Topics

Assuming I want to build/migrate a new HW FW based on the live OPNsense which is in use. Right now the FW looks like this:

OPNsense 25.1.12-amd64
FreeBSD 14.2-RELEASE-p4
OpenSSL 3.0.17

and has a couple of plugins installed:

os-acme-client (installed)   4.9   789KiB   3   OPNsense   ACME Client   
os-caddy (installed)   2.0.2   246KiB   3   OPNsense   Modern Reverse Proxy with Automatic HTTPS, Dynamic DNS and Layer4 Routing   
os-crowdsec (installed)   1.0.10   62.7KiB   3   OPNsense   Lightweight and collaborative security engine   
os-etpro-telemetry (installed)   1.7_5   50.3KiB   2   OPNsense   ET Pro Telemetry Edition   
os-realtek-re (installed)   1.0   409B   3   OPNsense   Realtek re(4) vendor driver   
os-sensei (installed)   2.0.5   248MiB   2   SunnyValley   Enterprise Security Extensions for OPNsense (ZENARMOR)   
os-sensei-agent (installed)   2.0.5   117MiB   2   SunnyValley   ZENARMOR Connectivity Agent for Cloud Central Management   
os-sensei-updater (installed)   1.18   4.09KiB   2   SunnyValley   OPNsense ZENARMOR Plugin Updater   
os-smart (installed)   2.3_1   22.8KiB   3   OPNsense   SMART tools   
os-sunnyvalley (installed)   1.5   2.44KiB   2   OPNsense   Vendor Repository for Zenarmor (Enterprise Security Modules - NGFW, SSE, SASE, f.k.a Sensei)   
os-wol (installed)   2.5_1   22.7KiB   3   OPNsense   Wake on LAN Service

I understand building a live usb-stick from vga iso, booting in this, is able to import the config.xml. I assume, the config will not work proper without beeing updated from 25.1 to 25.1.12, and without the configured plugins installed.

What would be the correct approach, to have a working migration (or a proper live usb-stick) in case of a breakdown?

Thank's for showing the light and pointing in the right direction.

regrads,
stefan

System is

OPNsense 25.1.12-amd64
FreeBSD 14.2-RELEASE-p4
OpenSSL 3.0.17
Unbound is running on port 53

up-to-date.

Under interfaces - diagnostics - DNS Lookup i.e. Hostname: google.com brings up:

Response
Type    Answer    Server    Query time
A   google.com. 300 IN A 142.250.184.238   127.0.0.1   29 msec
AAAA   google.com. 300 IN AAAA 2a00:1450:4001:831::200e   127.0.0.1   29 msec
MX   google.com. 300 IN MX 10 smtp.google.com.   127.0.0.1   27 msec

or t-online.de:

Response
Type    Answer    Server    Query time
A   t-online.de. 300 IN A 52.209.116.123
t-online.de. 300 IN A 34.246.241.220
t-online.de. 300 IN A 54.217.253.146   127.0.0.1   104 msec

MX   
t-online.de. 7200 IN MX 10 mx03.t-online.de.
t-online.de. 7200 IN MX 10 mx01.t-online.de.
t-online.de. 7200 IN MX 10 mx02.t-online.de.
t-online.de. 7200 IN MX 10 mx00.t-online.de.   127.0.0.1   27 msec

So far so good.


While trying to lookup for zeppelin.com I get a network error:

Query failure
Error: error sending query: Could not send or receive, because of network error

From CLI with drill, dig or traceroute same problem.

#:dig zeppelin.com MX +trace

; <<>> DiG 9.20.10 <<>> zeppelin.com MX +trace
;; global options: +cmd
.         84892   IN   NS   d.root-servers.net.
.         84892   IN   NS   f.root-servers.net.
.         84892   IN   NS   e.root-servers.net.
.         84892   IN   NS   i.root-servers.net.
.         84892   IN   NS   m.root-servers.net.
.         84892   IN   NS   b.root-servers.net.
.         84892   IN   NS   a.root-servers.net.
.         84892   IN   NS   c.root-servers.net.
.         84892   IN   NS   l.root-servers.net.
.         84892   IN   NS   k.root-servers.net.
.         84892   IN   NS   j.root-servers.net.
.         84892   IN   NS   g.root-servers.net.
.         84892   IN   NS   h.root-servers.net.
.         84892   IN   RRSIG   NS 8 0 518400 20250906170000 20250824160000 46441 . XrZ9CBBLm4nziYVEaK3h4ZM05XT6zde0Gqlt5+VrRXb+nP2QZPfp64Wg eaZy55K4eMLJ1IoHhC8QZXGoei/a7xUkGGWtwQul4hLxaTRUcfeI/mAd DlQNTSY8oi8tFM+78UKnGCqPHFDkaupe64Qi73Do0UfxZ2a7aYjj3paY fNc5+1vmo7TUwdUtb2NM7qcVXR82kLj33DT8BwJ90LSnHJqXcF8Z8wQN ydfVx6M+Wd2wV+TFuUHvxWpWmgF3qkvI6sMUeajvVudPuBFrNh8SQX2A XqUaGbxeBr/W0scm2jfugMx/Nq7w1jYO6WarEtUx17PD/ke7fpekjLeL g7ysEA==
;; Received 1097 bytes from 127.0.0.1#53(127.0.0.1) in 0 ms

com.         172800   IN   NS   h.gtld-servers.net.
com.         172800   IN   NS   k.gtld-servers.net.
com.         172800   IN   NS   f.gtld-servers.net.
com.         172800   IN   NS   b.gtld-servers.net.
com.         172800   IN   NS   d.gtld-servers.net.
com.         172800   IN   NS   g.gtld-servers.net.
com.         172800   IN   NS   c.gtld-servers.net.
com.         172800   IN   NS   e.gtld-servers.net.
com.         172800   IN   NS   a.gtld-servers.net.
com.         172800   IN   NS   i.gtld-servers.net.
com.         172800   IN   NS   j.gtld-servers.net.
com.         172800   IN   NS   m.gtld-servers.net.
com.         172800   IN   NS   l.gtld-servers.net.
com.         86400   IN   DS   19718 13 2 8ACBB0CD28F41250A80A491389424D341522D946B0DA0C0291F2D3D7 71D7805A
com.         86400   IN   RRSIG   DS 8 1 86400 20250906170000 20250824160000 46441 . j180qM7z00ikoZnkPmiABdQCoSJMeUc1cQ+FYLsnu4qIQRJjDUyHXfiO VRJFM00EpNfikriYKvdOjCtRLVWz8zZA03lMkePBxAwwdY7NW8hhWYmR iA0xJuhIYilGGtIhf//P2bbechgVwvAWsDTyrMZxme8IkJaPV0sA2W1f 963s+7WJTlFy5xL3irw5KIYcJgIOEIkBfeGDSdXqvSiNK/JizVZ4iaYX oHJ457UqPS0/V/aE0fEJg6Xu5mkU4UqMYUty6e6aHKtNYyR7ITt6/a8k 7ALIQTGWM93zJcJd4Q5K/Xap7CYmPM3V3NHbWbRQdxVl+PEAb/JFozU9 ZXUALQ==
;; Received 1200 bytes from 192.33.4.12#53(c.root-servers.net) in 23 ms

zeppelin.com.      172800   IN   NS   ns1.arcor-ip.de.
zeppelin.com.      172800   IN   NS   ns2.arcor-ip.de.
zeppelin.com.      172800   IN   NS   ns3.arcor-ip.de.
CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 900 IN NSEC3 1 1 0 - CK0Q3UDG8CEKKAE7RUKPGCT1DVSSH8LL NS SOA RRSIG DNSKEY NSEC3PARAM
CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 900 IN RRSIG NSEC3 13 2 900 20250831015158 20250824004158 20545 com. KwEWamEC8pX2daXBOa2BY/AGCUCb+3Khm5Ao6bpOsD8Aj1En1mb2hO00 CtpTsH5JQu5HQD8QFWyb6ss6/vz3Mg==
C0UGRKKSAS0GF6FFKTOPVKI97J1HPQGU.com. 900 IN NSEC3 1 1 0 - C0UH524PN2G0H9955GVG6V4VHIU6SG6Q NS DS RRSIG
C0UGRKKSAS0GF6FFKTOPVKI97J1HPQGU.com. 900 IN RRSIG NSEC3 13 2 900 20250831021716 20250824010716 20545 com. D5OzZM+00WbYpUrjSd2QRhQhypdYRzljSKs+oSUBXnmiqYqYWZ4C6UiK 232bYXEGFzIIGP0vd5qexHdyCuhA9g==
couldn't get address for 'ns1.arcor-ip.de': not found
couldn't get address for 'ns2.arcor-ip.de': not found
couldn't get address for 'ns3.arcor-ip.de': not found
dig: couldn't get address for 'ns1.arcor-ip.de': no more

and:

#drill zeppelin.com @127.0.0.1 -p53
;; ->>HEADER<<- opcode: QUERY, rcode: NXDOMAIN, id: 27301
;; flags: qr rd ra ; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;; -p53.   IN   A

;; ANSWER SECTION:

;; AUTHORITY SECTION:
.   3600   IN   SOA   a.root-servers.net. nstld.verisign-grs.com. 2025082401 1800 900 604800 86400

;; ADDITIONAL SECTION:

;; Query time: 52 msec
;; SERVER: 127.0.0.1
;; WHEN: Mon Aug 25 00:43:19 2025
;; MSG SIZE  rcvd: 97


#:drill zeppelin.com @1.1.1.1
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 27740
;; flags: qr rd ra ; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;; zeppelin.com.   IN   A

;; ANSWER SECTION:
zeppelin.com.   60   IN   A   194.49.74.122

;; AUTHORITY SECTION:

;; ADDITIONAL SECTION:

;; Query time: 37 msec
;; SERVER: 1.1.1.1
;; WHEN: Mon Aug 25 00:44:48 2025
;; MSG SIZE  rcvd: 46



For a test I changed the setup like this:

Hostname: zeppelin.com
Server: 1.1.1.1

brings up:

Response

Type    Answer    Server    Query time
A   zeppelin.com. 60 IN A 194.49.74.122   1.1.1.1   22 msec
MX   zeppelin.com. 600 IN MX 10 mxb-00702901.gslb.pphosted.com.
zeppelin.com. 600 IN MX 10 mxa-00702901.gslb.pphosted.com.   1.1.1.1   27 msec


From another company/location in another city (same ISP - Germany vodafone business, static IP), same system setup, the domain zeppelin.com is reachable, lookup is working flawless, dig, drill etc. everything works as expected.

During the last week there was a disturbance with vodafone in this area. Internet was down/extremly slow. They told us, they're not 100% back on track they have to do some more investigations/repairing. Since Friday the speed is normal, remote work is no problem. But how can it be, that only this single domain is not reachable? Could it be possible at all?

I have no clue at all what's going on here. Any help/hint would be greatly appreciated.

...in general every DNS request is redirected to the OPNsense?

There are two rules configured:

1. port forward:

      LAN    TCP/UDP    *    *    ! LAN address    53 (DNS)    127.0.0.1    53 (DNS)    Redirect external DNS requests to local DNS resolver

2. rules LAN:
-->   IPv4 TCP/UDP    *    *    127.0.0.1    53 (DNS)    *    *       Redirect external DNS requests to local DNS resolver

These two rules ensure that any DNS request from every device in the LAN is redirected to the OPNsense. Assuming I want to allow the IP 192.168.29.1 to query port 53 (DNS requests) to any outbound DNS service, i.e. 1.1.1.1 or 9.9.9.9. How can I achieve this, what rules are needed. At the moment I don't get it.

Any help is appreciatetd.

OPNsense 23.7.7_3-amd64
FreeBSD 13.2-RELEASE-p3
OpenSSL 1.1.1w 11 Sep 2023
ACME Client 3.19

I reset the acme plugin and created a new cert and a new automation. SFTP upload test is giving no errors.

But a manual run of an automation (ACME client --> Services: ACME Client: Certificates --> run automations causes in following error:

AcmeClient: automation not found: b2a9610b-7fb3-4554-bf4e-09eaa77c65eb

No matter after copying the automation in a new one, or deleting the automation and creating a new one. All new or copied automations always have the same ID b2a9610b-7fb3-4554-bf4e-09eaa77c65eb.

How to investigate? Any advice is appreciated.

OPNsense 23.7.7_3 - up-to-date

For tests I installed the nginx and the acme plugin. I changed for the gui access the https port to http, and after uninstall back to https port as before.

After uninstalling the plugins the gui is not reachable. Nor http or https.

I've access to cli. Need help to find the right track back. Where to investigate? I assume there are orphaned dependencies left over which may interfere.

Any help is greatly appreciated.

stefan

I installed the new version of zenarmor and decided to remove totally everything. Still after rebooting there's in the WebGui the Zenarmor item to click on. By clicking on it all submenus open, but then is coming up "page not found". Of course, I uninstalled zenarmor. How to I get rid of the menu? Yes I reloaded the the webgui and emptied also the cache of the browser.

anybody?

Assuming my standard ISP connection is down.

I connect my android smartphone in USB tethering mode to my OPNSense hardware (not a VM). An ue interface is showing up, which can be configured.

Can anybody provide a setup for this scenario? I only want to setup a very standard firewall with the WAN interface on the tethered phone. What IP's have to be used? Probably static. What MRU? No need to configure failover.

Any help is appreciated.

Thank's in advance,
stefan

OPNsense 23.1.4_1-amd64
FreeBSD 13.1-RELEASE-p7
OpenSSL 1.1.1t 7 Feb 2023

Box is defined as exposed host, sitting behind a fritzbox, ISP is Vodafone Germany.

Two single gateways configured:

Name    Interface    Protocol    Priority    Gateway    Monitor IP    RTT    RTTd    Loss    Status    Description    
      WAN_GWv4 (active)    WAN    IPv4    240 (upstream)    130.1.1.1    130.1.1.1    0.3 ms    0.0 ms    0.0 %    Online
   Interface WAN Gateway    
      WAN_DHCP6 (active)    WAN    IPv6    254          ~    ~    ~    Online
   Interface WAN_DHCP6 Gateway

The dashboard shows under services two dpinger instances:

dpinger    Gateway Monitor (WAN_GWv4)    
dpinger    Gateway Monitor (WAN_GWv4)

Has anybody a clue why?

I have a nearly identical box showing only one dpinger instance.

Thank's for any help to understand.

Nach einem update sehe ich im general log fehler, bei denen ich nicht weiss wo die Ursache liegt, und wie ich diese abstellen kann. Sind das überhaupt alles errors? Vor der OPNSense ist eine FritzBox im Bridge-Modus, ISP ist Vodafone mit einer statischen IP. In einer anderen Installation wurde durch ein Vodafone-Update die Konfiguration zerschossen. Die Konfiguration der Fritzbox kann ich erst am Freitag kontrollieren.

Ein Ausschnitt dazu:

2022-07-13T09:16:51   Error   opnsense   /interfaces.php: warning: ignoring missing default tunable request: net.inet.ip.fastforwarding   
2022-07-13T09:16:51   Error   opnsense   /interfaces.php: warning: ignoring missing default tunable request: debug.pfftpproxy   
2022-07-13T09:16:50   Error   opnsense   /interfaces.php: The WAN_DHCP6 monitor address is empty, skipping.   
2022-07-13T09:16:50   Error   opnsense   /interfaces.php: ROUTING: skipping IPv6 default route   
2022-07-13T09:16:50   Error   opnsense   /interfaces.php: ROUTING: IPv6 default gateway set to wan   
2022-07-13T09:16:50   Error   opnsense   /interfaces.php: ROUTING: keeping current default gateway 'x.x.x.x'   
2022-07-13T09:16:50   Error   opnsense   /interfaces.php: ROUTING: setting IPv4 default route to x.x.x.x   
2022-07-13T09:16:50   Error   opnsense   /interfaces.php: ROUTING: IPv4 default gateway set to wan   
2022-07-13T09:16:50   Error   opnsense   /interfaces.php: ROUTING: entering configure using defaults   
2022-07-13T09:16:48   Error   opnsense   /interfaces.php: warning: ignoring missing default tunable request: net.inet.ip.fastforwarding   
2022-07-13T09:16:48   Error   opnsense   /interfaces.php: warning: ignoring missing default tunable request: debug.pfftpproxy   
2022-07-13T09:16:48   Error   opnsense   /interfaces.php: ROUTING: skipping IPv6 default route   
2022-07-13T09:16:48   Error   opnsense   /interfaces.php: ROUTING: IPv6 default gateway set to wan   
2022-07-13T09:16:48   Error   opnsense   /interfaces.php: ROUTING: creating /tmp/re1_defaultgw using 'x.x.x.x'   
2022-07-13T09:16:48   Error   opnsense   /interfaces.php: ROUTING: removing /tmp/re1_defaultgw   
2022-07-13T09:16:48   Error   opnsense   /interfaces.php: ROUTING: setting IPv4 default route to x.x.x.x   
2022-07-13T09:16:48   Error   opnsense   /interfaces.php: ROUTING: IPv4 default gateway set to wan   
2022-07-13T09:16:48   Error   opnsense   /interfaces.php: ROUTING: entering configure using 'wan'   
2022-07-13T09:16:47   Error   opnsense   /interfaces.php: Accept router advertisements on interface re1   
2022-07-13T09:12:58   Error   opnsense   /system_gateways.php: ROUTING: keeping current default gateway 'x.x.x.x'

Auf einer opnsense unter 21.7.8 die nahezu identisch konfiguriert ist, tauchen diese Fehler nicht auf.

Wer kann mir hier weiter helfen? Vielen Dank vorab.

stefan

OPNsense 18.1.10-amd64
FreeBSD11.1-Release-p11
OpenSSL 1.0.2o 27 Mar 2018

Nach einem Update auf 18.1.11 startet squid nicht mehr. Eine Version zurück auf 18.1.10 und squid 3.5.27_3 bringt leider keinen Erfolg. Alle anderen Updates von 18.1.10 auf 18.1.11 habe ich belassen.

Im Log des WebProxy steht u.a.:

Pagefaults with physical i/o:0
Fatal: Unable to open HTTP Socket

Vor dem Update lief alles problemlos.

Für eine schnelle Hilfe wäre ich dankbar. Im Zweifel würde ich gerne komplett alle Pakete auf 18.1.10 downgraden. Leider kenne ich nicht den Befehl dazu.

Grüsse,
Stefan

Hello,

OPNsense is running as OPNsense 18.1.9-amd64, FreeBSD 11.1-RELEASE-p10, OpenSSL 1.0.2o 27 Mar 2018.

Services: Web Proxy: Administration Whitelist: besides some other domains: "my-hammer.de", which was the last I added.

From the log:
1529845065.736 0    xxx TCP_DENIED/403 4095 GET http://www.my-hammer.de/favicon.ico - HIER_NONE/- text/html
1529845065.715 0    xxx TCP_DENIED/403 4021 GET http://www.my-hammer.de/favicon.ico - HIER_NONE/- text/html
1529845065.681 0    xxx TCP_DENIED/403 4141 GET http://localhost:3128/squid-internal-static/icons/SN.png - HIER_NONE/- text/html
1529845065.647 0    xxx TCP_DENIED/403 4100 GET http://www.my-hammer.de/ - HIER_NONE/- text/html

The client is not able to access the domain. The previous whitelisted domains are accessable.

Anybody with an idea?

regards,
stefan

Is there a way to deactivate a rule from the console/CLI?

Thank's for any help.

stefan

Kann man von der Konsole / CLI eine Regel deaktivieren? Wenn ja, wie?

Vielen Dank für jede Hilfe.

stefan

I need to set up a VPN server/client with TCP proto on port 443.

Could anybody advise/help with a sample configuration and the corresponding FW rules? I can't get a connect. My VPN with UDP on port 1194 works flawless.

Thank's in advance.

regards,
stefan

Hallo,

ich hoffe, dass ich bei meiner Suche im Forum die Antwort auf meine Frage nicht übersehen habe.

OPNsense läuft auf OPNsense 18.1.9-amd64. NAT und Webproxy sind aktiviert, das VPN auf Port 1194 läuft ohne Störungen.

Für die nächste Zeit bin ich gezwungen einen Surfstick für die Internet-Verbindung zu nutzen. Der 1&1 Stick baut eine HSDPA-Verbindung auf. Dabei habe ich jedoch festgestellt, dass eine VPN-Verbindung von den Clients über UDP 1194 nicht möglich ist. Da keine Fehler im LOG erkennbar sind nehme ich an, dass der Provider den Port blockt.

Ich habe daraufhin mit dem VPN-Wizard einen 2. VPN-Server erstellt, als Protokoll diesmal TCP auf Port 443. Eine Verbindung wird aufgebaut, jedoch durch eine Standard-Deny Regel geblockt.

Was mache ich falsch bzw. was habe ich übersehen?

Vielen Dank für jede Hilfe.

stefan

Nach einem etwas holperigen Update von 16.7 auf 17.7,12 freezed die Firewall nach ca. 5-7 Tagen Betrieb. Nur ein Hardreset hilft weiter.

Wie kann man die Ursache am Besten heraus finden?

Software:
Versions    OPNsense 17.7.12_1-amd64
FreeBSD 11.0-RELEASE-p17
OpenSSL 1.0.2n 7 Dec 2017

Plugins:
os-arp-scan
os-dyndns
os-smart
os-wol

Hardware:
grep -i cpu /var/run/dmesg.boot
CPU: Intel(R) Pentium(R) CPU  J2900  @ 2.41GHz (2416.73-MHz K8-class CPU)
FreeBSD/SMP: Multiprocessor System Detected: 4 CPUs
cpu0: <ACPI CPU> on acpi0
cpu1: <ACPI CPU> on acpi0
cpu2: <ACPI CPU> on acpi0
cpu3: <ACPI CPU> on acpi0
est0: <Enhanced SpeedStep Frequency Control> on cpu0
est1: <Enhanced SpeedStep Frequency Control> on cpu1
est2: <Enhanced SpeedStep Frequency Control> on cpu2
est3: <Enhanced SpeedStep Frequency Control> on cpu3
SMP: AP CPU #2 Launched!
SMP: AP CPU #1 Launched!
SMP: AP CPU #3 Launched!

uname -mp
amd64 amd64

grep -i mem /var/run/dmesg.boot
real memory  = 4294967296 (4096 MB)
avail memory = 3959488512 (3776 MB)
hpet0: <High Precision Event Timer> iomem 0xfed00000-0xfed003ff irq 8 on acpi0
vgapci0: <VGA-compatible display> port 0xf080-0xf087 mem 0xb0000000-0xb03fffff,0xa0000000-0xafffffff irq 16 at device 2.0 on pci0
ahci0: <AHCI SATA controller> port 0xf070-0xf077,0xf060-0xf063,0xf050-0xf057,0xf040-0xf043,0xf020-0xf03f mem 0xb0816000-0xb08167ff irq 19 at device 19.0 on pci0
xhci0: <Intel BayTrail USB 3.0 controller> mem 0xb0800000-0xb080ffff irq 20 at device 20.0 on pci0
hdac0: <Intel BayTrail HDA Controller> mem 0xb0810000-0xb0813fff irq 22 at device 27.0 on pci0
re0: <Realtek PCIe GBE Family Controller> port 0xe000-0xe0ff mem 0xb0704000-0xb0704fff,0xb0700000-0xb0703fff irq 16 at device 0.0 on pci1
re0: Using Memory Mapping!
re1: <Realtek PCIe GBE Family Controller> port 0xd000-0xd0ff mem 0xb0604000-0xb0604fff,0xb0600000-0xb0603fff irq 19 at device 0.0 on pci2
re1: Using Memory Mapping!
vga0: <Generic ISA VGA> at port 0x3c0-0x3df iomem 0xa0000-0xbffff on isa0

pciconf -lv
hostb0@pci0:0:0:0:      class=0x060000 card=0x368d17aa chip=0x0f008086 rev=0x0e                    hdr=0x00
    vendor     = 'Intel Corporation'
    device     = 'Atom Processor Z36xxx/Z37xxx Series SoC Transaction Register'
    class      = bridge
    subclass   = HOST-PCI
vgapci0@pci0:0:2:0:     class=0x030000 card=0x368d17aa chip=0x0f318086 rev=0x0e                    hdr=0x00
    vendor     = 'Intel Corporation'
    device     = 'Atom Processor Z36xxx/Z37xxx Series Graphics & Display'
    class      = display
    subclass   = VGA
ahci0@pci0:0:19:0:      class=0x010601 card=0x368d17aa chip=0x0f238086 rev=0x0e                    hdr=0x00
    vendor     = 'Intel Corporation'
    device     = 'Atom Processor E3800 Series SATA AHCI Controller'
    class      = mass storage
    subclass   = SATA
xhci0@pci0:0:20:0:      class=0x0c0330 card=0x368d17aa chip=0x0f358086 rev=0x0e                    hdr=0x00
    vendor     = 'Intel Corporation'
    device     = 'Atom Processor Z36xxx/Z37xxx, Celeron N2000 Series USB xHCI'
    class      = serial bus
    subclass   = USB
none0@pci0:0:26:0:      class=0x108000 card=0x368d17aa chip=0x0f188086 rev=0x0e                    hdr=0x00
    vendor     = 'Intel Corporation'
    device     = 'Atom Processor Z36xxx/Z37xxx Series Trusted Execution Engine'
    class      = encrypt/decrypt
hdac0@pci0:0:27:0:      class=0x040300 card=0x368d17aa chip=0x0f048086 rev=0x0e                    hdr=0x00
    vendor     = 'Intel Corporation'
    device     = 'Atom Processor Z36xxx/Z37xxx Series High Definition Audio Cont                   roller'
    class      = multimedia
    subclass   = HDA
pcib1@pci0:0:28:0:      class=0x060400 card=0x368d17aa chip=0x0f488086 rev=0x0e                    hdr=0x01
    vendor     = 'Intel Corporation'
    device     = 'Atom Processor E3800 Series PCI Express Root Port 1'
    class      = bridge
    subclass   = PCI-PCI
pcib2@pci0:0:28:3:      class=0x060400 card=0x368d17aa chip=0x0f4e8086 rev=0x0e                    hdr=0x01
    vendor     = 'Intel Corporation'
    device     = 'Atom Processor E3800 Series PCI Express Root Port 4'
    class      = bridge
    subclass   = PCI-PCI
isab0@pci0:0:31:0:      class=0x060100 card=0x368d17aa chip=0x0f1c8086 rev=0x0e                    hdr=0x00
    vendor     = 'Intel Corporation'
    device     = 'Atom Processor Z36xxx/Z37xxx Series Power Control Unit'
    class      = bridge
    subclass   = PCI-ISA
none1@pci0:0:31:3:      class=0x0c0500 card=0x368d17aa chip=0x0f128086 rev=0x0e                    hdr=0x00
    vendor     = 'Intel Corporation'
    device     = 'Atom Processor E3800 Series SMBus Controller'
    class      = serial bus
    subclass   = SMBus
re0@pci0:1:0:0: class=0x020000 card=0x34687470 chip=0x816810ec rev=0x06 hdr=0x00
    vendor     = 'Realtek Semiconductor Co., Ltd.'
    device     = 'RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller'
    class      = network
    subclass   = ethernet
re1@pci0:2:0:0: class=0x020000 card=0x34687470 chip=0x816810ec rev=0x06 hdr=0x00
    vendor     = 'Realtek Semiconductor Co., Ltd.'
    device     = 'RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller'
    class      = network
    subclass   = ethernet

usbconfig list
ugen0.1: <XHCI root HUB 0x8086> at usbus0, cfg=0 md=HOST spd=SUPER (5.0Gbps) pwr=SAVE (0mA)
ugen0.2: <USB2.0 Hub vendor 0x05e3> at usbus0, cfg=0 md=HOST spd=HIGH (480Mbps) pwr=SAVE (100mA)
ugen0.3: <USB 2.0 Hub vendor 0x1a40> at usbus0, cfg=0 md=HOST spd=HIGH (480Mbps) pwr=SAVE (100mA)
ugen0.4: <Lenovo USB Keyboard Lite-On Technology Corp.> at usbus0, cfg=0 md=HOST spd=LOW (1.5Mbps) pwr=ON (100mA)
ugen0.5: <Microsoft USB Wireless Mouse Microsoft> at usbus0, cfg=0 md=HOST spd=LOW (1.5Mbps) pwr=ON (50mA)

OpenVPN ist eingerichtet, ansonsten "normale" Firewall-Regeln. Dieser Freeze-Effekt trat bei der 16.7 Version niemals auf.

(Beide) Crash-Reports habe ich gesendet.

Vielen Dank für jede Hilfe.
stefan

Guten Abend,

ich habe remote über einen openvpn tunnel eine fehlerfrei laufende opnsense 16.7 versucht auf 17.1 upzudaten. Da ich nicht vor Ort bin kann ich nicht sehen, wo die Maschine steht. Angebunden ist der Tunnel über dydndns.

Ein ping auf den Hostnamen und auf die IP funktionieren. Jedoch wird der openvpn-Tunnel nicht mehr aufgebaut.

Der Standort hat eine sehr langsame Internetverbindung. Deshalb meine Frage woher bekomme ich ein amd64 Image der 17.1 Version, bzw. wie kann ich das Update zu Ende bringen. Geht das in einem undefinierten Zustand überhaupt mit einer(m) CD/USB-Stick? Oder besser gleich eine vollständige Neuinstallation auf OPNsense 17.7.12_1-amd64. Nach Möglichkeit nicht über die Internetverbindung.

Vielen Dank für jede Hilfe.
stefan

[Wenn ich die Port forward Regel redirect traffic to proxy ausschalte]

Guten Abend,

ich habe hier ein Verständnisproblem mit let's encrypt auf einem SME server hinter einer OPNsense 16.7.14_2-amd64, up-to-date.

Let's encrypt benötigt lt. Beschreibung einen offenen Port 80 und 443 (Alias letsencrypt). Server hat den Alias Saturn. Also:

1. Port Forward:
WAN    TCP    *    *    WAN address    letsencrypt     saturn      letsencrypt     
2. LAN
IPv4 TCP    saturn     *    *    letsencrypt     *       letsencrypt
3. WAN
IPv4 TCP    *    *    saturn    letsencrypt     *       NAT

Web proxy läuft auf http transparent (https nicht konfiguriert), alle anderen Regeln funktionieren, Server ist whitelisted (unrestricted)

Wenn ich nun auf dem Server dehydrated aufrufe, dann erhalte ich vom Proxy (trotz whitelisted des Servers) folgende Meldung:

+ ERROR: An error occurred while sending get-request to http://cert.stg-int-x1.letsencrypt.org/ (Status 400)

Details:
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
<html><head>
<meta type="copyright" content="Copyright (C) 1996-2016 The Squid Software Foundation and contributors">
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>ERROR: The requested URL could not be retrieved</title>

Weshalb wird über den get-request die adresse nicht aufgelöst?

Wenn ich die Port forward Regel redirect traffic to proxy ausschalte, dann funktioniert es.
LAN    TCP    servers    *    *    80 (HTTP)    192.168.42.1    3128    redirect traffic to proxy

Was mache ich falsch? Falls zusätzliche Informationen benötigt werden, jederzeit gerne.

Vielen Dank für jede Hilfe.
stefan

Kann es sein, dass das Tutorial Setup SSL VPN Roadwarrior https://docs.opnsense.org/manual/how-tos/sslvpn_client.html einen Fehler hat?

Im Step 2 ist bei den Firewall-Rules im OpenVPN-Interface als Source ein IP-Bereich (192.168.2.0/24) eingetragen, der nicht dem im Beispiel definierten Tunnel 10.10.0.0/24 entspricht.

Oder habe ich ein Verständnisproblem?

Danke für jede Rückinfo.

stefan

Guten Tag,

aus den Logs der Firewall entnehme ich, dass diese eine Verbindung zu der IP 134.119.233.73 aufbaut, und umgekehrt.

Kennt jemand diese IP bzw. durch was kann diese Verbindung initiiert werden? Die FW läuft mit IDS surricata und shalla blacklist.

Vielen Dank für jede Rückantwort.
stefan