Recent posts

#1

General Discussion / does anyone currently have Met...

Last post by DEC670airp414user - Today at 12:57:23 PM

I have been a Opnsense customer since i purchased my DEC670 appliance.  and each year purchased the business license as a home user i believe i am on my 3rd license.
long story short when i first signed up for Metronet fiber the Nokia ONT and my DEC670 would never stay connected.   I ended up Needing the service to work so i read that a static IP address would be the fastest route, so i signed up.
Metronet is now moving to Tmobile Fiber internet, and rumor is static IP addresses are going away.    which could cause me issues.

is anyone on this forum in the United States and fall under this same scenario but using the non static IP service/  CGNAT?    and is your service working with no alterations to Opnsense?
thanks

[ACME-Server]

#2

German - Deutsch / Re: Kann curl nicht auf die im...

Last post by meyergru - Today at 12:36:18 PM

Ich habe folgendes verstanden:

1. Du hast zwei interne CAs in OpnSense. Haken dran.
2. Diese können per ACME Zertifikate ausstellen. Wie das?

Bei 2 verlierst Du mich. ACME ist ein Protokoll/Verfahren, mit Hilfe dessen man Zertifikate ausstellen kann. OpnSense kann zwar Zertifikate ausstellen, unterstützt m.W. dazu aber nicht das ACME-Verfahren als ACME-Server. ACME wird nur per Plugin in der Rolle als ACME-Client, d.h. als Anforderer, nicht als Aussteller von Zertifikaten in OpnSense unterstützt.

Unabhängig davon werden in jedem Client natürlich nur die in der CA-Chain eingetragenen Root-CAs unterstützt. Wenn Du also auf einem Client per Curl irgend etwas abrufst, was von einer Deiner CAs ausgestellt wurde, musst Du auf dem entsprechenden Client auch die ausstellende CA eingetragen haben oder per Curl-Switch die Verifikation abschalten. Bei OpnSense selbst geht das elegant über "System: Trust: Authorities".

#3

25.7, 25.10 Series / Re: Adding a VLAN takes 26 cli...

Last post by bimbar - Today at 12:32:01 PM

I agree that this is not the best case for a bad UI, in other firewalls you would also have to do a lot of clicking to achieve this result.

However I would like to see some UI streamlining for firewall rules and aliases.

#4

German - Deutsch / Kann curl nicht auf die import...

Last post by u.n.known - Today at 12:19:06 PM

Hi,

ich hab zwei interne CAs (Vault). Die per ACME certifikate ausstellen können. Beide haben custom Zertifikate, die von der OpnSense ausgestellt wurden. D.h. die komplette chain ist in OpnSense verfügbar. Wenn ich nun über den ACME-Client ein Zertifikat von einem der Vault holen will, dann fällt das auf die Nase. Ich erhalte den Errorcode 60, der besagt, dass das Zertifikat nicht gültig ist. (CURLE_PEER_FAILED_VERIFICATION (60)).
Kann es sein, dass ich die Ca-Chain noch anders in OpnSense importieren muss? Das es über das Web-Frontend nicht reicht und curl damit die chain damit nicht nutzen kann?

Muss ich die Ca-chain noch irgendwo importieren? Also wie bei ubuntu über den update-ca-certificates prozess?

Danke für Tipps

m.

#5

German - Deutsch / Re: HA Cluster - keine Web-Ver...

Last post by Flar69 - Today at 11:33:31 AM

Es braucht eine Outbound NAT Regel am WAN für Source = 127.0.0.0/8, die die WAN IP als Translation verwendet.

Wenn ich die Regel so eintrage kann ich immer noch nicht zum Router oder ins Wan pingen.
Ändere ich die Quelle auf "Diese Firewall" kann ich den Router wie auch ins Web pingen - DNS funktioniert auch.

Leider werden mir beide Gateways immer noch als "Down" angezeigt.
Pinge ich die 8.8.8.8 per Diagnose an, funktioniert es.

Eine Suche nach Firmwareupdates läuft immer noch in den Timeout.

Sorry, wenn ich mich da etwas blöd anstelle. Natting habe ich noch nie so richtig verstanden.

Gruss
Ralf

#6

Zenarmor (Sensei) / Re: New device alerts

Last post by sy - Today at 10:36:39 AM

Hi,

Zenarmor displays new devices in the UI but does not send a notification. It includes a "Block Untrusted Device" feature that allows you to restrict network access for new devices.

#7

Zenarmor (Sensei) / Re: Zenarmor heavily relies on...

Last post by sy - Today at 10:28:30 AM

Hi all,

We apologize for the inconvenience caused. The issue occurred due to Cloudflare blocking our traffic after the downtime was resolved. The CTI server status should now be "UP" and fully operational again.

Zenarmor blocks DNS requests for domains without a categorization to enhance security. This is why internet traffic experienced slowness during the Cloud Threat Intel server issue.

Please feel free to reach out Zenarmor support team for any additional assistance.

#8

Zenarmor (Sensei) / New device alerts

Last post by xpking - Today at 10:04:31 AM

Dear all,

May I know if there is a new device detected, can I set something to send out email notification?
If zenarmor cannot do it, is it possible to do it in Monit or any other choices?
Thank you.

#9

German - Deutsch / Re: Keine mails nach Hosterwec...

Last post by meyergru - Today at 09:48:07 AM

Systematisch testen. Wird der zu erreichende Hostname korrekt aufgelöst (nslookup)? IPv4 und IPv6 (-query=A / -query=AAAA)? Falls nein -> DNS.

Kann man den Host pingen bzw. ist der für den Dienst zuständige Port geöffnet (nmap -Pn -pX -4)? A. von der OpnSense aus und b. vom LAN aus?

Falls A nein: Routing? Falls B nein: Firewall-Regeln oder NAT?

#10

German - Deutsch / Re: HA Cluster - keine Web-Ver...

Last post by viragomann - Today at 09:42:11 AM

Ist vielleicht mein Fehler, dass ich die WAN-IPs dann zusätzlich mit einer CARP-Adresse (x.x.101.3 und x.x.102.3) versehen habe?

Wenn du 2 OPNsense parallel im HA betreiben möchtest, ist das schon nötig.

Wenn die CARP dann auf der Backup down ist bekomme ich keine Verbindung mehr zum Router?

Eine mögliche Ursache dafür könnte auch sein, dass du keine Outbound NAT Regel für die FW selbst hast, also lediglich eine Regel, die alles auf die CARP umsetzt, und die ist natürlich für die Backup nicht verfügbar.

Es braucht eine Outbound NAT Regel am WAN für Source = 127.0.0.0/8, die die WAN IP als Translation verwendet.
Wenn du IPSec betreibst, brauchst du zusätzlich eine Regel für Zielport 500 mit statischem Port oberhalb dieser.

Grüße