Topics

Guten Abend zusammen,

ich habe ein Problem mit dem Standby-Knoten meines OPNsense-HA-Clusters: Seit einiger Zeit kann dieser keine Updates mehr erhalten, zeigt keine Pakete an und auch die Anzeige der Firmware-Statusinformationen dauert sehr lange. Wenn ich dann auf "Auf Aktualisierungen prüfen" klicke, dann sehe ich im Protokoll folgendes:

Code Select Expand

***GOT REQUEST TO CHECK FOR UPDATES***
Currently running OPNsense 26.1.2_5 (amd64) at Thu Mar 12 21:25:44 CET 2026
Fetching changelog information, please wait... fetch: transfer timed out
Updating OPNsense repository catalogue...
Waiting for another process to update repository OPNsense
All repositories are up to date.
Upgrading package manager from version '2.3.1_1' to ''
Updating OPNsense repository catalogue...
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error
repository OPNsense has no meta file, using default settings
pkg: An error occurred while fetching package: No error
pkg: An error occurred while fetching package: No error... (den Rest zeigt es mir nicht mehr an, weil ich zwischendurch noch etwas geprüft habe.

Immerhin kam jetzt mal "Upgrading package manager from version '2.3.1_1' to ''" usw., aber irgendetwas stimmt nicht. Ich habe schon einiges ausprobiert:

• opnsense-bootstrap
• Umstellung des Spiegelservers, Reboot und wieder zurück zum ursprünglichen Spiegelserver "(default)"
• Reset to Factory defaults
• Neuinstallation und Wiederherstellung der letzten Konfiguration

Keiner dieser Maßnahmen hat geholfen.

Der aktive Knoten hat überhaupt keine Probleme, Aktualisierungen usw. herunterzuladen.

Hat irgendjemand eine Idee, was ich noch machen kann?

Vielen Dank und viele Grüße

Hallo zusammen,

nachdem ich nun auch das Captive Portal am Laufen habe, stellen sich mir ein paar Fragen:


• Gibt es eine Möglichkeit, dass man statt Benutzernamen und Passwort einfach nur einen Code eingeben muss, den man als Voucher erzeugt hat? Die Eingabe eines kryptischen Benutzernamens und eines kryptischen Passwortes ist schon recht umständlich - für ein Gäste-WLAN zu umständlich. Bei den Grandstream Access Points benötigt man nur einen Zahlencode, den man als Voucher erstellt.
• Ich betreibe die OPNsense als HA-Cluster. Das Portal reagiert aber nur auf die physikalische IP im Gast-Netz und nicht auf die CARP-IP. Ist das normal und ist das sinnvoll? Beim Failover muss man sich ja dann ggf. an der physikalischen IP-Adresse des zweiten Knotens anmelden.
• Und daran schließt sich auch schon die nächste Frage an: Die Einstellungen des Captive Portal werden auf den Backup-Knoten synchronisiert, aber die Voucher nicht. D. h. es kann sich niemand mit den ihm bekannten Vouchern im Gäste-Netz anmelden, wenn ein Failover erfolgt ist. Ist das per Design so gewollt? Das macht doch eigentlich keinen Sinn, oder?

Klar kann man jetzt sagen, dass das Gäste-Netz nicht so wichtig ist und daher keine Ausfallsicherheit erfordert, aber dennoch fände ich es gut, wenn sich die Gäste mit den bekannten Vouchern auch am Backup-Knoten authentifizieren können.

Vielen Dank und viele Grüße

Hallo zusammen,

ich möchte mir das Captive Portal auf der OPNsense ansehen, weil ich mit Vouchern im Gäste-WLAN arbeiten möchte. Evtl. muss ich meine bisherigen Access Points zurückgeben und zu einem anderen Hersteller wechseln und da sind nicht immer Voucher möglich.

Nach der Einrichtung des Captive Portals kann ich nicht mehr auf das Admin-Web-UI zugreifen. Daher habe ich das Captive Portal mit der Kommandozeile gestoppt:

Code Select Expand

configctl captiveportal stop
Ich komme aber weiterhin nicht auf das Admin-Web-UI.

Wie kann ich nun vorgehen, um wieder auf das Admin-Web-UI zuzugreifen? Hier im Forum gab es Hinweise und Patches für ältere Versionen von OPNsense (25.x). Da ich aber 26.x habe, hilft das nicht weiter.

Vielen Dank, schönes Wochenende und viele Grüße

Hallo zusammen,

ich habe eine Frage zur DHCP-Konfiguration für Kea DHCP in der OPNsense.

Zuerst einmal habe ich alle internen VLANs als Schnittstellen freigeschaltet. Das sind alles Netze aus dem Bereich 192.168.0.0, Class B.

Wie konfiguriere ich nun die IP-Bereiche? Lege ich als Subnetz das Class-B-Netzwerk 192.168.0.0 ein und erstelle darin dann die Pools aus den VLANs oder erstelle ich für jedes VLAN ein eigenes Subnetz und dann den jeweiligen Pool?

Ich kann für ein Subnetz nicht festlegen, welches Netzwerkinterface diesem Subnetz zugeordnet wird. So wäre eindeutig, dass man für jedes VLAN ein eigenes Subnetz anlegen muss. Wie aber weiß Kea DHCP, welche IP-Adresse per DHCP dem Client zugewiesen werden muss? Ich komme von der Sophos UTM, wo eine Zuordnung des Netzwerks zum jeweiligen DHCP-Bereich erfolgen muss.

Vielen Dank und viele Grüße

Hallo zusammen,

ich baue gerade einen OPNsense Cluster auf, auf dem ich auch ein Let's Encrypt Zertifikat einbinden möchte. Grundsätzlich weiß ich, wie das umgesetzt wird. Aber ich frage mich, wie man das auf einem Cluster umsetzt?

Die Zertifikate können im Rahmen der Synchronisation auf den Backup-Knoten kopiert werden, so dass die Einrichtung des ACME Clients nur auf dem primären Knoten ausreichend sein müsste, richtig? Was aber ist, wenn der primäre Knoten für längere Zeit nicht verfügbar ist und das Let's Encrypt Zertifikat genau in dieser Zeit abläuft und dann nicht automatisch erneuert wird? Es ist eine sehr theoretische Frage, weil das Zertifikat vermutlich sehr rechtzeitig erneuert wird - zumindest war das bei der Sophos UTM so. Der Fall des abgelaufenen Zertifikates sollte eigentlich nicht auftreten, aber wir wissen alle, dass es immer zu dummen Umständen kommt, die dann doch genau solche eigentlich unwahrscheinlichen Fälle hervorbringen.

Oder muss ich auf dem Backup-Knoten den ACME Client konfigurieren, um dort das Zertifikat auch automatisch regelmäßig zu erneuern? Dann aber stellt sich die Frage, ob man überhaupt 2 Zertifikate für den gleichen Domainnamen anfordern kann? Letztere Frage stellt sich mir außerdem, weil meine Sophos UTM noch läuft und ich in der Migrationsphase zu OPNsense bin.

Im Internet finde ich immer nur die grundsätzliche Beschreibung zur Einrichtung von Let's Encrypt in der OPNsense, aber nirgendwo wird auf die Einrichtung auf einem Cluster eingegangen - zumindest habe ich dazu bisher nichts gefunden.

Vielen Dank und viele Grüße

TheExpert

Hallo zusammen,

ich habe mich entschlossen, meinen seit vielen Jahren zuverlässig laufenden Sophos UTM HA-Cluster in meinem IT-Homelab nun auf OPNsense umzustellen. Daher habe ich heute die beiden OPNsense Firewall Knoten mit der ISO von OPNsense installiert und auch HA eingerichtet. Ich bin dazu nach der Anleitung von Thomas Krenn vorgegangen (https://www.thomas-krenn.com/en/wiki/OPNsense_HA_Cluster_configuration). Für das WAN- und DMZ-Interface funktioniert das auch richtig, aber mit dem LAN-Interface nicht - beide Firewall-Knoten zeigen die CARP-VIP für LAN im Modus BACKUP an.

Die beiden Knoten befinden sich als VMs jeweils auf einem separaten ESXi 8.0 Host. Cluster, LAN, WAN und DMZ sind separate VMXNET3 Netzwerkkarten in der VM und sind an separaten vSwitches angeschlossen, an denen wiederum jeweils eigene physikalische Netzwerkkarten des Hosts angebunden sind - für LAN sogar 2 physikalische Netzwerkkarten. Für LAN habe ich auf den ESXi-Hosts einen vSwitch mit mehreren VLANs eingerichtet. Die VLAN-ID der Portgruppe ist 4.095 (Trunk). Das Standard-LAN ist untagged, die weiteren LANs sind tagged. Die beiden physikalischen Netzwerkkarten für LAN sind jeweils an zwei unterschiedlichen physikalischen Switchen angebunden.

Mit dieser Konfiguration erreiche ich ohne Probleme die Management-IPs der beiden Firewall-Knoten. Die Management-IPs befinden sich im untagged LAN. Dementsprechend komme ich auch auf die Admin-Oberfläche der beiden Systeme.

Auf den beiden Knoten habe ich die VLANs noch nicht angelegt. Hier weiß ich noch nicht, ob ich hier auch jedes Mal eine CARP-Konfiguration vornehmen muss oder ob dafür auch ein IP-Alias ausreichen würde. Ich habe derzeit lediglich eine CARP-VIP für das untagged LAN eingerichtet. Die weiteren LANs würde ich erst einrichten, wenn das HA für das Standard-LAN funktional habe.

Nun frage ich mich, warum die beiden Firewall-Knoten die CARP-VIP für das LAN im Modus Backup anzeigen? Aus einem mir nicht ersichtlichen Grund können die beiden Firewall-Knoten nicht über die LAN-Interfaces miteinander kommunizieren.

Was kann ich tun, um den Fehler zu beheben?

Vielen Dank und viele Grüße

TheExpert