"Recent posts
#1
Virtual private networks / OpenVPN and IPSEC strange and ...
Last post by lshantz - Today at 12:25:36 AMI used OpenVPN for several years until the major changes made and have not got it going again. We finally made an effort to get it running and we thought all was well. We put a remote firewall into production after testing on the work bench and all was good. It stopped working after about 24 hours. We don't know why. We went out and turned off the static TLS and it still does not work. Out of frustration we went to IPSEC. Got it working. Less than an hour later, it too stopped working. We have spent hours trying to discover what is wrong. To the point, we have started looking at alternative firewalls.
It just struck me that since we are using CARP, is there a possibility that CARP is somehow causing us all this grief. I was quite surprised to see so little traffic on this topic. Either not very many people are using VPN here, or they are not having the trouble. But for it to work fine one minute and then stop with no changes being made is driving me mad.
It just struck me that since we are using CARP, is there a possibility that CARP is somehow causing us all this grief. I was quite surprised to see so little traffic on this topic. Either not very many people are using VPN here, or they are not having the trouble. But for it to work fine one minute and then stop with no changes being made is driving me mad.
#2
General Discussion / Re: newbie trying to set up ne...
Last post by OPNenthu - June 10, 2026, 10:48:25 PMI'm only recommending it for the OP because I know it can be deployed simply. If they're just starting out I wouldn't push them toward hosting a UniFi controller and in that case they should probably skip the UniFi APs, tbh.
#3
German - Deutsch / Re: Empfohlene "nur Internet"-...
Last post by marzlberger - June 10, 2026, 10:36:37 PMAlso was für mich gut funktioniert, ist ein RFC1918NET Alias mit folgenden Netzen:
10.0.0.0/8,169.254.0.0/16,172.16.0.0/12,192.168.0.0/16,fc00::/7,fe80::/10
Dann kann z.B. in einem Gäste LAN, mit der Regel "alles außer" erlaubt werden um einen Internet Zugriff zu gewähren, aber den weg in das restliche Netz zu sperren.
10.0.0.0/8,169.254.0.0/16,172.16.0.0/12,192.168.0.0/16,fc00::/7,fe80::/10
Dann kann z.B. in einem Gäste LAN, mit der Regel "alles außer" erlaubt werden um einen Internet Zugriff zu gewähren, aber den weg in das restliche Netz zu sperren.
Code Select
ACTION TCP/IP VERSION PROTOCOL SOURCE DESTINATION PORTS DESCRIPTION
Pass IPv4+IPv6 any LAN net !RFC1918 any Allow all Internet
#4
General Discussion / Re: Roku DNS storm is impactin...
Last post by OPNenthu - June 10, 2026, 10:30:58 PMQuick update-
The DNS storm seems to have stopped overnight but I'm not sure why. All I had done was add a host override in Unbound with the black-hole IP, but I had removed it since it wasn't helping to calm the log spam. Now it's back to just the DNSBL policy blocking the telemetry and it's acting normally.
I guess either there's some trigger for the storm that hasn't been hit yet, or something's been fixed (hopefully).
The DNS storm seems to have stopped overnight but I'm not sure why. All I had done was add a host override in Unbound with the black-hole IP, but I had removed it since it wasn't helping to calm the log spam. Now it's back to just the DNSBL policy blocking the telemetry and it's acting normally.
I guess either there's some trigger for the storm that hasn't been hit yet, or something's been fixed (hopefully).
#5
26.1, 26,4 Series / Re: Gratitious ARP from ISP ca...
Last post by basskitty - June 10, 2026, 09:58:50 PMI will contact the ISP but I am not very optimistic they will do something about it. I've now put a switch in front of the WAN port that drops the announcements before they arrive at the OPNsense.
Thank you for your input though!
Thank you for your input though!
#6
German - Deutsch / Nach reboot keine Globale IPv6...
Last post by tombom71 - June 10, 2026, 09:30:23 PMHallo, Ich nutze die Opnsense Version 26.1.9 auf einem Mini PC mit 2 eth Ports installiert. Einer davon ist der WAN Port mit Anschluss an ONT Glasfaser Modem, Deutsche Giganetz.
Ich bin neu in der Materie und hab mich in den letzten Tagen mittels AI durchkonfiguriert bis heute ein angeschlossener Client mit IPv4 (DSlite) und IPv6 ins Internet kam.
Nach einem reboot von opnsense leider nicht mehr.
Die Authentifizierung in pppoe funktioniert noch, es gibt aber keine globale IP und auch kein Präfix.
Alles Nachfolgende scheitert dann natürlich.
Auch das deaktivieren und aktivieren des WAN Ports hilft nicht.
Auffällig:
Als es funktioniert hatte, war die Datei
/var/etc/dhcp6c_pppoe0.conf vorhanden.
Nach dem reboot nicht mehr, es gab nur noch eine leere dhcp6c.conf.
Das hatte ich gestern auch schon, aber da war der gif dslite noch nicht fertig konfiguriert.
Ich habe dann heute erst gif und pppoe gelöscht und neu angelegt. Die Datei war dann wieder da, Internet mit IPv6 funktionierte und nachdem gif richtig konfiguriert und eine default route gesetzt war, hat auch der Zugriff ins Internet mit IPv4 bei einem Client funktioniert.
Dann hab ich nur einen reboot gemacht (auf der shell reboot eingegeben).
Habt ihr mir Tipps? Wann entsteht diese Datei und warum wird diese gelöscht?
/var/etc/dhcp6c_pppoe0.conf
Wie kann man das Erstellen forcieren?
Wenn ihr eine bestimmte Konfiguration braucht, liefere ich sie gerne.
Testen kann ich erst wieder morgen.
Ich bin neu in der Materie und hab mich in den letzten Tagen mittels AI durchkonfiguriert bis heute ein angeschlossener Client mit IPv4 (DSlite) und IPv6 ins Internet kam.
Nach einem reboot von opnsense leider nicht mehr.
Die Authentifizierung in pppoe funktioniert noch, es gibt aber keine globale IP und auch kein Präfix.
Alles Nachfolgende scheitert dann natürlich.
Auch das deaktivieren und aktivieren des WAN Ports hilft nicht.
Auffällig:
Als es funktioniert hatte, war die Datei
/var/etc/dhcp6c_pppoe0.conf vorhanden.
Nach dem reboot nicht mehr, es gab nur noch eine leere dhcp6c.conf.
Das hatte ich gestern auch schon, aber da war der gif dslite noch nicht fertig konfiguriert.
Ich habe dann heute erst gif und pppoe gelöscht und neu angelegt. Die Datei war dann wieder da, Internet mit IPv6 funktionierte und nachdem gif richtig konfiguriert und eine default route gesetzt war, hat auch der Zugriff ins Internet mit IPv4 bei einem Client funktioniert.
Dann hab ich nur einen reboot gemacht (auf der shell reboot eingegeben).
Habt ihr mir Tipps? Wann entsteht diese Datei und warum wird diese gelöscht?
/var/etc/dhcp6c_pppoe0.conf
Wie kann man das Erstellen forcieren?
Wenn ihr eine bestimmte Konfiguration braucht, liefere ich sie gerne.
Testen kann ich erst wieder morgen.
#7
26.1, 26,4 Series / Re: Bring down WAN interface
Last post by Steven-B - June 10, 2026, 09:19:15 PMComing back to my own question :), For those who are interested in this because I know a lot of people are trying to use CARP with a single ISP (DHCP/DHCPv6/...) running into some problems like I do... I am currently scripting this to CARP events so that in case of MASTER/BACKUP the WAN link on the BACKUP stays down until needed.
Bringing the interface down:
pkill -f dhclient
pkill -f dhcp6c
pkill -f dpinger
ifconfig <iface> -alias <wan-ipv4>
ifconfig <iface> inet6 <wan-ipv6> delete
configctl interface linkup stop <iface>
ifconfig <iface> down
Bringing the interface up again:
configctl interface linkup start <iface>
configctl interface reconfigure <iface>
I might post a full script etc. if wanted...
Regards,
Steven
Bringing the interface down:
pkill -f dhclient
pkill -f dhcp6c
pkill -f dpinger
ifconfig <iface> -alias <wan-ipv4>
ifconfig <iface> inet6 <wan-ipv6> delete
configctl interface linkup stop <iface>
ifconfig <iface> down
Bringing the interface up again:
configctl interface linkup start <iface>
configctl interface reconfigure <iface>
I might post a full script etc. if wanted...
Regards,
Steven
#8
Hardware and Performance / Re: Sanity check for N100 / i2...
Last post by pfry - June 10, 2026, 09:04:43 PMQuote from: nero355 on June 10, 2026, 05:20:28 PM[...]The Mainstream CPUs and Chipsets are soo crippled compared to HEDT systems that there should only be the X models (for AMD) and Z models (for Intel)[...]
I don't need more than basic chipset features, and there are few boards with ECC support and a good PCI-e slot layout. For Intel, I would only use what is now the Wx80 chipset line, as I only use ECC RAM, but the premium price is unattractive. I'd prefer a bit more CPU I/O, but actually differentiated HEDT/server/whatever setups (like your old Sandy Bridge E) also cost more than I'm willing to pay. (I have a Haswell E very similar to your Sandy E: an E5-1650v3 on a Supermicro motherboard with 32GB of RAM, sitting in a cabinet. Prices were... less differentiated back then. Funny, I'd expect an Ivy Bridge with that 3-series model number. Intel and AMD - gotta love 'em.)
#9
German - Deutsch / Empfohlene "nur Internet"-Rege...
Last post by luck3rhoch3 - June 10, 2026, 08:43:23 PMHi zusammen,
habe bereits mehrere Varianten gesehen um für die jeweiligen Interfaces eine "erlaube alles außer private IP-Adressen"-Regel zu erstellen.
Nur eine Allow-Regel mit invertiertem RFC1918-Destination-Alias zu erstellen würde doch nur IPV4-Verbindungen blocken, oder?
Ich habe aktuell eine IPv4+IPv6-Regel mit invertiertem Destination-Alias, das alle meine Networks enthält, also z. B. __lan_network, __opt1_network_, ___opt2_network, usw. (WAN- und Loop-Interface müssen hier nicht rein, oder?).
Die einzige Gefahr, die ich darin sehe ist, dass sich die Rule nicht bei einem neu hinzukommenden Interface automatisch aktualisiert. Gibt es auch Lösungen die absolut failsafe sind?
Danke :-D
habe bereits mehrere Varianten gesehen um für die jeweiligen Interfaces eine "erlaube alles außer private IP-Adressen"-Regel zu erstellen.
Nur eine Allow-Regel mit invertiertem RFC1918-Destination-Alias zu erstellen würde doch nur IPV4-Verbindungen blocken, oder?
Ich habe aktuell eine IPv4+IPv6-Regel mit invertiertem Destination-Alias, das alle meine Networks enthält, also z. B. __lan_network, __opt1_network_, ___opt2_network, usw. (WAN- und Loop-Interface müssen hier nicht rein, oder?).
Die einzige Gefahr, die ich darin sehe ist, dass sich die Rule nicht bei einem neu hinzukommenden Interface automatisch aktualisiert. Gibt es auch Lösungen die absolut failsafe sind?
Danke :-D
#10
Tutorials and FAQs / Re: Tutorial 2024/06: HAProxy ...
Last post by sveinse - June 10, 2026, 08:30:35 PMThis is an excellent tutorial. I'm fairly new to opnsense, and this was a great start to get me going getting the services up and running. @TheHellSite I appreciate the work you have dedciated to it, despite your busy schedule. Thank you.
With OPNsense 26.1.9, some of the settings have moved or not available, so there were placed I had to think and google to proceed. Ideally, the guide should be updated, but I know its a big ask.
There isn't a need to enable NAT reflection it seems (which puzzled me a little bit why it was working to connect from LAN). What I think happens is when a package from LAN destined for the public IP, opnsense will see that the package is for itself using its public facing IP and send it directly to HAproxy without NAT due to its `0.0.0.0:443` listen of `0_SNI_frontend`. So perhaps "part 6" should be updated? I'm left with the open question: When do we use option A) Split DNS or B) NAT reflection when option 0) Do nothing seems to work?
Is it always necessary to create a backend and a server when there is 1 to 1 relationship between the two? Can it be combined somehow? I assume this is a core design of HAProxy?
With OPNsense 26.1.9, some of the settings have moved or not available, so there were placed I had to think and google to proceed. Ideally, the guide should be updated, but I know its a big ask.
There isn't a need to enable NAT reflection it seems (which puzzled me a little bit why it was working to connect from LAN). What I think happens is when a package from LAN destined for the public IP, opnsense will see that the package is for itself using its public facing IP and send it directly to HAproxy without NAT due to its `0.0.0.0:443` listen of `0_SNI_frontend`. So perhaps "part 6" should be updated? I'm left with the open question: When do we use option A) Split DNS or B) NAT reflection when option 0) Do nothing seems to work?
Is it always necessary to create a backend and a server when there is 1 to 1 relationship between the two? Can it be combined somehow? I assume this is a core design of HAProxy?
