Messages

Found it =)
It was a Rule from IPS (SID: 2100408 ICMP Echo Reply) - Set it to Alarm only & now it works again

Hello together,

I currently have the problem on my OPNsense that all outgoing pings which are NOT to the local network do not get a reply.
My setup is as follows: FRITZ!Box (router) => WAN OPNsense | => LAN network.
I can ping everything, including the Fritzbox, but nothing beyond that.

Yesterday I restarted the OPNsense, and then pinging worked again. Today, one day later, nothing on the internet can be pinged again.
In the live view I can see that the request is passed through via NAT, but I cannot find any block in the live log, no matter what I try to ping on the internet.
tracert on the other hand apparently works.

Does anyone have an idea what could be causing this?
Unfortunately, I cannot say how long this has not been working anymore, but until recently it definitely still worked.

I have OPNsense 26.1.8_5 installed, and everything other like Web Surfing ... works fine.

Thanks & Kind Regards

Ich hoffe mal, dass ich nichts zurück schicken muss  ::)

Bei den Chinakisten ist es halt immer hit or miss... Aus eigener Erfahrung:

• Qotom KabyLake Celeron U (6x LAN) -> läuft, mitlerweile verkauft
• NoName i5 1135G7 (6x LAN)-> nach etwa 3 Monate das zeitliche gesegnet -> Elektroschrott
• NoName i5 10210U (6x LAN)-> läuft, mitlerweile verkauft weil mir das Gehäuse und Hardware nicht gepasst haben
• NoName Celeron J4125 (2x LAN)-> beim ersten einschalten gabs ein Knall und die Sicherung war draussen. Gerät defekt, RAM und SSD nicht mehr erkannt. Rückversand nach China war sauteuer und der Aufwand nicht wert.
• cWWk Pentium N6005 (4x LAN) -> läuft, mitlerweile verkauft da sich die i225 nicht mit Equipment vertragen haben. Wurde aber heiss und hätte wohl noch eine kleine Kupferplatte zwischen CPU und Gehäuse benötigt
• Qotom Celeron J4124 (5x LAN) -> läuft, mitlerweile verkauft. Dünne Kupfperplatte zwischen CPU und Gehäuse notwendig
• cWWk Celeron N5105 (4x LAN) -> seit mehr als 2 Jahren meine OPNsense Box, läuft perfekt.
• cWWk Celeron J4125 (2x LAN) -> seit knapp 2 Jahren mit OPNsense im Einsatz
• cWWk N100 (2x LAN) -> seit einem Jahr zwischendurch als Testgerät im Einsatz

Du siehst, manchmal hat man Glück, manchmal verliert man. Ich spiele ganz gerne mit den Kisten und kaufe auch gerne zum testen eine neue. Dafür verkaufe ich sie dann auch wieder.

Zwei mal hatte ich Pech. Das erste mal hab ich aufgegeben, der Händler hat keine Antwort gegeben.
Beim zweiten mal war das Gerät DoA und ich hab das Spiel mit Versand nach China durchgespielt. Sagen wir es so, Aufwand und Ärger war gross und ich werde es nicht mehr machen. Da schreibe ich das Geld lieber ab.
Teilweise musste ich auch selbst noch Hand anlegen und zwecks besserem Kontakt eine kleine Kupferunterlage zwischen CPU und Gehäuse montieren.

Wirklich super läuft mein cWWk N5105, Performance reicht für mich super, Stromverbrauch moderat, absolut stabil.

Der N5105 klingt interessant  ;D
wird der recht warm ohne Lüfter?

Ich werfe nochmal "meine" Lösung in den Raum: Lenovo m720q mit PCIe riser und Intel i350-T4 NIC. Ca. 200 EUR, bisher performant genug, regelmäßige BIOS-updates.

danke dafür, aber ich möcht ehrlich gesagt wieder was "kleines"
so kleine Elitedesk HP PCs hätte ich auch, aber die haben alle nur 1x NIC, das reicht ja nicht  ;D

woher findet ihr eigentlich die neuen HUNSN Appliances?
Auf der Hersteller Seite selbst, konnte ich nämlich solche Geräte gar nicht finden

www.cwwk.net ist der OEM, zumindest die N100/N305 und die Pentium/i3/i5/i7 Versionen.
HUNSN verkauft nichts anderes als diese. Die Geräte von ChangWang (cwwk) kannst du auch über den eigenen Shop oder bei Aliexpress kaufen (die Ali Shops heissen CWWK Store und CWWK PC Store). Oder eben via Amazon und HUNSN.

Aber Finger weg von Resellern wie Topton und Konsorten, da kommt nur die Hälfte an Zubehör und minderwertige Netzteile -> das mitgelieferte welches ich via cwwk.net erhalten habe ist ok, zumindes was Verarbeitung und Spannungsstabilität anbelangt, den Rest hab ich bei uns im Labor nicht testen lassen. Die Netzteile von Topton sind dann wirklich hundsmieserabel.

Keine Ahnung ob HUNSN noch andere Hersteller im Angebot hat.

das erklärt natürlich einiges.
Ich hab mir sowas in die Richtung schon gedacht, aber bin einfach nicht fündig geworden!
Vielen lieben dank!

hab heute das Update auf 24.7 gemacht... und irgendwie scheint es so, als ob 24.7 weniger Ressourcen "hungrig" ist, als 24.1

Guten Morgen zusammen,

da meine bisherige Hardware (Sophos UTM 125) auf der zurzeit OPNsense 24.1 läuft langsam aber doch an ihre Leistungsgrenze kommt, bin ich auf der Suche nach neuer Leistungstärken Hardware.
Am liebsten würde ich etwas "fertiges" nehmen wie z.B.:

https://www.amazon.de/dp/B0CG1852RL?tag=besten-5-21

oder

https://www.amazon.de/dp/B0C8J2RT96?tag=besten-5-21

hat jemand Erfahrung mit den beiden oder ähnlichen Appliances?

Würde ihr eher den N100 nehmen oder doch den stärkeren N305 Prozessor?

Danke & LG
Xenon

Ich habe gerade gestern mal einen bestellt: Auch von Hunsn den RJ35 (mit einem N100). Du hast hier (glaube ich) das ältere Modell hier aufgeführt. Das neuere Modell hat einen etwas größeren Kühlkörpter. Schau mal hier: Klick

woher findet ihr eigentlich die neuen HUNSN Appliances?
Auf der Hersteller Seite selbst, konnte ich nämlich solche Geräte gar nicht finden

n100 ist genial. Allerdings haben diese Chinaimporte auch Nachteile.

Garantie kannst du komplett streichen.
BIOS und/oder Idle Verbrauch ist teilweise übel.

Ich persönlich nehme da lieber einen alten OfficePC mit einer NIC.
Braucht auch nur 15W, obwohl dies ein alter 2017 intel i5 8000 mit alter Chelsio 520 ist.

wobei ich sagen muss, dass ich von HUNSN bisher fast nur gutes gelesen habe.

An einen alten Mini Desktop PC hab ich auch schon gedacht, aber da brauch ich dann wieder eine USB NIC und die die ich da so habe, brauchen wesentlich mehr als 15W.
Sind alles so kleine HP Elitedesk Mini Pcs usw.

Danke für den Tipp die neue Version kannte ich ehrlich gesagt noch gar nicht.
Habe nur ein bisschen im Internet recherchiert & bin auf eine Seite gestoßen... genauer gesagt diese hier:
https://besten-5.de/hardware-appliance-pfsense-firewall

und da warten eben die beiden verlinkt.

Könntest du evtl. mal ein kurzes Feedback geben, wenn du deine Box mit dem N100 erhalten hast & etwas in Benutzung gehabt hast?

Danke & LG

Klingt schon mal gut.

I7 ist für meine Zwecke sicher ein bisschen overkill, aber ich kann mich ehrlich gesagt nicht zwischen dem N100 & N305 entscheiden.
Meinst du das der N100 etwas zu schwach ist?

Darf ich fragen wo du deine bestellt hast?
Amazon? Ali? usw.

Danke & LG

Guten Morgen zusammen,

da meine bisherige Hardware (Sophos UTM 125) auf der zurzeit OPNsense 24.1 läuft langsam aber doch an ihre Leistungsgrenze kommt, bin ich auf der Suche nach neuer Leistungstärken Hardware.
Am liebsten würde ich etwas "fertiges" nehmen wie z.B.:

https://www.amazon.de/dp/B0CG1852RL?tag=besten-5-21

oder

https://www.amazon.de/dp/B0C8J2RT96?tag=besten-5-21

hat jemand Erfahrung mit den beiden oder ähnlichen Appliances?

Würde ihr eher den N100 nehmen oder doch den stärkeren N305 Prozessor?

Danke & LG
Xenon

Hello together,

I'm currently setting up OPNVPN according to the Opnsense documentation & I'm "stuck" when creating the SSL VPN server certificate.
Well, I'm not really "stuck", I just saw that the default validity of the SSL server certificate is set to 397 days in advance.
What happens if I leave it like that and the certificate expires at the end of August next year?
Can I extend/renew it or do I have to equip all VPN clients with a new config including a new certificate?

Because the internal CA itself, which I created in the previous step, also had its lifetime set to 365 days in advance.
But I immediately increased it to 10 years because I thought that if the CA itself expires, I really have to do everything again.

And because I'm seeing it now, I'm naturally wondering the same thing about the client certificates.
Can i renew them after a year without having to install a new certificate on the client?`

How do you handle something like that? What lifetime do you give for each certificate?

Or do you think it would be better to give the server and client certificates a lifetime of 5 years, for example?

Sorry for the many questions, I'm still relatively new to this area and don't want to have to do everything again in a year.

To be honest, I also want to understand what happens if I have to renew the server or client certificate, for example, or it expires.

Thank you and have a nice day
xenon

Nabend zusammen,

Ich bin gerade dabei nach der Opnsense Doku OPNVPN einzurichten & "hänge" da gerade beim erstellen des SSL VPN Serverzertifikates.
Also "hängen" nicht wirklich ich habe nur gesehen, dass die Default Gültigkeit des SSL Serverzertifikates auf 397 Tage vorab eingestellt ist.
Was ist denn wenn ich das so lasse, und das Zertifikat nächstes Jahr Ende August dann abläuft?
Kann ich das verlängern/renewen oder muss ich dann alle VPN Clients mit einer neuen Config inkl. neuem Zertifikat bestücken?

Weil bei der internen CA selbst welche ich im Schritt zuvor erstellt habe, war die Lebenszeit auch auf 365 Tage vorab eingestellt.
Aber die habe ich gleich auf 10 Jahre hochgedreht, weil ich mir dachte wenn die CA selbst abläuft, muss ich ja wirklich alles neu machen.

Und weil ich es gerade sehe, das selbe Frage ich mich natürlich dann auch bei den Clientzertifikaten.
Kann man die nach einem Jahr renewn ohne am Client ein neues Zertifikat einspielen zu müssen?`

Wie handhabt ihr sowas?
Welche Lebenszeit für welches Zertifikat vergebt ihr so?

Oder meint ihr, dass es besser wäre für das Server & das Client Zertifikat auch gleich 5 Jahre Lebendauer z.B. zu vergeben?

Sorry für die vielen Fragen, bin da noch eher neu in dem Bereich & möchte nicht gleich in einem Jahr alles neu machen müssen.
Außerdem möchte ich es ehrlich gesagt auch verstehen, was passiert wenn ich z.B. Server oder Client Zertifikat erneuern muss, oder es eben abläuft.

Danke & einen schönen Abend
xenon

*push*

Have the same question.
Did somebody know how we could include the RRD Data with this Backup Script?

https://codeberg.org/SWEETGOOD/andersgood-opnsense-scripts/src/branch/main/backup-opnsense-via-api.sh

Thanks & Kindly Regards

OPNsense relies on a classic "PC speaker" device present since the first IBM PC. If the Sophos firewall has different hardware, that is not going to work.

ah that makes Sense.
I thought this was also possible via the classic speaker

Thanks  Patrick ;)

Good Evening.

I am running OPNsense 24.1.8 on my Sophos SG135 rev3, but i didnt get the USB Serial Console working.
This Hardware has a micro USB Connector for the Console, and i also activated that in my OPNsense, but it wont work :(

Tried 3 different Computers & Notebooks, but none of them recognize something, when i connect the USB Cable.


Could somebody help me here please?

Thanks in advance & Kind Regards
xenon