Topics

Wie werde ich denn die Meldung sauber los?

there were error(s) loading the rules : /tmp/rules.debug:95:cannot define table Laender: cannot allocate memore - the line in question reads [95]: table persist file /var/db/aliastable/Laender.txt

Anbei ein Screenshot

faktisch ist es sind 6 IPSEC angelegt wovon leider wie hier bereits diskutiert keiner läuft...

ich versteh die Anzeige so gar nicht mehr

Hi,
ich stell mich glaube ich selten doof an
aber wie konfiguriere ich korrekt ein 1:1 Nat
brauche ich dafür eine Virtual IP? Der Versuch endete damit das die Firewall selber aufeinmal angesprochen wurde (das Portal) statt der Server der erreicht werden sollte

weiterhin wie kann ich sehen ob ein NAT eingetragen und verwendet wird?
ich habe ein Forwarding auf einer WAN Schnittstelle von Port 80 auf einen server hinter der Firewall auf Port 80 eingerichtet
brauche ich wenn auf der WAN Schnittstelle nicht die IP der Firewall verwende sondern irgendeine dort auch eine Virtuelle IP?

Danke

DHCP löst leider nicht mehr auf... fehler im log

failed to load names from /var/etc/dnsmasq-hosts: Permission denied

Hi ich hab ver. Statische Routen eingetragen. Nur beachtet OPNsense die nicht
Im Status werden die Routen auch angezeigt aber weder im Tracert noch sonst wie sind die IPs erreichbar...
die Route wird anscheinend nicht verwendet ?!

Bsp
ipv4   10.100.0.0/16   10.100.42.254   UGS   7   1500   em1_vlan700      
ipv4   10.100.42.0/24   link#21   U   4   1500   em1_vlan700      
ipv4   10.100.42.1   link#21   UHS   0   16384   lo0       
ipv4   193.29.196.0/22   10.100.42.254   UGS   0   1500   

Anbei die Ausgabe der Firewall selber bei traceroute

Code Select Expand

traceroute to 10.100.15.15 (10.100.15.15), 18 hops max, 40 byte packets
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
traceroute: sendto: No route to host
1  * * *
2  *traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
3 traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
4 traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
5 traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
6 traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
7 traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
8 traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
9 traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
10 traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
11 traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
12 traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
13 traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
14 traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
15 traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
16 traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
17 traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*
18 traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*traceroute: wrote 10.100.15.15 40 chars, ret=-1
*

is it right thats the update from 16.7.6 to 16.7.7 a restart?

thx

My Firewall isnt starting up

Searching bootorder for: /rom@genroms/pxe.rom

Press ESC for boot menu.

Searching bootorder for: HALT
drive 0x000f3280: PCHS=16383/16/63 translation=lba LCHS=1024/255/63 s=250069680
Space available for UMB: c1000-ee800, f0000-f3280
Returned 253952 bytes of ZoneHigh
e820 map has 7 items:
  0: 0000000000000000 - 000000000009fc00 = 1 RAM
  1: 000000000009fc00 - 00000000000a0000 = 2 RESERVED
  2: 00000000000f0000 - 0000000000100000 = 2 RESERVED
  3: 0000000000100000 - 00000000df175000 = 1 RAM
  4: 00000000df175000 - 00000000e0000000 = 2 RESERVED
  5: 00000000f8000000 - 00000000fc000000 = 2 RESERVED
  6: 0000000100000000 - 0000000120000000 = 1 RAM
enter handle_19:
  NULL
Booting from Hard Disk...
Booting from 0000:7c00
SeaBIOS (version rel-1.9.0.0-deciso-netboard-a10)
BUILD: gcc: (coreboot toolchain v1.33 November 25th, 2015) 5.2.0 binutils: (GNU Binutils) 2.25
Found mainboard Deciso Netboard A10
Relocating init from 0x000eb200 to 0xdf12ec20 (size 33600)
Found CBFS header at 0xffc00138
multiboot: eax=0, ebx=0
boot order:
1: /pci@i0cf8/*@14,7
2: /pci@i0cf8/*@11/drive@0/disk@0
3: /pci@i0cf8/*@11/drive@1/disk@0
4: /pci@i0cf8/usb@12,2/usb-*@2
5: /pci@i0cf8/usb@13,2/usb-*@1
6: /pci@i0cf8/usb@12,2/usb-*@1
7: HALT
Found 27 PCI devices (max PCI bus is 04)
Copying SMBIOS entry point from 0xdf17f000 to 0x000f3520
Copying ACPI RSDP from 0xdf190000 to 0x000f34f0
Copying MPTABLE from 0xdf1b4000/df1b4010 to 0x000f3320
Copying PIR from 0xdf1b5000 to 0x000f32f0
Using pmtimer, ioport 0x818
Scan for VGA option rom
EHCI init on dev 00:12.2 (regs=0xf7f08020)
Found 3 serial ports
AHCI controller at 11.0, iobase f7f07000, irq 0
EHCI init on dev 00:13.2 (regs=0xf7f09020)
EHCI init on dev 00:16.2 (regs=0xf7f0b020)
Searching bootorder for: /pci@i0cf8/*@14,7
Searching bootorder for: /pci@i0cf8/*@11/drive@0/disk@0
OHCI init on dev 00:12.0 (regs=0xf7f04000)
Searching bootorder for: /rom@img/memtest
AHCI/0: registering: "AHCI/0: TS128GSSD370 ATA-9 Hard-Disk (119 GiBytes)"
OHCI init on dev 00:13.0 (regs=0xf7f05000)
OHCI init on dev 00:16.0 (regs=0xf7f06000)
All threads complete.
Scan for option roms
Running option rom at c000:0003
pmm call arg1=1
pmm call arg1=0
pmm call arg1=1
pmm call arg1=0
Searching bootorder for: /rom@genroms/pxe.rom

Press ESC for boot menu.

Select boot device:

1. AHCI/0: TS128GSSD370 ATA-9 Hard-Disk (119 GiBytes)
2. iPXE (PCI 00:00.0)
3. Payload [memtest]

Searching bootorder for: HALT
drive 0x000f3280: PCHS=16383/16/63 translation=lba LCHS=1024/255/63 s=250069680
Space available for UMB: c1000-ee800, f0000-f3280
Returned 253952 bytes of ZoneHigh
e820 map has 7 items:
  0: 0000000000000000 - 000000000009fc00 = 1 RAM
  1: 000000000009fc00 - 00000000000a0000 = 2 RESERVED
  2: 00000000000f0000 - 0000000000100000 = 2 RESERVED
  3: 0000000000100000 - 00000000df175000 = 1 RAM
  4: 00000000df175000 - 00000000e0000000 = 2 RESERVED
  5: 00000000f8000000 - 00000000fc000000 = 2 RESERVED
  6: 0000000100000000 - 0000000120000000 = 1 RAM
enter handle_19:
  NULL
Booting from Hard Disk...
Booting from 0000:7c00

just what i get on console in front of the deciso board

Hi,
ich hab eine Liegenschaft per WLAN angebunden und würde gerne das grundsätzlich auf einem VLAN Laufen lassen. Soweit so gut kein Thema.
Aber diese Liegenschaft soll eigentlich teil eines bestimmtes Subnetzes sein - jedoch aus Sicherheitsgründen will ich max 3 oder 4 IPS (besser wäre noch MACs) durch lassen von dem VLAN "Liegenschaft" ins Zentrale VLAN "Gebäudetechnik".
Geht das mit Bridge? Jemand ne Idee?

Hi,
bei mir fällt nach einigen Tagen Betrieb der Status IPSec wieder weg. Keine Anzeige der aktiven Tunnel.
Tunnel funktionieren.
Neustart des Dienstes hilft...

Hi,
would be nice if the OTP is in a extra input field and that the fallback settings could be change like that not just only its possible to choice what is the fallback, it should be possible to determine on which scenario it comes to a fallback.
actually otp works - but the fallback seems to be possible every time :(

Hi,
ist ICMP default mässig immer erlaubt???? Kann man das irgendwo default mässig einstellen?

Hi,
FW ist die
OPNsense 16.1.14-amd64
FreeBSD 10.2-RELEASE-p14
OpenSSL 1.0.2h 3 May 2016

Ich wollte eine PPPOE als Default Gateway nach aussen haben - wenn ich das mache hab ich kein VPN mehr - welches auf einem anderen GATEWAY liegt-  kein Internet mehr...
die default route ist nicht eingetragen

Hi,
hab mich an die Anleitung https://docs.opnsense.org/ gehalten und für den Admin User das OTP eingerichtet - nur wie bring ich meiner Firewall jetzt bei dass sie OTP beim Login verwenden muss?

Das hab ich leider nirgends gefunden...

Hi,
wenn ich ICAP aktivere bekomme ich nur die Fehlermeldung

Der folgende Fehler wurde beim Versuch die URL http://www.google.com/search? zu holen festgestellt:


ICAP Protokoll Fehler.

Das System antwortete: [No Error]

Das heißt, dass etwas mit der ICAP Kommunikation nicht stimmt.

Mögliche Probleme sind:

•Der ICAP Server ist nicht erreichbar.


•Die Antwort des ICAP Servers war ungültig.

Hi,
was mach ich falsch
wenn ich IPS Aktiviere dann komme ich von aussen nciht mehr auf die FIrewall drauf
kein Portal, keine VPN...

Danke

Hi, versuche über ein Modem mich mit dem Internet zu verbinden. bis 16.1.5 ging das auch jetzt bekomme ich im Log zu sehen
Mar 7 11:52:12    ppp: [opt1_link0] PPPoE: Connecting to '1'
Mar 7 11:52:12    ppp: [opt1_link0] Link: reconnection attempt 18
Mar 7 11:52:09    ppp: [opt1_link0] Link: reconnection attempt 18 in 3 seconds
Mar 7 11:52:09    ppp: [opt1_link0] LCP: Down event
Mar 7 11:52:09    ppp: [opt1_link0] Link: DOWN event
Mar 7 11:52:09    ppp: [opt1_link0] PPPoE connection timeout after 9 seconds
welche Infos habe ich damit um den Fehler weiter ein zu grenzen?

Danke

Hi,
zum Verständnis muss ich noch mehr Freigeben in der Firewall als den Weg zum Port des Proxies auf der Firewall?
muss ich denen alles erlauben?

muss ich "Authentifizierungsmethode" etwas angeben? ich will ohne das der user sich anmeldet... einfach nur dazwischen als sperre für bestimmte seiten

und nochmals die frage - kann der proxy mit zwei netzen umgehen??? also zwei client netzen die auf den proxy zugreifen?

danke

Hi,
welche Interfaces müssen in der Einbruchserkennung drin stehen? doch nur die WANs oder???

Danke
Andreas

Hi,
ich frage mich gerade wie kann ich ein Failover Multiwan imt dem Squid nutzen?
der Squid ist ja kein Interface wo ich quasi die Standard Route mittels Firewall Rule umbiegen kann

Danke

Hi
im Anhang seht ihr meine Config History
ist das so gewollt das da immer steht unknown changed??? Find das dann ziemlich sinnfrei - sagt ja nur das da was gemacht wurde aber nicht was