Recent posts

#1
General Discussion / Partition or not?
Last post by tbone56 - Today at 05:32:14 PM
I have just purchased a miniPC with 512gb SSD and installed OPNSense on it.

I see that OPNSense is only using 1gb of the disk.

The box is capable of a lot more, and I'm wondering if I should try to create another disk partition to install other software or just install to the main disk.

Maybe docker containers or something along those lines.

What would be the safest approach?
Thanks.
#2
German - Deutsch / Re: Glasfaser Plus + Telekom +...
Last post by moe.camp - Today at 04:55:00 PM
Ich wollte das Zyxel SFP testen, aber das geht gar nicht. Ifconfig sagt mal gar nichts, also so als wäre kein SFP Modul eingesteckt, oder es zeigt das modul mal kurz an:
# ifconfig -v ix0
ix0: flags=28943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST,PPROMISC> metric 0 mtu 1500
        description: WAN (opt1)
        options=4803828<VLAN_MTU,JUMBO_MTU,WOL_UCAST,WOL_MCAST,WOL_MAGIC,HWSTATS,MEXTPG>
        ether a8:b8:e0:0a:58:54
        inet 10.10.1.2 netmask 0xffffff00 broadcast 10.10.1.255
        media: Ethernet autoselect
        status: no carrier
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        drivername: ix0
        plugged: SFP/SFP+/SFP28 1000BASE-LX (SC)
        vendor: ZYXEL PN: PMG3000-D20B SN: S234105500411 DATE: 2015-05-25
        module temperature: 0.00 C voltage: 0.00 Volts
        lane 1: RX power: 0.00 mW (-inf dBm) TX bias: 0.00 mA
Manchmal auch ganz kurz mit sinnvollen Werten bei temperature und voltage, dann aber wieder lange Zeit nichts nach drivername, also so als würde eben kein Modul stecken. Und das immer im Wechsel.

Was ist denn das? Muss/kann man das Modul auf eine bestimmte Geschwindigkeit setzen, aber wenn ja wie?
#3
We have had the same issue on various opnsense installations since the update to 25.7.10-amd64.
The ZIP files are only 0 kilobytes in size when exported. There is no error message and nothing can be found in the logs.

It also looks as if only the export type: Archive Download is affected; all other exports deliver files that are larger than 0 kilobytes.

Does anyone have any idea how to debug this? Is there a php error log or something like that? The web GUI log shows no errors.

Cheers,

lownoize
#4
Das betrifft einzig und allein das Legacy UI für OpenVPN. Instances wird weiter gepflegt! Wie ich schon schrieb!


Edit, um es noch mal zu verdeutlichen: die eingerahmten beiden Menüpunkte werden verschwinden. Sonst nichts. Über "Instances" kannst du weiterhin OpenVPN-Verbindungen konfigurieren.
#5
German - Deutsch / Re: Komplizierte Routing Umgeb...
Last post by HelmutS - Today at 03:15:23 PM
Vielen Dank für die schnelle Information, in der GUI gibt es einen Warnhinweis: This component is reaching the end of the line, official maintenance will end as of version 26.1.

Daher war meine Idee jetzt umzustellen und dann parallel mal die zusätzliche Änderung auf IPV6 zu machen. Auch nicht so einfach, da ich mit local IPV6 IOT Konten immer mal wieder ins Internet muss. In diesem Bereich muss ich noch einem Menge lernen um meinen Netze entsprechend zu trennen.

Ich werden mal versuchen die Custom Rules über die Floating Rules abzudecken.
#6
General Discussion / [SOLVED] Console Access/Protec...
Last post by dgrns - Today at 03:08:24 PM
So the issue went away after the connected host was updated. Thought it was gone for good, but.... It re-occurred again this morning.

So I have figured out what's causing it; 100% repro.  Not sure if on the host side or opnsense side, but here's the repro and work-around (debian host, opnsense 15.7.10)

using screen /dev/ttyUSB0 115200When exiting:
- C-a d (detach) - when reattaching the console is corrupted and has the character loss issue
- C-a K (kill) - the console exits cleanly and can be reconnected to without any issues

Recovery
1. reboot host :(
2. Reset host port using

echo "<devinfo>" | sudo tee /sys/bus/usb/drivers/usb/unbind
sleep 1
echo "<devinfo>" | sudo tee /sys/bus/usb/drivers/usb/bind
The host port devinfo can be retrieved using: udevadm info --name=/dev/ttyUSB0 | grep DEVPATH and using the last numbers before the `:`
i.e. if udevadm returns
DEVPATH=/devices/pci0000:00/0000:00:01.1/0000:01:00.1/usb1/1-2/1-2.1/1-2.1:1.0/ttyUSB<X>/tty/ttyUSB0
use 1-2.1
#7
Hi everyone,

I'm using OpnSense since some years now and I really like it. I've started using the Wireguard VPN for road warriors (laptops and smartphones), I like the Peer generator feature, but the "endpoint" parameter is empty and the DNS parameter is absent.

Is there a way to modify the template that is used in the generated setup text so that the endpoint would be initialized with my desired value "vpn.mydomain.tld:12345", and the DNS parameter in the [Interface] section would be set to 10.1.2.3 (IP of my DNS server) ?

So that I don't need to modify this manually each time I create a peer.

Thanks a lot
#8
OpenVPN wird selbstverständlich weiter gepflegt. Ist ein Kern-Bestandteil von OPNsense. Welche Info meinst du?

Was in 25.7 bereits entfallen ist, ist das Legacy UI, das durch das Instances UI abgelöst wurde.

Also bleib doch einfach bei OpenVPN. Es scheint ja für deine Anwendung gut zu funktionieren.
#9
German - Deutsch / Komplizierte Routing Umgebung
Last post by HelmutS - Today at 02:38:46 PM
Liebes Forum,
vielleicht habt ihr eine einfache Idee zu folgender Routing Umgebung. Meine Lösungsidee bisher: Tags einführen und dann auf Basis von Tags routen. Dies ist laut Internet mit Einstellungen in der Datei /usr/local/etc/pf.conf.customs und enabling von "Enable pf customs Options" möglich. Leider habe ich dies in der aktuellen Version aber nicht mehr gefunden.
Umgebung die aktuelle ist und funktioniert:
Zu der Umgebung. OPNsense hängt an eine 1&1 LanAnschluß über ppoe wird damit eine default route 0.0.0.0/0 aufgebaut.
Über eine OPNVerbindung wird eine Client Verbindung zu Portunity aufgebaut (Feste IP) für den VPN Client. Die IP des Clients wird dann über 443 an einen Webserver geleitet und port 25 an einen Mailserver. Jeglicher Traffic geht sauber zurück. Für Mails die von Innen nach aussen gesendet werden müssen, stellt eine Reply-TO Regel sicher, dann der Mail Traffic über den OpenVPN Tunnel gesendet wird und nicht über den Default Gateway. Dies ist wichtig wegen dem Reverse Lookup des Mailservers.
Lt. Info wird aber OpenVPN ab 26.1 in der GUI nicht mehr gepflegt, daher will ich die Verbindung auf einen WireGate Tunnel ändern. Portunity unterstützt aber in dem Wiregate Fall nur die Tunneloption FullTunnel (Allowed-IP 0.0.0.0/0). Dies führt nun dazu, das ich plötzlich eine weitere Default Route mit 0.0.0.0/0 im System habe. Dies lässt sich leider auch nicht ändern.
Nach Gesprächen mit dem Provider ist die Lösung wohl den Traffic zu taggen. Als was durch den Tunnel muss erhält ein Tag über eine Firewall Rule, alles andere ist nicht getaggt. Um diese jedoch umzusetzen braucht man die PF.Custom Rules.

Nun meine Frage: Weis einer wo die Einstellungen zu den Custom Rules in der aktuellen Version sind? Bzw. gibt es eine einfache Lösung die ich übersehe?. Am Rande vielleicht noch, die default Rules auf beiden Interfacen sind dynamisch.
#10
I am currently running mine under 5353 and I have no issues with that so it is likely not a port conflict.  What error are you getting in the DNSCrypt Genral log in the services section of the web GUI?   
I had the same issue with it not starting, and it turned out to be that I did not have the Secure DNS servers listed in both sections of the GUI config.  Here is how to add them.

1. Go to this list or other site and select the Secure DNS servers you want to use https://github.com/DNSCrypt/dnscrypt-resolvers/blob/master/v3/public-resolvers.md  (I chose a few providers since DNSCrypt will select the fastest server)

2. In the Web GUI go to DNSCrypt Proxy section under services then select Configuration then the Servers Section

3. In the servers section you will want to  add a new server, Type in a unique name for the the server and then paste the SDNS ID (you do not need the sdns://) then Save it.  Repeat this for each server you wish to use. Make sure you note the names of the servers since you will need it for the next step

4.  Go to the general tab of the configuration page and scroll down to the Server List section and add the names of the servers you created in the previous and save.   

5, Try starting the service and see what the log says.