"Recent posts
#1
High availability / Re: CARP WAN VIP not reachable
Last post by ctmarc - Today at 11:43:14 AMI have a situation where our hosting provider filters out the CARP protocol including the IPs with VHID.
But with a normal IP alias it works.
Had to write my own script that tracks the CARP IP on the LAN side and adds or removes IP aliases on the WAN interfaces, as soon as the CARP status changes on LAN.
So far it works reliably, but it's not 100% optimal...
But with a normal IP alias it works.
Had to write my own script that tracks the CARP IP on the LAN side and adds or removes IP aliases on the WAN interfaces, as soon as the CARP status changes on LAN.
So far it works reliably, but it's not 100% optimal...
#2
General Discussion / Re: Settings up VLANS.
Last post by clownschiff - Today at 11:33:31 AMHave you setup VLANs on your OPNsense already?
If you do use VLAN-Interfaces on your OPNsense: Set the ports on the switch that are connected to the OPNsense to tagged, as the switch now expects already VLAN tagged packets.
If you do not use VLAN-Interfaces on OPNsense: Set the ports on the switch that are connected to the OPNsense to untagged, as the switch now expects untagged packets and will tag them when they are processed.
If you do use VLAN-Interfaces on your OPNsense: Set the ports on the switch that are connected to the OPNsense to tagged, as the switch now expects already VLAN tagged packets.
If you do not use VLAN-Interfaces on OPNsense: Set the ports on the switch that are connected to the OPNsense to untagged, as the switch now expects untagged packets and will tag them when they are processed.
#3
High availability / Permission to enter carp maint...
Last post by ctmarc - Today at 11:25:25 AMHello, I'm trying to set up a user group with slightly reduced privileges, on OPNsense 25.7.9-amd64.
This group should be able to switch into CARP maintenance mode, for example to update the system, besides other tasks.
Now the "Virtual IPs -> Status" page is accessible, but when clicking one of the 2 buttons, nothing happens except for a popup with title "Error changing status" and message "200". I'm not sure whether it's intended that way and root is required to modify network interfaces, or I've missed something, or whether it's maybe a bug.
Can anybody tell me more about it?
This group should be able to switch into CARP maintenance mode, for example to update the system, besides other tasks.
Now the "Virtual IPs -> Status" page is accessible, but when clicking one of the 2 buttons, nothing happens except for a popup with title "Error changing status" and message "200". I'm not sure whether it's intended that way and root is required to modify network interfaces, or I've missed something, or whether it's maybe a bug.
Can anybody tell me more about it?
#4
German - Deutsch / nach Update auf 25.10.1 Busin...
Last post by Sanibonani - Today at 11:10:02 AMHallo zusammen,
unsere DEC3860 ist nach dem Update auf 25.10.1 Business nicht mehr erreichbar gewesen. Update lief per Webinterface fehlerfrei durch und informierte über Neustart. Danach war alles offline!
Nachdem ich heute vor Ort war und per Console Verbindung hatte, stellte ich fest, dass kein Login möglich ist (2FA TOTP war/ist aktiv). Internetzugriff im Default-LAN war aber gegeben. Alles hinter dem VLAN-TRUNK war weiterhin offline.
Habe die Firewall daraufhin durch Drücken sauber heruntergefahren und sah dabei Uptime ~10h. Danach habe ich einmal die Spannungsversorgung getrennt.
Firewall wieder gestartet, alle erlaubten VLANs kommen wieder ins Internet.
Ein Login ist aber weder per Console noch per Webinterface möglich. (default Login getestet, Passwort+2FA, 2FA+Passwort, nur Passwort ohne Erfolg)
Habe ich ein Problem mit der Uhrzeit auf der FW? Die Hardware ist aus 07/24.
Update von 25.10 -> 25.10.1
Zenarmor, Crowdsec, unbound, openvpn i.V.
Vielen Dank für Hilfestellungen.
unsere DEC3860 ist nach dem Update auf 25.10.1 Business nicht mehr erreichbar gewesen. Update lief per Webinterface fehlerfrei durch und informierte über Neustart. Danach war alles offline!
Nachdem ich heute vor Ort war und per Console Verbindung hatte, stellte ich fest, dass kein Login möglich ist (2FA TOTP war/ist aktiv). Internetzugriff im Default-LAN war aber gegeben. Alles hinter dem VLAN-TRUNK war weiterhin offline.
Habe die Firewall daraufhin durch Drücken sauber heruntergefahren und sah dabei Uptime ~10h. Danach habe ich einmal die Spannungsversorgung getrennt.
Firewall wieder gestartet, alle erlaubten VLANs kommen wieder ins Internet.
Ein Login ist aber weder per Console noch per Webinterface möglich. (default Login getestet, Passwort+2FA, 2FA+Passwort, nur Passwort ohne Erfolg)
Habe ich ein Problem mit der Uhrzeit auf der FW? Die Hardware ist aus 07/24.
Update von 25.10 -> 25.10.1
Zenarmor, Crowdsec, unbound, openvpn i.V.
Vielen Dank für Hilfestellungen.
#5
General Discussion / Settings up VLANS.
Last post by Lymba_Sysm - Today at 11:07:06 AMI've been raking my brain researching on opnsense written tutorials and what videos I can find, but I'm having some issues putting VLANS into practise.TO see if I have understood this correctly as follows:
I'm aware of what trunk ports are and how they are used in VLAN aware router to switch scenarios. Although I'm not sure how to utilize it with my current switch because I can only extrapolate so much from written review, and I'm *very in need* of a tuturial for my SG2210XMP-M2 tplink switch, But I cannot for the life of me find a video tutorial of how I would setup vlans to with with opnsense. I'm struggling here, so I'll do the best to show my current switch configuration. What do I need to do here?
I'm aware of what trunk ports are and how they are used in VLAN aware router to switch scenarios. Although I'm not sure how to utilize it with my current switch because I can only extrapolate so much from written review, and I'm *very in need* of a tuturial for my SG2210XMP-M2 tplink switch, But I cannot for the life of me find a video tutorial of how I would setup vlans to with with opnsense. I'm struggling here, so I'll do the best to show my current switch configuration. What do I need to do here?
#6
25.7, 25.10 Series / Re: random sFTP connection att...
Last post by Patrick M. Hausen - Today at 11:01:47 AMNot that I know - best probably open an issue on Github asking the time to be configurable for example.
#7
25.7, 25.10 Series / Re: random sFTP connection att...
Last post by Tamas Halmai - Today at 10:40:25 AMHi Patrick,
Thanks for coming back to me. Now, at least I can understand the reason for that unsuccessful sFTP attempt around 2 AM.
Since at that timeframe my NAS is intentionally down I had to configure an automated sFTP cron job, and as you can see in the attachment that is successful.
Would that be possible to disable the default one @ 2 AM because that is contra-productive?
Thanks,
Tamas Halmai
Thanks for coming back to me. Now, at least I can understand the reason for that unsuccessful sFTP attempt around 2 AM.
Since at that timeframe my NAS is intentionally down I had to configure an automated sFTP cron job, and as you can see in the attachment that is successful.
Would that be possible to disable the default one @ 2 AM because that is contra-productive?
Thanks,
Tamas Halmai
#8
General Discussion / Webinterface PR_END_OF_FILE_ER...
Last post by clownschiff - Today at 10:40:18 AMDear OPNsensers,
I have a weird problem with one of our OPNsenses and I can't find the reason for the behaviour.
The Webinterface is bound to port 4444 and reachable by a few public IPs on the WAN interface. My problem is, that when I want to access the GUI through one of these IPs, it works for a few minutes and then just breaks with a PR_END_OF_FILE_ERROR. I have to restart the firewall or reset the WAN interface (PPPoE over VLAN 7) for it to work again (for a few minutes).
Sometimes, but not always I can still do a
This is a curl when the connection does not work:
This is the analog problem with SSH.
This is really confusing since I don't know where to even look at now.
I have a weird problem with one of our OPNsenses and I can't find the reason for the behaviour.
The Webinterface is bound to port 4444 and reachable by a few public IPs on the WAN interface. My problem is, that when I want to access the GUI through one of these IPs, it works for a few minutes and then just breaks with a PR_END_OF_FILE_ERROR. I have to restart the firewall or reset the WAN interface (PPPoE over VLAN 7) for it to work again (for a few minutes).
Sometimes, but not always I can still do a
Code Select
curl -v -k https://1.2.3.4:4444 and it works and sometimes not even SSH works anymore on the WAN interface. I also changed the certificate for the GUI, but no success. Firewall rules are all in place.This is a curl when the connection does not work:
Code Select
~# curl -v -k http://1.2.3.4:4444
* Trying 1.2.3.4:4444...
* Connected to 1.2.3.4 (1.2.3.4) port 4444 (#0)
> GET / HTTP/1.1
> Host: 1.2.3.4:4444
> User-Agent: curl/7.88.1
> Accept: */*
>
* Empty reply from server
* Closing connection 0
curl: (52) Empty reply from serverThis is the analog problem with SSH.
Code Select
ssh -v root@1.2.3.4
OpenSSH_for_Windows_9.5p1, LibreSSL 3.8.2
debug1: Reading configuration data C:\\Users\\my.user/.ssh/config
debug1: Connecting to 1.2.3.4 [1.2.3.4] port 22.
debug1: Connection established.
debug1: identity file C:\\Users\\my.user/.ssh/id_rsa type -1
debug1: identity file C:\\Users\\my.user/.ssh/id_rsa-cert type -1
debug1: identity file C:\\Users\\my.user/.ssh/id_ecdsa type -1
debug1: identity file C:\\Users\\my.user/.ssh/id_ecdsa-cert type -1
debug1: identity file C:\\Users\\my.user/.ssh/id_ecdsa_sk type -1
debug1: identity file C:\\Users\\my.user/.ssh/id_ecdsa_sk-cert type -1
debug1: identity file C:\\Users\\my.user/.ssh/id_ed25519 type -1
debug1: identity file C:\\Users\\my.user/.ssh/id_ed25519-cert type -1
debug1: identity file C:\\Users\\my.user/.ssh/id_ed25519_sk type -1
debug1: identity file C:\\Users\\my.user/.ssh/id_ed25519_sk-cert type -1
debug1: identity file C:\\Users\\my.user/.ssh/id_xmss type -1
debug1: identity file C:\\Users\\my.user/.ssh/id_xmss-cert type -1
debug1: identity file C:\\Users\\my.user/.ssh/id_dsa type -1
debug1: identity file C:\\Users\\my.user/.ssh/id_dsa-cert type -1
debug1: Local version string SSH-2.0-OpenSSH_for_Windows_9.5
kex_exchange_identification: Connection closed by remote host
Connection closed by 1.2.3.4 port 22This is really confusing since I don't know where to even look at now.
#9
German - Deutsch / Re: DNS Setup mit Unbound, DNS...
Last post by Patrick M. Hausen - Today at 10:22:53 AMIch sehe zwei sinnvolle Setups:
- DNSmasq für alles (DHCP und DNS)
- Kea und Unbound
Beide potentiell kombiniert mit AdGuard Home.
Ich verwende Kea und Unbound mit AGH und das funktioniert prima. Ich registriere allerdings keine dynamischen Leases im DNS - das hatte ich auch mit ISC nicht getan. Statische Leases funktionieren prima.
- DNSmasq für alles (DHCP und DNS)
- Kea und Unbound
Beide potentiell kombiniert mit AdGuard Home.
Ich verwende Kea und Unbound mit AGH und das funktioniert prima. Ich registriere allerdings keine dynamischen Leases im DNS - das hatte ich auch mit ISC nicht getan. Statische Leases funktionieren prima.
#10
German - Deutsch / DNS Setup mit Unbound, DNSmasq...
Last post by mzurhorst - Today at 09:23:37 AMGuten Morgen zusammen.
Der Titel sagt im Prinzip schon alles: Ich muss mich über Weihnachten endlich mit dem Ende von ISC DHCP beschäftigen, und das führt zwangsläufig zu Fragen im Zusammenhang mit DNSmasq. Je mehr ich lese, desto mehr "Meinungen" finde ich zu dem Thema. Nun frage ich mich:
Im Moment habe ich AdGuardHome als DNS-Server für die Clients. Dieser leitet 100% an Unbound weiter. Fertig. Lief so nun 2 Jahre einwandfrei.
Mich reitet die Frage, welcher Dienst nun der DNS-Server auf Port 53 sein soll in Zukunft? Und wie viel Unfug ich ineffizient ans Laufen bekomme, weil ich einer falschen Meinung im Internet gefolgt bin?
Das habe ich gerade testweise laufen. DNSmasq läuft auf Port 53000 und löst die lokale Domain auf mit folgendem Eintrag in AGH: [/zurhorst.baerl/]192.168.1.1:53000
Alle diese Varianten, wo ich den DNSmasq auf Port 53 setze, die habe ich bisher noch nicht angefasst.
Was ist denn nun richtig?
Danke & viele Grüße,
Marcus
Der Titel sagt im Prinzip schon alles: Ich muss mich über Weihnachten endlich mit dem Ende von ISC DHCP beschäftigen, und das führt zwangsläufig zu Fragen im Zusammenhang mit DNSmasq. Je mehr ich lese, desto mehr "Meinungen" finde ich zu dem Thema. Nun frage ich mich:
- Gibt es da nur eine korrekte Konstellation, und die anderen Sachen funktionieren halt leidlich?
- Oder gibt es tatsächlich mehrere, richtige Setups?
Im Moment habe ich AdGuardHome als DNS-Server für die Clients. Dieser leitet 100% an Unbound weiter. Fertig. Lief so nun 2 Jahre einwandfrei.
Mich reitet die Frage, welcher Dienst nun der DNS-Server auf Port 53 sein soll in Zukunft? Und wie viel Unfug ich ineffizient ans Laufen bekomme, weil ich einer falschen Meinung im Internet gefolgt bin?
Code Select
1) Client --> AGH --> extern: Unbound
|
--> intern: DNSmasqDas habe ich gerade testweise laufen. DNSmasq läuft auf Port 53000 und löst die lokale Domain auf mit folgendem Eintrag in AGH: [/zurhorst.baerl/]192.168.1.1:53000
Code Select
2) Client --> DNSmasq --> AGH --> Unbound
3) Client --> DNSmasq --> AGH --> Unbound
|
--> Unbound (Fallback, falls AGH ausfällt)
4) Client --> DNSmasq --> AGH --> Provider-DNSAlle diese Varianten, wo ich den DNSmasq auf Port 53 setze, die habe ich bisher noch nicht angefasst.
Was ist denn nun richtig?
Danke & viele Grüße,
Marcus
