Messages

Ich nutze das ACME Client Plugin um meine Let's Encrypt Zertifikate zu erneuern.
Die automatische Erneuerung hat auch über ein Jahr geklappt.

Über Weihnachten habe ich dann meine OPNsense Hardware gewechselt und gleich auf ZFS als Filesystem umgestellt.
Nach dem Config Einspielen lief alles auch sofort wieder.

Heute habe ich dann entdeckt, das meine Zertifikate aber nicht automatisch verlängert wurden.
Fehler im Log:
[Mon Jan 13 00:00:01 CET 2025] 'x.domain.de' is not an issued domain, skipping.
[Mon Jan 13 00:00:01 CET 2025] Renewing: 'x.domain.de'

Habe die fehlgeschlagenen Domains dann händisch im Certificate Bereich des ACME Client über "Issuse or renew certificate" erneuert.
Das ging ohne Probleme.
Ist das normal, also nach einem Hardwarwechsel das mam es einmal händisch aktualisieren muss?
Jemand Erfahrung damit?

In the meantime I had managed it with the script. My problem was that I did not access the web interface via 80 or 443, but via a special port.

Today I updated to 24.7_5 and ran directly into the backup problem again. But with the adjustment of the file as in the post above me, the backup worked again immediately.

Presumably the file will be adapted for everyone in one of the next updates. Will my file then also be overwritten again or does it check during the update whether it needs to change the file?

Translated with DeepL.com (free version)

have you found a solution?
I have the problem, no matter what I do I always get "No input file specified." back

yes of course in english. I rewrote the text again, I didn't even notice :D

I've already repaired the plugin that was broken thanks for your quick help.

ah so that's why it's not included in the plugins.
In other words, if I reinstalled wireguard, would it be included by default?

Hello

Just updated to 24.1.8. After that, the Wireguard plugin was no longer installable. It was still displayed under Plugins but in red. On the status page I was then able to repair defective dependencies. As a result, there is no longer any Wireguard under Plugins.
However, Wireguard itself is still available under VPN and apparently it continues to run without any problems.
Is the Wireguard plugin simply not yet released for 24.1.8 and I just have to wait a bit until it is displayed again. Or have I missed something?

Hallo,

ich würde gerne mit Zabbix meine "State table size" überwachen.
mit snmp ist das wohl möglich. Da ich aber bei mir ein Agent installiert habe frage ich mich, ob es dafür nicht einen Konsolen Befehl gibt.
Schön wäre es den aktuellen Stand und den maximalen (eingestellten) Wert zu erhalten.

jemand eine Idee?

Gruß

Problem hat sich irgendwie von selbst gelöst.

Am Wochenende hatte ich noch mal ein paar Tests gemacht.
- Fritzbox neu starten lassen
- Firewall neu starten lassen
- an der OPNsense nur das Internet neu gestartet (für neue IP)

egal was ich gemacht habe, der Tunnel war meist direkt mit dem Internet wieder aufgebaut. Ich beobachte das jetzt noch mal ein paar Tage.

Bin aber sehr angetan von dem Wireguard Tunnel. Die Übertragungsgeschwindigkeit hat sich gegenüber dem IPsec Tunnel deutlich verbessert.

Heute das neue OPNsense Update eingespielt.
Unter anderem war auch Wireguard dabei...

leider ging es jetzt einen Schritt zurück. Nach IP Wechsel auf der OPNsense Seite baut er den Tunnel nicht mehr auf. Erst nach dem Neustart des Dienstes.

Auch der Cron von @maxidalli hilft da nicht.
Jemand andere oder gleiche Erfahrung?

Heute noch mal am 2. Standort gewesen und den Tunnel nun auf WireGuard umgestellt.
Zwei Sachen sind mir dabei aufgefallen:

1. Die Verbindung wird relativ schnell wiederaufgebaut, dabei habe ich den cronJob gar nicht am Laufen. Gab es im letzten OPNsense Update ein Bugfix?
2. die Fritzbox hat die 10.2.2.250 als IP. Die muss ich ja auch als Tunnel Adresse eingeben. Rufe ich jetzt vom OPNsense Standort die IP auf, erscheint einer meiner öffentlichen Webserver. Rufe ich die IP vom FritzBox Netz auf erscheint die Fritzbox. Das liegt vermutlich an der Tunnel Adresse, die die IP auf "lo0 / Loopback" setzt und ich muss das so hin nehmen, das ich die Fritte nicht über mein OPNsense Netzt erreichen kann?!?!?

Das Thema mit den 3 Subnetzen habe ich auch gelöst bekommen, war so einfach wie gedacht. Subnetze durch Komma voneinander trennen in der Fritten Config

Danke Meyergru für den Hint.

Das klingt ja zu einfach um wahr zu sein :D
Die Frage ist, ob das auch mit meiner config geht:

Ich habe zwei "Local" Wireguard Interfaces:
wg1 ist für meine Clients für Unterwegs
und das wg2 soll die Site2Site Verbindung zur FritzBox sein.

Ohne mir dein Cron jetzt angeschaut zu haben (Vermutlich ist mir der eh zu hoch :D )
Kommt der Cron damit klar oder sieht er die Client Verbindungen als getrennt und startet den Dienst dann durchgehend neu?
Bedeutet Dienstneustart dann auch, das eine etwaige Client2Site Verbindung auch getrennt wird?

Ein allgemeine Frage noch zu der Wireguard config. Ich habe auf der Fritten Seite 1 Subnetz. Auf der Opnsense Seite 3 Subnetze, die ich jeweils gerne durchreichen möchte. Ist das möglich? sind alles /24er Netze. Bei der Client2Site Verbindung kann ich die ja in der Config einfach mit einem "," voneinander Trennen. Aber bei der Fritte, geht das sicher nicht über das GUI sondern muss wohl dann auch über ein config file sein? Dann auch einfach mit "," getrennt?

Es ist ja schon ein paar Tage her das hier geschrieben wurde, aber ich nehme das Thema noch mal wieder auf.

Seit ein paar Tagen gibt es ja für die Fritte 7490 die Wireguard Funktion. Heute habe ich das ganze dann an einem Standort getestet. Die VPN Verbindung habe ich nach der Anleitung von robgnu im Post 4 nachgebaut. Der Tunnel war auch direkt online.
Problem: Wenn die FritzBox neu startet / neue IP bekommt, baut sich der Tunnel nicht wieder auf.
Ich habe ca. 30 Minuten gewartet und nichts passiert.
Sobald ich in meiner OPNsense in der Wireguard Einstellungen noch mal auf Applay gehe, steht der Tunnel wieder.

Für mich sieht es danach aus, als ob die OPNsense den IP Wechsel nicht mitbekommt und den Tunnel nicht wieder aufbaut.

Danke für eure Hilfe

Now actually missing the right imprint on the hardware :)

Is now no longer a Sophos. Have you ever come across a site where you can get stickers to match hardware?

Since yesterday I'm now running hot on the sg and as it looks everything works out for now. It has also survived two three restarts. So I don't see any problems with the hardware at the moment.

Hello,

I have been using an OPNsense as a VM on a Hyper-V server for about a year. The OPNsense also dials directly into the internet via a modem. So far everything is great (and much nicer than with the new Sophos XG's  >:( )

Now I got a Sophos SG115 "cheap" and of course I installed an OPNsense on it (OPNsense-23.1-OpenSSL-vga-amd64.img.bz2). After importing my backup from the VM and some juggling with the files, it looks ready to use. I'll also just give it a whirl over the long weekend and report back if it runs.

But before I trust it completely.
Do you have any experience with the hardware?
Are there things to consider?
GGf. a driver that is missing, which I have to reinstall?
Use Wireguard and have some concerns because of the lower CPU clock...

I am curious about your experiences
Denis