Messages

So könnte man es auch erklären ;)

PF arbeitet die Regeln von oben nach unten ab. Dabei werden oben die allgemeinen Regeln definiert (z. B. blockiere jeden Datenverkehr) und unten dann die spezielleren (erlaube HTTP auf Port 80). Danach kann man die Regeln noch einmal spezialisieren (z. B. einen einzelnen Host blockieren). Wenn man aber weiß, dass unten nichts mehr kommen sollte, kann man sich die weitere Verarbeitung sparen ("quick"). Die zuletzt von einer Regel gesetzte Aktion wird dann angewandt. Wenn die Regeln für die Schnittstellen nicht zutreffen, ändern sie den Status auch nicht.

PS: in den allgemeinen Einstellungen kannst du die Sprache der Konfigurationsoberfläche umstellen.

[Source]

Reihenfolge: https://github.com/opnsense/core/blob/master/src/etc/inc/filter.inc#L2884

This Firewall
   Was bedeutet das? 127.0.0.1/8 oder alle [IFACE] Adressen?

This Firewall: wird in der Konfiguration zu "self", welches alle zugewiesenen IP-Adressen enthält:
https://www.freebsd.org/cgi/man.cgi?pf.conf
https://www.openbsd.org/faq/pf/tables.html

[IFACE] net
   Siehe address, aber das ganze Subnet.
   Macht das Subnet als Regel-Source überhaupt Sinn? Es ist ja durch das Subnet eh gegeben?
   Ausser bei Zugriffen per externem port-forwarding auf das [WAN] Interface (Unterscheidet Quelle WAN-net oder Internet).

Ja, wenn da zum Beispiel ein Router ohne NAT betrieben wird.

Kurze Erklärung zum Schlüsselwort quick:
PF funktioniert nach dem "last Match"-Prinzip. Mit dem Schlüsselwort "quick" wird wie bei einer "first Match"-Firewall die weitere Verarbeitung abgebrochen. Regeln für die Schnittstellen sind immer "quick".


Damit können die Floating Rules vor und nach den Regeln für Schnittstellen zutreffen.

I have not read the full post but it could be a routing issue (if you have the same network on lan and wan). In such a case it does not know that those are different networks and it can be sent to the wrong one. It could be fixed by changing the network part of the address (for example by increasing the number in the 3rd byte by one if you use a /24 network).

For the RAID question: https://github.com/opnsense/ports/issues/24

The road map is now online: https://opnsense.org/about/road-map/

I am sorry but I cannot help in that case - maybe franco or ad can. Maybe they will need your /tmp/rules.debug

This should work if the AP is connected on the right interface and the device gets the right interface assigned. Can you check if you connected it to GUEST_LAN?

Sorry but I am confused about your post (I am not sure how your setup looks like). I did not have to create a single NAT rule for the usual stuff because with the default settings this works out of the box. The only NAT rules I configured are used for the transparent proxy. Filtering is done by the firewall.

Can you post your firewall rules and your NAT rules as well as the information if the private addresses are blocked?

You don't have a rule to pass the traffic so it is blocked. Look at your firewall rules ;)

I am using a self signed CA for that (should be in System > Trust). This CA signs a server certificate for the OpenVPN Server and at least one client certificate. After you set up the server you can download a configuration file generated for your client to use it with the server. This usually works. I did never use the wizard to create it. Can you retry it without the wizard?

Kind regards,

Fabian

I am not aware of such an oid but you can use the API for that.

You can find a samples here:
https://docs.opnsense.org/development/how-tos/api.html

The answer is no.

Hi Franco,

have not tested a lot with 3.0.1 but did not recognise any difference to 3.0.0.

Kind regards

Fabian

Als Plugin gibt es das nicht, aber du kannst versuchen, das mit der Squid config irgendwie hinzubekommen indem du zumindest Debian-Pakete im Cache zwischenspeicherst. Out of the Box geht das nicht.

Folgende Seiten helfen dir:
* http://www.squid-cache.org/Doc/config/refresh_pattern/
* https://forum.opnsense.org/index.php?topic=3595.msg12105#msg12105

Vielleicht hilft dir das hier: https://wiki.ubuntuusers.de/Lokale_Paketquellen/apt-cacher/