Topics

1

24.1 Legacy Series / How do I allow a single device outbound DNS acces while...

« on: August 24, 2024, 10:35:58 pm »

...in general every DNS request is redirected to the OPNsense?

There are two rules configured:

1. port forward:

       LAN    TCP/UDP    *    *    ! LAN address    53 (DNS)    127.0.0.1    53 (DNS)    Redirect external DNS requests to local DNS resolver

2. rules LAN:
-->   IPv4 TCP/UDP    *    *    127.0.0.1    53 (DNS)    *    *       Redirect external DNS requests to local DNS resolver

These two rules ensure that any DNS request from every device in the LAN is redirected to the OPNsense. Assuming I want to allow the IP 192.168.29.1 to query port 53 (DNS requests) to any outbound DNS service, i.e. 1.1.1.1 or 9.9.9.9. How can I achieve this, what rules are needed. At the moment I don't get it.

Any help is appreciatetd.

2

23.7 Legacy Series / BUG - ACME plugin automation not working

« on: November 12, 2023, 02:55:01 pm »

OPNsense 23.7.7_3-amd64
FreeBSD 13.2-RELEASE-p3
OpenSSL 1.1.1w 11 Sep 2023
ACME Client 3.19

I reset the acme plugin and created a new cert and a new automation. SFTP upload test is giving no errors.

But a manual run of an automation (ACME client --> Services: ACME Client: Certificates --> run automations causes in following error:

AcmeClient: automation not found: b2a9610b-7fb3-4554-bf4e-09eaa77c65eb

No matter after copying the automation in a new one, or deleting the automation and creating a new one. All new or copied automations always have the same ID b2a9610b-7fb3-4554-bf4e-09eaa77c65eb.

How to investigate? Any advice is appreciated.

3

23.7 Legacy Series / *SOLVED* Nginx - afer uninstall no gui

« on: November 06, 2023, 10:14:36 pm »

OPNsense 23.7.7_3 - up-to-date

For tests I installed the nginx and the acme plugin. I changed for the gui access the https port to http, and after uninstall back to https port as before.

After uninstalling the plugins the gui is not reachable. Nor http or https.

I've access to cli. Need help to find the right track back. Where to investigate? I assume there are orphaned dependencies left over which may interfere.

Any help is greatly appreciated.

stefan

4

Zenarmor (Sensei) / WebGui - Zenarmor item still there after uninstalling

« on: August 22, 2023, 05:33:31 pm »

I installed the new version of zenarmor and decided to remove totally everything. Still after rebooting there's in the WebGui the Zenarmor item to click on. By clicking on it all submenus open, but then is coming up "page not found". Of course, I uninstalled zenarmor. How to I get rid of the menu? Yes I reloaded the the webgui and emptied also the cache of the browser.

anybody?

5

Tutorials and FAQs / Smartphone connect to USB in tethering - WAN configuration

« on: August 21, 2023, 08:44:56 pm »

Assuming my standard ISP connection is down.

I connect my android smartphone in USB tethering mode to my OPNSense hardware (not a VM). An ue interface is showing up, which can be configured.

Can anybody provide a setup for this scenario? I only want to setup a very standard firewall with the WAN interface on the tethered phone. What IP's have to be used? Probably static. What MRU? No need to configure failover.

Any help is appreciated.

Thank's in advance,
stefan

6

23.1 Legacy Series / *SOLVED * dpinger - two instances but only single gateway to monitor

« on: March 24, 2023, 12:57:11 pm »

OPNsense 23.1.4_1-amd64
FreeBSD 13.1-RELEASE-p7
OpenSSL 1.1.1t 7 Feb 2023

Box is defined as exposed host, sitting behind a fritzbox, ISP is Vodafone Germany.

Two single gateways configured:

Name    Interface    Protocol    Priority    Gateway    Monitor IP    RTT    RTTd    Loss    Status    Description    
      WAN_GWv4 (active)    WAN    IPv4    240 (upstream)    130.1.1.1    130.1.1.1    0.3 ms    0.0 ms    0.0 %    Online
   Interface WAN Gateway    
      WAN_DHCP6 (active)    WAN    IPv6    254          ~    ~    ~    Online
   Interface WAN_DHCP6 Gateway

The dashboard shows under services two dpinger instances:

dpinger    Gateway Monitor (WAN_GWv4)    
dpinger    Gateway Monitor (WAN_GWv4)

Has anybody a clue why?

I have a nearly identical box showing only one dpinger instance.

Thank's for any help to understand.

7

German - Deutsch / OPNsense 22.1.10-amd64 - errors in system log general

« on: July 13, 2022, 09:33:39 am »

Nach einem update sehe ich im general log fehler, bei denen ich nicht weiss wo die Ursache liegt, und wie ich diese abstellen kann. Sind das überhaupt alles errors? Vor der OPNSense ist eine FritzBox im Bridge-Modus, ISP ist Vodafone mit einer statischen IP. In einer anderen Installation wurde durch ein Vodafone-Update die Konfiguration zerschossen. Die Konfiguration der Fritzbox kann ich erst am Freitag kontrollieren.

Ein Ausschnitt dazu:

2022-07-13T09:16:51   Error   opnsense   /interfaces.php: warning: ignoring missing default tunable request: net.inet.ip.fastforwarding   
2022-07-13T09:16:51   Error   opnsense   /interfaces.php: warning: ignoring missing default tunable request: debug.pfftpproxy   
2022-07-13T09:16:50   Error   opnsense   /interfaces.php: The WAN_DHCP6 monitor address is empty, skipping.   
2022-07-13T09:16:50   Error   opnsense   /interfaces.php: ROUTING: skipping IPv6 default route   
2022-07-13T09:16:50   Error   opnsense   /interfaces.php: ROUTING: IPv6 default gateway set to wan   
2022-07-13T09:16:50   Error   opnsense   /interfaces.php: ROUTING: keeping current default gateway 'x.x.x.x'   
2022-07-13T09:16:50   Error   opnsense   /interfaces.php: ROUTING: setting IPv4 default route to x.x.x.x   
2022-07-13T09:16:50   Error   opnsense   /interfaces.php: ROUTING: IPv4 default gateway set to wan   
2022-07-13T09:16:50   Error   opnsense   /interfaces.php: ROUTING: entering configure using defaults   
2022-07-13T09:16:48   Error   opnsense   /interfaces.php: warning: ignoring missing default tunable request: net.inet.ip.fastforwarding   
2022-07-13T09:16:48   Error   opnsense   /interfaces.php: warning: ignoring missing default tunable request: debug.pfftpproxy   
2022-07-13T09:16:48   Error   opnsense   /interfaces.php: ROUTING: skipping IPv6 default route   
2022-07-13T09:16:48   Error   opnsense   /interfaces.php: ROUTING: IPv6 default gateway set to wan   
2022-07-13T09:16:48   Error   opnsense   /interfaces.php: ROUTING: creating /tmp/re1_defaultgw using 'x.x.x.x'   
2022-07-13T09:16:48   Error   opnsense   /interfaces.php: ROUTING: removing /tmp/re1_defaultgw   
2022-07-13T09:16:48   Error   opnsense   /interfaces.php: ROUTING: setting IPv4 default route to x.x.x.x   
2022-07-13T09:16:48   Error   opnsense   /interfaces.php: ROUTING: IPv4 default gateway set to wan   
2022-07-13T09:16:48   Error   opnsense   /interfaces.php: ROUTING: entering configure using 'wan'   
2022-07-13T09:16:47   Error   opnsense   /interfaces.php: Accept router advertisements on interface re1   
2022-07-13T09:12:58   Error   opnsense   /system_gateways.php: ROUTING: keeping current default gateway 'x.x.x.x'

Auf einer opnsense unter 21.7.8 die nahezu identisch konfiguriert ist, tauchen diese Fehler nicht auf.

Wer kann mir hier weiter helfen? Vielen Dank vorab.

stefan

8

German - Deutsch / OPNsense 18.1.11 - nach Update Squid startet nicht mehr - kein Internet im LAN

« on: July 10, 2018, 01:52:29 pm »

OPNsense 18.1.10-amd64
FreeBSD11.1-Release-p11
OpenSSL 1.0.2o 27 Mar 2018

Nach einem Update auf 18.1.11 startet squid nicht mehr. Eine Version zurück auf 18.1.10 und squid 3.5.27_3 bringt leider keinen Erfolg. Alle anderen Updates von 18.1.10 auf 18.1.11 habe ich belassen.

Im Log des WebProxy steht u.a.:

Pagefaults with physical i/o:0
Fatal: Unable to open HTTP Socket

Vor dem Update lief alles problemlos.

Für eine schnelle Hilfe wäre ich dankbar. Im Zweifel würde ich gerne komplett alle Pakete auf 18.1.10 downgraden. Leider kenne ich nicht den Befehl dazu.

Grüsse,
Stefan

9

18.1 Legacy Series / *SOLVED* Web proxy whitelist issue

« on: June 24, 2018, 03:14:06 pm »

Hello,

OPNsense is running as OPNsense 18.1.9-amd64, FreeBSD 11.1-RELEASE-p10, OpenSSL 1.0.2o 27 Mar 2018.

Services: Web Proxy: Administration Whitelist: besides some other domains: "my-hammer.de", which was the last I added.

From the log:
1529845065.736 0    xxx TCP_DENIED/403 4095 GET http://www.my-hammer.de/favicon.ico - HIER_NONE/- text/html
1529845065.715 0    xxx TCP_DENIED/403 4021 GET http://www.my-hammer.de/favicon.ico - HIER_NONE/- text/html
1529845065.681 0    xxx TCP_DENIED/403 4141 GET http://localhost:3128/squid-internal-static/icons/SN.png - HIER_NONE/- text/html
1529845065.647 0    xxx TCP_DENIED/403 4100 GET http://www.my-hammer.de/ - HIER_NONE/- text/html

The client is not able to access the domain. The previous whitelisted domains are accessable.

Anybody with an idea?

regards,
stefan

10

18.1 Legacy Series / Deactivate rule from CLI

« on: June 12, 2018, 02:57:13 pm »

Is there a way to deactivate a rule from the console/CLI?

Thank's for any help.

stefan

11

German - Deutsch / Regel deaktivieren von der command line

« on: June 12, 2018, 02:54:37 pm »

Kann man von der Konsole / CLI eine Regel deaktivieren? Wenn ja, wie?

Vielen Dank für jede Hilfe.

stefan

12

18.1 Legacy Series / OpenVPN with TCP on Port 443

« on: June 11, 2018, 08:31:42 am »

I need to set up a VPN server/client with TCP proto on port 443.

Could anybody advise/help with a sample configuration and the corresponding FW rules? I can't get a connect. My VPN with UDP on port 1194 works flawless.

Thank's in advance.

regards,
stefan

13

German - Deutsch / *SOLVED* 1&1 Surfstick - OpenVPN HSDPA

« on: June 09, 2018, 09:18:30 am »

Hallo,

ich hoffe, dass ich bei meiner Suche im Forum die Antwort auf meine Frage nicht übersehen habe.

OPNsense läuft auf OPNsense 18.1.9-amd64. NAT und Webproxy sind aktiviert, das VPN auf Port 1194 läuft ohne Störungen.

Für die nächste Zeit bin ich gezwungen einen Surfstick für die Internet-Verbindung zu nutzen. Der 1&1 Stick baut eine HSDPA-Verbindung auf. Dabei habe ich jedoch festgestellt, dass eine VPN-Verbindung von den Clients über UDP 1194 nicht möglich ist. Da keine Fehler im LOG erkennbar sind nehme ich an, dass der Provider den Port blockt.

Ich habe daraufhin mit dem VPN-Wizard einen 2. VPN-Server erstellt, als Protokoll diesmal TCP auf Port 443. Eine Verbindung wird aufgebaut, jedoch durch eine Standard-Deny Regel geblockt.

Was mache ich falsch bzw. was habe ich übersehen?

Vielen Dank für jede Hilfe.

stefan

14

German - Deutsch / OPNsense 17.7.12_1-amd64 freezes nach Update von 16.7

« on: March 01, 2018, 08:23:20 am »

Nach einem etwas holperigen Update von 16.7 auf 17.7,12 freezed die Firewall nach ca. 5-7 Tagen Betrieb. Nur ein Hardreset hilft weiter.

Wie kann man die Ursache am Besten heraus finden?

Software:
Versions    OPNsense 17.7.12_1-amd64
FreeBSD 11.0-RELEASE-p17
OpenSSL 1.0.2n 7 Dec 2017

Plugins:
os-arp-scan
os-dyndns
os-smart
os-wol

Hardware:
grep -i cpu /var/run/dmesg.boot
CPU: Intel(R) Pentium(R) CPU  J2900  @ 2.41GHz (2416.73-MHz K8-class CPU)
FreeBSD/SMP: Multiprocessor System Detected: 4 CPUs
cpu0: <ACPI CPU> on acpi0
cpu1: <ACPI CPU> on acpi0
cpu2: <ACPI CPU> on acpi0
cpu3: <ACPI CPU> on acpi0
est0: <Enhanced SpeedStep Frequency Control> on cpu0
est1: <Enhanced SpeedStep Frequency Control> on cpu1
est2: <Enhanced SpeedStep Frequency Control> on cpu2
est3: <Enhanced SpeedStep Frequency Control> on cpu3
SMP: AP CPU #2 Launched!
SMP: AP CPU #1 Launched!
SMP: AP CPU #3 Launched!

uname -mp
amd64 amd64

grep -i mem /var/run/dmesg.boot
real memory  = 4294967296 (4096 MB)
avail memory = 3959488512 (3776 MB)
hpet0: <High Precision Event Timer> iomem 0xfed00000-0xfed003ff irq 8 on acpi0
vgapci0: <VGA-compatible display> port 0xf080-0xf087 mem 0xb0000000-0xb03fffff,0xa0000000-0xafffffff irq 16 at device 2.0 on pci0
ahci0: <AHCI SATA controller> port 0xf070-0xf077,0xf060-0xf063,0xf050-0xf057,0xf040-0xf043,0xf020-0xf03f mem 0xb0816000-0xb08167ff irq 19 at device 19.0 on pci0
xhci0: <Intel BayTrail USB 3.0 controller> mem 0xb0800000-0xb080ffff irq 20 at device 20.0 on pci0
hdac0: <Intel BayTrail HDA Controller> mem 0xb0810000-0xb0813fff irq 22 at device 27.0 on pci0
re0: <Realtek PCIe GBE Family Controller> port 0xe000-0xe0ff mem 0xb0704000-0xb0704fff,0xb0700000-0xb0703fff irq 16 at device 0.0 on pci1
re0: Using Memory Mapping!
re1: <Realtek PCIe GBE Family Controller> port 0xd000-0xd0ff mem 0xb0604000-0xb0604fff,0xb0600000-0xb0603fff irq 19 at device 0.0 on pci2
re1: Using Memory Mapping!
vga0: <Generic ISA VGA> at port 0x3c0-0x3df iomem 0xa0000-0xbffff on isa0

 pciconf -lv
hostb0@pci0:0:0:0:      class=0x060000 card=0x368d17aa chip=0x0f008086 rev=0x0e                    hdr=0x00
    vendor     = 'Intel Corporation'
    device     = 'Atom Processor Z36xxx/Z37xxx Series SoC Transaction Register'
    class      = bridge
    subclass   = HOST-PCI
vgapci0@pci0:0:2:0:     class=0x030000 card=0x368d17aa chip=0x0f318086 rev=0x0e                    hdr=0x00
    vendor     = 'Intel Corporation'
    device     = 'Atom Processor Z36xxx/Z37xxx Series Graphics & Display'
    class      = display
    subclass   = VGA
ahci0@pci0:0:19:0:      class=0x010601 card=0x368d17aa chip=0x0f238086 rev=0x0e                    hdr=0x00
    vendor     = 'Intel Corporation'
    device     = 'Atom Processor E3800 Series SATA AHCI Controller'
    class      = mass storage
    subclass   = SATA
xhci0@pci0:0:20:0:      class=0x0c0330 card=0x368d17aa chip=0x0f358086 rev=0x0e                    hdr=0x00
    vendor     = 'Intel Corporation'
    device     = 'Atom Processor Z36xxx/Z37xxx, Celeron N2000 Series USB xHCI'
    class      = serial bus
    subclass   = USB
none0@pci0:0:26:0:      class=0x108000 card=0x368d17aa chip=0x0f188086 rev=0x0e                    hdr=0x00
    vendor     = 'Intel Corporation'
    device     = 'Atom Processor Z36xxx/Z37xxx Series Trusted Execution Engine'
    class      = encrypt/decrypt
hdac0@pci0:0:27:0:      class=0x040300 card=0x368d17aa chip=0x0f048086 rev=0x0e                    hdr=0x00
    vendor     = 'Intel Corporation'
    device     = 'Atom Processor Z36xxx/Z37xxx Series High Definition Audio Cont                   roller'
    class      = multimedia
    subclass   = HDA
pcib1@pci0:0:28:0:      class=0x060400 card=0x368d17aa chip=0x0f488086 rev=0x0e                    hdr=0x01
    vendor     = 'Intel Corporation'
    device     = 'Atom Processor E3800 Series PCI Express Root Port 1'
    class      = bridge
    subclass   = PCI-PCI
pcib2@pci0:0:28:3:      class=0x060400 card=0x368d17aa chip=0x0f4e8086 rev=0x0e                    hdr=0x01
    vendor     = 'Intel Corporation'
    device     = 'Atom Processor E3800 Series PCI Express Root Port 4'
    class      = bridge
    subclass   = PCI-PCI
isab0@pci0:0:31:0:      class=0x060100 card=0x368d17aa chip=0x0f1c8086 rev=0x0e                    hdr=0x00
    vendor     = 'Intel Corporation'
    device     = 'Atom Processor Z36xxx/Z37xxx Series Power Control Unit'
    class      = bridge
    subclass   = PCI-ISA
none1@pci0:0:31:3:      class=0x0c0500 card=0x368d17aa chip=0x0f128086 rev=0x0e                    hdr=0x00
    vendor     = 'Intel Corporation'
    device     = 'Atom Processor E3800 Series SMBus Controller'
    class      = serial bus
    subclass   = SMBus
re0@pci0:1:0:0: class=0x020000 card=0x34687470 chip=0x816810ec rev=0x06 hdr=0x00
    vendor     = 'Realtek Semiconductor Co., Ltd.'
    device     = 'RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller'
    class      = network
    subclass   = ethernet
re1@pci0:2:0:0: class=0x020000 card=0x34687470 chip=0x816810ec rev=0x06 hdr=0x00
    vendor     = 'Realtek Semiconductor Co., Ltd.'
    device     = 'RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller'
    class      = network
    subclass   = ethernet

usbconfig list
ugen0.1: <XHCI root HUB 0x8086> at usbus0, cfg=0 md=HOST spd=SUPER (5.0Gbps) pwr=SAVE (0mA)
ugen0.2: <USB2.0 Hub vendor 0x05e3> at usbus0, cfg=0 md=HOST spd=HIGH (480Mbps) pwr=SAVE (100mA)
ugen0.3: <USB 2.0 Hub vendor 0x1a40> at usbus0, cfg=0 md=HOST spd=HIGH (480Mbps) pwr=SAVE (100mA)
ugen0.4: <Lenovo USB Keyboard Lite-On Technology Corp.> at usbus0, cfg=0 md=HOST spd=LOW (1.5Mbps) pwr=ON (100mA)
ugen0.5: <Microsoft USB Wireless Mouse Microsoft> at usbus0, cfg=0 md=HOST spd=LOW (1.5Mbps) pwr=ON (50mA)

OpenVPN ist eingerichtet, ansonsten "normale" Firewall-Regeln. Dieser Freeze-Effekt trat bei der 16.7 Version niemals auf.

(Beide) Crash-Reports habe ich gesendet.

Vielen Dank für jede Hilfe.
stefan

15

German - Deutsch / Gelöst - ssh - Update von 16.7 auf 17.1 via openvpn hängt

« on: February 17, 2018, 09:39:56 pm »

Guten Abend,

ich habe remote über einen openvpn tunnel eine fehlerfrei laufende opnsense 16.7 versucht auf 17.1 upzudaten. Da ich nicht vor Ort bin kann ich nicht sehen, wo die Maschine steht. Angebunden ist der Tunnel über dydndns.

Ein ping auf den Hostnamen und auf die IP funktionieren. Jedoch wird der openvpn-Tunnel nicht mehr aufgebaut.

Der Standort hat eine sehr langsame Internetverbindung. Deshalb meine Frage woher bekomme ich ein amd64 Image der 17.1 Version, bzw. wie kann ich das Update zu Ende bringen. Geht das in einem undefinierten Zustand überhaupt mit einer(m) CD/USB-Stick? Oder besser gleich eine vollständige Neuinstallation auf OPNsense 17.7.12_1-amd64. Nach Möglichkeit nicht über die Internetverbindung.

Vielen Dank für jede Hilfe.
stefan