Topics

Hi Zusammen,

wenn ich das richtig verstanden habe, kann ich auf meine OPNSense direkt den UniFi Controller installieren (als Plugin?).

Doch es gab ja Umstellungen bei UniFi und MongoDB.

In meinem Proxmox kann ich nicht den aktuellen Controller mit der aktuellen DB mehr betreiben. Hier ist diese Meldung:
For non-AVX CPUs, MongoDB 4.4 is installed. Please note this is a legacy solution that may present security risks and could become unsupported in future updates.

Das dürfte dann auch bei OPNSense der Fall sein, oder?

Hi Zusammen,

habe mich die Tage mal wieder an ein OPNsense setup gewagt. Soweit ist da alles super, jedoch habe ich Probleme mit Pakerverlust/Spikes (zumindest im Health Report).

Was genau kann das sein, und wie/was kann man da tun?

Aktuell hängt die OPNsense (Intel NICs mit einem 5105 Prozessor) hinter einem UniFi Router. Der Router selbst hat zu den Zeiten keinen Paketverlust. Während die Verluste kommen habe ich auch nicht wirklich Traffic auf der Leitung (Geräte dahinter nahezu Idle).

Eingestellt ist 1.1.1.1 als Health Check (andere IPs bringen auch keine Besserung).

Code Select Expand

Probe Interval = 1
Time Period = 60
Loss Interval = 4
Data length = 0

Wo kann man noch nachschauen, woran das evtl. liegt?

Hi,

kann OPNsense mittlerweile Secureboot, oder muss man das noch ausstellen? Was sollte man im BIOS noch alles einstellen, damit es mit OPNsense richtig läuft?

Hi Zusammen,

bei dem kommenden Anschluss wird es für uns dann Dual Stack der Telekom geben und ich überlege, was hier dann die richtigen Settings (außer natürlich PPPoe Daten und VLAN7) sein werden, damit die OPNsense auch richtig IPv4 und IPv6 macht.

Könnt Ihr mir helfen oder evtl. auf etwas verlinken, wo es richtig beschrieben ist/steht?

Danke und Grüße

Hi Zusammen,

ich habe folgendes Setup bzw. vor.

1 x OPNsense Rechner mit 4 Netzwerkkarten
- IGC0 = WAN
- IGC1 = LAN (mit div. VLANs)
- IGC2 = unbenutzt
- IGC3 = unbenutzt

Auf IGC1 ist das "native" LAN dann auch mein Management VLAN für alle Switchtes, APs usw. (weitere VLANs laufen dann natürlich auch über das Interface)

Jetzt habe ich einen Proxmox-Rechner, den ich gerne direkt an eines der ungenutzten Interfaces an meinem OPNsense Router anschließen mag (da die Ports und der Proxmox 2,5GBit/s hat).

Doch wie bekomme ich jetzt den Proxmox Rechner dazu, dass er ebenfalls im "nativen LAN" ist, was ich auch an IGC1 anliegen habe?
Auf dem Proxmox soll der UniFi-Controller und noch ein paar andere Sachen laufen.

Geht das überhaupt? Freue mich auf Mithilfe.

Danke und viele Grüße

Hi,

during install of 23.1 I can choose to select "Harden DNSSEC Data". If I do so and install is complete,  "Harden DNSSEC Data" is NOT checked within Unbound Settings.

Looks like something is broken within the installer.

Maybe you can check it. Tried it on three different setups.

EDIT:
Solved with the answer from Franco. Thanks.

Hi,

would be nice if you could check, if the whitelisting feature is broken?

For me if I whitelist some domain within unbound reporting tool nothing happens and the domain is not whitelisted within Services > Unbound DNS > Blocklist > Whitelist Domains

In an earlier version it was working without any issues.

Hi,

with todays update it looks like something strange happened to unbound (and it's reporting tool).

Reporting stopped working. And getting a lot of errors within ounbound log:
[35098:1] error: recvfrom 40 failed: Protocol not available
...
[71101:0] error: remote control failed ssl crypto error:00000000:lib(0):func(0):reason(0)   
...

Looks like something is broken.

Restarted OPNsense and tried everything - but doesn't work.

EDIT: Issue solved!

Code Select Expand

opnsense-patch -a kulikov-a 404b9d5

Hi Zusammen,

mal eine theoretische Frage an Euch.

Wenn man einen IPv6 Anschluss hat und die OPNsense samt lokalem Unbound DNS Resolving nutzt welches auf die auth. Resolver direkt zugreift, leakt man dann nicht einen Teil seiner Daten?

Bei div. Testseiten sieht man ja auch schon, dass man quasi seinen eigenen DNS Resolver nutzt mittels seiner (meist dynamischen IPv4) und seiner IPv6. Beim vorderen Part der IPv6 ist das ja meist dynamisch - der hintere Part ist aber dann der Teil der Mac ID des Unbound bzw. letztendlich der hintere Part der gesamten IPv6 - und die ist ja immer gleich.

Kann das auf Websites dann nicht für Tracking genutzt werden?
IPv4 ändert sich ja oft komplett, die IPv6 des eigenen DNS dann ja aber nicht wirklich.

Ich hoffe, das war halbwegs verständlich was ich geschrieben habe?!

Hi Zusammen,

ich habe heute bei mir (Vodafone Kabel Anschluss) einmal WAN IPv6 auf DHCP gestellt und dann nur eine FE80 Adresse auf dem WAN Interface bekommen.

Wenn ich aber dann im jeweiligen LAN auf Track Interface stelle, dann bekomme ich eine IPv6 Adresse und komme damit auch ins Netz über IPv6 (Regeln sind gesetzt).

Die Frage ist nur, warum zeigt er mir dann am WAN Interface nur eine FE80 Adresse an und klappen tut es trotzdem?

[Ist das normal, dass die VLANs Home & IoT dann summiert über das LAN Netz den Traffic rausschieben?]

Hi Zusammen,

ich habe eine Frage, ob das so richtig ist, wie ich bei mir die OPNsense jetzt konfiguriert habe.

Ich habe an meiner OPNsense folgende Ausgangssituation:
- WAN über eth0
- LAN über eth1 (die VLANs Home und IoT-Net gehen über den Port eth1 via Switch raus)
- LAN selbst ist kein Gerät mehr drin > sozusagen das Management VLAN (das Netz der OPNsense)
- TestNet hängt separat an eth3 (und spielt hierbei keine Rolle)

Ist das normal, dass die VLANs Home & IoT dann summiert über das LAN Netz den Traffic rausschieben?


Das LAN Netz ist ja das Standard LAN was nach einer OPNsense Installation neben dem WAN vorhanden ist.
Hier laufen bei mir jetzt nur noch die Switches und Access Points drüber.
Den Rest habe ich wie geschrieben auf die VLANs ausgelagert.

Ist das vorgehen so richtig, oder habe ich an einer Stelle was falsch gemacht?

Weiter steigt der Counter ErrorsOut auch nach einer gewissen Zeit. Wo genau kann ich denn schauen was das ist und woran es liegt.

Hi,

since the 23.1 update my Logs under Boot > Log Files > System aren't working as they should.

It's only the "Boot" category - others are working as they should.

Within Boot severity column is empty and when I want to change the categories (Warning, Notice, Debug, Error,...) nothing happens.

Can anyone confirm this issue?

Hi,

when installing 23.1 via installer at the end of the process it asks if I want to change default password. If I enter a new one twice the installer stops doing anything only that blueish screen. Have to press CTRL+c to get back to the installer session. Trying again will be the same issue.
Only reboot and changing Password via command line or installer wizard within GUI does work.

Hi,

within my general log files within system I do get those message:

Code Select Expand

Notice flowd_aggregate.py vacuum done
Notice flowd_aggregate.py vacuum interface_086400.sqlite
Notice flowd_aggregate.py vacuum interface_003600.sqlite
Notice flowd_aggregate.py vacuum interface_000300.sqlite
Notice flowd_aggregate.py vacuum interface_000030.sqlite
Notice flowd_aggregate.py vacuum dst_port_086400.sqlite
Notice flowd_aggregate.py vacuum dst_port_003600.sqlite
Notice flowd_aggregate.py vacuum dst_port_000300.sqlite
Notice flowd_aggregate.py vacuum src_addr_086400.sqlite


What are those kind of messages and why do they appear? Something going wrong?

Hi,

nachdem ich nach langem testen und vorbereiten nun den Switch gemacht habe von UniFi zu OPNsense und diese direkt an meine Vodafone Station (Bridge Mode) angeklemmt habe, merke ich auf einmal, dass bei mir auch IPv6 läuft!

An sich sehr gut - doch bin ich gerade damit ein wenig "überrannt" worden und weiß nicht genau, was ich jetzt tun muss, damit ich es absichere bzw. auch gescheit einstelle.

Im Grunde habe ich nichts gemacht, außer dass es wirklich direkt läuft.

Ist da irgendwas schief gelaufen oder ist das richtig so?

Dachte, dass die Vodafone Station im Bridge Mode nur IPv4 kann?

Und was muss man genau alles einstellen, damit es gut und sicher läuft?

Hi Zusammen,

nachdem ich Tage jetzt hier diverse Wege versucht habe und es irgendwie immer noch nicht hinbekomme (jeder hat da andere Vorgehensweisen usw.) wollte ich einmal fragen, ob es nicht möglich ist "eine" richtige Anleitung zu bekommen (evtl. kennt ja jemand eine "richtige" Quelle) wie es gehen müsse.

Es ist super, dass es solche Plugins gibt - aber so richtig eine gescheite Anleitung gerade hierfür zu finden ist nahezu unmöglich.
Ein Großteil der Anleitungen nutzt dann einen DoT Nameserver von Cloudflare, Google oder sonst was....

Ich mag es einfach und direkt via Unbound haben, der seine Anfragen auch schön dezentral und direkt stellt. Ist ja auch in der OPNsense entsprechend schön integriert.

Was will ich:
- die OPNsense soll Unbound nutzen (kein anderer Nameserver > sondern das direkt selbst machen)
- AdGuard Home soll direkt auf der OPNsense laufen und Upstream ist eben der Unbound der OPNsense
- die Clients sollen entspr. DNS über AdGuard Home bekommen
- die Clients sollen via NAT Port Forward gezwungen werden den AdGuard Home und Unbound zu nutzen
- im AdGuard Home sollen die Hostnamen aufgelöst angezeigt werden

Wie genau geht das?

Hi,

nachdem mein Setup mit AdGuard Home jetzt erstmal läuft stelle ich aber fest, dass AdGuard mit Anfragen überflutet wird, wenn ich bei mir auf der OPNsense die Logs der Firewall > Log Files > Live View anschaue.

Da gehen jede 1-2 Sekunden an Anfragen auf AdGuard drauf.

Client: localhost 127.0.0.1
Request: IPXYZ.in-addr.arpa
Response: Processed NO ERROR (PTR)

Was kann das sein?

Hi Zusammen,

ich bekomme einfach eine Sache nicht hin.

Habe mein LAN, 2 VLAN und ein Gerät direkt auf einem Port an der OPNsense (eth3)
- LAN
- VLAN10
- VLAN20
- Notebook an Interface eth3 (Interface wurde erstellt mit DHCP Server etc.)

Ich würde jetzt gerne es so machen, dass ich für LAN, VLAN10/20 den Unbound nutzen mag und für ein Notebook an eth3 eben einen öffentlichen DNS Server (bsp. 1.1.1.1) nutzen mag.

Wie genau stelle ich das denn ein?

In den Haupteinstellungen  > General habe ich 9.9.9.9 eingetragen (DNS für die Firewall selbst)

Unbound ist aktiviert und ich habe auch eine Regel, die entsprechend im NAT > Portforward sitzt (für jedes VLAN natürlich eine Regel) Damit keine Hardcoded DNS request so raus gehen, sondern alles über den Unbound läuft

• Interface: LAN
• Protocol: TCP/UDP
• Destination / Invert: Checked
• Destination: LAN address
• Destination Port: DNS
• Redirect target IP: 127.0.0.1
• Redirect target port: DNS
• NAT reflection: Disable

In jedem VLAN habe ich natürlich dann noch die Regel drin
IPv4 > TCP/UDP > Any/Any > Destination 127.0.0.1 Port 53 (DNS)

Doch wie bekomme ich es hin, dass eben bei dem Interface wo das Notebook dran hängt, der auch den o.a. DNS Server nutzt und nicht meinen Unbound?

Habe schon einiges probiert (im DHCP vom Notebook Interface DNS eingetragen, Unbound settings angepasst usw.).

Bekomme es aber einfach nicht hin.

Hoffe, dass das etwas verständlich war, was ich hier geschrieben habe und freue mich auf Mithilfe und Tipps.

Hi Zusammen,

ich habe eine Frage wie das mit der Umsetzung einer bestimmten Sache ausschaut, wo ich einfach nicht weiterkomme.
Bei meinem Umzug von einem UniFi System auf eine OPNsense habe ich ein Problem, welches ich nicht gelöst bekomme.

Bisher war es so:
- WAN > UniFi UDM SE
- NanoPi (Freifunk Offloader mit WAN/LAN Ports) an einem LAN der UniFi UDM > so bekommt er sein WAN/Internet
- NanoPi LAN Port geht dann in die UniFi UDM an einen Switch-Port als ein VLAN only Netz (heißt dort 3rd party Gateway)
- dann habe ich dort das direkte Netz des "Offloaders" anliegen > das kann ich jetzt durch das VLAN dann an weitere Switch-Ports legen oder auf einen AP via SSID legen

Genau das mag ich jetzt mit der OPNsense umsetzen.
Jedoch scheitere ich dabei am grundsätzlichen Vorgehen.

Wenn ich ein VLAN in der OPNsense mache, dann mache ich danach ja auch ein Interface und entspr. DHCP usw.
Aber genau das will/brauch ich ja nicht, bzw. so soll es dann ja auch nicht sein.

Der NanoPi routet ja nicht und ist somit eigentlich ja auch kein Gateway. Das was er macht, ist das das Freifunk-Netz sozusagen bridgen und mir ein direktes Client-Netz zur Verfügung stellt.

Da ich das Netz eben gerne auf gewisse Switch-Ports packen möchte und entspr. auch über ein VLAN dann auf eine SSID für meine APs ist die Frage, wie man das genau umsetzt?

Ich hoffe, das war so gut genug erklärt, damit man damit was anfangen kann?

Freue mich auf Hilfe.

Danke.

Hi,

ich habe bei mir unter Firewall > Aliases zwei neue Aliase gefunden, diese jedoch nicht erstellt und auch keine Ahnung, wo die auf einmal herkommen.

Kann da jemand helfen und mir sagen, was genau das ist?