Messages

If the status page (or dashboard widget) is showing needsLogin, it's not authenticated and you'll need to reauth.

yes with a renewed key it worked again.

1. it is strange that the key was only 20 days old. maybe there really is a bug behind it.

2. although 'needsLogin' was also confusing that the display was green although there was a problem.

[Is this a bug?]

Hello!


I have a problem after updating to OPNsense 24.7.12. Tailscale connections no longer work.

Background:
I have never installed Tailscale in the console.
I installed it for the first time with OPNsense 24.7.11 and the tailscale plugin 1.0. the installation was super easy. it worked perfectly afterwards.

after the update 24.7.12 and the tailscale plugin 1.1 vpn connections are no longer possible. nothing can be seen in the status / peers. Net Check shows no problems.

Is this a bug?

Name Value
Version 1.78.1
TUN true
BackendState NeedsLogin
AuthURL   
TailscaleIPs null
MagicDNSSuffix


I have these error messages in the backend

Code Select Expand

2025-01-17T15:51:17 Error configd.py [1c6fc240-7f91-4e14-8907-5e6c8faf3bcd] Script action stderr returned 'b'2025/01/17 15:51:17 No DERP map from tailscaled; using default.\n2025/01/17 15:51:17 attempting to fetch a DERPMap from https://controlplane.tailscale.com''
2025-01-17T15:51:14 Error configd.py [b9124857-3514-4726-a377-7b44de88ac9c] returned exit status 1
2025-01-17T15:50:01 Error configd.py [60b6a93a-801a-4666-bc4a-2ad4561bb037] exit status 1 returned
2025-01-17T08:49:37 Error configd.py [854c0c28-8837-453d-ab5e-0a263a5963a3] script action stderr returned 'b'2025/01/17 08:49:37 No DERP map from tailscaled; using default.\n2025/01/17 08:49:37 attempting to fetch a DERPMap from https://controlplane.tailscale.com''

i have the same problem after the update to 24.1 that this wireguard error came up when booting.

Code Select Expand

fatal Terror uncaught class opnsense\wireguard\Server not found in /usr/local/etc/inc/plugins.inc.d/wireguard.inc:104
Stack trace:
#0 /usr/local/etc/inc/plugins. Inc(106): wireguard_devices()
#1 /usr/local/etc/inc/iconsole.inc(59): plugins_devices()
#2 /usr/local/etc/rc.bootup(74): is_interface_mismatch()
#3 {Main} thrown in /usr/local/etc/inc/plugins.inc.d/wireguard.inc on line 104
enter full path of shell or Return for /bin/sh

only it should be different for me. the boot process is completely cancelled from this moment on. i can neither access via lan nor via wan. i have no internet connection. i can only work via console.

I have
pkg remove wireguard
pkg remove wireguard-plugin
pkg remove wireguard-kmod
and i got the message

Code Select Expand

Checking integrity... done (0 conflicting)
1 packages requested for removal: 0 locked, 1 missing

how can I solve this problem?

[kid1| ERROR: failure while accepting a TLS connection on conn34218 local=IPOUTSIDE:443 remote=192.168.1.10:49478 FD 37 flags=33: SQUID_TLS_ERR_ACCEPT+TLS_LIB_ERR=14209175+TLS_IO_ERR=1]

Hi,

I am getting the following error message on my transparent proxy:

kid1| ERROR: failure while accepting a TLS connection on conn34218 local=IPOUTSIDE:443 remote=192.168.1.10:49478 FD 37 flags=33: SQUID_TLS_ERR_ACCEPT+TLS_LIB_ERR=14209175+TLS_IO_ERR=1

I am unable to connect to HTTPS websites. I get the following error message:
This website is probably a secure website, but a secure connection could not be established. This is caused by internal-ca, ...

I have installed the certificate that I created, but I am still getting this error.  ::)
I cannot find any information about this error code on the internet.  ???

My settings:

• Opnsense freshly installed
• Adguard installed via extension on port 3000
• UnboundDNS on port 5353
• DHCP server with Adguard IP as DNS

Proxy settings:

• Proxy enabled
• Internal CA issuer created
• Internal server CA created
• CA issuer installed on a Windows computer and marked as trusted
• Enable Transparent HTTP Proxy Port 3128
• CA for Transparentproxy SSL from CA issuer
• Enable SSL Mode
• Enable Transparent HTTPS Proxy Port 3129
• No Bump Hosts: .google.com .googleapis.com .gstatic.com .1e100.net
• ClamAV & ICAP extension installed and enabled

This is my complete configuration, and I am getting the error code "kid1| ERROR: failure while accepting a TLS connection".

Questions:  :o

• Can anyone help me identify what I am doing wrong? (Based on my information and error code)
• Do I need HTTPS? Or is it that I can only scan external HTTPS connections with the virus scanner in this way?
• Could it have something to do with Adguard?

I would be very grateful for any help on how to approach this issue.

Titel: TransparentProxy mit SSL/TLS auf OPNsense funktioniert nicht

Text:

Hallo zusammen,

ich bin gerade dabei, eine OPNsense-Firewall einzurichten und habe Probleme mit dem TransparentProxy und SSL/TLS.

Ich möchte den TransparentProxy nutzen, um ClamAV mit SSL-Prüfung zu verwenden. Dazu habe ich einen Zertifikatsaussteller und ein Internet-Serverzertifikat erstellt.

Ich habe den Proxy aktiviert, den HTTP- und HTTPS-TransparentProxy aktiviert und die Ports 3128 und 3129 in der Firewall freigegeben. Unter "General Forward Settings" habe ich "Enable SSL mode" ausgewählt und das Aussteller-CA eingetragen.


Das Aussteller-CA habe ich mit dem privaten Schlüssel unter Windows und Android als vertrauenswürdig markiert.

Allerdings habe ich nun folgende Probleme:

Wenn ich auf einer HTTPS-Seite im Webbrowser auf meinem Windows-Rechner surfen möchte, erhalte ich die Meldung "Es gibt Probleme mit dem internen CA".
Auf meinem Android-Gerät kann ich keine Verbindung zu HTTPS-Seiten herstellen.

Wenn ich mir die Fehlermeldung auf der OPNsense anschaue, lautet diese:

Code Select Expand


kid1| ERROR: failure while accepting a TLS connection on conn34218 local=17.248.213.67:443 remote=192.168.1.22:49478 FD 37 flags=33: SQUID_TLS_ERR_ACCEPT+TLS_LIB_ERR=14209175+TLS_IO_ERR=1

Ich verstehe nicht, was ich falsch gemacht habe. Ist das bei einem TransparentProxy mit SSL/TLS-Prüfung der Standardzustand?

Nebeninformation ClamAV funktioniert
UnboundDNS mit Port 5353 ist aktiviert

Ich wäre über jede Hilfe dankbar.

["No RDR"]

No RDR (NOT): Anhaken

Zur Info wenn man "No RDR" angehackt
verschwindet die Auswahlmöglichkeit
Redirection IP: 127.0.0.1
Redirection Port: 3128
Filter rule association

Danke für deine Hilfe Funktioniert

Transparent Proxy Ausnahme / Umgehungseinstellung

Firewall: NAT: Port Forward

redirect traffic to proxy HTTP 3128 KOPIEREN
No RFR (NOT) Angehackt
Interface LAN
Source: Single host IP Adresse / Network / Aliase mit mehreren IP Adressen
Soure port range: from: any to: any
Destination: any
Destination port range: from: http to: http

redirect traffic to proxy HTTPS 3129 KOPIEREN
No RFR (NOT) Angehackt
Interface LAN
Source: Single host IP Adresse / Network / Aliase mit mehreren IP Adressen
Soure port range: from: any to: any
Destination: any
Destination port range: from: https to: https

Ich habe diese neue Regel VOR den "redirect traffic to proxy" Regeln geschoben.
Aber NICHT vor den Anti-Aussperregeln

[Dort bei Source]

Ah Danke für die Antwort

Ist das so richtig?

Also es gibt 2 Bereiche wo sich der transparent Proxy eingetragen hat

• Firewall: Rules: LAN
• Firewall: NAT: Port Forward

Ich schätze mal du meinst
Firewall: NAT: Port Forward

Dort bei Source
"LAN net" ändern auf "Single host or Network"
dort trage ich vom Fire TV die IP Adresse ein

Redirect Target
Port "3128" oder "3129" bleibt unverändert

Dann bei Filter rule association
von "Rule redirect traffic to proxy" ändern auf "Pass"

Passt das so?

Hallo!


Ich muss gleich vorwegsagen, ich bin Anfänger mit der Opnsense und stoße seit 3 Wochen auf meine Probleme.

Meine Frage ist, ich möchte einen Transparent Proxy, aber ich benötige eine 1 IP-Adresse die ausgenommen wird.

Grund:
Ich baue mir eine private Firewall für meine Familie.
Ich möchte unbedingt den ClamAV mit c-icap. Meine Kinder klicken gedankenlos auf alles möglich und ich möchte geschützt sein.
Dazu benötigt man ein internes Zertifikat und den transparent Proxy.

So mein Problem ist das, wenn ich den transparent Proxy aktiviere meine Fire TV Stick nicht mehr funktioniert (alles andere funktioniert, wenn ich das Zertifikat installiere). Ich habe schon herausgefunden, dass es am Zertifikat liegt und am Fire TV Stick keine Zertifikate installieren kann. Einen neuen Stick möchte ich mir nicht kaufen, wo man es installieren kann (Android TV alle außer Fire TV). Jetzt ist die Idee eine Ausnahme für den Stick zu machen, dass diese nicht über den Proxy läuft.
Es gibt im Untermenüpunkt ZUGANGSKONTROLLE
Dort habe ich die IP-Adresse eingetragen (siehe Screenshot). Trotzdem wird für diese IP-Adresse keine Ausnahme gemacht und verursacht genau dasselbe Problem. Es kommt sogar eine melden:

Code Select Expand

kid1|ERROR: failure while accepting a TLS connection on conn (siehe Screenshot)

Was mache ich falsch, dass ich eine ausnehme für die Adresse möchte?
Oder gehe ich das Problem generell falsch an?

Hallo!


Ich steige gerade von Sophos um auf Opnsense und habe bei einigen Einstellungen meine Probleme. Das Gerät benutze ich privat, um meine Familie vor dem Internet zu schützen.
Ich möchte unbedingt ClamAV mit C-ICAP. Somit muss ich den Transparent-Proxy mit SSL-Prüfung aktiviert haben. Jetzt gibt es über sehr viele Webseiten Probleme, die SSL benutzen. Jetzt habe ich zum Beispiel mit Netflix Probleme.

• Frage: Es gibt Blacklisten wie Sand am mehr. Gibt es keine Whitelisten mit "Firewall Rule Regeln" und "No SSL Bump Listen" zum Importieren für den Alltag? Netflix, Amazon Prime Video, Disney Plus, Microsoft...
• Wie kann man so Regeln/Webseiten Aufschlüsselungen von Sophos übernehmen?
  ^([A-Za-z0-9.-]*\.)?ne?t?fli?x(img|ext|video)?\.(com|net)/
  Siehe Screenshot Netflix

Ich muss leider sagen, da hat Sophos mit der Webfilter-Einstellung schon ein paar Vorteile.
Siehe Screenshot Amazon
Eine Seite um die Firewall Regeln zu beeinflussen, + SSL-Regeln.