Messages

Thanks Franco.

That solved it.

After reverting from pkg 2.6.2_1 to pkg 2.3.1_1:

* pkg version works
* pkg update works
* pkg upgrade -n works

No more segmentation faults.

I also noticed that the revert unlocked the package again, and currently no packages are locked.

Should I leave it like that, or lock pkg again?

Thanks,
Michael

Hello,

I can reproduce a pkg segmentation fault on OPNsense 26.1.10.

System:

* OPNsense 26.1.10
* pkg 2.6.2_1
* os-sensei 2.6
* os-sensei-agent 2.6
* os-sensei-updater 2.0
* os-sunnyvalley 1.5_2

The firewall itself appears completely stable. Routing, services and package integrity checks are working normally.

The segmentation fault occurs consistently after successful completion of pkg operations:

pkg update

Result:

Updating OPNsense repository catalogue...
OPNsense repository is up to date.
Updating SunnyValley repository catalogue...
SunnyValley repository is up to date.
All repositories are up to date.
Child process pid=xxxxx terminated abnormally: Segmentation fault

The same happens with:

* pkg version
* pkg upgrade -n

Additional diagnostics:

pkg check -Ba
→ Checking all packages: 100%

pkg audit -F
→ completed successfully

No package conflicts reported.
Repositories update successfully.
The segmentation fault occurs only after the operation has already completed successfully.

Kernel log contains repeated entries like:

(pid xxxx) (pkg) exited on signal 11 (no core dump - bad address)

Can provide additional diagnostics if required.

Regards,
Michael

Hello,

I can reproduce a pkg segmentation fault on OPNsense 26.1.10.

System:

* OPNsense 26.1.10
* pkg 2.6.2_1
* os-sensei 2.6
* os-sensei-agent 2.6
* os-sensei-updater 2.0
* os-sunnyvalley 1.5_2

The firewall itself appears completely stable. Routing, services and package integrity checks are working normally.

The segmentation fault occurs consistently after successful completion of pkg operations:

pkg update

Result:

Updating OPNsense repository catalogue...
OPNsense repository is up to date.
Updating SunnyValley repository catalogue...
SunnyValley repository is up to date.
All repositories are up to date.
Child process pid=xxxxx terminated abnormally: Segmentation fault

The same happens with:

* pkg version
* pkg upgrade -n

Additional diagnostics:

pkg check -Ba
→ Checking all packages: 100%

pkg audit -F
→ completed successfully

No package conflicts reported.
Repositories update successfully.
The segmentation fault occurs only after the operation has already completed successfully.

Kernel log contains repeated entries like:

(pid xxxx) (pkg) exited on signal 11 (no core dump - bad address)

Can provide additional diagnostics if required.

Regards,
Michael

Hast du noch nie eine Regel erstellt?

Im Anhang habe ich einen Screenshot einer meiner. Da sind eben Quelle und Ziel Subnetze. Du kannst aber natürlich auch einzelne Hosts setzen.

Doch natürlich. Für das DNS und Internet-Zugang braucht es ja nicht viele.

Danke für den Screenshot!

Du kannst alles einschränken mit Ausnahme des Quellports. Der ist dynamisch.
Also Protokoll, Quell-IP, Ziel-IP, Ziel-Port.

Magst Du ein Beispiel geben?

Wenn es reicht, dass das Gerät den Server per IP oder Name aufrufen kann, genügt es Port 445 TCP freizugeben.

Und die IP-Adresse vom Server. Also per Firewall-Regel. Kann ich da von Gerät auf Gerät Port gehen?

Moin.

Ich stehe gerade auf dem Schlauch. Ein Gerät aus dem VLAN (IoT) soll Zugang zu SMB-Freigabe eines Servers im LAN bekommen. Wie stelle ich das am besten und elegant an? Danke!

Okay.

Der Fehler trat aber auch bei nem anderen Browser (Orion) auf. Und da ich nichts am Mac geändert habe, lag die Vermutung nahe, dass das Update der Auslöser ist. Da zuvor ja alles funktionierte ohne Fehlermeldung.

Ich würde die Fehlermeldung gerne verstehen und wissen, ob so was durch ein Update möglich ist.

Okay.

Keine Ahnung, woran es bei mir lag. Nach dem Neustart war keine Verbindung ins Netz mehr möglich. Einstellungen hatte ich nicht verändert, nur Update. ISP sagte auf Nachfrage, ob ein Störung vorliege, dass sich die Sense nicht eingewählt hat.

Ich habe mehrere Stunden probiert und schließlich aufgegeben. Factory Reset gemacht, natürlich kein Backup :-X

Dann ging es wieder. Dennoch schmiert mir die Seite mit "The error is: "cannot parse response" (NSURLErrorDomain:-1017)", wenn ich die Änderungen anwenden will, immer wieder ab, was vorher nicht war. Manueller Reload geht und löst das Problem.

Ich würd's gern verstehen.

Moin. Bisher lief alles wunderbar. Die Einwahl über PPPOE lief. Heute Update auf 24.7.10 gemacht. Danach hatte ich keine Verbindung zum Internet mehr. Verstellt habe ich nichts. ISP sagt, Gerät ist nicht eingewählt. Also Einstellung geprüft und gespeichert. Beim Anwenden dann keine Reaktion NSURL ...

Was nu?

Ich verwende auch Pihole aber leite die DNS-Anfragen wieder zurück an OPNsense zu Unbound und von dort zu DNSCrypt. Ich hab das nach dieser Anleitung gemacht: https://homenetworkguy.com/how-to/configure-dns-opnsense-pihole/  per DHCP Pihole als DNS verteilen, Pihole Upstream DNS -> OPNsense Unbound (Use Conditional Forwarding: OPNsense IP und Domain eintrage): so bekommst Du die richtigen Namen der Geräte im Netzwerk angezeigt. Ich mach dann noch nach dieser Anleitung: https://homenetworkguy.com/how-to/configure-dns-over-https-dnscrypt-proxy-opnsense/ die Weiterleitung von Unbound zum DNSCrypt (gibt es als Plugin). Wichtig ist bei diesen Anleitungen, dass man die Ports richtig einstellt.

Wie wurde denn UnboundDNS konfiguriert? Irgendwas Spezielles oder nur einschalten? Statt Hostnames habe ich im pihole nur IP-Adressen stehen unter Dashboard - Top Clienst.

...aus IOT hast du nur TCP/UDP freigegeben, aus LAN alle IPv4 Protokolle.

Bei der Regel mit TCP/UDP bei IOT handelt es sich um die Freigabe für DNS (erste Regel); ganz unten ist dann IOT net allowed.

Ich sehe nicht, was das mit facebook, insta und co. zu tun hätte. Wenn DNS bei LAN nicht funktionieren würde, würde ich gar keine Seite erreichen können.

Jetzt gilt es nur noch dem Geheimnis mit den Social-Media-Seiten auf die Schliche zu kommen. Ich hab's auch schon mit nem andere Browser versucht, der mit quittierte die Anfrage mi "bad url".

Na so wie ich es beschrieben habe. auf mehreren installationen. alles hardware, nichts virtuell, keine VLANs.

Ok. Wie gesagt komme ich ohne die beiden VLANs nicht aus. Das Problem war tatsächliche die Reihenfolge der Regeln und die antilockout-rule. Danke für die Hilfe!

Hier: antilockout auf LAN. Trotzdem geht kein Zugriff auf die GUI in anderen lokalen Netzen. Einzige BLOCK rule ist eine generelle ipv4 Regel, wie oben gezeigt für LAN.

Keine Ahnung, wie Du das gemacht hast.

ABER: Wenn ich unter Firewall-Settings-Advanced die anti-lockout-rule rausnehme, kann ich auch nicht mehr auf die GUI im GUEST- und IOT-Netz zugreifen. So sind jetzt beide Netze wirklich isoliert. Danke!

Die Sache mit den Sozialen Medien kann ich mir jedoch nicht erklären.