Messages

1

General Discussion / Re: Install OPNsense on Oracle

« on: July 12, 2021, 07:28:14 pm »

I created the custom image during the initial trial period. When signing up, you get a free $300 budget and 30 days to spend it.
Once created, custom images keep working indefinitely even after the trial period ends.

Cheers

Maurice

2

General Discussion / Re: Install OPNsense on Oracle

« on: July 11, 2021, 02:06:07 am »

Be aware of the limitations: 50 Mbps Internet connectivity (up / down combined!), 1 virtual NIC, 32 public IPv6 addresses (no subnets), 1 public IPv4 address. The VM only gets a private IPv4 address via DHCP, the public address is NATed 1:1.

First, you have to install OPNsense in a local VM and pre-configure it. Any hypervisor should work. Important steps:

Create a VM with a single virtual NIC. OPNsense will assign it to the LAN interface, but it will be Internet-facing once running in OCI. You have to disable the DHCPv4 server and set the interface's IP configuration types to DHCP.

Add these tunables. FreeBSD won't boot in OCI without them.
hint.hpet.0.clock   0   (Disables High Precision Event Timer functionality)
kern.cam.da.0.minimum_cmd_size   10   (Increases the minimum READ/WRITE CDB size to 10 bytes)

If the resulting disk image isn't in QCOW2 format, convert it (qemu-img works). Upload the QCOW2 to a bucket and create a custom image (Linux, paravirtualized mode). Follow Oracle's guide for details. Edit the image details to add all the VM.Standard.E2 shapes.

Create an "Always Free" compute instance using the custom image. Add an ingress rule to your VCN security list allowing TCP connections to port 443. The OPNsense web UI should now be accessible and you can complete the configuration as usual.

These are the essentials which should get you started.

Cheers

Maurice

3

German - Deutsch / Re: OPNSense und Layer 3 Switch Routing Problem

« on: May 16, 2021, 06:28:59 pm »

Mit NAT Reflection unter OPNsense habe ich leider keine Erfahrung. Das ist eigentlich nur eine Behelfslösung, falls es nicht z. B. mit IPv6 oder Split DNS umsetzbar ist.
Falls es NAT Reflection sein muss vielleicht besser ein neues Thema aufmachen.

Grüße

Maurice

4

German - Deutsch / Re: OPNsense / *sense (Online) Usergroup?

« on: May 14, 2021, 04:45:54 pm »

Ich schaffe es zeitlich leider nicht.

5

German - Deutsch / Re: IPv6 Einrichtung

« on: May 11, 2021, 11:11:53 pm »

Falls unter 'Interfaces: Overview: WAN' nicht explizit ein 'IPv6 delegated prefix' steht hast Du kein Präfix und Geräte im LAN bekommen daher keine IPv6-Adresse. Das ist so korrekt.

Damit OPNsense selbst IPv6-Internetzugang hat benötigst Du kein Präfix, sondern nur eine IPv6-WAN-Adresse. Die hast Du, daher funktioniert das. Das Präfix ist völlig unabhängig von der WAN-Adresse. Bei einem "Testbetrieb" ist durchaus denkbar, dass die Prefix Delegation (noch) nicht aktiv ist.

6

German - Deutsch / Re: Deutsche Glasfaser - Wireguard

« on: May 11, 2021, 10:58:14 pm »

Dann brauche ich nur noch für das IPV4 Problem eine Lösung.

Du meinst, falls der Client nur IPv4-Internet hat? Das geht nur mittels einer externen Instanz, die über IPv4 erreichbar ist. Also z. B. WireGuard irgendwo in der Cloud laufen lassen oder eine öffentliche IPv4-Adresse hertunneln. Ist aber auf jeden Fall mit Kosten und / oder Gebastel verbunden.
Solange der Client über Mobilfunk verbunden ist sollte das aber kein Thema sein, da dort zumindest in Deutschland IPv6 weitestgehend läuft (Telekom und Vodafone auf jeden Fall, o2 soweit ich weiß mittlerweile auch).

7

German - Deutsch / Re: IPv6 Einrichtung

« on: May 11, 2021, 02:32:28 am »

Und siehe da, bekomme ich auch eine '2a01...' und ein /64 Präfix zugewiesen.

Siehst Du das Präfix unter 'Interfaces: Overview: WAN' als 'IPv6 delegated prefix'? Ein /64 ist auf jeden Fall unüblich; andere Größen funktionieren nicht?

In den Einstellungen dazu darf ich keines der Häkchen setzen, wie es bei einem Telekom Anschluß laut OPNsense Doku erklärt ist (damit bekomme ich dann keine v6 Adresse mehr, anscheinend ist es eine zusätzliche Verbindung).

Du meinst "Use IPv4 connectivity" und "Request only an IPv6 prefix"? Ersteres ist nur für PPP(oE), letzteres nur für ISPs, die die WAN-Adresse per SLAAC vergeben und nur das Präfix per DHCPv6. Trifft beides auf die Telekom zu, auf viele andere Anbieter aber nicht.

Ich habe aber lustigerweise kein Gateway bei 'Interface/Overview' am WAN angezeigt.

Ist ein OPNsense-Bug, der bei einigen ISPs auftritt. Solange ein IPv6-Ping von OPNsense ins Internet funktioniert sollte das aber kein großes Problem sein. Nur das Gateway-Monitoring funktioniert dann nicht ohne Weiteres.

Den Punkt 'Track Interface' auf der LAN Schnittstelle habe ich aktiviert, aber bekomme keine v6 Adressen an die Clients durchgereicht.

'IPv6 Prefix ID' auf 0 gelassen? Bei einem /64-Präfix funktioniert nur 0.

Wenn ich nun mal auf der Sense ein paar Tests fahre kann ich aber erfolgreich nen Ping oder Traceroute zu Google oder Heise machen.

Das riecht dann eher danach, dass Du zwar eine IPv6-WAN-Adresse, aber kein Präfix bekommst (siehe erste Frage).

Grüße

Maurice

8

German - Deutsch / Re: Deutsche Glasfaser - Wireguard

« on: May 11, 2021, 02:10:14 am »

WG:
Local
Listen Port 51820
DNS Server 192.168.2.1
Tunnel Address 10.10.10.1/24

DNS-Server leer lassen. Die Option ist nur dafür gedacht, falls OPNsense selbst einen externen DNS-Server (durch den Tunnel) verwenden soll.

LANBRUECKE:
Protocol   Source           Port   Destination   Port
IPv4*    WireGuard net     *         *                      *   

Ist das eine "In"- oder "Out"-Regel? So oder so, hat eher keine Funktion.

Wenn ich das richtig sehe, würde die Verbindung dann aber auch nur klappen wenn im Quellnetz IPV6 verfügbar ist, richtig?

Falls mit "Quellnetz" die Internetanbindung des externen Geräts gemeint ist und dieses die Verbindung aufbauen soll: Richtig. Das gilt aber für alle eingehenden Verbindungen, nicht nur WireGuard. Mit CGNAT sind grundsätzlich keine eingehenden IPv4-Verbindungen möglich.

9

21.1 Production Series / Re: WAN dhcp6c and DNS+GW issues

« on: May 09, 2021, 06:48:32 pm »

Shouldn't it be reported as a bug somewhere?

You're right, it should. This has been discussed here and there, but it seems no-one opened an issue on GitHub so far. Feel free to do so: https://github.com/opnsense/core/issues/new?template=bug_report.md

Make sure to use the provided template.

I've tried the pfSense on the same connection and it doesn't have these issues.

There have been significant changes since the fork.

Cheers

Maurice

10

General Discussion / Re: net scan show ports as filtered not closed

« on: May 09, 2021, 01:46:37 pm »

This is just about terminology. 'Pass' -> 'open', 'Block' -> 'filtered', 'Reject' -> 'closed'. The 'Default deny rule' blocks anything, so you normally don't have to create 'Block' rules on the WAN.

Cheers

Maurice

11

General Discussion / Re: Accessing OPNsense by its Hostname

« on: May 09, 2021, 01:30:38 pm »

I have port forwarding set for every port 53 dns request from any VLAN to be routed to 172.16.1.1:53 (Unbound DNS), is it true that Unbound DNS will see the client ip as the requesting ip, instead of the opnsense ip (which is port forwarding the request)?

Port forwarding does not change the source address. But to avoid any potential issues, you could set the destination in the port forward rule to 'not 172.16.1.1'.

do I have to enter it in every single VLAN/ DHCP setting?

Yes.

Under System>Settings>General>Networking

As long as Unbound is enabled, the DHCPv4 server will advertise the interface IP address as the DNS server, even if Unbound is not listening on that interface. The DNS servers from the global settings are only advertised if Unbound is disabled. At least that's how it worked last time I tried it; maybe this has changed?

12

21.1 Production Series / Re: Update Problems

« on: May 08, 2021, 08:42:58 pm »

Any recent changes to your DNS configuration? What's configured in 'System: Settings: General'? Any specials like WireGuard instances with configured DNS servers?

13

21.1 Production Series / Re: Update Problems

« on: May 08, 2021, 08:13:29 pm »

You might have DNS issues. Can you resolve pkg.opnsense.org with 'Interfaces: Diagnostics: DNS Lookup'?

Cheers

Maurice

14

German - Deutsch / Re: Deutsche Glasfaser - Wireguard

« on: May 08, 2021, 08:05:58 pm »

Das funktioniert. Die Protokolle im Tunnel sind bei WireGuard grundsätzlich unabhängig vom Protokoll außerhalb des Tunnels. Du kannst also IPv6-Endpoint-Adressen verwenden und als Tunnelinterface-Adressen bzw. Allowed IPs IPv4-Adressen (oder IPv4 + IPv6).

Wenn Du deine Config postest (wg, Firewall, Outbound-NAT, Interfaces) kann dir bestimmt weitergeholfen werden.

Grüße

Maurice

15

General Discussion / Re: Accessing OPNsense by its Hostname

« on: May 08, 2021, 01:51:02 pm »

Unbound registers the IP addresses of all interfaces it is listening on with the OPNsense hostname. If you want it to return only the address(es) of a specific interface, configure it to listen only on that interface. Also see: https://forum.opnsense.org/index.php?topic=22043.0

(And you probably don't want to use .local, that's for mDNS / zeroconf only.)

Cheers

Maurice