Messages

I just wrote a new post with jpeg screenshot attachment. Hitting the post button resulted in an error message along the lines of a type error, complaining about some input not being an array. Unfortunately, I lost the screen shot with error message. Is there a place in this forum where I can try to reproduce the issue?

Danke schön. Ich bekam immer eine Fehlermeldung und habe nicht gesehen, dass es trotzdem funktioniert hat.

Schon seit einigen Releases beobachte ich auf einer meiner Business OPNsense dass der Traffic Graph immer nur ab ca der Mitte der für die Box reservierten Breite gezeichnet wird. Ist nur auf dieser einen Maschine. Hat jemand ne Idee was man da zurücksetzen kann? Die Breite des Widget zu verändern oder es zu entfernen und neu hinzuzufügen hat nichts gebracht.

Danke für die Links!

Oder hast du 25 Jahre lang DSL-Netz gebaut und betrieben?

Offensichtlich nicht, sonst wäre mir das ja nicht neu. Ich habe die Netze nur benutzt.

Mich mit "Großtechnik" zu beschäftigen hat irgendwann aufgehört, weil die Betreiber sich zu der Zeit noch keine Netzwerke ohne dedizierte Leitungen und Verteiler vorstellen konnten. So findet man z.B. im ATM Protokoll die Struktur eines Telefonnetzes wieder (virtuelle Pfade und Kanäle). Bei modernen Telekom Anschlüssen ist es übrigens egal, was man in die PPPoE Authentisierung steckt. Der Anschluss wird heute anders identifiziert.

Bei DSL ist vom Modem über den DSLAM bis hinein in den Backbone alles Layer 2 ...

Sehr interessant, man lernt nie aus. In über 25 Jahren DSL, an mehreren Standorten, mit mehreren Anbietern und über mehrere Generationen DSL hinweg, habe ich sowas noch nie gesehen oder gehört. Ob das so ist, sollte sich an den Ping Zeiten erkennen lassen, denn weit weg heisst immer längere Pings als direkt verbunden.

Aber unabhängig davon, würde ich auch nicht das Gateway pingen, denn es ist ja nur Mittel zum Zweck. Wie oft antworten Geräte noch auf Pings, haben aber trotzdem keine korrekte Funktion mehr?

Forwarding gibt m.M.n. effektiv das DNS aus der Hand und zentralisiert einen DER Dienste, die von Grund auf dezentral sein sollten.

Absolut, aber da das Internet auch nicht mehr aus vielen kleinen Webseiten besteht, sondern sozial genannten Medien, ist der Punkt leider zunehmend irrelevant.

The default is unchecked. In that state, a policy routing rule is active that directs all traffic originating from the firewall to only one WAN interface, overriding the routing table. This setting is the default because it enables a hack, that used to be useful with OPNsense, but I have been unable to figure out what hack that may be. In my setups, I use multi-WAN configurations to reach certain networks via dedicated gateways. So, I activate that setting to deactivate the policy routing to allow services on the firewall to communicate with devices on those certain networks.

Not sure if that setting can also get in the way of multi-WAN setups. When failing over, the policy routing must be changed, too. If it isn't, traffic like DNS queries originating from the firewall will be directed to a gateway that is down. But again, I have never tested this setup.

I think that's exactly the right behaviour. Link local addresses are only valid on a certain interface, i.e. that address is reachable only via that interface. This has nothing to do with LAN or WAN. I think what you are complaining about is the default use of the pppoe interface and I agree. Maybe a link local address should not be accepted without a "%interface" postfix. Any automatic selection is guesswork.

How can one define a static lease respecting prefix changes in OPNsense?

4. Eine andere NIC beschaffen. Hat vielleicht jemand einen Tipp, welche zuverlässig mittels PCIe-Passthrough funktionieren kann?

Ist PCIe Passthrough irgendwie zwingend? Vielleicht funktioniert die Hardware besser mit Linux Treibern und man reicht es z.B. als virtIO Device an die VM weiter.

I'd like to chime in here because I've had a similar problem before: According to the dpinger documentation on github it supports running an external command when a gateway goes down. I don't however, see support for that feature in the OPNsense UI. So, if dpinger doesn't do anything except logging in OPNsense and the upstream network doesn't go down with a link down / up event, how is OPNsense to recover automatically from that situation?

I guess I should have written something like "Only the machine hosting the physical devices should do the trimming and scrubbing" to be more clear than "scrubbing a virtual ZFS pool doesn't make sense".

And for completeness: It's only a waste of resources to do integrity checks on data that lives inside a file system with integrity checks. If data integrity is of utmost importance and one intends to move the VM to host machines that don't have such file systems, it is still advisable to do the scrubbing inside the VM.

Mit einer Lösung kann ich nicht weiterhelfen. Aber was soll die MAC Erkennung an einer FW bringen? Falls Du nur verhindern möchtest dass unbekannte Geräte eine Adresse via DHCP bekommen, dann kann man das unter Services: ISC DHCPv4: [Interfacename]: Deny unknown clients aktivieren.

Davon abgesehen sieht man an den Interfaces der FW ja nur die Pakete, die an die FW gerichtet sind. Die Funktionalität wäre auf Switches besser angesiedelt. Außerdem nutzen mobile Geräte, via WLAN angebunden, gerne mal neue MAC Adressen, um ihre Nachverfolgbarkeit zu reduzieren.

Alternativ kann man auch eines der zugewiesenen Präfixe per DHCPv6 verbreiten und der Server macht seine eigenen DynDNS Updates. Dann spielt es auch keine Rolle, ob das WAN eine GUA hat oder nicht.

OPNsense verwendet die Datei /usr/local/etc/bogons. Da stehen bei mir keine privaten Adressbereiche drin. Schon mal das Häkchen bei Interfaces: [WAN]: Block private networks probiert?