Messages

16

Zenarmor (Sensei) / Re: Massive problems since upgrade to version 22.10

« on: November 08, 2022, 08:41:22 am »

OPNsense runs on a Deciso DEC3840 Server.

The Logs from System -> Logs from today are attached.

Couldn't get the Audit-Log exported.
Since I tried to get the audit log System Status (the red point on top right on the webgui) says:
"Crash Reporter - An issue was detected and can be reviewed using the firmware crash reporter".

17

Zenarmor (Sensei) / Re: Massive problems since upgrade to version 22.10

« on: November 08, 2022, 08:24:41 am »

business!

18

Zenarmor (Sensei) / Massive problems since upgrade to version 22.10

« on: November 08, 2022, 08:08:54 am »

Hello,

Since the upgrade to version 22.10, we have unfortunately been struggling with several problems.

The update itself was still error-free.
Since then, however, there have been repeated problems:

• When restarting, OPNsense hangs forever (several hours) with the message "stopping eastpect. Waiting for PIDS: 5911". OPNsense could then finally be restarted with "shutdown -r now".
• Some VLANs could no longer be reached from other networks. Only after I had replaced all VLAN interfaces with new interfaces with the designation according to the scheme vlan0.xx were most of the networks accessible again.
• OPNsense permanently had massive latencies and even packet losses. The error only disappeared after I removed the tick from "Allow changing the default gateway".
• The OPNsense webgui gives the error message 503 Service Unavailable every day. Only a restart via the console makes the webgui accessible again.

I urgently ask for help. At the moment, one network is still not accessible.

19

Tutorials and FAQs / How to access an APIPA address from another network?

« on: October 21, 2022, 11:09:01 am »

Hello,

I have a modem from my provider that has an administration interface with a web interface with which the DSL status and some line values can be viewed.

However, the device can only be accessed via the fixed address https://169.254.2.1.

The modem is connected to the OPNsense in an own subnet.

Now I would like to be able to access the modem's web interface from other networks.
How can I achieve this?

20

Web Proxy Filtering and Caching / Re: NGinx tries to load individual certificate despite wildcard certificate

« on: October 17, 2022, 05:21:26 pm »

hope @psychofaktory will confirm too

Can confirm it works perfect with the fix.

A big thank you!

21

Web Proxy Filtering and Caching / Re: NGinx tries to load individual certificate despite wildcard certificate

« on: October 15, 2022, 11:10:57 am »

OK, I guess I spoke too soon.

When I then wanted to create another HTTP server (same setting, only different upstream and different subdomain), the error occurred again.

22

Web Proxy Filtering and Caching / Re: NGinx tries to load individual certificate despite wildcard certificate

« on: October 15, 2022, 11:03:29 am »

Found the error.

I had added the line "add_header 'Access-Control-Allow-Origin' '*';" for a previously created HTTP server in the nginx configuration via the xxxxxxxx-xxxx-xxxx-xxxxxxxx_post/*.conf.
This apparently led to the described error for all subsequently created HTTP servers.

After I removed the *.conf, the error disappeared.

23

Web Proxy Filtering and Caching / Re: NGinx tries to load individual certificate despite wildcard certificate

« on: October 15, 2022, 10:47:00 am »

hm. any messages (except "php_fpm already running?") if you run

Code: [Select]

/usr/local/opnsense/scripts/nginx/setup.php?

No.
Just "php_fpm allready running? (pid=56775)."

24

Web Proxy Filtering and Caching / Re: NGinx tries to load individual certificate despite wildcard certificate

« on: October 13, 2022, 08:17:40 pm »

maybe there are errors in the backend log?

Where can I find this log?

Or the "HTTPS Listen Address" is empty?

No, its exactly the same configuration as in all other HTTP-servers which are working.


Edit:
No entry in the backend log of OPNsense -> System -> Logs.

25

Web Proxy Filtering and Caching / [SOLVED] NGinx tries to load individual certificate despite wildcard certificate

« on: October 13, 2022, 01:31:58 pm »

Hello,

I have created a new HTTP server via the Nginx plugin. In the same way as many others before.
However, now I get the following error message for the newly created server after restarting the nginx service:

Code: [Select]

cannot load certificate "/usr/local/etc/nginx/key/subdomain.mydomain.tld.pem": BIO_new_file() failed (SSL: error:02001002:system library:fopen:No such file or directory:fopen('/usr/local/etc/nginx/key/subdomain.mydomain.tld.pem','r') error:2006D080:BIO routines:BIO_new_file:no such file)
The wildcard certificate (*.mydomain.tld) created via the ACME client was selected as the TLS certificate (as with the other HTTP servers).
The check mark for "Enable Let's Encrypt Plugin Support" is not set.

Where is the error and how can I force the use of the wildcard certificate?

26

German - Deutsch / Re: APIPA-Adresse routen

« on: September 15, 2022, 02:51:21 pm »

Hast du beim Port Forwarding die "associated firewall rule" auf "pass" gesetzt?

Ja, auch das hatte ich getestet.

Habe alles gemäß den Angaben im dem Thread hier nochmal komplett neu angelegt, aber ich bekomme es leider nicht hin Zugriff zu der Webkonsole zu erhalten.

Kurioserweise lässt sich das Gerät unter der 169.254.2.1 jetzt auch nicht mehr anpingen.
Zum Gegentest habe ich ein Notebook direkt an den Speedport gehängt. Von dort aus kam ich über die 169.254.2.1 auf die Webkonfig. Aber anpingen konnte ich auch vom Notebook aus nicht. Auch nach einem Neustart des Speedports.

Hier hat das was ich vorhabe wohl jemand auf einem Ubiquiti-Router hinbekommen.
Leider war ich aber auch nicht in der Lage die dort aufgeführten Befehle in Konfigurationsschritte für die OPNsense-GUI umzusetzen.

27

German - Deutsch / Re: APIPA-Adresse routen

« on: July 07, 2022, 03:57:10 pm »

• Du änderst die Adresse in VLAN 11 in 169.254.2.2/16.

erledigt

• Du legst eine NAT-Regel Outbound an, die alles, was richtung VLAN 11 geht, auf 169.254.2.2 (VLAN11_ADDRESS) NATet.
• Eventuell funktioniert es dann schon mit https://169.254.2.1

erledigt. Ein Aufruf direkt mit https://169.254.2.1 funktioniert nicht.

• legst du ein NAT Port Forwarding auf VLAN 20 an, das Port 9443 weiterleitet auf 169.254.2.1 Port 443 und dann
• rufst du im Browser https://10.20.20.201:9443 auf.

Woher kommt jetzt die 10.20.20.201?
Auch mit eingerichtetem Port Forwarding funktioniert ein Aufruf nicht.

Was mache ich falsch?

28

German - Deutsch / Re: APIPA-Adresse routen

« on: May 18, 2022, 06:47:49 pm »

Verzeiht mir bitte wenn ich begriffsstutzig erscheinen mag, aber ich bekomm es mit den Angaben einfach nicht hin.

Vielleicht verstehe ich es mit ganz konkreten Angaben wo es keinesfalls zu Missverständnissen kommen kann.

Ich habe folgende Gegebenheiten:

• Gruppe der Admin-Clients: 10.20.20.201/24@VLAN20; 10.60.60.201/24@VLAN60
• Schnittstelle zum Modem: 169.254.2.2/30@VLAN11
• Regel dass die Gruppe der Admin-Clients überhall hin zugreifen darf.
• IP-Adresse der OPNsense in jedem Subnetz ist jeweils die x.x.x.1
• Der Speedport der Telekom hat im Modembetrieb unveränderlich die IP 169.254.2.1
• Der Speedport liegt ebenfalls im VLAN11
• Ping von der OPNsense zum Speedport ist möglich
• Die Webkonfiguration des Speedports wird über HTTPS (Port 443, tcp) aufgerufen
• aktuell ist keine virtuelle IP angelegt
• die Webgui der OPNsense wird aktuell über Port 8443 aufgerufen

Welche Konfiguration ist nötig, damit die Gruppe der Admin-Clients auf die HTTPS-Weboberfläche des Speedports zugreifen kann?

29

German - Deutsch / Re: APIPA-Adresse routen

« on: May 18, 2022, 03:46:16 pm »

NAT - port forward - interface: LAN, port 8080 - destination APIPA vom Modem, port 80 - associated firewall rule pass.

Das LAN-Interface hat dabei eine beliebige interne "nicht-APIPA"-Adresse?

NAT - outbound - interface zum Modem - interface address

Mit Interface zum Modem ist dann das LAN-Interface aus der Port-Forward-Regel gemeint?
Mit Interface Adress ist die LAN-IP gemeint die ich der Schnittstelle vergeben habe?
Ist das dann die Zieladresse, oder "Übersetzung/Ziel"?

Wird nun noch eine virtuelle IP-Adresse benötigt?

30

German - Deutsch / Re: APIPA-Adresse routen

« on: May 18, 2022, 03:12:10 pm »

Entweder bringe ich hier etwas durcheinander, oder stehe total auf dem Schlauch 

Könnt ihr mir das Step-By-Step erklären?