Topics

Hello everyone,

we are using OPNsense Business 25.10 with the OPNcentral module enabled and would like to adjust the current login behavior when accessing managed hosts.

At the moment, when clicking on a host in OPNcentral, an automatic WebGUI login is performed using the API user credentials stored in OPNcentral.
We would like to disable this automatic login, so that instead the regular login dialog (OpenID Connect / Keycloak) appears.
The goal is to ensure that all administrative access is authenticated through our central Identity Provider and properly logged for auditing purposes.

OpenID integration already works reliably on the individual firewalls.
However, within OPNcentral we cannot find any option to disable the automatic login or switch to OpenID-based authentication.

So our questions are:

Is there any way (e.g. via a configctl opncentral.* parameter or configuration setting) to disable automatic WebGUI login via OPNcentral?

Alternatively, can OPNcentral be configured to always show the regular OpenID login when accessing a managed host?

Thanks in advance for any advice or workaround!
Christian

In Keycloak

Neuen Client vom Typ OpenID Connect anlegen

Client-Authentifizierung und Standard Flow aktivieren

Redirect-URI:
https://<fw-fqdn>[:<port>]/api/oidc/rp/finalize/<application-code>
(Port nur angeben, wenn er vom Standard 443 abweicht)

Post-Logout-Redirect-URI:
https://<fw-fqdn>[:<port>]/*

Web Origins:
https://<fw-fqdn>[:<port>]

Für mehrere Firewalls einfach weitere Redirect-URIs im selben Client ergänzen

Scopes: openid profile email

Mapper anlegen:

preferred_username → User Property username

email → User Property email

name → Full Name (oder firstName + lastName)

groups → Group Membership Mapper (Full path aus, Add to ID/Access/Userinfo an)

Client-ID und Client-Secret notieren

In OPNsense 25.10 BE

Menü: System → Zugriff → OpenID Connect → ,,+" neuen Provider anlegen

Application code: frei wählbar (z. B. opnsense-gui-admin)

Dienst: WebGui / Admin

Provider URL: https://<keycloak-host>/realms/<realm>

Client-ID / Client-Geheimnis: aus Keycloak

Authentifizierungsmethode: Use offered

User identification field: preferred_username oder email

Create user: aktivieren

Damit authentifiziert sich die OPNsense-Weboberfläche zentral über Keycloak (OpenID Connect).

Hallo zusammen,

wir setzen die OPNsense Business Edition 25.10 mit aktivem OPNCentral-Modul ein.
Beim Öffnen eines verwalteten Hosts erfolgt derzeit ein automatisches WebGUI-Login über den hinterlegten API-User.

Wir möchten dieses Verhalten abschalten und stattdessen die OpenID-Anmeldung verwenden, damit alle Zugriffe nachvollziehbar und über unseren zentralen Identity-Provider (Keycloak) protokolliert werden.

Die OpenID-Anbindung funktioniert auf den einzelnen Firewalls bereits sehr zuverlässig.
In OPNCentral finde ich jedoch keine Option, das automatische Login zu deaktivieren oder auf OpenID umzuschalten.

Gibt es hierfür eine Einstellung oder einen configctl-Parameter, um das Verhalten zentral zu steuern?

Christian

After updating my OPNsense Business Edition from version 25.4 to 25.10, no packages are available anymore under
System → Firmware → Extensions.
The following error is shown:

The release type "opnsense-business" is not available in this repository.


Additionally, all installed extensions show up as "orphaned", even though they were updated successfully.
Running the usual update commands via shell shows that the repositories themselves are reachable, but the business release type seems to be missing:

root@fw:~ # pkg update
Updating OPNsense repository catalogue...
Fetching meta.conf: 100%    163 B   0.2kB/s    00:01   
Fetching packagesite.pkg: 100%  256 KiB 262.0kB/s    00:01   
Processing entries: 100%
OPNsense repository update completed. 911 packages processed.
Updating SunnyValley repository catalogue...
SunnyValley repository is up to date.
All repositories are up to date.

root@fw:~ # opnsense-update
Nothing to do.

Environment:

OPNsense Business Edition 25.10

Previous version: 25.4

Default Business repository enabled
No manual changes to repository or mirror configuration

Expected behavior:

Business repository should be automatically recognized after the update
Installed extensions should not appear as "orphaned"
Package and plugin management should continue to function normally

Actual behavior:

Error: "The release type 'opnsense-business' is not available in this repository."
All extensions appear as orphaned
No new plugins or packages can be loaded

Hallo Zusammen,

Folgendes einfaches Szenario:


VPN                       LAN Aussenstelle
|                _________|________
|     WAN1|                                  | WAN2
|                             Internet
V                                 |
                                   | WAN1
                                  RZ
                                LAN

WAN1 ist z.B. das Defaultgateway . Der VPN soll als Client (peer-to-peer) von der Aussenstelle das RZ/WAN1 ansprechen.
Dies soll er aber nicht über das Defaultgateway sondern über eine Gatewaygruppe tun. In dieser Gatewaygruppe ist WAN2-Tier 1 und WAN1-Tier2
Jetzt habe ich gelesen, das man dazu den OpenVPN Client an den localhost binden soll. Das funktioniert auch vom Grundsatz her.

all udp WAN1:62389 (127.0.0.1:11120) -> RZ/WAN1:11120

Natürlich geht er dann erst einmal über das Defaulgateway. Wie bekomme ich nun den Tunnel dazu, das er über die Gatewaygruppe geht? Eine schwebende Regel mit dem Interface Localhost sowie dem Port oder auch der Zieladresse funktioniert nicht. Scheinbar ist die Ausführung  der Regel zu spät und der Tunnel steht zu diesen Zeitpunkt schon. Wie kann ich das Problem nun lösen?

lg

Christian

Hallo,

Wäre es möglich (und hoffentlich auch logisch) in den Einstellungen für einen LDAP Server (System: Zugang: Server) die Eintragung einer Quell-IP zu ermöglichen? Ich muss den LDAP Server über einen IPSEC Tunnel erreichen. Dies funktioniert zum Beispiel problemlos unter Dienste: Dnsmasq-DNS: Einstellungen in den Einstellungen für die Domainüberschreibung.

Gruß

Christian

Hello,

Unfortunately the Zabbix Agent from 17.1.8 can not be set up. If you try to activate in the following error message:

{
  "result": "failed",
  "validations": {
    "zabbixagent.settings.main.listenIP": "Please provide valid IP addresses, i.e. 10.0.0.1."
  }
}

The corresponding field was filled out. See also the screenshot.

regards

Christian

Hallo zusammen,

Ausgangslage zwei Internetleitungen und ein Gruppen Gateway. Wenn ich einen OpenVPN Client einrichte kann ich unter Schnittstelle "nur" die physikalischen Schnittstellen auswählen. Leider keine Grupen Gatways. Ist das so gewollt? Wenn ja, wie kann ich dann einen Tunnel bei Ausfall einer Internet Leitung automatisch umschwenken?

Gruß

Christian

Hallo,

Wenn ich einen Tunnel über OPENVPN aufbaue bekomme ich Pakete mit 1472 byte hindurch. Leider bekomme ich kein Paket fragmentiert. D.h. bei 1472 ist schluss. Pakete >1472 kommen nicht an.  Kann das jemand nachvollziehen? Wo habe ich eine Einstellung  übersehen?

Gruß

Christian

Hallo Zusammen,

Ich möchte die aufgerufenen URL's mit der jeweiligen IP Adresse des Clients  in einem Portal aufzeichnen. Also Webproxy aktiviert und dort auch Syslog als aufzeichnungsmethode ausgewählt. Nur irgendwie kommt da nichts an. DIe Konfiguration für Opnsense uns Syslog funktioniert. Denkfehler?

Gruß

Christian

Hallo,

Habe ein Problem mit PPPOE auf ein Draytek 130 und Opnsense 17.1.4.
Nach der automatischen 24 Stunden Trennung bei einen VDSL Anschluss wird der PPPOE Stack scheinbar manchmal nicht richtig Initialisiert. Hier mal zwei Beispiele. 24.3 hat funktioniert 25.3. nicht:

Mar 24 15:17:40 MLS-LANGEN-FW01 configd.py: [5dfb56a4-fed3-40bb-abb9-ee22c86bf08b] Rewriting resolv.conf
Mar 24 15:17:40 MLS-LANGEN-FW01 configd.py: [ec58981d-472e-476d-aec9-01ad87da00f7] Rewriting resolv.conf
Mar 24 15:17:44 MLS-LANGEN-FW01 configd.py: [da5ee089-f119-4cd7-adda-4b00c24ecbb5] Rewriting resolv.conf
Mar 24 15:17:46 MLS-LANGEN-FW01 configd.py: [04e33444-3949-41fa-836a-eb479ae0c953] rc.newwanip starting pppoe0
Mar 24 15:17:46 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanipv6: rc.newwanipv6: Informational is starting pppoe0.
Mar 24 15:17:46 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanipv6: rc.newwanipv6: Failed to detect IPv6 for INTERNET[opt1]
Mar 24 15:17:46 MLS-LANGEN-FW01 configd.py: [8b7e92e1-d41b-4c44-b926-0e59825422ad] Rewriting resolv.conf
Mar 24 15:17:47 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.resolv_conf_generate: The command '/sbin/route delete -host 8.8.8.8' returned exit code '1', the output was 'route: route has not been found delete host 8.8.8.8 fib 0: not in ta
ble'
Mar 24 15:17:47 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.resolv_conf_generate: The command '/sbin/route delete -host 8.8.4.4' returned exit code '1', the output was 'route: route has not been found delete host 8.8.4.4 fib 0: not in ta
ble'
Mar 24 15:17:48 MLS-LANGEN-FW01 configd.py: [6ce49bb5-4a2f-448b-ab47-4fdd06948633] rc.newwanip starting pppoe0
Mar 24 15:17:48 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: rc.newwanip: Informational is starting pppoe0.
Mar 24 15:17:48 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: rc.newwanip: on (IP address: 94.46.95.102) (interface: INTERNET[opt1]) (real interface: pppoe0).
Mar 24 15:17:48 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: ROUTING: setting IPv4 default route to 213.157.2.13
Mar 24 15:17:48 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: Removing static route for monitor 8.8.8.8
Mar 24 15:17:48 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: Adding static route for monitor through 213.157.2.13
Mar 24 15:17:48 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: Resyncing OpenVPN instances for interface INTERNET.
Mar 24 15:17:49 MLS-LANGEN-FW01 kernel: ovpnc1: link state changed to DOWN
Mar 24 15:17:49 MLS-LANGEN-FW01 configd.py: [703cb056-3c89-43b6-91a2-8e9309fdb428] Reloading filter
Mar 24 15:17:51 MLS-LANGEN-FW01 configd.py: [693542d5-7797-4f2d-805e-050934ec2a1e] Reloading filter
Mar 24 15:17:51 MLS-LANGEN-FW01 kernel: ovpnc1: link state changed to UP
Mar 24 15:17:51 MLS-LANGEN-FW01 configd.py: [e54aa7d5-68e4-4a4a-b239-2cea8b0b56fb] rc.newwanip starting ovpnc1
Mar 24 15:17:51 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: rc.newwanip: Informational is starting ovpnc1.
Mar 24 15:17:52 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: Interface is empty, nothing to do.
Mar 24 15:17:54 MLS-LANGEN-FW01 snmpd[68197]: disk_OS_get_disks: adding device 'cd0' to device list
Mar 24 15:17:54 MLS-LANGEN-FW01 devd: notify_clients: send() failed; dropping unresponsive client
Mar 24 15:17:54 MLS-LANGEN-FW01 snmpd[68197]: disk_OS_get_disks: adding device 'vtbd0' to device list


----------------------------------------------------------------------------------------------------


Mar 25 15:17:45 MLS-LANGEN-FW01 configd.py: [6ec4fae6-1008-4db7-af3b-6c2145de2d23] Rewriting resolv.conf
Mar 25 15:17:46 MLS-LANGEN-FW01 configd.py: [0e573053-2f2d-477d-9bc9-3a253180dd17] Rewriting resolv.conf
Mar 25 15:17:49 MLS-LANGEN-FW01 configd.py: [19ef49ad-f918-434a-8715-843c26cfb575] Rewriting resolv.conf
Mar 25 15:17:49 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.resolv_conf_generate: The command '/sbin/route delete -host 8.8.8.8' returned exit code '1', the output was 'route: route has not been found delete host 8.8.8.8 fib 0: not in ta
ble'
Mar 25 15:17:49 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.resolv_conf_generate: The command '/sbin/route delete -host 8.8.4.4' returned exit code '1', the output was 'route: route has not been found delete host 8.8.4.4 fib 0: not in ta
ble'
Mar 25 15:17:50 MLS-LANGEN-FW01 configd.py: [8a214343-2d00-4e10-a644-3d8646ca53b4] rc.newwanip starting pppoe0
Mar 25 15:17:50 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: rc.newwanip: Informational is starting pppoe0.
Mar 25 15:17:51 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: rc.newwanip: on (IP address: 94.46.95.102) (interface: INTERNET[opt1]) (real interface: pppoe0).
Mar 25 15:17:51 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: ROUTING: setting IPv4 default route to 213.157.2.14
Mar 25 15:17:51 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: Removing static route for monitor 8.8.8.8
Mar 25 15:17:51 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: Adding static route for monitor through 213.157.2.14
Mar 25 15:17:51 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: Resyncing OpenVPN instances for interface INTERNET.
Mar 25 15:17:51 MLS-LANGEN-FW01 kernel: ovpnc1: link state changed to DOWN
Mar 25 15:17:51 MLS-LANGEN-FW01 configd.py: [3a1ee33f-49d0-4371-b5a9-2af1e9cc7e94] Reloading filter
Mar 25 15:17:54 MLS-LANGEN-FW01 configd.py: [b14ecf00-1b4c-4f80-819f-f868d1da7e1d] Reloading filter
Mar 25 15:17:54 MLS-LANGEN-FW01 kernel: ovpnc1: link state changed to UP
Mar 25 15:17:54 MLS-LANGEN-FW01 configd.py: [bb21d48e-497a-483b-921d-075c49fbf9a6] rc.newwanip starting ovpnc1
Mar 25 15:17:54 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: rc.newwanip: Informational is starting ovpnc1.
Mar 25 15:17:54 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanip: Interface is empty, nothing to do.
Mar 25 15:17:57 MLS-LANGEN-FW01 snmpd[15436]: disk_OS_get_disks: adding device 'cd0' to device list
Mar 25 15:17:57 MLS-LANGEN-FW01 devd: notify_clients: send() failed; dropping unresponsive client
Mar 25 15:17:57 MLS-LANGEN-FW01 snmpd[15436]: disk_OS_get_disks: adding device 'vtbd0' to device list
Mar 25 15:17:59 MLS-LANGEN-FW01 configd.py: [c8f451fb-af61-4802-a0d7-1225dfd16c2d] Rewriting resolv.conf
Mar 25 15:18:00 MLS-LANGEN-FW01 configd.py: [76de148b-51f3-4d85-9f86-f3bc21c924ed] rc.newwanip starting pppoe0
Mar 25 15:18:00 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanipv6: rc.newwanipv6: Informational is starting pppoe0.
Mar 25 15:18:00 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanipv6: rc.newwanipv6: Failed to detect IPv6 for INTERNET[opt1]
Mar 25 15:18:01 MLS-LANGEN-FW01 configd.py: [dce8623d-2b33-4954-b3e1-ebcea976374e] Rewriting resolv.conf
Mar 25 15:18:01 MLS-LANGEN-FW01 configd.py: [95b893ff-4e1a-4a6b-ab88-5db4d79fad6a] Rewriting resolv.conf
Mar 25 15:18:03 MLS-LANGEN-FW01 configd.py: [4589666d-4fe5-41e6-b1df-bf21cc343aca] rc.newwanip starting pppoe0
Mar 25 15:18:03 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanipv6: rc.newwanipv6: Informational is starting pppoe0.
Mar 25 15:18:03 MLS-LANGEN-FW01 opnsense: /usr/local/etc/rc.newwanipv6: rc.newwanipv6: Failed to detect IPv6 for INTERNET[opt1]




Was könnte der Fehler sein?

Hallo,

Wie kann man von der CLI das Zertifikat für die Weboberfläche zurücksetzen? Kann diese nicht mehr laden, da ich da was falschen eingespielt habe und müsste es auf das Auslieferungszertifikat zurücksetzen. Danke!

Gruß

Christan

Hallo Zusammen,

Habe einen einfachen OpenVPN Tunnel als Client-Server aufgesetzt. Soweit auch erst mal alles ok. D.h. Verbindung wird aufgebaut und ping ist durch den Tunnel möglich. Was mich etwas irritiert hat, ist das vor allen HTTP Seiten sehr langsam sind. (z.B. Config Interface der Opnsense)
Also habe ich mal etwas gesucht. Raus gekommen ist, das durch den Tunnel nur unfragmentierte Pakete übertragen werden. D.h. bei einer Paketgröße > 1472 geht nichts mehr.

Also ping -l 1473 xxx.xxx.xxx.xxx
Zeitüberschreitung der Anforderung

Ein  ping -f -l 1473 xxx.xxx.xxx.xxx sagt korrekterweise:
Paket müsste fragmentiert werden, DF-Flag ist jedoch gesetzt.

Wo liegt der Fehler?


Gruß

Christian

Hallo,

Gibt es irgendwo eine kleine Anleitung zu dem Plugin Let's Encrypt in der 17.1? Ich habe da einen missing Link im Hirn. Wie kommt das angeforderte Zertifikat in die Zertifikatliste?
Danke!

Christian

Hallo,

Es scheint einen weiteren Fehler im zusammenhang mit IPV6 zu geben. Scheinbar wird die MTU Size des Tunnels nicht richtig gesetzt, sodas die Pakete nicht mehr fragmentiert sonder verworfen werden. D.h. Pakete grösser 1362 bit werden verworfen. Sobald ich den selben Tunnel auf IPV4 umstelle funktioniert es. Ich vermutte mal, das der Overhead von IPV6 nicht richtig  berücksichtigt wird.

Gruß

Christian

OPNsense 16.7.b_394

Hallo zusammen,

Auch hier habe ich irgenwie noch ein Logikproblem. Es fängt damit an, das IPSEC zwar als eigenes Interface  unter Firewall-Regeln dargestellt wird, aber wenn man ins Routing schaut, für das IPSEC Interface keine Einträge angelegt sind. Dementsprechend funktioniert es auch nicht, eine Regel am INTERN interface anzulegen die  folgendermassen aufgebaut ist:
INTERN:
IPv4 *   INTERN   *   IPSEC   *   *      

Das interessiert in dem fall scheinbar gar nicht, da es hier kein Routing über das IPSEC "Interface" gibt, sondern der Tunnel scheinbar an das externe Interface gebunden ist. Ist das so?

Gruß

Christian

OPNsense 16.7.b_394

Hallo Zusammen,

Mir ist aufgefallen, wenn man einen IPV6 Tunnel Kontruiert kann man da ja dann IPV4 Pakete transportieren lassen. Also Phase1 IPV6, Phase 2 IPV4. Das funktioniert dann auch Problemlos. Möchte mann aber nun etwas an Phase1 ändern ist das nur möglich wenn man die Phase2 einträge löscht. Ansonsten kommt folgende Fehlermeldung:

Die folgenden Eingabefehler wurden entdeckt:
Es gibt eine Phase 2, die IPv4 verwendet. Sie können IPv6 nicht verwenden.

Gruß

Christian

OPNsense 16.7.b_394

Hallo Zusammen,

Ich habe da mal eine Verständnissfrage.  Wenn ich bei einen IPSEC Tunnel , bei Anschlussart auswähle "Sofort starten", heisst das, das der Tunnel dauerhaft offen bleibt?  Hintergrund ist, das ich einen Tunnel so konfiguriert habe und dieser heute Nacht abgebaut wurde. Er lies sich dann auch nur "manuell" über die Weboberfläche aufbauen. Ist das nun ein Denkfehler, oder ein Bug, oder , oder .... ;-)
Ach ja - OPNsense 16.7.b_394.

Gruß

Christian

Hallo Zusammen,

Da ich OPNSense unter KVM (Proxmox) betreibe, möchte ich in diesen Treat optimierungen beschreiben und zur Diskussion aufrufen.
Dem Zugrunde liegt derzeit OPNsense Develop 16.7 und Proxmox 4.2. Hardware ist ein Atom C2550 mit AES-NI

Der erste Versuch war mit Proxmox E1000 Treibern und aktivierten AES-NI Support unter OPNSense.
Um erhrlich zu sein. Danach wollte ich schon wieder die Software wechseln. Ein Datendurchsatz von 24-30MB und einer CPU Last von 60-70%.

Daraufhin habe ich mich aber noch einmal rangesetzt und folgede Optimierungen durchgeführt.

Proxmox VirtIO Netzwertreiber und folgendes  unter OPNSense (Datei /boot/loader.conf):

hint.apic.0.clock=0
kern.hz=100

führten dazu, das er Durchsatz auf 70MB hochging und die CPU-Last auf 40-45% gesungen ist.
Befriedigend ist das immer noch nicht, aber deutlich besser.  Leider habe ich mir damit auch ein neues Problem eingefangen. IPS funktioniert nicht mehr. Obwohl ich sämtliche Hardware - Offload's Disabeld habe. Sobald ich IPS aktiviere entsteht der selbe Effekt, wie wenn man  IPS ohne Disable hardware checksum offload versucht. Nun gut man kann nicht alles haben ;-)

Hallo Zusammen,

Die Frage hat sich geklärt. Es war keine Frage sondern eigene Dummheit.

Danke!