
The first day with such a log file was the 28th january - the day I've installed 22.1.

The log file looks like this:

Code Select Expand


<190>1 2022-02-07T17:33:24+01:00 DG-OPNsense.localdomain dhcpd 74312 - [meta sequenceId="488576"] Renew message from fe80::de4a:3eff:feb4:844f port 546, transaction ID 0xDC7BD600
<190>1 2022-02-07T17:33:24+01:00 DG-OPNsense.localdomain dhcpd 74312 - [meta sequenceId="488577"] Reply NA: address 2a00:xxxx:xxxx:xxxx::988 to client with duid de:ad:be:ef:de:ad:be:ef:de:ad iaid = 2 valid for 600 seconds
<191>1 2022-02-07T17:33:24+01:00 DG-OPNsense.localdomain dhcpd 74312 - [meta sequenceId="488578"] Reusing lease for: 2a00:xxxx:xxxx:xxxx::988, age 147 secs < 25%, sending shortened lifetimes - preferred: 1, valid 453
<190>1 2022-02-07T17:33:24+01:00 DG-OPNsense.localdomain dhcpd 74312 - [meta sequenceId="488579"] Sending Reply to fe80::de4a:3eff:feb4:844f port 546
<190>1 2022-02-07T17:33:24+01:00 DG-OPNsense.localdomain dhcpd 74312 - [meta sequenceId="488580"] Renew message from fe80::de4a:3eff:feb4:844f port 546, transaction ID 0xE3DFB300
<190>1 2022-02-07T17:33:24+01:00 DG-OPNsense.localdomain dhcpd 74312 - [meta sequenceId="488581"] Reply NA: address 2a00:xxxx:xxxx:xxxx::988 to client with duid de:ad:be:ef:de:ad:be:ef:de:ad iaid = 2 valid for 600 seconds
<191>1 2022-02-07T17:33:24+01:00 DG-OPNsense.localdomain dhcpd 74312 - [meta sequenceId="488582"] Reusing lease for: 2a00:xxxx:xxxx:xxxx::988, age 147 secs < 25%, sending shortened lifetimes - preferred: 1, valid 453
<190>1 2022-02-07T17:33:24+01:00 DG-OPNsense.localdomain dhcpd 74312 - [meta sequenceId="488583"] Sending Reply to fe80::de4a:3eff:feb4:844f port 546
<190>1 2022-02-07T17:33:24+01:00 DG-OPNsense.localdomain dhcpd 74312 - [meta sequenceId="488584"] Renew message from fe80::de4a:3eff:feb4:844f port 546, transaction ID 0x19FF9E00
<190>1 2022-02-07T17:33:24+01:00 DG-OPNsense.localdomain dhcpd 74312 - [meta sequenceId="488585"] Reply NA: address 2a00:xxxx:xxxx:xxxx::988 to client with duid de:ad:be:ef:de:ad:be:ef:de:ad iaid = 2 valid for 600 seconds
<191>1 2022-02-07T17:33:24+01:00 DG-OPNsense.localdomain dhcpd 74312 - [meta sequenceId="488586"] Reusing lease for: 2a00:xxxx:xxxx:xxxx::988, age 147 secs < 25%, sending shortened lifetimes - preferred: 1, valid 453
<190>1 2022-02-07T17:33:24+01:00 DG-OPNsense.localdomain dhcpd 74312 - [meta sequenceId="488587"] Sending Reply to fe80::de4a:3eff:feb4:844f port 546


I can't really find out what is happening there.
But it seems that OPNsense talks to a device with the duid de:ad:be:ef:de:ad:be:ef:de:ad (i did not change this!) that is spaming the logs.

Because the first large log file was dhcpd_20220128.log, my problem might have something to do with the 22.1 upgrade.

I am running a DHCPv6 Service on the OPNsense.
Can someone explain to me what is happening there?

Hallo zusammen,
ich betreibe eine Nextcloud, die derzeit hinter einem Nginx Reverse Proxy in Form eines NginxProxyManager Dockercontainers sitzt.

Ich möchte allerdings mein Setup etwas verschlanken und daher das Nginx Plugin in der OPNsense nutzen.
Das funktioniert im Grunde auch ganz gut. Allerdings warnt mich Nextcloud unter Einstellungen - Übersicht davor, dass der HTTP-Header "Strict-Transport-Security" nicht auf mindestens 15552000 Sekunden eingestellt sei.
Ich erhalte folgende Fehlermeldung:
Der HTTP-Header "Strict-Transport-Security" ist nicht auf mindestens 15552000 Sekunden eingestellt. Für mehr Sicherheit wird das Aktivieren von HSTS empfohlen, wie es in den Sicherheitshinweisen erläutert ist.

Ich finde in den Nginx Einstellungen in OPNsense leider keine Option, die diese Fehlermeldung beseitigt.
Habe ich hier vielleicht etwas übersehen sodass mir da jemand weiterhelfen kann?

Nice Tutorial!
But for general Testing in a Homelab it is a bit too complicated to set up. If you want to quickly add another Service for testing, you have to set up 4 different entrys in 4 submenus.
I think I have to take a look at HAProxy;)

Nur, um es nochmal zu unterstreichen: Ich wäre auch an einer Lösung interessiert;)

Sehr schade. Vielleicht hat ja jemand mit dem gleichen Problem einen Workaround gefunden.
Danke für die Antwort!

Hallo zusammen!

Derzeit teste ich ein wenig mit OPNsense in einer VM, da ich plane mein bisheriges OpenWRT-Setup durch OPNsense zu ersetzen.
Bei OpenWRT fand ich immer praktisch, dass man die statischen DHCPv4/6 Leases durch Änderungen an der Datei /etc/config/dhcp konfigurieren konnte.

So eine Option habe ich in OPNsense noch nicht gefunden. Meine Internetsuche war leider auch noch nicht besonders erfolgreich.
Mir ist klar, dass ich das gleiche über die Weboberfläche erreichen könnte. Aber mir wäre es lieber, wenn ich parallel dazu auch eine Datei per ssh oder API ändern könnte.
Hat jemand einen ähnlichen Anwendungsfall und weiß hier Rat?

Grüße
Martin