"Recent posts
#1
Development and Code Review / Re: Delete one firewall rule o...
Last post by patient0 - Today at 09:07:41 AMAnswering myself: After diff-ing the two configs, there is an extra <rule> ... </rule> in the config file.
Right after </nat><filter> there is the wrongly added '<rule>' and before <scrubs> is the surplus closing </rule>.
Manually removing these two lines made the rules appear again in the GUI.
Right after </nat><filter> there is the wrongly added '<rule>' and before <scrubs> is the surplus closing </rule>.
Manually removing these two lines made the rules appear again in the GUI.
#2
German - Deutsch / Re: IPSec und NAT
Last post by JeGr - Today at 09:05:50 AMQuote from: Lucas P on December 02, 2025, 07:35:00 AMKlappt aber nicht. Muss die /32 IP zusätzlich als virtuelle IP auf das jeweilige Interface, falls ja welches?
Nein aber die 184 in eine zusätzliche Policy. Du definierst den Tunnel nicht mit Quelle 184.0/24 sondern mit der /32er IP weil sonst der Tunnel in P2 nicht hoch kommt. Du sagst ja dass nur das /28er erlaubt bzw. remote eingetragen ist. Dann muss das auch bei dir als lokal drinstehen. Dann muss es outbound NAT geben auf die /32er IP und das lokale Netz /24 muss dann als zusätzliche Security Policy für die Verbindung eingetragen werden, damit der IPsec Prozess die Pakete aufsammelt und übers VPN schickt.
Cheers
#3
German - Deutsch / Re: IT Security Experte Floria...
Last post by JeGr - Today at 09:03:09 AMGeht mir ähnlich wie das was Lucas und Bob schrieben. Die Seite sieht für mich auch nach maximalem Crypto-Bro-Level Telegram-Gruppe aus. Wer heute ernsthaft noch bei Security Themen Werbung macht, dass er 81k Leute bei TWITTER hat, ist schon hart an der Realität vorbeigeschlittert. Sich mit der Plattform noch zu profilieren ist hart daneben. Top 21 Security Twitter Accounts? Ernsthaft? Top 100 Cybersecurity Brands weltweit von irgendeinem Label was ich noch nie wirklich gehört habe?
Das sieht alles so aus wie diese Baukasten Seiten für die Mindset Coaches um richtig Kohle zu machen. Dazu Erfolgslabels von Firmen oder Gruppierungen, die man kaum kennt oder dies in der Form nicht mal mehr gibt. Sentinel ist AI, Onalytica und CISO sind B2B Influence BS Plattformen und Techbeacon gibts nicht mal mehr (leitet weiter zu Opentext).
Mag sein, dass der Mann was drauf hat. Aber die Page und die ganze Aufmachung gibt mir hart andere Vibes.
Das sieht alles so aus wie diese Baukasten Seiten für die Mindset Coaches um richtig Kohle zu machen. Dazu Erfolgslabels von Firmen oder Gruppierungen, die man kaum kennt oder dies in der Form nicht mal mehr gibt. Sentinel ist AI, Onalytica und CISO sind B2B Influence BS Plattformen und Techbeacon gibts nicht mal mehr (leitet weiter zu Opentext).
Mag sein, dass der Mann was drauf hat. Aber die Page und die ganze Aufmachung gibt mir hart andere Vibes.
#4
General Discussion / Re: Access HTTPs and SSH from ...
Last post by patient0 - Today at 09:00:33 AMDoes OPNsense get a fixed IP, 192.168.100.101 or is dynamic? Did you disable NAT on OPNsense?
Next step would be Diagnostics > Packet Capture on WAN for ICMP or TCP/22 or TCP/443 and try to access it from 'Internal Network'.
Next step would be Diagnostics > Packet Capture on WAN for ICMP or TCP/22 or TCP/443 and try to access it from 'Internal Network'.
#5
General Discussion / Re: Access HTTPs and SSH from ...
Last post by Albertk - Today at 08:50:20 AMYes, I am banging my head against the wall. I came from pfsense, so I know this should work.
#6
General Discussion / Re: Access HTTPs and SSH from ...
Last post by patient0 - Today at 08:37:42 AMThe rules do look absolutely OK. I assume you did press 'Apply changes'?
#7
German - Deutsch / Re: Verständnisfrage zu Portfo...
Last post by JeGr - Today at 08:36:52 AMQuote from: meyergru on December 01, 2025, 04:08:12 PMMit einem vServer wird das wohl eher schwierig... Virtualisierung per Proxmox auf einem Virtualisierungshost? Ich meinte schon einen echten Root-Server.
Geht recht problemlos. Natürlich nur mit LXCs innerhalb von Proxmox dann, aber kann man machen, wenn man bspw. VM-Handling, Backup & Co vereinfachen möchte. Ist eben etwas limitert. Aber für ein temporäres Setup jetzt nicht das wildeste was ich je gesehen habe :D
#8
Development and Code Review / Delete one firewall rule on WA...
Last post by patient0 - Today at 08:35:25 AMGood Morning,
On a OPNsense lab instance, I'm on latest DEV 26.1.a_621-amd64 and created a rule on WAN for ping. Afterwards I deleted that rule and boom, all firewall rules were gone, on all interfaces. That was ... surprising :). The firewall rules were created in the standard 'Rules', not 'Rules [new]'
That instance runs on Proxmox (which runs on a Hetzner root server) and has three virtual interfaces and Tayga: WAN (vtnet0), LAN (vtnet1), TEST (vtnet2) & Tayga.
If I delete one/any rule on WAN, LAN or TEST, all firewall rules on all four interfaces disappear in the GUI (also on Tayga). On interface Tayga deleting a rule does work normally.
In the config file the rules are present and do work, would indicate a GUI issue.
Is that something anyone else encountered? I can share the working and non-working config.
Adding, modifing, enabling/disabling rules does also work correctly.
On a OPNsense lab instance, I'm on latest DEV 26.1.a_621-amd64 and created a rule on WAN for ping. Afterwards I deleted that rule and boom, all firewall rules were gone, on all interfaces. That was ... surprising :). The firewall rules were created in the standard 'Rules', not 'Rules [new]'
That instance runs on Proxmox (which runs on a Hetzner root server) and has three virtual interfaces and Tayga: WAN (vtnet0), LAN (vtnet1), TEST (vtnet2) & Tayga.
If I delete one/any rule on WAN, LAN or TEST, all firewall rules on all four interfaces disappear in the GUI (also on Tayga). On interface Tayga deleting a rule does work normally.
In the config file the rules are present and do work, would indicate a GUI issue.
Is that something anyone else encountered? I can share the working and non-working config.
Adding, modifing, enabling/disabling rules does also work correctly.
#9
German - Deutsch / Re: 10G Hardware Empfehlungen
Last post by JeGr - Today at 08:33:57 AMQuote from: knebb on November 30, 2025, 01:15:09 PMOder bekommst Du wirklich 10GbE WAN Uplink? Wo ist das? Kann ich umziehen ;)
Überall in der Schweiz, wo Init7 liefern ;) Weiß nicht ob @bsch da her kommt, aber da bekommst dus garantiert und in super Qualität :)
#10
German - Deutsch / Re: Grundsatzfrage
Last post by JeGr - Today at 08:32:05 AMQuote from: meyergru on November 29, 2025, 11:38:15 AMGerade, wenn Du sowieso einen externen ONT hast und nur Gast-WiFi brauchst, wäre doch "Fritzbox hinter OpnSense" die perfekte Lösung - offen gesagt, kann ich nicht verstehen, warum Du es nicht so machst, aber, wie Patrick oft sagt: you do you.
Weil das Leben oft auch aus Teilen neben der Technik besteht. Wenn mans technisch vllt. am Besten machen will, kann man sich die IP auf die Sense holen. Gerade bei Kabel oder Glas ist das aber je nach Anbieter, Qualität und Support ein Krampf. Wenn man sich dann jedes Mal mit dem Support rumschlagen muss, weil es heißt "das Endgerät wird nicht unterstützt, das Problem liegt an ihnen!" kann man das mit Fritz hinter Sense machen. Ich hatte das bei zu vielen Kunden und privaten Setups schon, dass es jedem Beteiligten einfach nur noch auf die Nerven ging. Hängt dann die Provider Fritte wieder dran ist alles plötzlich "kein Problem" und "ja wir sehen, dass da Probleme auf der Leitung sind". Ach echt?
Ja das macht ein paar Randerscheinungen kaputt. Und ja das macht v6 schwierig oder kaputt. Ist es aber eh, wenn man bei DG gern wechselnde Prefixe bekommt und sich jedes Mal das Netz komplett neu durchkonfigurieren muss weil sich mal wieder das Prefix geändert hat. Ja ist ein harter Krampf. Sich aber sinnlose Lebenszeit opfern mit stundenlangen Support Calls weil was nicht geht was klar auf ISP Seite liegt man aber nicht Recht bekommt, weil ja eigenes Gerät macht es nicht besser.
Probleme mit IPv4 zumindest kann ich seit Jahr(zehnt)en nicht nachvollziehen. IP6 ist ein totaler Krampf, ja.
Cheers :)
