Topics

1

German - Deutsch / InterfaceDiag/Ping WTF?

« on: November 25, 2023, 06:50:45 pm »

Hallo

Hier: Opnsense 23.7.8_1 amd64

Einige Versionen früher konnte man Interfaces/Diagnostics/Ping noch problemlos nutzen um bei bedarf eine IP an zu pingen und dabei auch das Quellinterface einfach (Dropdown) auswählen.

Das hat sich hier in mehrfacher Hinsicht geändert. Man kann nur noch eine Quelladresse manuell eingeben, man kann keinen zähler für die Anzahl pings vorgeben und wenn man es ausführt landet man auf dem "Jobs" tab wo man einem rotierenden Kreis zusehen kann. Ergebnisse erhält man erst nach Stopp und meist sind die auch noch noch negativ oder nichtssagend weil; zumindest mir; nicht ersichtlich wird ob es nun wirklich keine Antwort gab oder diese Funktion einfach nur Broken ist. Dazu sieht es so aus als könne man mehrere "Jobs" einrichten (Tabelle) aber auch das scheint nicht zu gehen denn da ist kein "+" Menü und es taucht immer nur der letzte "Job" auf.

Geht da nur mir so?

Ich brauche da aber keine Jobs, schon gar nicht welche die nicht einstellbar sind. Was ich brauche ist eine schnelle effektive antwort auf die frage ob ein paket von einer IP/Interface an eine andere IP/Interface durch geht oder nicht. Das scheint aber aktuell kaputt zu sein. Oder gibt es irgendwelche Einstellmöglichkeiten mit denen man die Alte Menü-Funktion zurück bekommen kann?

2

German - Deutsch / Automatisch Abgelaufene Leases weg räumen?

« on: November 10, 2023, 12:35:44 am »

Hallo.
Ich habe hier im LAN einen kleinen Bereich an IPv4 Adressen (.51-.69) als Pool für Dynamische Vergabe eingetragen. Daneben gibt es einige Clients mit Fester Adresszuweisung.

Jetzt kommt es immer wieder mal vor das der Pool erschöpft ist. Wenn ich in der GUI die Leases aufliste und "show inactive" markiere dann sehe ich Teils lease-zuweisungen die Monate her sind und der Host dazu ebenso lange nicht aktiv war. Ich habe die Leasezeiten auch nicht länger (Tage o.a.) eingestellt sondern eher Kürze (Stunde[n]).

Liegt es aber daran, oder gibt es eine art "hausmeister" job den man z.b. ein mal im Monat per cron starten könnte um abgelaufene alte leases weg zu werfen?
 

3

German - Deutsch / DHCPv6 Relay kann nicht deaktiviert werden

« on: November 10, 2023, 12:17:01 am »

Hallo. Ich habe Intern kein IPv6 und damit auch kein Interface das eine solche Adresse hätte. Jetzt ist durch unbekannte Umstände das DHCPv6 Relay als Enabled gesetzt, kann aber lt. Dienstübersicht nicht gestartet werden. Das unter allen grünen Symbolen eines Rot ist mag nur optisch unschön sein.

Aber der versuch es zu deaktivieren scheitert leider an obigem. Die GUI erzwingt das man ein Interface angeben muß. Und der ist es dabei offensichtlich egal ob der Haken bei enable on this interface entfernt ist.

Technisch und logisch mag es ja richtig sein. Aber "enable" ist IMO auch so was wie ein Hauptschalter. Ist es aus dann taucht der nicht startbare dienst auch nicht in der Liste auf. Und es wird wohl auch nicht versucht den zu starten.  Aber so ist der aktiviert, versucht vermutlich zu starten, findet kein interface und beendet sich - mit Fehler. Das ist mehr als unschön, das ist nichts was man hätte haben wollen.

Ein Interface auf SLAAC zu setzen reicht auch nicht um dies Interface im Dialog wählbar zu machen und das Ding dann endlich ganz aus zu knipsen.

Hat jemand dafür eine andere Lösung. Deinstallieren geht m.E. auch nicht. Das würde ich auch gern mit einigen Sachen des OPN-Systems machen die ich eh nicht brauche oder nicht will. Z.b. VPN oder Monit. Aber das nur nebenbei.

4

German - Deutsch / Ungenutzte (System)pakete ganz enfernen? Und andere dazu?

« on: February 01, 2023, 07:40:15 pm »

Hallo

ich habe eben auf 23.1 aktualisiert und so weit funktioniert das auch. Aber das nur nebenbei.

Ich hätte (mal wieder) den Wunsch Pakete die ich überhaupt nicht oder nie brauchen werde oder will entfernen zu können - statt sie nur auf "nicht aktiviert" setzen zu können. Es ist doch immer besser wenn eine Software überhaupt nicht installiert ist als wenn sie da ist und nur aus geschaltet. Denn das kann sich ggf. durch einen Fehler o.a. mal ändern. Ist sie nicht installiert kann das nicht passieren und minimiert das risiko.

Speziell geht's mir dabei um pakete wie monit, ipsec, dnsmasq ODER unbound. Bei letzteren verstehe ich immer noch nicht warum BEIDE installiert werden obwohl man definitiv nur EINES davon benutzen kann. Jedenfalls nach interfaces und ports und auch in Verbindung mit dem dhcp Server.

Bei meinem Versuch dnsmasq auf 5353 und EINEM Opt Interface zu aktivieren und den unbound auf 53 auf den anderen (LAN und VLAN/OPT) gab es immer Fehlermeldungen. Sprich: Nicht erfolgreich.

Da wünsche ich mir auch zw. Übersichtlichkeit einen von beiden entfernen zu können so das der auch im services menü nicht mehr auftaucht. Und da es offensichtlich auch einen Bind gibt ist das der nächste Punkt. Wenn man bind wählt sollten/müssten die anderen beiden zumindest deaktiviert und danach deinstallierbar sein. Unbound und dnsmasq kann man aber m.W. nicht via GUI deinstallieren.

Dagegen hätte ich statt monit o.a. lieber einen gkrellmd den ich ebenso simpel installieren und starten könnte wie ntop oder netdata die ja auch nur einen Start-oder-nicht-start eintrag bei services haben.

Den gkrellmd mittels pkg nach zu installieren scheint mir auch weder geplant noch vorgesehen zu sein und wird nach dem was ich las auch nicht empfohlen weil es mit dem dazu nötigen bsd-repo dann Abhängigkeits-Probleme geben kann/wird.

Gibt es dafür eine Nicht-Nerd Lösung oder Alternativen?

5

German - Deutsch / DNS forward aber richtig/Statisch?

« on: December 19, 2021, 10:47:25 pm »

Hallo

Mein OPN sitzt als router/filter zwischen meinem Internen LAN und dem Speedport Hybrid für meine WAN-Verbindung.

Jetzt möchte ich eigentlich das OPN generell den unbound DNS auf localhost nutzt um eigene DNS abfragen zu erledigen, zum LAN hin; via dhcp4 seine LAN-IP als dns-server angibt und ausschließlich der unbound anfragen die nicht meine lokale (LAN) Zone (in den overrides eingetragen) an den Speedport forwarded.

Nun, LAN-Seitig funktioniert das mit dem dns via dhcp auch. Nur OPN scheint mit 127.0.0.1 nicht zufrieden zu sein, denn dann ist der update-server nicht mehr erreichbar (adress not found). Aber wenn ich; wie vorher; die IP des Speedport nach dem localhost als 2. DNS unter System eintrage dann geht es wieder. Dabei ist overide by ppp/dhcp ausgeschaltet weil ich verhindern will das mir mein Speedport da "irgendwas" liefert und das OPN stört/irritiert.

Nur, beim unbound kann ich lediglich ein Outgoing Interface angeben, aber keine IP Adresse für einen Forwarder den er benutzen sollte. D.h. wohl das der nur den via dhcpd6 vom Speedport gelieferten dns nutzen könnte - es aber offenbar nicht sicher tut.

Jetzt weiß ich nicht ob ich was falsch machte und es nur nicht bemerkte oder ob das so evtl. vielleicht nicht vorgesehen ist. Ich würde WAN-Seitig auch gern eine Statische IPv6 Konfig nutzen, weiß aber ehrlich gesagt nicht was ich da konkret eintragen könnte. Denn meine diesbezüglichen Versuche mit einem Virtuellen OPN 18 früher gingen alle in die Hose = keine Verbindung.

Hat da jemand ne Idee zu?

6

German - Deutsch / mehr als 1 dns-server?

« on: December 15, 2021, 12:06:32 am »

Hallo. OPN bietet unbound, dnsmasq und optional auch bind. Aber m.W. kann man nur bind installieren und auch entfernen. Warum nicht auch einen der beiden anderen?

Und wenn das so gewollt ist. Wie kann man denn beide gleichzeitig nutzen - auf verschiedenen interfaces? Ich hab das in einer KVM-Instanz mal versucht aber mindestens einer der beiden meckerte immer über einen bereits gebundenen port und das selbst wenn ich jedem ein separates interface und verschiedene Ports in ihrer Konfig (via UI) angab.

Mein Schluß daraus: Beide nebeneinander geht nicht und das ist so gewollt. Aber warum?

Ich stelle mir da z.b. ein "Sinnvolles" Setup vor bei dem ich mein normales internes LAN mit unbound und ddns zum dhcpd verwalte und den dnsmasq für ein separates LAN-Segment mit eingesperrten Geräten nutzen könnte - mit eigener interner domain. Und einer oder beide sollten ggf. einen forwarder auf der WAN-Seite von OPN nutzen können. Mir kommt das prinzipiell/technisch möglich vor, aber die UI scheint es zu verhindern.

7

German - Deutsch / Suricata schedule funktioniert nicht richtig.

« on: December 14, 2021, 11:46:40 pm »

Unter Serivices-Intrusion-Detection-Administration-Schedule soll wohl ein Update-eintrag der IDS-Regeln bearbeitet werden können. Aber sobald man auf den Reiter schedule klickt poppt sofort ein Edit-Job Fenster auf das den Inhalt dahinter überdeckt. Schließt man es verschwindet auch der Inhalt dahinter und man landet wieder bei IDS-Settings. Siehe Screenshot.

Ich denke da wird im Hintergrund System-settings-cron angezeigt denn dort findet sich ein IDS-Update eintrag. Man kommt über das IDS Menü aber offenbar nur direkt zum Editieren dieses Einen Eintrages. Soll das so?

Ich finde das ja irritierend und unerwartet. Besser würde mir gefallen wenn ISD-Schedule entweder direkt in die Cron-Sektion springt und bestenfalls seinen Eintrag hervorhebt oder wenn die Liste aus der Cron-Sektion unter ISD-Schedule nur gefiltert um die relevanten Einträge eingebunden wäre. Aber dann so das man dort die wahl hat Edit zu klicken und danach auch den just editierten Eintrag in der Liste sehen kann.

OPNsense 21.7.6-amd64
FreeBSD 12.1-RELEASE-p21-HBSD
OpenSSL 1.1.1l 24 Aug 2021

8

German - Deutsch / unassigned interfaces loX seit 21.7 nutzloses entfernen?

« on: December 14, 2021, 11:33:49 pm »

Hallo

Seit dem kürzlich durchgeführten Update auf 21.7 fand ich unter Interfaces-overview (ich benutze EN als UI-Sprache) mehrere "unassigned interfaces" darunter lo0, lo1, pflog0, pfsync0 und enc0.

Das ich ein lo brauche ist klar. Aber wo kommen die anderen her und wie kann ich sie ggf. loswerden?

Ich hab vielleicht mal in die VPN Konfig rein geschaut aber m.W. nix aktiviert, sonstige Verschlüsselungs-dinge hat weder die HW (kein AESNI) noch sind welche aktiv und ein HA Setup habe ich auch noch nicht eingerichtet. Mehr fällt mir anhand der bezeichner nicht ein. Unter interfaces-assignments wird lo1 auch als new-interface aufgeführt das ich hinzu fügen könnte - aber wozu? lo0 reicht doch!?

In firefall-rules finde ich EIN loopback mit einer automatischen pass-all regel. So weit so gut. Und wie bekomme ich den rest aus dem weg, aus den augen aus dem sinn?

OPNsense 21.7.6-amd64
FreeBSD 12.1-RELEASE-p21-HBSD
OpenSSL 1.1.1l 24 Aug 2021

9

German - Deutsch / IPv6 mit OPN hinter SPH

« on: December 11, 2018, 06:27:38 pm »

Hallo
Da ich nun einen Neuen Anschluß habe dessen Router aber nicht viel kann habe ich opnsense 18.7.8 i386 mit dem WAN-Port hinter meinem Speedport-Hybrid gehängt. Und ich habe entsprechend einem Howto die Optionen so gesetzt.

WAN:
DHCPv6 Clientkonfiguration
Konfigurationsmodus    Einfach
Request only an IPv6 prefix    yes
Präfixdelegationsgröße     /64
Sende einen IPv6-Präfixhinweis Yes    
IPv4-Verbindung verwenden yes

Der DHCPd des Speedport ist An und Teilt auch Adressen aus, auch an OPN aber ob er das auch mit dhcpd6 tut bezweifle ich. Offenbar sendet der nur Router-advertisements.

Und bei einer Internen Schnittstelle dann

LAN:
IPv6 Konfigurationstyp    Schnittstelle aufzeichnen
als auf zu zeichnende Schnittstelle WAN
und als Präfix ID 0

Und auch nach einem Reboot bekomme ich auf der Internen keinen IPv6 Zugang.

Ich vermute ich mache noch irgendwas falsch aber ich habe keine Idee was. Direkt am Speedport angeschlossen bekomme ich vollen Zugang auf beiden IP-Stacks, aber hinter OPN nur mit IPv4 und bestenfalls DNS6. Lt. einer IPv6-testseite.

Die Interne NIC hat nur fe80:::1:1 die WAN-Seite fe80::250:8bff:fe09:4447

Der Speedport zeigt mir in seinem Menü eine ULA-Adresse und einen 2003:xyz /64 Block für das Interne Netzwerk. Muß ich davon irgendwas händisch irgendwo in OPN eintragen? Dem WAN-Port Statisches IPv6 zu konfigurieren habe ich nicht hin bekommen weil ich schlicht zu wenig Ahnung vom Neuen Protokoll habe - und einfach nicht weiß was da ein zu tragen wäre.

10

German - Deutsch / Frage zu OPT interfaces mit VLANs

« on: June 22, 2018, 01:55:30 pm »

Hallo

ich habe mir gestern OPNsense 18 installiert und der PC hat 4 NICs (3*FE, 1*GbE). Dann habe ich die einzelne NIC dem WAN zugeordnet, die GbE dem LAN und die Dualport-Karte mit den restlichen erst mal als OPTx und y.

Jetzt die Frage: Wenn ich den beiden OPT interfaces jeweils keine IP zuweise, darauf VLANs einrichte und diesen IPs zuweise ist das dann faktisch so das es für den Switch ein Trunk-port mit diesen beiden VLANs ist - ohne ein natives/ungetaggtes?

Die alternative wäre dann doch; wenn ich es richtig verstehe; dem OPTx z.B. eine IP zuweisen (=untagged) und darauf ein VLAN setzen das dann mit diesem Tag arbeitet.

Ich wüsste das gern vorher weil der LANCOM Switch an dem der laufen soll eine etwas krude methodik hat die VLANs und die PVID zu setzen.

Kann man bei erstere Methode eigentlich die Anzeige der Basis-interfaces unter Schnittstellen irgendwie unterdrücken?

11

German - Deutsch / Wie Hosts manuell in lokalem Resolver eintragen?

« on: August 04, 2017, 12:25:26 am »

Hallo

Ich habe opnsense 17.1.4 in einer VM zum Testen laufen und finde nicht das was ich suche.

vielleicht suche ich in der falschen ecke danach aber, wie kann ich denn bitte bei opnsense einen oder mehrere hosts/server eintragen damit diese von clients auch abgefragt werden können (name zu ip und ggf. auch reverse)? Ich denke mal das muss doch irgendwie gehen.

Mir ist bisher nur klar das opn einen resolver (unbound) und einen forwarder hat und das nicht beide laufen können. DDNS mit einem dhcpd ist ja schön, aber für server wohl kaum das richtige. Ich würde ja auch einen kompletten bind9 haben wollen, aber dann auch die üblichen dinge (A/PTR, CNAME, TXT) über die WebUI einrichten wollen. Den Bind extern zu betreiben so das opn nur darauf zugreift ist auch nicht das wahre.

Geht/Gibt es das, oder bin ich mit meinem Wunsch auf der ganz falschen Baustelle?

12

German - Deutsch / bootloader/kernel sehr langsam an Primergy L100, installation schlägt fehl

« on: September 16, 2015, 09:31:09 pm »

Hallo

ich würde opnsense wirklich gerne einsetzen und auf echter Hardware testen, nur leider komme ich nicht mal so weit es auf meiner Wunschhardware zu installieren.

Ich habe zuletzt von http://mirror.fra10.de.leaseweb.net/opnsense/releases/mirror/OPNsense-15.7.11-OpenSSL-vga-i386.img.bz2 ein ISO geladen, auf CD gebrannt und es damit probiert, davor schon einmal mit einer der vorversionen.

Beide male dauert es minuten bis der bootloader fertig ist, das laden des kernels dauert dann allein noch mal ca. 1 stunde. Von USB oder LAN booten unterstützt die Hardware nicht, aber ich kann sagen das Sowohl Windows 2000 Server als auch ein Linux (Debian/Ubuntu/Zentyal) auf der Hardware problemlos booten und auch liefen.

Das Gerät ist ein FSC Primergy L100 mit einem onboard Promise Fasttrak/Ultra 100 Controller. Der hat 2 IDE-Ports für IDE-Raid (Fakeraid) und einen ExtraPort. Das CD-Lw. ist über eine spezielle Leiste angeschlossen. Der Controller ist NICHT im Raid-Modus sondern per Jumper auf den normalen IDE-Modus umgeschaltet. Dieser 1HE Rackserver hat eine 1.5GHz P3-CPU, 1.5GB RAM, 2*20GB IDE-HD und 2*Intel Pro 100 NICs. Zusätzlich hat er noch eine Adaptec Quad-Port NIC.

Ich hab schon alles versucht was mir einfiel. Meine Hoffnung ist das es eine Bootoption gibt für diesen Controller damit das installieren endlich klappt. Allerdings bin ich BSD-Newbie und hab keine ahnung ob (und wie) man beim CD-Boot versch. Optionen eingeben kann.
Jedenfalls denke ich das es nur ein Problem mit dem Bootloader sein kann. In einem Virtualbox 4 kann ich aus dem gleichen Image eine lauffähige Installation hoch ziehen und das dauern keine stunde INSGESAMT.

Kann mir jemand helfen das hin zu bekommen?

Danke
K.M.