Messages

76

18.1 Legacy Series / Re: 18.1.5 IPv6 bogons invalid after update

« on: April 06, 2018, 12:18:11 pm »

Solved. This inspiration solved my problem on two boxes:
https://forum.opnsense.org/index.php?topic=7194.msg32261#msg32261

Firewall --> Settings --> Advanced --> Firewall Maximum Table Entries: 500'000

77

18.1 Legacy Series / Re: 18.1.5 IPv6 bogons invalid after update

« on: March 29, 2018, 06:57:37 pm »

Hi,
I had the same problem. Try this:

# pfctl -t bogonsv6 -T flush
# rm /usr/local/etc/bogonsv6
# /usr/local/etc/rc.update_bogons

Edit: Sorry, too soon. Just got that message again:

There were error(s) loading the rules: /tmp/rules.debug:15: cannot define table bogonsv6: Cannot allocate memory - The line in question reads [15]: table <bogonsv6> persist file "/usr/local/etc/bogonsv6"

78

German - Deutsch / Re: Google SafeSearch & Co.

« on: September 06, 2017, 05:17:01 pm »

Ich bin ein wenig weiter gekommen: Wenn "local-data:"-Einträge innerhalb der unbound.conf nach

Code: [Select]

# Domain overrides
include: /var/unbound/domainoverrides.confstehen, dann startet der Dienst nicht.

Man müsste also die custom options mindestens vor den domain overrides einfügen. Aber vielleicht würde dann ja etwas anderes nicht funktionieren? Die Reihenfolge scheint heikel zu sein, siehe z. B. auch hier:
https://forum.opnsense.org/index.php?topic=1848.msg5847#msg5847

79

German - Deutsch / Re: [GELÖST] Speicherort für customized Squid-Konfig.-Dateien?

« on: September 05, 2017, 10:43:54 am »

Hi Franco

Oh, hust. Ich schwöre ich hab das gelesen!

Gruss, Stefan

80

German - Deutsch / Re: [GELÖST] Speicherort für customized Squid-Konfig.-Dateien?

« on: September 04, 2017, 10:16:23 pm »

Alles klar, vielen Dank!

Betreffend Dokumentation: Wäre für Bastler/Tuner schon sehr nützlich.
Oder eine Warnung wenn es solche Änderungen gibt in den patch notes.

81

German - Deutsch / Re: Google SafeSearch & Co.

« on: September 04, 2017, 06:16:37 pm »

Da steht bspw. nicht nur "include:" sondern vorher noch ein "server:" und in der nächsten Zeile erst das Include.

Braucht es das server: wirklich?

Die resultierende unbound.conf (gekürzt) sieht so aus:

Code: [Select]

##########################
# Unbound Configuration
##########################

##
# Server configuration
##
server:
chroot: /var/unbound
username: unbound
directory: /var/unbound
pidfile: /var/run/unbound.pid

[...]

# Access lists
include: /var/unbound/access_lists.conf

# Static host entries
include: /var/unbound/host_entries.conf

# DHCP leases (if configured)
include: /var/unbound/dhcpleases.conf

# Domain overrides
include: /var/unbound/domainoverrides.conf

# Unbound custom options
include: /var/unbound/safesearch.conf               <------ Ergebnis

###
# Remote Control Config
###
include: /var/unbound/remotecontrol.conf

Habe folgenden Eintrag im system.log gefunden:

Code: [Select]

Sep  4 17:30:53 OPNsense opnsense: /services_unbound.php: The command '/usr/local/sbin/unbound -c '/var/unbound/unbound.conf'' returned exit code '1', the output was '/var/unbound/unbound.conf:107: error: cannot open include file '/var/unbound/safesearch.conf': No such file or directory read /var/unbound/unbound.conf failed: 1 errors in configuration file [1504539053] unbound[10313:0] fatal error: Could not read config file: /var/unbound/unbound.conf'
Die Datei ist aber vorhanden. Habe dann die Rechte der Datei auf unbound:unbound gesetzt (statt root). Jetzt kommt:

Code: [Select]

Sep  4 17:36:36 OPNsense opnsense: /status_services.php: The command '/usr/local/sbin/unbound -c '/var/unbound/unbound.conf'' returned exit code '1', the output was '/var/unbound/safesearch.conf:1: error: syntax error read /var/unbound/unbound.conf failed: 1 errors in configuration file [1504539396] unbound[49435:0] fatal error: Could not read config file: /var/unbound/unbound.conf'
Für mich nur Bahnhof.
Gib es irgendwo noch andere Logs?

82

German - Deutsch / Google SafeSearch & Co.

« on: September 04, 2017, 04:09:31 pm »

Hallo allerseits

Ich wollte auf meiner OPNSense zu Hause mal kurz (ha, ha) Google SafeSearch & Co. wegen den Kidz in Betrieb nehmen.

Zuerst dachte ich, mach erst mal auf die Schnelle was mit Unbound so im Stil von:
https://support.opendns.com/hc/en-us/articles/227986807-How-to-Enforcing-Google-SafeSearch-YouTube-and-Bing
https://forum.opnsense.org/index.php?topic=3423.msg11265#msg11265
http://www.iamasuperuser.com/enforce-google-safe-search-using-pfsense/

Sobald ich aber via GUI --> Unbound DNS --> General --> Custom options --> include: /var/unbound/safesearch.conf z. B. zum Testen nur diese eine Zeile local-data: "www.google.ch A 216.239.38.120" hinzufüge, lässt sich anschliessend Unbound nicht mehr starten.

Via GUI --> Host overrides hat es glaub ich geklappt, aber gemäss den diversen Anleitungen müsste man ja für alle möglichen Google-Domains (https://www.google.com/supported_domains) einen Eintrag erstellen.

Fragen:

• Wie kann ich die Ursache für den nicht startenden Dienst eingrenzen?
• Gibt es direkt mit OPNsense eine elegantere Lösung als mit Unbound, z. B. mit Squid? Ansätze wie hier beschrieben haben bei mir auf die Schnelle nicht funktioniert: https://stackoverflow.com/questions/6592727/how-to-make-an-squid-cache-internal-url-rewrite
• Hat jemand von euch Google SafeSearch & Co. auf einer OPNsense am Laufen und möchte seine Erfahrungen hier bereitstellen?

Gruss, Stefan

83

German - Deutsch / [GELÖST] Speicherort für customized Squid-Konfig.-Dateien?

« on: September 04, 2017, 03:36:41 pm »

Hi Leute,
ich verwende eine customized Squid-Konfig. und habe bis jetzt die Konfig.-Dateien so abgelegt:
/usr/local/opnsense/service/templates/OPNsense/Proxy/squid.user.pre_auth.conf
/usr/local/opnsense/service/templates/OPNsense/Proxy/squid.user.post_auth.conf
Das zusammengefügte Ergebnis konnte man dann jeweils in der /usr/local/etc/squid/squid.conf betrachten.

Ich glaube das geht nicht mehr, oder? Ich habe die eine relevante Datei jetzt so abgelegt:
/usr/local/etc/squid/pre-auth/squid.user.pre_auth.conf
Funktioniert und überlebt einen Reboot.

Frage: Ist das so gedacht und wird die Datei auch ein Update überleben? Ist das Thema irgendwo dokumentiert?

Gruss, Stefan

84

German - Deutsch / Re: [GELÖST] Proxy: Probleme mit "SSL Domain/IP only"

« on: September 04, 2017, 03:16:00 pm »

Hallo

Dieser Thread hier ist alt, ich weiss, aber ich möchte noch eine Rückmeldung geben und ein [GELÖST] anfügen.

Ich habe mich das erste Mal seit langem wieder diesem Thema angenommen. Und siehe da, "Log SNI information only", wie das inzwischen heisst, funktioniert. Einfach so, ohne Frickeleien.
Getestet mit OPNsense 17.7.1_2-amd64.

Gruss, Stefan

85

German - Deutsch / Erfahrungen mit Swisscom? TV, IGMP, DHCP Option 60, VLAN 10, IPv6 usw.

« on: August 29, 2017, 12:49:57 pm »

Hallo Schweizer/-innen

Jetzt wo die Swisscom die SIP Credentials herausgibt
https://www.swisscom.ch/de/privatkunden/hilfe/festnetz/sip-credentials.html
werden langsam aber sicher Lösungen ohne Swisscom-Router interessant.

Neben dem nun behobenen "SIP-Problem" müssen ja aber auch noch Dinge wie Swisscom TV (IGMP), DHCP Option 60, VLAN10, IPv6 und vielleicht noch mehr berücksichtigt werden. Beim Querlesen durchs Internet habe ich zwar diverse, aber eher ältere Anleitungen und Tipps gefunden, meist im Zusammenhang mit pfSense.

Darum meine Frage hier im Forum: Hat jemand Erfahrungen mit OPNsense ohne vorgeschaltetem Swisscom-Router die er/sie hier teilen möchte? Ist die Konfiguration und der laufende Betrieb stressfrei oder ein ewiges gefrickel? Gibt es Einschränkungen gegenüber dem Betrieb mit Swisscom-Hardware?

Gruss, Stefan

86

German - Deutsch / Re: APU2C4 korrekte Temperatur?

« on: March 04, 2017, 10:14:33 pm »

Hi

Hier 3 APU2C4 mit aktuell 57.7°C, 64.7°C und 67.6°C (alle mit original Wärmeleitpad).
Keine Ahnung wieso erstere so "kalt" ist. Vielleicht weil sie keinen VPN-Tunnel machen muss.

Gruss, Stefan

87

German - Deutsch / Re: Keine Upadtes aus GUI möglich nach Upgrade auf 17.1

« on: February 16, 2017, 01:27:07 pm »

Hallo zusammen

"Firmware status check was aborted internally. Please try again." hatte ich vermehrt bereits unter 16.7.x. Meistens musste ich mehrmals "Check for updates" anklicken bis diese Meldung verschwand und die Updates angezeigt wurden.

Eben gerade mal noch unter 17.1.1 getestet: Via Dashboard auf "Click to check for updates" resultierte ebenfalls in "Firmware status check was aborted internally. Please try again." Nach Klick auf "Click to check for updates" hat es dann beim ersten Mal funktioniert.

RSS auf dem Dashboard entfernen und neu hinzufügen bringt nichts?

Gruss, Stefan

88

German - Deutsch / PPPoE-Einwahl funktioniert nur mit Standard-Interface-Zuordnung

« on: January 06, 2017, 12:52:02 pm »

Hallo Leute

Ich hatte gestern mit einem sonderbaren Verhalten betreffend PPPoE-Einwahl zu kämpfen.

Ausgangslage: OPNsense 16.7.12 auf einer PC Engines APU2C4 hinter einem Swisscom Centro Business 2 mit aktiviertem PPPoE-Passthrough:
http://documents.swisscom.com/product/1000260-Connectivity_Geraete_/Documents/Spezifikationen/Centro_Business2_PPPoE_Passthrough-de.pdf

Nach der Installation von OPNsense habe ich auf der Konsole die Schnittstellen Zugewiesen: igb0 = WAN, igb1 = LAN, igb2 = OPT.
Anschliessend im GUI das WAN-Interface von DHCP auf PPPoE umgestellt und entsprechende Zugangsdaten hinterlegt. Die Einwahl hat darauf nie funktioniert.
Nach langer Fehlersuche bin ich dann auf diesen Thread hier gestossen:
https://forum.opnsense.org/index.php?topic=3666.msg12534#msg12534
Und tatsächlich, nach einem Reset to factory defaults (via GUI) hat die Einwahl sofort geklappt.
Die Interfaces waren nach dem Reset wie folgt belegt: igb0 = LAN, igb1 = WAN und igb2 = OPT.
Sobald ich die Reihenfolge der Interfaces anders zuwies, funktionierte die PPPoE-Einwahl nicht mehr. Egal ob die Neuzuordnung vor oder nach dem Wechsel von DHCP auf PPPoE oder via Konsole oder GUI erfolgte.
Dummerweise habe ich die LOGs nicht rauskopiert. :-(

Scheint mir ein Bug zu sein. Falls ich etwas übersehen haben sollte bin ich froh um Aufklärung.

Gruss, Stefan

89

German - Deutsch / Re: APU2 AES-NI nutzen / OpenVPN

« on: November 17, 2016, 09:52:32 pm »

Hallo Franco

Vielen Dank für die Abklärung und sorry für die späte Antwort.

Jos sagte der geladene aesni.ko hat messbare Performancevorteile für AES-GCM. In FreeBSD 11.0 wird das auch noch gleich doppelt so schnell als aktuell in 10.3.

Tönt gut!
Wenn ich das richtig verstehe profitiert nicht nur IPsec sondern auch SSH, TLS und dergleichen? Dann fände ich es auch gut aesni.ko per default zu laden. Oder ist das doof für Systeme ohne AES-NI? So von wegen "lade nur was effektiv benötigt wird" wegen weniger Ressourcenverbrauch, Angriffsfläche, Nebenwirkungen usw.
Falls aesni.ko nur für IPSec eine Rolle spielen sollte: Wie wäre es mit: Automatisch laden wenn IPsec aktiviert wird?
Sorry falls das dumme Fragen/Vorschläge sind, aber ich kenne mich damit null aus.
Oh, und vermutlich müsste man noch den Hilfetext entsprechend ergänzen, sonst werden vermutlich Tonnen Anfragen kommen wieso man AES-NI nicht mehr aktivieren kann.

Gruss, Stefan

90

German - Deutsch / Re: APU2 AES-NI nutzen / OpenVPN

« on: November 09, 2016, 12:42:34 pm »

Hallo Franco

Bei IPsec im Kernel weiß ich leider zu wenig, um eine qualifizierte Aussage zu machen. Jos oder Ad wissen da deutlich mehr, können aber kein fließendes Deutsch. Ich versuche mal eine Antwort einzuholen morgen.

Danke, das wäre cool.
Falls IPsec nicht von aesni.ko profitieren sollte frage ich mich für was man das Modul überhaupt (noch) laden/anbieten soll?

Wie wäre es mit einer Übersichtstabelle im Wiki mit: "Was in welchem Fall geladen/aktiviert werden soll"? Plus vielleicht noch eine Anleitung fürs jeweilige Benchmarking.

Gruss, Stefan