Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Topics - beclar2

Pages1
#1
21.7 Legacy Series / 21.7.6: Acme-Automations missing test button for sftp uploads
December 07, 2021, 08:08:29 AM
Hello,

I remember that previous releases had a test button for sftp uploads under ACME Client -> Automations.
Under 21.7.6 this button is missing on my system. Is this a bug or a feature?

Thanks
Beclar
#2
21.1 Legacy Series / 21.1.6 broke Firewall Live Log Filter?
May 29, 2021, 02:04:36 PM
Hi folks,

I am wondering if 21.1.6 broke Firewall Live Log filtering? The update adds a new template feature but the "+"-button (for adding filter criterias such as "action contains blocks") is not clickable anymore...

Thanks
Beclar
#3
Zenarmor (Sensei) / Sensei compatible with Wireguard kernel module?
April 10, 2021, 04:25:07 PM
Hi all,

I am quite new to Sensei and it looks very promising so far!

But I have a problem with the protection of Wireguard Interfaces: The Sensei engine doesn´t recognize any traffic on the Wireguard Interfaces (here wg0 und wg1). They can be activated as "Protected Interfaces" and they are shown unter Sensei - Status - Network Interfaces.

But all traffic counters of the wg-Interfaces rest at 0 and reports dont mention any Wireguard related activity.

I am on OPNsense 21.1.4 using wireguard-kmod (NOT wireguard-go userspace). Sensei Engine is 1.8.2, Routed Mode (L3 Mode, Reporting + Blocking) with native netmap driver.

Any hints what could be wrong?

Thank you very much in advance,
Beclar
#4
German - Deutsch / Multiwan Failover ohne Gateway-Group?
February 04, 2021, 08:07:47 AM
Guten Morgen,

ich bin Homeschooling- und Homeoffice-geplagter Familienvater und habe eine Verständnisfrage zur Einrichtung von Multi-WAN (unsere Internet-Anbindung soll redundant laufen, vorhanden sind Kabel-Internet und als Failover-Backup eine LTE/G5-Anbindung über einen LTE-Router).

Konkret: Braucht man für ein simples Failover zwischen zwei WAN-Upstream-Gateways eine Gateway-Group? Reicht es nicht aus, wenn man den Upstream-Gateways unterschiedliche  Priority-Werte zuweist (niedriger = bevorzugt bei der Auswahl als Default-Gateway) und unter Settings - General die Option "Allow default gateway switching" aktiviert? Nach meinen Verständnis müsste das Default-Gateway dann bei einem Ausfall automatisch auf das andere Upstream-Gateway gesetzt werden.

Meine Ausgangslage: Zwei WAN-Anschlüsse (Kabel und LTE-Router) = zwei separate Upstream-Gateways, für die ein Failover eingerichtet werden soll. Wenn der Kabelanschluss ausfällt, soll sämtlicher ausgehender Traffic über den LTE-Router geleitet werden. Wenn der Kabelanschluss wieder läuft (Gateway Monitoring geht wieder auf online), soll dieser wieder als Default Upstream genutzt werden.

Für beide WAN-Anschlüsse ist jeweils ein Upstream-Gateway eingerichtet, und zwar für Kabel-WAN mit einer Priorität von 254 (niedriger = bevorzugter bei der Auswahl als Default-Gateway) und für das LTE-WAN mit 255 (höher = nachrangig gegenüber Kabel-WAN bei der Auswahl als Default-Gateway). Außerdem ist "Allow default gateway switching" aktiviert.

Das offizielle Tutorial empfiehlt für ein Multiwan-Failover die Einrichtung einer Gateway-Group mit unterschiedlicher Gewichtung der Upstream-Gateways als Tier 1, Tier 2 und die Anpassung der Firewall-Rules, damit der Traffic über die Gateway-Group gelenkt wird.

Ist das überhaupt nötig? Oder kann man für ein bloßes Failover-Setup nicht die Firewall-Rules so belassen, dass jeweils das Default Gateway (also *) genutzt wird? Denn eigentlich müsste doch schon über die Option "Allow default gateway switching" das Default Upstream-Gateway passend gesetzt werden, wenn es bei zwei Upstream-Gateways zu einem Ausfall kommt. Die Auswahl des jeweiligen Upstream-GW als Default sollte doch über den Priority-Wert automatisch erfolgen (ähnlich Tier 1 und Tier 2 bei einer Gateway-Group)?

Falls sich zufällig jemand damit näher auskennt, würde ich mich über eine kurze Klarstellung freuen. Möchte mich vor einer Umkonfiguration erst informieren (planloses Ausprobieren ist derzeit schwierig, weil der Familienrat derzeit sehr empfindlich reagiert, wenn es dadurch zu Ausfällen kommt... )

Vielen Dank,
G.
#5
17.1 Legacy Series / Let´s Encrypt Package: certs/keys systemwide readable after "Test config"
March 19, 2017, 05:49:57 PM
Hi,

is it a desired behaviour of the Let´s encrypt Package that "Test config" makes certificates and keys readable for any user with shell access?

New certificates are stored under /var/etc/acme-client/home/name_of_the_certificate with owner root:wheel and permission 0750 (drwxr-x---). That means normal users with restricted shell access cannot access the subdirectory. So far, so good.

BUT: "Test config" via WebGui (Let´s Encrypt -> Settings) changes permissions of the directory to 0755 (=drwxr-xr-x). This makes the certificate, configuration and key file readable for any user with shell access.

Actually I can´t see any reason for this behaviour as "Test config" shouldn´t change any permissions.

Thanks
beclar2
#6
16.7 Legacy Series / flowd_aggregate crashes on 16.7.13 (KVM)
January 14, 2017, 03:41:37 PM
Hi folks,

I am running OPNSense 16.7.13 as VM under Proxmox. Everything works nice so far except Insight as flowd_aggregate doesn´t start.

Code Select
/usr/local/opnsense/scripts/netflow/flowd_aggregate.py console
results in
Code Select
Segmentation fault (core dumped)
Before the seg fault some .sqlite files are created in /var/netflow with 0B file size.

flowd seems to be working... flowd-reader /var/log/flowd.log shows nice data.

Are there any known issues with flowd_aggregate (or python2.7) under Proxmox/KVM?

Thanks in advance!

EDIT:Just for the records: Here is another thread about this issue.
#7
General Discussion / DHCP Static Mappings as Aliases?
September 22, 2016, 10:46:20 PM
Hi folks,

I have entered a lot of DHCP Static Mappings and now it´s time to set up firewall rules for these clients. Is there any way to set (or export) DHCP Static Mappings as Firewall Aliases?

Thanks in advance,
beclar2
#8
16.7 Legacy Series / HAProxy: GUI creates wrong config for Frontend?
September 18, 2016, 08:52:57 AM
Hi,

I´am new to OPNsense, but maybe I found a little bug in the HAProxy-Plugin:

When you choose "SSL /HTTPS (TCP Mode)" as type for a frontend, the config file states "mode ssl" for this frontend. This brings up a fatal error (unknown mode).

Greets
beclar2
Pages1