Messages

Es funktioniert bei mir einwandfrei.

Mein Fehler war die Betrachtung des Traffics mit TCPDUMP,
wenn der Server mit ssl angesprochen wird. Dann kann ich
diese Informationen nicht sehen.

Vielen Dank für die Unterstützung, es hat mir wirklich geholfen!

Bei mir ist Version 3.0.12-21a355d installiert.

Vielen Dank für Deine Antwort.

Aber eigentlich müsste ich doch per tcpdump das
in den Pakete sehen können. Ich habe das nun an
mehreren Systemen beobachten können, so auch 25.7.3_7.
Dort hat ein Freund genau das gleiche Phänomen.

Im Backend steht derzeit unter options passthrough:

option forwardfor
http-request replace-value X-Forwarded-for ^ "%[hdr(x-forwarded-for)], %[src]"

Hallo,



es gelingt mir nicht mehr, mit Opensense 25.7.10 oder 11 beim HAProxy
die Client-IP an den Server zu senden.
Alle Konfigurations-Varianten im Backend, die ich im Forum oder Internet
finden konnte, habe ich ausprobiert. Immer mit dem selben Ergebnis,
es wird nur die Proxy-Adresse angezeigt. Somit können fail2ban
oder crowdsec nicht differenzieren.

Bei einem System mit Version 25.1.x funktioniert es einwandfrei.
Dort kann ich mit tcpdump die Clientadresse sehen.
(Ich habe das System noch parallel im Zugriff.)

Über eine gute Idee wäre sehr dankbar!

Hallo,

bei mir leider das gleiche Problem mit Opensense 25.7.10 oder 11.
Alle Konfigurations-Varianten im Backend, die ich im Forum oder Internet
finden konnte, habe ich ausprobiert. Immer mit dem selben Ergebnis,
es wird nur die Proxy-Adresse angezeigt. Somit können fail2ban
oder crowdsec nicht differenzieren.

Bei einem System mit Version 25.1.x funktioniert es einwandfrei.
Dort kann ich mit tcpdump die Clientadresse sehen.
(Ich habe das System noch parallel im Zugriff.)

Ich habe keine Idee mehr.

Now it works. Seems that IPV64 changed something.

Hello,

25.7.5 works very well, thanks a lot.

However, I have just noticed a problem:
In ACME, certificate renewal fails during IPV64 (DNS-01)
verification with the following error messages in the System-log:

AcmeClient: validation for certificate failed: xyz.ipv64.net
opnsenseAcmeClient: domain validation failed (dns01)
opnsenseAcmeClient: AcmeClient: The shell command returned exit code '1': ...
opnsenseAcmeClient: using challenge type: yxz-ipv64-validation
opnsenseAcmeClient: account config is valid (CERT_HOME): xyz-ipv64-account
opnsenseAcmeClient: account is registered: xyz-ipv64-account
opnsenseAcmeClient: using CA: letsencrypt
opnsenseAcmeClient: issue certificate: xyz.ipv64.net

In ACME-log:
acme.sh[Sun Oct 12 10:03:54 CEST 2025] See: https://github.com/acmesh-official/acme.sh/wiki/How-to-debug-acme.sh
acme.sh[Sun Oct 12 10:03:54 CEST 2025] Please add '--debug' or '--log' to see more information.
acme.sh[Sun Oct 12 10:03:54 CEST 2025] Error adding TXT record to domain: _acme-challenge.xyz.ipv64.net
acme.sh[Sun Oct 12 10:03:54 CEST 2025] invalid domain='_acme-challenge.xyz.ipv64.net'
acme.sh[Sun Oct 12 10:03:54 CEST 2025] Please refer to https://curl.haxx.se/libcurl/c/libcurl-errors.html for error code: 7
acme.sh[Sun Oct 12 10:03:54 CEST 2025] Adding TXT value: (Value for TXT record) for domain: _acme-challenge.xyz.ipv64.net
acme.sh[Sun Oct 12 10:03:54 CEST 2025] Getting webroot for domain='*.xyz.ipv64.net'
acme.sh[Sun Oct 12 10:03:54 CEST 2025] Getting webroot for domain='xyz.ipv64.net'
acme.sh[Sun Oct 12 10:03:52 CEST 2025] Multi domain='DNS:xyz.ipv64.net,DNS:*.xyz.ipv64.net'

This is reproducable on serveral systems with 25.7.5 and different ipv64-domains.
On systems with <25.7.5 renewing works without any problem.

Do you have an idea ?

Thanks a lot.

I can confirm. Using HA-Proxy, kea, wireguard and freeradius.
Everything works after updating.

Thanks a lot to the developers!

Now I have also found the switch ;-)
Yesterday I was not so successful ...
Problem solved.

Cheers,
MiRei

Perhaps I have not described my problem clearly enough.
By the console I meant the serial interface or the VGA terminal.
In the event of a fault, I may no longer have a network interface and
therefore no correct time in the system.
I have not yet discovered the place in 25.1 for the configuration so
that I can only log on to the terminal with a password.

Thanks a lot!

Cheers,
MiRei

I have a little problem understanding your reply.
Do you mean ssh-copy-id ?

Cheers,
MiRei

I have just installed version 25.1 and all services and functions work without any problems. I really like the new dark theme.

Thank you very much for the great upgrade!

I noticed one small point: If OTP is set for authentication, the OTP code is now also required on the console to log in. If the system has a fault and does not receive a valid time, it is no longer possible to log in on the console. In the previous version, there was a switch "Disable integrated authentication" in the Administration - Settings Authentication under the servers. By activating it, you could log on to the console without OTP. Is there another way now?

Thank you very much!

Many thanks for the great work done in this project!

In ISC DHCP it was possible to activate "Deny unknow Clients" and "ARP-Table".
Will there also be this possibility in KEA in the future ?

Thank you for the update.

Now I can leave the server entry in the overwrite rule blank and it works.
Unfortunately, the overwrite rule does not work if the server field contains
the instance for which this rule is actually created.

Thanks a lot !

After installing a fresh OPNSense on a another allpiance I did following:

- created openvpn-instance
- created overwrite rule and select the created server-instance (no slash was in the list)
- the result was overwriting did not work

- then I created a server and delete it immedeately
- now the was a slash in the server-list of the overwrite rule. I selected the slash and the overwrite works.

Thanks a lot.