Topics

What is the difference between "Sort order" and "Sequence" in the Rules [new]?
To me, both fields mean the same thing, i.e. how the firewall rules are currently processed one after the other.

Ich habe bisher eine legacy IPsec Verbindung, wo sich die User auf Windows-Clients für die VPN Verbindung gegen einen Radius Server authentifizieren. Dieser Radius Server ist ein MS-NPS und holt seine User-Daten aus einem Active Directory.
Radius Server, User und Firerwall kennen und nutzen eine gemeinsamme CA. Die Firerwall hat ein gültiges Server-Certifikat und nutzt in der Phase 1 EAP-Radius und Key-Exchange V2.
Der User baut unter Benutzung seines Users aus dem Active Diretory: domain\Userkennung + Passwort die VPN-Verbindung mit den in Windows Integrierten VPN-Client auf. In Phase 2 wird bei  der legacy Verbindung das ESP Protokoll genutzt.

Bei den neuen Connections wird  ESP nicht mehr unterstüzt. Meine Konfiguration habe ich nach https://docs.opnsense.org/manual/how-tos/ipsec-swanctl-rw-ikev2-eap-mschapv2.html#method-1-shared-ip-pool-for-all-roadwarriors aufgebaut und auf die Radius angepasst wo es für mich logisch war.
Zur Authentifizierung nutze ich dabe EAP-Radius und EAP-MSCHAPv2.
Der Windowsclient kann sich mit der Connections Verbindung aber nicht authentifizieren und im Log habe ich Einträge das die halboffene Verbindung beendet wird.
Im Anhang noch ein par Screenshots von meinen Einstellungen. Sieht vieleicht wer, was ich falsch gemacht habe?

I have a Error-Report in my System\General\LOG after Upgrade:
pf: loose state match: TCP out wire: 89.149.222.99:443 [Hetzner-Public-IPv4]:58895 stack: - [lo=3472334879 high=3472399238 win=514 modulator=0 wscale=7] [lo=673356095 high=673420439 win=510 modulator=0 wscale=7] 9:4 R seq=3472334879 (3472334854) ack=673356095 len=0 ackskew=0 pkts=22:19 dir=out,fwd

IPv4: 89.149.222.99 looks it is: crash.opnsense.org. So Im not sure is the Error importend or not?

Hello I have 2 WAN-Lines and so  I want to bind the openVPN-Instane to 3-IP-Addresses. But I dònt find the correct Syntax for the Box "Bind address". Can anybody help me?
Thank you

Die Meldung "unable to create socket on ipsec2 (22) for 192.168.110.1:123" erscheint im Start-Protokolle des NTP-Dienstes wenn auf der Firerwall ein
lokale VLAN Interface mit der Firerwall-Adresse 192.168.110.1 und eine IPSEC verbindung mit dem lokalen Subnet 192.168.110.0/24 vorhanden ist. Das Interfae für IPsec in den Einstellungen des NTP-Servers wurde deaktiviert. Dies wird aber beim Start nicht beachtet.
Nur wenn ich den NTP-Servic ebenfalls für das loklaen Interface der Firerwall 192.168.110.1 ausschalte, startet der NTP-Server für die restlichen Interfaces.
Hatte schon jemand das Verhalten oder eine Lösung?
Firmware ist die 24.1.4_1

In the Versions befor 25.x it was posible to crate a user-certificate for OPNVPN on System\Access\User\(UserName) Lower Area of the Dialog.
Now in the  25.1.3 it is not longer posible to create the User-certificate. Also in System\Trust\certificates I didn`t fond the right dialog.

Can somware tel me the rigt way to create a new opnvpn user (RoadWarior)? Thank you.

My VM has 1 GB of free hard disc space. According to the update description, the upgrade has 950 MB. After downloading 2 files, the unpacking process for the first file starts. The system then stops with a full hard drive.

I have some entrys like this:
2024-08-06T18:17:01   Notice   kernel   pf: state ID collision: id: 0000000066b24 creatorid: af5c9

but I didn`t find Information about to fix this error.  :(Even not fond in Google
What Opensens would like to tell me here?

Hallo zusammen,

auf der Console meiner FW sehe ich nicht das gewohnte Überscihtsmenü, sondern
pf: state ID Collision: ID: 0000000066b0e7dc creatorID: 9c2d2356
das geht hoch bis zu
pf: state ID Collision: ID: 0000000066b0e7f3 creatorID: 9c2d2356
mir fehlt hier etwas der Ansatz, was das System mir mitteilen möchte. pf bringe ich momentan nur mit "Port Filter" in Verbindung. Hat jemand soetwas schon mal gehabt oder einfach eine Idee wo ich ansetzen könnte?
Danke schon mal im Vorraus.

Ich habe das Problem das Pakete an das  SIP-Gateway des Providers bei der ersten Verbindung geblockt werden und ab ein par Sekunden später ohne Probleme durch die FW laufen. Vom Fehler habe ich einen Screenshot angehängt. Momentan fehlt mir der Ansatz, woran  es liegen könnte. Was sagt Ihr dazu?

Mit der Version 23.7 können keine neuen Gruppen unter Firerwall\Groups mehr angelegt werden.
Mit der Version 237.1 ist dies wieder möglich, allerdings benötigt die FW einen Restart damit die Gruppen angezeigt werden. Dann sind diese Gruppen aber auch unter Interfaces zu finden. Wenn nur ein Interface in  die Firerwall-Gruppe eingetragen ist, so ist die unter Interface als Gruppe / eingetragenes Interface gelistet. Sobald in der Firerwall-Gruppe ein zweites Interface eingetragen wird ist diese zuletzt beschreibene Anzeige verschwunden. Es ist nur noch die Firerwall-Gruppe unter Interfaces zu sehen.

We install our Opensens from a standard image.
If I reebot the system over Power / Reboot, the WEB-Interface dos not start.
I can connect the opnsense wit putty and run in the shell: configctl webgui restart.

If I look in the WEB-GUI-Log it reports:
2023-05-02T18:00:57   Error   lighttpd   (/usr/obj/usr/ports/www/lighttpd/work/lighttpd-1.4.69/src/server.c.1057) [note] graceful shutdown started   
2023-05-02T17:56:46   Error   lighttpd   (/usr/obj/usr/ports/www/lighttpd/work/lighttpd-1.4.69/src/gw_backend.c.351) gw-server re-enabled: unix:/tmp/php-fastcgi.socket-0 0 /tmp/php-fastcgi.socket   
2023-05-02T17:56:46   Error   lighttpd   (/usr/obj/usr/ports/www/lighttpd/work/lighttpd-1.4.69/src/gw_backend.c.351) gw-server re-enabled: unix:/tmp/php-fastcgi.socket-1 0 /tmp/php-fastcgi.socket   
2023-05-02T17:56:42   Error   lighttpd   (/usr/obj/usr/ports/www/lighttpd/work/lighttpd-1.4.69/src/gw_backend.c.960) all handlers for /index.php? on .php are down.   
2023-05-02T17:56:42   Error   lighttpd   (/usr/obj/usr/ports/www/lighttpd/work/lighttpd-1.4.69/src/gw_backend.c.274) establishing connection failed: socket: unix:/tmp/php-fastcgi.socket-0: No such file or directory   
2023-05-02T17:56:42   Error   lighttpd   (/usr/obj/usr/ports/www/lighttpd/work/lighttpd-1.4.69/src/gw_backend.c.274) establishing connection failed: socket: unix:/tmp/php-fastcgi.socket-1: No such file or directory   
2023-05-02T17:56:36   Error   lighttpd   (/usr/obj/usr/ports/www/lighttpd/work/lighttpd-1.4.69/src/gw_backend.c.351) gw-server re-enabled: unix:/tmp/php-fastcgi.socket-0 0 /tmp/php-fastcgi.socket   
2023-05-02T17:56:36   Error   lighttpd   (/usr/obj/usr/ports/www/lighttpd/work/lighttpd-1.4.69/src/gw_backend.c.351) gw-server re-enabled: unix:/tmp/php-fastcgi.socket-1 0 /tmp/php-fastcgi.socket   
2023-05-02T17:56:33   Error   lighttpd   (/usr/obj/usr/ports/www/lighttpd/work/lighttpd-1.4.69/src/gw_backend.c.960) all handlers for /index.php? on .php are down.   
2023-05-02T17:56:33   Error   lighttpd   (/usr/obj/usr/ports/www/lighttpd/work/lighttpd-1.4.69/src/gw_backend.c.274) establishing connection failed: socket: unix:/tmp/php-fastcgi.socket-0: No such file or directory   
2023-05-02T17:56:33   Error   lighttpd   (/usr/obj/usr/ports/www/lighttpd/work/lighttpd-1.4.69/src/gw_backend.c.274) establishing connection failed: socket: unix:/tmp/php-fastcgi.socket-1: No such file or directory   
2023-05-02T17:53:09   Error   lighttpd   (/usr/obj/usr/ports/www/lighttpd/work/lighttpd-1.4.69/src/gw_backend.c.351) gw-server re-enabled: unix:/tmp/php-fastcgi.socket-0 0 /tmp/php-fastcgi.socket   
2023-05-02T17:53:09   Error   lighttpd   (/usr/obj/usr/ports/www/lighttpd/work/lighttpd-1.4.69/src/gw_backend.c.351) gw-server re-enabled: unix:/tmp/php-fastcgi.socket-1 0 /tmp/php-fastcgi.socket   
2023-05-02T17:53:06   Error   lighttpd   (/usr/obj/usr/ports/www/lighttpd/work/lighttpd-1.4.69/src/gw_backend.c.960) all handlers for /index.php? on .php are down.   
2023-05-02T17:53:06   Error   lighttpd   (/usr/obj/usr/ports/www/lighttpd/work/lighttpd-1.4.69/src/gw_backend.c.274) establishing connection failed: socket: unix:/tmp/php-fastcgi.socket-0: No such file or directory   
2023-05-02T17:53:06   Error   lighttpd   (/usr/obj/usr/ports/www/lighttpd/work/lighttpd-1.4.69/src/gw_backend.c.274) establishing connection failed: socket: unix:/tmp/php-fastcgi.socket-1: No such file or directory   
2023-05-02T17:51:03   Error   lighttpd   (/usr/obj/usr/ports/www/lighttpd/work/lighttpd-1.4.69/src/gw_backend.c.351) gw-server re-enabled: unix:/tmp/php-fastcgi.socket-0 0 /tmp/php-fastcgi.socket   
2023-05-02T17:51:03   Error   lighttpd   (/usr/obj/usr/ports/www/lighttpd/work/lighttpd-1.4.69/src/gw_backend.c.351) gw-server re-enabled: unix:/tmp/php-fastcgi.socket-1 0 /tmp/php-fastcgi.socket   
2023-05-02T17:51:01   Error   lighttpd   (/usr/obj/usr/ports/www/lighttpd/work/lighttpd-1.4.69/src/gw_backend.c.960) all handlers for /index.php? on .php are down.   
2023-05-02T17:51:01   Error   lighttpd   (/usr/obj/usr/ports/www/lighttpd/work/lighttpd-1.4.69/src/gw_backend.c.274) establishing connection failed: socket: unix:/tmp/php-fastcgi.socket-0: No such file or directory   
2023-05-02T17:51:01   Error   lighttpd   (/usr/obj/usr/ports/www/lighttpd/work/lighttpd-1.4.69/src/gw_backend.c.274) establishing connection failed: socket: unix:/tmp/php-fastcgi.socket-1: No such file or directory   
2023-05-02T17:50:55   Error   lighttpd   (/usr/obj/usr/ports/www/lighttpd/work/lighttpd-1.4.69/src/server.c.2078) server stopped by UID = 0 PID = 30208   
2023-05-02T17:50:52   Error   lighttpd   (/usr/obj/usr/ports/www/lighttpd/work/lighttpd-1.4.69/src/server.c.1704) server started (lighttpd/1.4.69)

I can only see, at the system-restart the Message "No such file or directory" is reportet. After the manual restart this Message is gone.

If an IP address is included in the <sshlockout> list for any reason, the automatic rule "sshlockout" blocks access to the WEB-interface of the Firerwall (here port 55533) and SSH (here port 22).
This rule is executed before the "anti-lockout rule".  See screenshot.
Can the order of the automatic rule be changed?
Can the automatic sshlockout rule be adjusted in a configuration menu?

Since the change to 23.1 i the web-interface is not availbe after some days of run. The Firerwall ist running on Thomas Krenn hardware. Last Seen this problem at Version 23.1_6 The WEB-GUI Log-Files report:
023-02-17T09:49:57   Error   lighttpd   (gw_backend.c.360) gw-server re-enabled: unix:/tmp/php-fastcgi.socket-0 0 /tmp/php-fastcgi.socket   
2023-02-17T09:49:57   Error   lighttpd   (gw_backend.c.360) gw-server re-enabled: unix:/tmp/php-fastcgi.socket-1 0 /tmp/php-fastcgi.socket   
2023-02-17T09:49:54   Error   lighttpd   (gw_backend.c.993) all handlers for /index.php? on .php are down.   
2023-02-17T09:49:54   Error   lighttpd   (gw_backend.c.283) establishing connection failed: socket: unix:/tmp/php-fastcgi.socket-0: Connection refused   
2023-02-17T09:49:54   Error   lighttpd   (gw_backend.c.283) establishing connection failed: socket: unix:/tmp/php-fastcgi.socket-1: Connection refused   
2023-02-17T09:45:17   Error   lighttpd   (gw_backend.c.360) gw-server re-enabled: unix:/tmp/php-fastcgi.socket-0 0 /tmp/php-fastcgi.socket   
2023-02-17T09:45:17   Error   lighttpd   (gw_backend.c.360) gw-server re-enabled: unix:/tmp/php-fastcgi.socket-1 0 /tmp/php-fastcgi.socket   
2023-02-17T09:45:14   Error   lighttpd   (gw_backend.c.993) all handlers for /index.php? on .php are down.   
2023-02-17T09:45:14   Error   lighttpd   (gw_backend.c.283) establishing connection failed: socket: unix:/tmp/php-fastcgi.socket-0: Connection refused   
2023-02-17T09:45:14   Error   lighttpd   (gw_backend.c.283) establishing connection failed: socket: unix:/tmp/php-fastcgi.socket-1: Connection refused

Current I Update to 23.1.1.

Hallo  Zusammen,
ich habe das Problem das mein WireGuard Plugin Version 1.8 auf einer aktuellen 21.7.5 Opensense nicht startet, wenn das erlaubte Sub-Net des Endpoints die ipv4 Maske /21 hat. Teile ich das Netzwerk des Endpoints in 2 /22  Netze auf, so  startet WireGuard ohne Probleme.
Mit der Version 21.7.4 von Opensense konnte ich dieses Verhalten nicht beobachten. Das WireGuard Plugin wurde mit dem Update auf 21.7.5 erneuert.