Recent posts

#1

German - Deutsch / Re: OpenVPN-Einrichtung: Probl...

Last post by viragomann - Today at 07:47:02 PM

Wenn du eine öffentliche IPv4 vom ISP bekommst, würde ich annehmen, dass man darauf von außen auch zugreifen kann. Aber das kann natürlich vom jeweiligen ISP abhängen.

Timeouts sind klar, solange kein Dienst auf deiner Seite die Verbindungsanfragen beantwortet. Deshalb ist hierfür Packet Capture meine erste Wahl. Das zeigt einfach nur mal, ob ein Paket zur OPNsense durchkommt.
Du kannst ein Packet Capture auch laufen lassen, während du einen Test mit einem Portscanner machst. Einige Portscanner verraten auch gleich vorweg ihre Quell-IP, so dass man diese in den Capture Filter setzen kann, um andere Verbindungen raus zu halten.

Kommt da gar nichts, lässt wahrscheinlich der ISP nichts durch.

#2

General Discussion / Re: Extended Blocklists are no...

Last post by Patrick M. Hausen - Today at 07:46:35 PM

Your post is a bit confusing because according to the documentation the Extended Blocklists are a Business Edition only feature. So if you upgraded from Community Edition to BE you they should have not been available before and should be now.

Now if you actually "upgraded" a BE installation to a newer CE one, that would explain why the feature is now gone.

#3

25.7, 25.10 Legacy Series / Re: in dnsmasq dhcp: leases: b...

Last post by Patrick M. Hausen - Today at 07:41:31 PM

Kea just got that feature - deleting leases.

#4

German - Deutsch / Re: OpenVPN-Einrichtung: Probl...

Last post by turnschuh - Today at 07:14:44 PM

Hallo,
die ISP-IP ist der opnSense zugewiesen, da diese der Router ist. Die Fritzbox hängt nur als Client in dem LAN. Gehe ich mit einem PC aus dem LAN ins Internet, sind alle Seiten aufrufbar.
Ein Portcheck auf SSL, IMAP etc. liefert immer ein Timeout, da ich ja keine lokalen Dienste ins Internet stellen möchte. Daher denke ich, dass dies ok ist: nur Verbindungen von innen nach außen sind erlaubt. Einzig das Open-VPN soll von außen zugänglich sein.

#5

German - Deutsch / Re: OpenVPN-Einrichtung: Probl...

Last post by viragomann - Today at 07:03:04 PM

Hallo,

Einen dyndns-Dienst habe ich ebenfalls aufgesetzt und dieser liefert auch zu meiner Domäne die aktelle ISP-IPv4-Adresse.

und welchem Gerät ist die IP auf deiner Seite zugewiesen? Der FritzBox oder der OPNsense?

Ich vermute der FB. Das würde heißen, diese ist als Router konfiguriert.
Hast du dann den Traffic auch auf die OPNsense weitergeleitet bzw. diese als "Exposed Host" gesetzt?

Gehen andere Ports durch, wie Port TCP 80, 433? Das kannst du dann auch mit typischen Portscannern überprüfen.

#6

25.7, 25.10 Legacy Series / Re: in dnsmasq dhcp: leases: b...

Last post by bernieo - Today at 07:00:45 PM

To add my tuppence worth, it is very annoying when configuring things like IOT devices or some so-called smart devices, where you have to let it get assigned a lease, then try to change it to the address you actually want, particularly if you want a static reservation. Some of these devices do not display a MAC so you have no choice but to allow a DHCP discovery first.  It plays havoc with my Homeassistant and expensive WiZ bulbs, for example.

Fake or not, I hope something is sorted in the GUI.

#7

General Discussion / Extended Blocklists are not ac...

Last post by Guido 223 - Today at 06:28:03 PM

Hi,

I upgraded to the Business version today, but I can't access the "Services: Unbound DNS: Extended Blocklists" menu; it's missing from the GUI.

The previous "Services: Unbound DNS: Blocklists" feature no longer seems to work.
Websites now display ads, e.g., from doubleclick.net. The tester correctly returns "Block," but the blocking does not work.
{
  "status": "OK",
  "action": "Block",
  'policy': {
    "source_nets": [],
   
"address": "0.0.0.0",
    "rcode": 0,
    "description": "Steven Black List",
    'id': "beee638e-a1e0-40b8-a405-4d93f1023a57",
   
"passlist": ".*localhost$",
    "prio": 3.402823669209385e+38,
    "hidx": 0,
    'bl': "sb"
  }
}

What can I do to get the blocklists working again?
And how to access the Extended Blocklists?

#8

Intrusion Detection and Prevention / Bypass SURICATA RTP-Ports

Last post by hebein - Today at 05:55:50 PM

Hello,
I am looking for a solution to bypass suricata with ports 10000:20000 (RTP) / UDP.
I have to many false alerts/blocks on those ports.
I am using the newest Opnsense / Business Version on a DEC750

Kind regards,
Gunther

#9

German - Deutsch / Re: OpenVPN-Einrichtung: Probl...

Last post by turnschuh - Today at 05:48:24 PM

Hallo zusammen,
vielen Dank für eure Antworten und den Hinweis mit den Portscanner bei UDP-Paket, dessen ich mir gar nicht bewusst war.
Nun habe ich heute mal endlich wieder Zeit gehabt und den Packet Capture am WAN laufen gelassen.
Dabei habe ich das Handy als WLAN-Hotspot verwendet und mich mit dem Client verbunden. Der Client ist ein aktuelles Debian 13 (Trixie) mit dem Networkmanager OpenVPN-Client aus dem Debian-Repository.
Bei Auswertung des Packet Capture war kein einziger Request auf Port 1194 vorhanden. Demnach werde ich beim ISP nachhaken, ob sie mir da weiterhelfen können, aber viel Hoffnung habe ich da nicht, da sie nur Support für ihre ausgegebene Fritzbox-Konfiguration geben.
Ich selbst bin dabei, die Fritzbox soweit wie möglich aus dem Heimnetz zu verdrängen, aber sie wird eben noch für mein Analog-DECT-Telefon benötigt.
Ansonsten ist die opnSense der Einstiegspunkt zum Heimnetz und verteilt von hier aus auf LAN und WLAN.
Ich werde die nächsten Tage, wenn etwas Zeit ist, die nächsten Punkte aus euren Vorschlägen weiter mir durchgehen.

@trixter:
- klappt deine DNS-Auflösung? (zb zu Testen per Hotspot auf dem Handy) --> ja, sowohl mit dem Handy als auch mit der opnSense sind Webseiten aufrufbar
- läuft deinn OpenVPN wirklich auf 1194? --> ja
- hast Du schon eine Regel auf WAN, welche Port 1194 (UDP/TCP?) freigibt? --> ja, aber vielleicht hat sie das Problem, da ich kein Match im Log sehe
Hier ist die Regel:
- Interface: WAN
- Quick: yes
- Action: pass
- Direction: in
- Version: IPv4
- Protocol: UDP
- Source: any
- Source Port: any
- Destination: WAN address
- Destination Port: 1194
- Log: yes
- Gateway: None
Bei Gateway habe ich testweise auf WAN_PPPOE umgestellt, aber auch erfolglos. Weiterhin gibt es dort noch 2 Null-Einträge, aber 'default' wie in der Hilfe beschrieben, kann ich dort nicht auswählen und auch nicht eintippen.

#10

High availability / Re: opnsense proxyarp and Neig...

Last post by nollsclsh - Today at 02:25:08 PM

I setup opnsense HA with 2 servers, with proxyarp interfaces, but i have problem with proxyarp because both of opensenses advertise ARP from their interfaces and i had ARP confilect in my network and TTL expired in this problem(because some times master node found slave node mac address instead real mac address of IP),I tried resolve this problem with "Neighbors" and set the mac address of IP addresses statically.
but i found another problem ,in HA sync there isn`t any option for, master node sync "Neighbors" configs to backup node.
these are my questions:
1- can i use HA with proxyarp interface without set arp statically?
2- if i should use static arp, how can i sync "Neighbors" master and slave nodes? 

Has anyone from your contact successfully deployed OPNsense HA with Proxy ARP interfaces without running into ARP conflicts, and if so, what was the recommended approach to prevent both nodes from advertising the same IPs?