Messages

Scheint ja über /conf/config.xml zu laufen ....

Ich habe zudem versucht, die LAN-Schnittstelle neu zu konfigurieren, da die Netzmaske nicht mehr stimmte. Der Assistent läuft zwar durch, aber am Ende kommt das "Writing Configuration" nie zum Ende. Wenn man das dann irgendwann abbricht, steht da weiterhin die alte Adresse. Daher auch hier die Frage: Wo ändert man das manuell?

Hallo.
Ich kann aus bestimmten Gründen im Moment nicht per LAN auf das Webinterface -- ich denke, weil das Gateway auf der OPNSense-FW nicht mehr stimmt. Es funktionieren weder ping, noch ssh noch http/https.

Wenn ich mich direkt auf der FW einlogge, funktioniert aber ein ping ins Internet, nur nicht ins LAN. Da ich also auch nicht auf das Webinterface gelangen kann, müsste ich wissen, wo man unter OPNSense das Gateway *direkt* eintragen/ändern kann?

Danke für einen guten Tipp.

Hi. I didn't read the whole thread ... so don't know if it's already listed here.
I tried to create two wireguard endpoints. The first one with 100.64.0.10/24 works but the second one with 100.64.0.11/24 only works when I choose the pub/priv keys of the first endpoint.
Moreover: When I clicked the "Save" button in the webUI the whole OPNSense VM crashed and rebooted. The warning "alpha software" is clear ... but is this already a known issue?
Thanks.

Hi.
Ausgewählt ist dort : "Alle (empfohlen)" -- also der default-Wert.

Ich habe aber mittlerweile gesehen, dass selbst auf dem CLI ein "11 Reload all services" dazu führt, dass ich das WebGUI nicht mehr erreichen kann.  In der Log-Datei steht nichts ungewöhnliches:  "lighttpd server..c.1464 server started (lighttpd/1.4.53)"

Es scheint aber mit dem lighttpd etwas nicht zu stimmen -- ich weiß nicht, wie ich den Service manuell neu starten kann, aber ich habe es mit "service lighttpd onestop/onestart" versucht und erhalte dann:

"(network.c.166) warning: please use server.use-ipv6 only for hostnames, not without server.bind / empty address; your config will break if the kernel default for IPV6_V6ONLY changes.
(aber dann weiter)
can't bind to socket: [::]:80 Adress already in use".
Das ist ja immerhin ein Anhaltspunkt?!? Allerdings habe ich IPv6 meines Wissens überhaupt nicht benutzt -- daher ist mir weiterhin nicht klar, was bei meinem OPNSense schief gegangen ist?

Und noch eine Beobachtung: Wenn ich per CLI dem LAN-Interface per "2 Set interface IP address" neu
zuweise, klappt der Zugriff manchmal -aber nicht immer- wieder. Seltsam, oder?

Letzte Beobachtung: Gerade nochmal "OPT1" aktiviert, bei der Beschreibung in "WLAN" umbenannt und die Ändreungen übernommen. Zugriff auf WebGUI ist wieder weg. Auch der o.g. Umweg, dem LAN die Adresse neu zuzuordnen, klappt jetzt nicht mehr. Wenn das geschieht, gehe ich auf den letzten funktionierenden Snapshot (alles unter Proxmox) zurück ...

Neue Ideen, woran es liegen kann? Danke nochmal.

Hallo.
Ich habe nun des öfteren festgestellt, dass OPNSense Probleme macht, wenn man die Interfaces bearbeitet bzw zuordnet bzw Adressen zuweist. Das habe ich zunächst alles per CLI gemacht – später dann auch per WebGUI. Ganz am Anfang läuft das problemlos; aber sobald man an den Interfaces etwas ändert, gelange ich nicht mehr auf die WebGUI (egal ob Port 80 oder 443).
Ganz einfaches Beispiel: In den Settings zum LAN hatte ich bei "Beschreibung" eingetragen "LAN_gruen" und bei WAN entsprechend "WAN_rot" um die gleichen Bezeichnungen wie im IP-Fire zu haben. Das reichte schon aus ... danach war das WebGUI auch nach Neustart nicht mehr zu erreichen.
Danach hatte ich dann noch zwei OPT-Interfaces hinzugefügt (für WLAN und DMZ) – gleiches Spiel. Hat jemand eine gute Erklärung?
Ich hatte übrigens alle Interfaces per DHCP und ohne IPv6 konfiguriert. Alle haben also eine gültige IP-Adresse und ich komme auch über das CLI raus... ach ja: und "pgrep lightttpd" liefert eine ID. ...

Danke.

Ich habe die aktuelle Version bzw habe ich das Upgrade laufen lassen und bin bei 19.x (kanns gerade nicht genauer nachsehen)
Beim Generieren der Voucher habe ich ein Dropdown Menu, in dem die Gültigkeit steht. Da sind nur die fest voreingestellten Werte. Aber ich schaue morgen nochmal nach. Wäre ja schön, wenn das ginge.

Und wo ich schon frage: Kann man auch die Mehrfachnutzung festlegen - z.B. "Dieses Voucher soll von x Geräten gleichzeitig nutzbar sein".?

Der Ausdruck läuft ja über eine CSV-Datei, die man mit einem anderen Programm weiterverarbeiten muss. Geht das nur so oder gibt es auch da eine Alternative wie zB. einen direkten HTML-/PDF-Export oder was auch immer?
Danke.

[tief]

Ok, dann teste ich es nochmal auf die andere Art & Weise.
Ich hatte schon befüchtet, dass ich tief ins System eingreifen muss;  /boot/loader.conf  --> net.inet.tcp. Einstellungen, aber das kann ich mir dann hoffentlich sparen?!

Es sind übrigens ganz normale Intel X520-DA2 10GBE Karten. Die dürften ja voll unterstützt werden??

Hi.
Ich habe mich mit dem Captive Portal von OPNSense befasst (so wie es in der Anleitung steht). Das klappt zwar alles, doch ich hätte gerne ein Zeitlimit für ein Voucher von 100 Minuten. Der kleinste einstellbare Wert liegt im Moment bei 4 Stunden. Hat jemand einen Tipp, wo man das hinzufügen kann?

Die zweite Frage betrifft den Zugang: Mir würde es der Einfachheit halber völlig ausreichen, wenn als Voucher NUR ein Zugangspasswort bzw ein kurzer Zahlencode möglich wäre. Diese Mögichkeit habe ich bisher nicht gefunden. Nicht vorgesehen?
Danke.

https://wiki.opnsense.org/manual/captiveportal.html

Ok, dann messe ich zwar anders als ich bisher gedacht habe, aber dein Vorschlag geht in die gleiche Richtung, wie es auch hier steht:
https://docs.netgate.com/pfsense/en/latest/packages/iperf-package.html

"iperf ... is NOT a suitable way of testing firewall throughput, as there is a significant difference between performance of traffic initiated or terminated on the firewall and traffic traversing the firewall."

Du solltest immer den Traffic DURCH die Firewall messen, also hinter die OPNsense ein Gerät mit 10G was den Traffic misst.

... und wenn du mir jetzt noch verrätst, wie ich das auf der Konsole mache?
Ich habe einfach iperf3 nachinstalliert und direkt die IP vom anderen Rechner verwendet. Ob das nun über die FW läuft oder nicht, kann ich so nicht sehen, oder??

hmm .. und woher weiß man dann, dass die Ergebnisse vom klasssichen iperf valide sind? ("Wer misst, misst Mist"?)
Es gibt ja auch noch netperf ... finde ich aber unter "pkg search" nicht. Gibt's das für FreeBSD nicht?

Hallo.
Wir haben neuerdings folgendes Setup als Teststrecke aufgebaut:

Code Select Expand


Rechner 1 (OPNSense FW)  <<-->> 10 GBit Switch (Cisco SG350X) <<-->> Rechner 2 (Proxmox)
Beide Rechner verfügen über eine intel 10 GBit NIC und sind mit LWL zum Switch verbunden.

Nun habe ich die Performance der 10 Gbit-Strecke mit iperf3 gemessen und festgestellt, dass OPNSense die 10 GBit ziemlich ausbremst. Ich komme nur auf 3 GBit Durchsatz. Das kann ich deshalb so genau an OPNSense festmachen, da ich anschließend auf diesem Rechner ein GRML vom USB-Stick gebootet habe, um in Ausschlussprinzip arbeiten zu können. Mit GRML kamen wie erhofft sofort 9.x GBit Durchsatz bei der iperf3-Messung heraus.

Nun habe ich bereits auf dem Switch Jumbo Frames zugelassen und auch schon mit

Code Select Expand

ifconfig ethX mtu 9000 up auf beiden Rechnern experimentiert. Es bleibt aber immer dabei: Sobald ich mit OPNSense messe, erhalte ich 3 GBit -- mit anderen Distributionen (Ubuntu, Knoppix, GRML, Proxmox) komme ich auf 10 GBit. Die Hardware ist demzufolge also in Ordnung.
Die Frage ist nun: Woran liegt das bzw woran muss ich drehen, damit auch FreeBSD die volle Bandbreite zur Verfügung stellen kann?
Danke für einen guten Tipp.

Hi. Ich hatte bisher immer ein VLAN untagged mit auf der Leitung, damit bei uns folgendes klappt:
an allen Switches auf Port X --> VLAN.2 untagged, Rest.tagged --> direkter Zugriff auf das VLAN.2 möglich
Natürlich könnte ich auch alles tagged lassen; bin aber noch unentschlossen, welche Weg der beste ist ...

Hi.
Ich bin dabei, unsere Firewall zu ersetzen. Zuvor lief hier IPFire -- jetzt soll OPNSense her. Im Moment ist es so, dass von einem Layer3 Switch eine 10 GBit Leitung zur Firewall gehen soll. Auf der Leitung sind alle VLANs tagged drauf (und natürlich ein VLAN untagged). Nun habe ich unter OPNSense zwar gefunden, wie ich VLANs einrichte aber nicht, wie ich die tagged/untagged VLANs auf dem Interface festlegen kann?!?
Wer kann mir den richtigen Wink geben? Mit einer "Brücke"/"Bridge" hat das nichts zu tun, vermute ich?
Danke für einen guten Tipp.

Ja, das war's tatsächlich!
Seltsam war allerdings dass die Installation vom USB_Stick sofort durchlief (auch im EFI-Modus) -- wohingegen sie bei der CD an der Stelle hing. Aber das System ist jetzt drauf ...