Topics

Hi all, once again, in 2025, any progress about suricata in IPS mode on pppoe interface is working?

is it still not working?
are there any plans to resolve this long-standing issue?

Best Regards

[is any one able to use 2 consoles/games same time and got an open NAT?]

Dear All

i investigated the issue (again) when you use more then 1 device/console/computer for gaming and try to get an open NAT. i read and do testing around 10 hours, but now im done and back here to ask if something changed bc the messages i read in other forums (pfsense, github..etc) are from 2 years+ ago.

Is the 2 computer/consoles/games issue with open NAT still present in 2024?



i have 2 consoles.

Szenario 1 = 1 console used
if i set up strict outbound NAT, 1 console has open NAT. OK

szenario 2 = 2 consoles used
if i try to use 2 consoles its not working with strict outbound NAT. so i try to use upnp (miniupnpd).
But im not able to get open NAT on the consoles. More then that, i think upnp is not wirking at all, bc i do not see any session in the status tab. also checked config file, route logs etc but its all the same und unclear (regarding to those thousned peoples they did similiar testing)

i know all this setup instruction with strict NAT, UPNP configuration and using NAT reflection etc, but again:

is any one able to use 2 consoles/games same time and got an open NAT?

Best Regards

Edit: installed an UPNP test tool on my pc (same network as the console) setup propper rules in UPNP-plugin on opnsense. result: the tool is not able to open port, also it does not recognize that there is UPNP service on OPNsense. the tool looks like it works, bc it was able to find other devices who seem to use upnp.

Edit2:
2024-05-30T12:12:13   Warning   miniupnpd   Port forwarding is now disabled
2024-05-30T12:12:12   Warning   miniupnpd   Check configuration of firewall on local machine and also on upstream router   
2024-05-30T12:12:12   Warning   miniupnpd   STUN: ext interface pppoe0 has now public IP address x.x.x.x but firewall filters incoming connections set by miniunnpd
i do not have manual created wan rules in place. so what try miniupnpd try to say to me?

hi there

befor everthing was working fine.
i had an fiber wan connection which was DHCP.
Suricata was configured to look at the WAN interface and it was working, i got some alerts during the week.

bc of relocating, the ISP only offers fiber with pppoe in this area.
i reconfigured the wan (create vlan11 interface, create pppoe device with credentials, assigned pppoe interface as WAN)
opnsense got an public IP and internet working as well. this "happens" around 6 month ago.
Till then, i never got an suricata alert. so i was wondering if suricata is working properly. i tested it with eicar and nothing happend, so i dont get any alert since 6month and my testing triggered also no alert.

I then switched Promiscuous mode off after about 4 months, no change. After 2 months more still no alerts.
I suspect that Suricata cannot access the WAN interface. i think it has problems with the constellation interface->vlan->pppoe->WAN

Any idea what the problem could be, how I can troubleshoot and fix it?

what i did:
restart service
reboot
test with eicar, NOK
check ruleset (every drop/alert rules are enabled)
tested it with http://testmynids.org/uid/index.html
change pattern matcher aho <->hyper


Best Regards

After upgrade it stucks at the "vlan changing name to..."
I use miniPC with intel CPU and NIC's (nrg-systems.de)

what i tested:

Running opnsense 21.1.9, upgrade to 21.7
-> Freeze on vlan config

Clean install 21.7(works) and restore with 21.1.9 backup
-> freeze on vlan config

Clean install 21.1.9, restore config 21.1.9 and upgrade to 21.7
-> freeze on vlan config

Clean install 21.1.9 and restore config 21.1.9
-> everything works fine

i also use LAGG interfaces with VLAN's

similar to this:
https://forum.opnsense.org/index.php?topic=23867.0

Thanks for Help!

Best Regards

hi there

i know os-sensei-db is not used anymore, but how do I remove it from the GUI?
(sensei works fine)

Its still there:

os-sensei-db (missing)   N/A   N/A   N/A   N/A

Where does the gui collects the packages written in the GUI?

I would like to delete it manualy, reinstall isnt possible bc the package isn't in the repo from sensei anymore.

Thank you

Best Regards
K

Good day


I want to set up a routed VPN between pfsense and opnsense. previously both endpoints were pfsense, but now I want to change one side to an opnsense. unfortunately I was not really successful.

If i do it according to this guide:
https://docs.opnsense.org/manual/how-tos/ipsec-s2s-route.html
it works, but as soon as i enable gateway monitoring, the VPN (incl. phase 2) is still UP but ping/connection is gone. Also the gateway does not come green, although I can ping the gateway before activating monitoring with the opnsense.

With the pfsense there were no problems.

Does anyone have an idea what it could be?

Task:
Setup routed VPN, VPN work = OK
ping gateway from side B with opnsense = OK
ping gateway from side B with PC = OK
setup GW monitoring with monitor IP GW Side B = fail
ping gateway from side B with opnsense = fails
ping gateway from side B with pc = fails
vpn does not work anymore!

Szenario:
Side A opnsense
routet VPN GW 1.1.1.1

Side B pfsense
routet VPN GW 2.2.2.2
Monitor side A GW = OK

If i setup the same monitoring on opnsense like pfsense but vice versa, its not working and the all communication over the VPN is gone. (the tunnel ist still up)


I have the feeling it is a bug..

Best Regards
k

Guten Tag

Ist es vorgesehen, dass nach Installation des Plugins L2TP die OPNsense L2TP over IPsec unterstützt? Oder L2TP und IPsec nur unabhängig voneinander verwendet werden können?

Es wäre super, wenn L2TP over IPsec funktionieren würde, da dann der Windows 10 native VPN Client verwendet werden kann ohne ein Zertifikat zu installieren.
Auf einer pfSense funktioniert die Verbindung Windows 10 und L2TP/IPsec. Dort ist aber auch spezifisch von einem L2TP/IPsec Dienst die rede.

Meine Tests ergeben, dass die OPNsense zwar IPsec und L2TP unterstützt, aber die Kombination von L2TP und IPsec zu L2TP over IPsec ist nicht vorgesehen.
Festgestellt habe ich dies beim pcapen der Verbindungsaufbau und anschliessendem vergleichen. Die Konfiguration wurde identisch zur pfSense erstellt.

Wenn der Windows Client zur pfSense L2TP/IPsec Verbindung aufnimmt, wird alles über ESP gesteuert.
Ich sehe keine 1701 UDP Pakete für den L2TP Server.

Wenn der Client zur OPNsense L2TP+IPsec Verbindung aufnimmt, startet der Client mit der ESP Kommunikation zum Server, der IPsec Server reicht die Daten anhand der Header-Informationen des eingepackten Pakets an den L2TP Server weiter, dieser Antwortet auch, aber sendet die Daten direkt zurück auf UDP1701 ohne diese Zuerst durch den IPsec Dienst entsprechend zu ESP enkapsulieren.

Dies zeigt mir, dass der L2TP Server nichts von einem IPsec Server wissen will und somit L2TP over IPsec auf der OPNsense nicht möglich ist.

Es würde wahrscheinlich nicht die Welt kosten, dem L2TP Server bei zu bringen, die Daten nach Verarbeitung zurück an den IPsec Dienst zu senden, damit L2TP over IPsec möglich wäre.
Da aber L2TP (als einzelne Instanz) als veraltet angeschaut wird, wird wohl nicht mehr viel in diese Richtung unternommen.

Ist meine Erkenntnis richtig?

BR

Guten Tag

Kurze Frage:

Darf die OPNsense gewerblich verkauft werden?
Ist es möglich, die Firewall als "OPNsense Firewall" im Web-Store oder im Laden anzubieten?

Gruss k

Guten Tag

Hat Jemand einen Trick wie die Rules am einfachsten enable/disable werden können?
Ich möchte eigentlich nur, alle Rules auf einmal aktivieren.


Mir ist bewusst, dass da knöpfe sind, nur funktioniert dass mehr schlecht als recht, und >65000 Rules auf 650 Seiten kontrollieren ist eine Zumutung. Geschweige davon, dass wenn eine Rule enabled wird, man wieder auf Seite 1 zurück fällt.

Auch ist es kein sporadischer Fehler noch ein Hardware, da auf allen von mir gewarteten System der Fehler vorhanden ist.


Würde mich freuen wenn es hier einen praktikablen Workaround gibt.

Gruss
LP

German!! (sorry, im wrong)

Guten Tag

Hat Jemand einen Trick wie die Rules am einfachsten enable/disable werden können?
Ich möchte eigentlich nur, alle Rules auf einmal aktivieren.


Mir ist bewusst, dass da knöpfe sind, nur funktioniert dass mehr schlecht als recht, und >65000 Rules auf 650 Seiten kontrollieren ist eine Zumutung. Geschweige davon, dass wenn eine Rule enabled wird, man wieder auf Seite 1 zurück fällt.

Auch ist es kein sporadischer Fehler noch ein Hardware, da auf allen von mir gewarteten System der Fehler vorhanden ist.


Würde mich freuen wenn es hier einen praktikablen Workaround gibt.

Gruss
LP

Hallo

Leider ist Suricata verbuggt und es können die Rules nicht einfach so aktiviert werden. Dies ist bei jeder OPNsense Installation so die ich gesehen habe, somit nicht ein sporadisches Auftreten.

Ggf. hat Jemand einen Workaround der es ermöglicht alle Rules "einfach" zu aktivieren?

Freundliche Grüsse
kinch

Hallo, guten Tag

Szenario:

3 Firewalls opnsense

Firewall 1 ist über IPsec zu Firewall 2 verbunden, nennen wir es IPsec12
Firewall 1 ist über IPsec zu Firewall 3 verbunden, nennen wir es IPsec13
Firewall 2 ist über Routing zu Firewall 3 verbunden, direkt über ein LAN-Kabel. Entsprechende Routing Einträge vorhanden.

Es funktioniert alles richtig. Ich kann egal wo her alle Netze erreichen

Aber :) ::::::::::

Wenn ich von einem Netz hinter Firewall 1 ein Netz von Firewall 3 erreichen möchte, nimmt es immer den Weg über das IPsec12/Firewall 2 und dann über das Routing zu Firewall 3.
Sobald ich das IPsec12 deaktiviere wird über IPsec13 kommuniziert.

Wie kann ich dies beeinflussen?
Können die IPsec Tunnels priorisiert werden?
Habe leider in der GUI keine Optionen gefunden für Prio der IPsec Tunnels oder entsprechende Routing Möglichkeiten.

Bin sehr dankbar für Hilfe.

Freundliche Grüsse
kinch

Guten Tag

Da ich es für ziemlich komplex halte, hier die Fakten;

Firewall 1 OPNsense:
- mit aktivem openVPN server
- zugriff via openVPN in das Netzwerk von Firewall 1 OPNsense möglich
- ist über LAN (separates Subnetz) direkt mit Firewall 2 pfSense verbunden
- Über eine statische Route werden die Netze zur Firewall 2 pfSense geroutet


Firewall 2 pfSense
- ist über LAN (separates Subnetz) direkt mit Firewall 1 OPNsense verbunden
- über eine statische Route werden die Netze zur Firewall 1 OPNsense geroutet
- über ein IPsec VPN ist diese Firewall mit der Firewall 3 pfSense verbunden

Firewall 3 pfsense
- ist über IPsec VPN mit Firewall 2 pfSense verbunden.

Es geht um den Zugriff über den openVPN Tunnel.
Ich würde gerne folgendes zum laufen bringen, dass der Client welcher sich bei der OPNsense sich per openVPN einloggt auf alle Netze zugreifen kann.
Logik:

openVPN Client -> Firewall 1 OPNsese -> routing -> Firewall 2 pfSense -> VPN IPsec -> Firewall 3 pfSense

Der Zugriff funktioniert jedoch momentan nur soweit:
openVPN Client -> Firewall 1 OPNsese -> routing -> Firewall 2 pfSense

Die Firewall Regel der beteiligten Schnittstellen sind zu Testzwecken auf any-any gestellt.
Wenn ich direkt im LAN egal an welcher Firewall bin, kann ich alle Netze bei allen Firewalls erreichen

Hat wer noch den Durchblick und möchte helfen? ;)

Gruss
und Danke

Hallo Netzwerktechniker!

Ich habe 2 pfsense side2side über IPsec verbunden (steinigt mich, aber damals kannte ich OPNsense noch nicht:))
Nun ist eine OPNsense dazugekommen welche über Routing mit den bestehenden PFsense verbunden ist.
Nun möchte ich gerne auf der OPNsense ein Site2Host einrichten. Ist dies über IPsec möglich. Ich habe ein Tutorial gelesen für Side2Mobile welches angeblich nur für IOS und Android verfügbar sein soll. Leider habe ich bei meiner Recherche nichts deutlicheres herausgefunden.

Meine Frage:

Kann ich auf der OPNsense ein site2host IPsec VPN einrichten und dies am liebsten mit dem Windows10 integrierten VPN-Client ansteuern können?

Es geht mir nicht darum, eine Anleitung zu kriegen, sondern ob es möglich ist. Der Weg zur funktionierenden Lösung werde ich schon selber irgendwie beschreiten, hoffentlich :)

Vielen Dank schon mal.

Grüsse aus der Schweiz

Hallo

Kurze Frage - längerer Sinn.

Ist "deep packet inspection" mit der opnsense möglich?

Danke und Gruss
kinch