Messages

Nachtrag.

Wenn man im Jobs-Tab genug häkchen weg geklickt hat dann taucht nicht nur die IP-Adresse komplett auf die sonst verkürzt da steht, nun erkenne ich jetzt dort auch das error-feld. Und dort steht dann

sendto: Permission denied

WTF^2 Wird da nur einem script der UI nicht erlaubt das ping-kommando aus zu führen?

Oder ist OPN jetzt gar so auf Sicherheit bedacht das es keinem tool mehr traut? :-)

Falls das'n ZeroTrust anfall war, wie Authentifiziere ich ihm das er Ping wieder nutzen darf?

Hallo

Hier: Opnsense 23.7.8_1 amd64

Einige Versionen früher konnte man Interfaces/Diagnostics/Ping noch problemlos nutzen um bei bedarf eine IP an zu pingen und dabei auch das Quellinterface einfach (Dropdown) auswählen.

Das hat sich hier in mehrfacher Hinsicht geändert. Man kann nur noch eine Quelladresse manuell eingeben, man kann keinen zähler für die Anzahl pings vorgeben und wenn man es ausführt landet man auf dem "Jobs" tab wo man einem rotierenden Kreis zusehen kann. Ergebnisse erhält man erst nach Stopp und meist sind die auch noch noch negativ oder nichtssagend weil; zumindest mir; nicht ersichtlich wird ob es nun wirklich keine Antwort gab oder diese Funktion einfach nur Broken ist. Dazu sieht es so aus als könne man mehrere "Jobs" einrichten (Tabelle) aber auch das scheint nicht zu gehen denn da ist kein "+" Menü und es taucht immer nur der letzte "Job" auf.

Geht da nur mir so?

Ich brauche da aber keine Jobs, schon gar nicht welche die nicht einstellbar sind. Was ich brauche ist eine schnelle effektive antwort auf die frage ob ein paket von einer IP/Interface an eine andere IP/Interface durch geht oder nicht. Das scheint aber aktuell kaputt zu sein. Oder gibt es irgendwelche Einstellmöglichkeiten mit denen man die Alte Menü-Funktion zurück bekommen kann?

Hallo.
Ich habe hier im LAN einen kleinen Bereich an IPv4 Adressen (.51-.69) als Pool für Dynamische Vergabe eingetragen. Daneben gibt es einige Clients mit Fester Adresszuweisung.

Jetzt kommt es immer wieder mal vor das der Pool erschöpft ist. Wenn ich in der GUI die Leases aufliste und "show inactive" markiere dann sehe ich Teils lease-zuweisungen die Monate her sind und der Host dazu ebenso lange nicht aktiv war. Ich habe die Leasezeiten auch nicht länger (Tage o.a.) eingestellt sondern eher Kürze (Stunde[n]).

Liegt es aber daran, oder gibt es eine art "hausmeister" job den man z.b. ein mal im Monat per cron starten könnte um abgelaufene alte leases weg zu werfen?

Hallo liebe OPNSense-Gemeinde, ich bin Forum Neuling undd hätte da eine Frage an Euch. Kann man die OPNsense auch als Domaincontroller nutzen? Gibt es da einen Dienst? Vielen Dank im Vorraus für eure Hile/Gedanken...

Ein Domaincontroller für Aktuelles Windows benutzt m.W. Active Directory, SMB-Fileservices und mehr.
Ein Dienst der das unter BSD/Unix/Linux Leistete wäre der Samba Fileserverdienst. Aber den gibt es nicht für einen Router der solche Serverdienste aus Sicherheitsgründen auch überhaupt nicht ausführen/anbieten sollte.

Du wirst nicht um einen Eigenen Host als DC umhin kommen. Wenn du dich mit Virtualisierung auskennst kannst du beides in getrennten VMs auf einem VM-Host laufen lassen.

Hallo. Ich habe Intern kein IPv6 und damit auch kein Interface das eine solche Adresse hätte. Jetzt ist durch unbekannte Umstände das DHCPv6 Relay als Enabled gesetzt, kann aber lt. Dienstübersicht nicht gestartet werden. Das unter allen grünen Symbolen eines Rot ist mag nur optisch unschön sein.

Aber der versuch es zu deaktivieren scheitert leider an obigem. Die GUI erzwingt das man ein Interface angeben muß. Und der ist es dabei offensichtlich egal ob der Haken bei enable on this interface entfernt ist.

Technisch und logisch mag es ja richtig sein. Aber "enable" ist IMO auch so was wie ein Hauptschalter. Ist es aus dann taucht der nicht startbare dienst auch nicht in der Liste auf. Und es wird wohl auch nicht versucht den zu starten.  Aber so ist der aktiviert, versucht vermutlich zu starten, findet kein interface und beendet sich - mit Fehler. Das ist mehr als unschön, das ist nichts was man hätte haben wollen.

Ein Interface auf SLAAC zu setzen reicht auch nicht um dies Interface im Dialog wählbar zu machen und das Ding dann endlich ganz aus zu knipsen.

Hat jemand dafür eine andere Lösung. Deinstallieren geht m.E. auch nicht. Das würde ich auch gern mit einigen Sachen des OPN-Systems machen die ich eh nicht brauche oder nicht will. Z.b. VPN oder Monit. Aber das nur nebenbei.

Posted by: franco on: 15-12-2021, 21:18:55

Der Hauptgrund warum Dnsmasq nicht aus der Standard Installation entfernt wird ist der Aufwand der Migration von Dnsmasq auf Unbound der maschinell beim Upgrade für wenig Verständnis sorgen wird weil man keine 100%ige Migration hinbekommen kann.

Das bedeutet aber doch nur das man die Konfiguration manuell portieren muss. Danach braucht man den zweiten DNS Server nicht mehr und sollte ihn deinstallieren dürfen. Dürfen! Und nicht verbieten ihn zu entfernen wie jetzt.

Ist meine Meinung dazu und ein Vorschlag für die Zukunft. Siehe meinen aktuellen Post dazu.

Hallo

ich habe eben auf 23.1 aktualisiert und so weit funktioniert das auch. Aber das nur nebenbei.

Ich hätte (mal wieder) den Wunsch Pakete die ich überhaupt nicht oder nie brauchen werde oder will entfernen zu können - statt sie nur auf "nicht aktiviert" setzen zu können. Es ist doch immer besser wenn eine Software überhaupt nicht installiert ist als wenn sie da ist und nur aus geschaltet. Denn das kann sich ggf. durch einen Fehler o.a. mal ändern. Ist sie nicht installiert kann das nicht passieren und minimiert das risiko.

Speziell geht's mir dabei um pakete wie monit, ipsec, dnsmasq ODER unbound. Bei letzteren verstehe ich immer noch nicht warum BEIDE installiert werden obwohl man definitiv nur EINES davon benutzen kann. Jedenfalls nach interfaces und ports und auch in Verbindung mit dem dhcp Server.

Bei meinem Versuch dnsmasq auf 5353 und EINEM Opt Interface zu aktivieren und den unbound auf 53 auf den anderen (LAN und VLAN/OPT) gab es immer Fehlermeldungen. Sprich: Nicht erfolgreich.

Da wünsche ich mir auch zw. Übersichtlichkeit einen von beiden entfernen zu können so das der auch im services menü nicht mehr auftaucht. Und da es offensichtlich auch einen Bind gibt ist das der nächste Punkt. Wenn man bind wählt sollten/müssten die anderen beiden zumindest deaktiviert und danach deinstallierbar sein. Unbound und dnsmasq kann man aber m.W. nicht via GUI deinstallieren.

Dagegen hätte ich statt monit o.a. lieber einen gkrellmd den ich ebenso simpel installieren und starten könnte wie ntop oder netdata die ja auch nur einen Start-oder-nicht-start eintrag bei services haben.

Den gkrellmd mittels pkg nach zu installieren scheint mir auch weder geplant noch vorgesehen zu sein und wird nach dem was ich las auch nicht empfohlen weil es mit dem dazu nötigen bsd-repo dann Abhängigkeits-Probleme geben kann/wird.

Gibt es dafür eine Nicht-Nerd Lösung oder Alternativen?

Hallo

Mein OPN sitzt als router/filter zwischen meinem Internen LAN und dem Speedport Hybrid für meine WAN-Verbindung.

Jetzt möchte ich eigentlich das OPN generell den unbound DNS auf localhost nutzt um eigene DNS abfragen zu erledigen, zum LAN hin; via dhcp4 seine LAN-IP als dns-server angibt und ausschließlich der unbound anfragen die nicht meine lokale (LAN) Zone (in den overrides eingetragen) an den Speedport forwarded.

Nun, LAN-Seitig funktioniert das mit dem dns via dhcp auch. Nur OPN scheint mit 127.0.0.1 nicht zufrieden zu sein, denn dann ist der update-server nicht mehr erreichbar (adress not found). Aber wenn ich; wie vorher; die IP des Speedport nach dem localhost als 2. DNS unter System eintrage dann geht es wieder. Dabei ist overide by ppp/dhcp ausgeschaltet weil ich verhindern will das mir mein Speedport da "irgendwas" liefert und das OPN stört/irritiert.

Nur, beim unbound kann ich lediglich ein Outgoing Interface angeben, aber keine IP Adresse für einen Forwarder den er benutzen sollte. D.h. wohl das der nur den via dhcpd6 vom Speedport gelieferten dns nutzen könnte - es aber offenbar nicht sicher tut.

Jetzt weiß ich nicht ob ich was falsch machte und es nur nicht bemerkte oder ob das so evtl. vielleicht nicht vorgesehen ist. Ich würde WAN-Seitig auch gern eine Statische IPv6 Konfig nutzen, weiß aber ehrlich gesagt nicht was ich da konkret eintragen könnte. Denn meine diesbezüglichen Versuche mit einem Virtuellen OPN 18 früher gingen alle in die Hose = keine Verbindung.

Hat da jemand ne Idee zu?

Das sind alles Netzwerk Geräte die in deinem System existieren aus Gründen des Betriebs oder der Hardware Bestückung.

Na gut, das mag sein. Und...

damit man auf dieser Seite auch Information zu nicht zugewiesenen Geräten über die GUI einsehen kann.

... das finde ich eigentlich auch gut und sinnvoll; speziell auch mit dem anzeigen der automatischen regeln der firewall.

Aber eine Frage habe ich doch noch: Wie kam ich denn wohl zu einem zweiten loopback-interface?

Wenn da nur lo0 wäre, okay. Aber warum taucht auch ein lo1 auf? Das brauche ich sicher nicht; denke ich; ich hab's (wissentlich) nicht erzeugt und von der Hardware kann es auch kaum abgeleitet sein.

Hallo. OPN bietet unbound, dnsmasq und optional auch bind. Aber m.W. kann man nur bind installieren und auch entfernen. Warum nicht auch einen der beiden anderen?

Und wenn das so gewollt ist. Wie kann man denn beide gleichzeitig nutzen - auf verschiedenen interfaces? Ich hab das in einer KVM-Instanz mal versucht aber mindestens einer der beiden meckerte immer über einen bereits gebundenen port und das selbst wenn ich jedem ein separates interface und verschiedene Ports in ihrer Konfig (via UI) angab.

Mein Schluß daraus: Beide nebeneinander geht nicht und das ist so gewollt. Aber warum?

Ich stelle mir da z.b. ein "Sinnvolles" Setup vor bei dem ich mein normales internes LAN mit unbound und ddns zum dhcpd verwalte und den dnsmasq für ein separates LAN-Segment mit eingesperrten Geräten nutzen könnte - mit eigener interner domain. Und einer oder beide sollten ggf. einen forwarder auf der WAN-Seite von OPN nutzen können. Mir kommt das prinzipiell/technisch möglich vor, aber die UI scheint es zu verhindern.

Unter Serivices-Intrusion-Detection-Administration-Schedule soll wohl ein Update-eintrag der IDS-Regeln bearbeitet werden können. Aber sobald man auf den Reiter schedule klickt poppt sofort ein Edit-Job Fenster auf das den Inhalt dahinter überdeckt. Schließt man es verschwindet auch der Inhalt dahinter und man landet wieder bei IDS-Settings. Siehe Screenshot.

Ich denke da wird im Hintergrund System-settings-cron angezeigt denn dort findet sich ein IDS-Update eintrag. Man kommt über das IDS Menü aber offenbar nur direkt zum Editieren dieses Einen Eintrages. Soll das so?

Ich finde das ja irritierend und unerwartet. Besser würde mir gefallen wenn ISD-Schedule entweder direkt in die Cron-Sektion springt und bestenfalls seinen Eintrag hervorhebt oder wenn die Liste aus der Cron-Sektion unter ISD-Schedule nur gefiltert um die relevanten Einträge eingebunden wäre. Aber dann so das man dort die wahl hat Edit zu klicken und danach auch den just editierten Eintrag in der Liste sehen kann.

OPNsense 21.7.6-amd64
FreeBSD 12.1-RELEASE-p21-HBSD
OpenSSL 1.1.1l 24 Aug 2021

Hallo

Seit dem kürzlich durchgeführten Update auf 21.7 fand ich unter Interfaces-overview (ich benutze EN als UI-Sprache) mehrere "unassigned interfaces" darunter lo0, lo1, pflog0, pfsync0 und enc0.

Das ich ein lo brauche ist klar. Aber wo kommen die anderen her und wie kann ich sie ggf. loswerden?

Ich hab vielleicht mal in die VPN Konfig rein geschaut aber m.W. nix aktiviert, sonstige Verschlüsselungs-dinge hat weder die HW (kein AESNI) noch sind welche aktiv und ein HA Setup habe ich auch noch nicht eingerichtet. Mehr fällt mir anhand der bezeichner nicht ein. Unter interfaces-assignments wird lo1 auch als new-interface aufgeführt das ich hinzu fügen könnte - aber wozu? lo0 reicht doch!?

In firefall-rules finde ich EIN loopback mit einer automatischen pass-all regel. So weit so gut. Und wie bekomme ich den rest aus dem weg, aus den augen aus dem sinn?

OPNsense 21.7.6-amd64
FreeBSD 12.1-RELEASE-p21-HBSD
OpenSSL 1.1.1l 24 Aug 2021

Also zumindest beim Präfix bin ich mir sicher denn der Speedport Hybrid zeigt ja explizit eine IPv6 Adresse und dazu ein /64 als "für das Heimnetzwerk" an. Und was soll denn "nicht reichen" heißen. Vielleicht irre ich weil ich mit IPv6 noch wenig praxis habe aber ein /64 oder beliebig anderes Präfix müsste doch für ein kleines Heimnetz immer noch locker reichen. Ich meine es sind "deutlich" weniger als 100 Hosts/IPs hier damit füllt man nicht mal ein IPv4 /24 aus. Alles was ich will ist das bestimmte Hosts eingesperrt sind und IPv6 brauche ich maximal auf 1-2 Netzsegmenten hinter dem OPN. VOR OPN (also direkt am Hauptrouter) sollen und will ich die nicht haben. Aber akt. sieht es so aus als ob es kaum anders ginge. Gestern habe ich WAN und LAN auf SLAAC umgestellt und beide hatten Adressen aus dem 2003: Bereich (der mir zugeteilte). Aber heute morgen hat irgendwas OPN ausgebremst, 1 Std. später erneut und wann es nun nach zweimaligem Reboot noch mal passiert kann ich nur raten. Auch ob es daran lag oder an etwas anderem. Irgendwie hatte ich mir das einfacher vorgestellt.  ;D

Das funktioniert hier aber leider auch nicht. Ich hab auf dem WAN jetzt mal ein /63 eingetragen. LAN hat als PräfixID immer noch eine Null. Muß ich da evtl. was anderes eintragen und was?

Ich hab den Eindruck das die sache mit dem "Schnittstelle aufzeichnen" hier generell nicht funktioniert. Und ich vermute der Knackpunkt liegt an der einrichtung von WAN, also das dort weder ein Präfix noch eine IPv6 Adresse geholt wird. Unter Schnittstellen-Überblick sehe ich da nur eine link-lokale (fe80:). Ich nehme an da sollte auch fd34: oder 2003:xxxx auftauchen wenn das Interface eine solche erhielt. Oder?

Wie komme ich dem nun auf die Spur?

Hallo
Da ich nun einen Neuen Anschluß habe dessen Router aber nicht viel kann habe ich opnsense 18.7.8 i386 mit dem WAN-Port hinter meinem Speedport-Hybrid gehängt. Und ich habe entsprechend einem Howto die Optionen so gesetzt.

WAN:
DHCPv6 Clientkonfiguration
Konfigurationsmodus    Einfach
Request only an IPv6 prefix    yes
Präfixdelegationsgröße     /64
Sende einen IPv6-Präfixhinweis Yes    
IPv4-Verbindung verwenden yes

Der DHCPd des Speedport ist An und Teilt auch Adressen aus, auch an OPN aber ob er das auch mit dhcpd6 tut bezweifle ich. Offenbar sendet der nur Router-advertisements.

Und bei einer Internen Schnittstelle dann

LAN:
IPv6 Konfigurationstyp    Schnittstelle aufzeichnen
als auf zu zeichnende Schnittstelle WAN
und als Präfix ID 0

Und auch nach einem Reboot bekomme ich auf der Internen keinen IPv6 Zugang.

Ich vermute ich mache noch irgendwas falsch aber ich habe keine Idee was. Direkt am Speedport angeschlossen bekomme ich vollen Zugang auf beiden IP-Stacks, aber hinter OPN nur mit IPv4 und bestenfalls DNS6. Lt. einer IPv6-testseite.

Die Interne NIC hat nur fe80:::1:1 die WAN-Seite fe80::250:8bff:fe09:4447

Der Speedport zeigt mir in seinem Menü eine ULA-Adresse und einen 2003:xyz /64 Block für das Interne Netzwerk. Muß ich davon irgendwas händisch irgendwo in OPN eintragen? Dem WAN-Port Statisches IPv6 zu konfigurieren habe ich nicht hin bekommen weil ich schlicht zu wenig Ahnung vom Neuen Protokoll habe - und einfach nicht weiß was da ein zu tragen wäre.