Recent posts

#1
26.1, 26,4 Series / Re: issue with update with pkg...
Last post by edomatic4576 - Today at 09:07:41 PM
thanks for you response , following it, i checked the repos and it looks ok?

in the /usr/local/etc/pkg/repos which should override the base conf file has the freeBSD repo to disabled.
 

cat /etc/pkg/FreeBSD.conf
#
# To disable this repository, instead of modifying or removing this file,
# create a /usr/local/etc/pkg/repos/FreeBSD.conf file:
#
#   mkdir -p /usr/local/etc/pkg/repos
#   echo "FreeBSD: { enabled: no }" > /usr/local/etc/pkg/repos/FreeBSD.conf
#

FreeBSD: {
  url: "pkg+https://pkg.freebsd.org/${ABI}/quarterly",
  mirror_type: "srv",
  signature_type: "fingerprints",
  fingerprints: "/usr/share/keys/pkg",
  enabled: yes
}
FreeBSD-kmods: {
  url: "pkg+https://pkg.freebsd.org/${ABI}/kmods_quarterly_${VERSION_MINOR}",
  mirror_type: "srv",
  signature_type: "fingerprints",
  fingerprints: "/usr/share/keys/pkg",
  enabled: yes
}

# ls /usr/local/etc/pkg/repos/
FreeBSD.conf         OPNsense-aux.conf      OPNsense.conf         SunnyValley.conf
FreeBSD.conf.sample      OPNsense-aux.conf.sample   OPNsense.conf.sample      SunnyValley.conf.sample

cat /usr/local/etc/pkg/repos/*.conf

FreeBSD: { enabled: no }
FreeBSD-kmods: { enabled: no }
OPNsense-aux: {
  fingerprints: "/usr/local/etc/pkg/fingerprints/OPNsense",
  url: "https://pkg.opnsense.org/${ABI}/26.1/aux",
  signature_type: "fingerprints",
  priority: 11,
  enabled: no
#2
NPT is also worse than being able to directly use the GUAs.

I assume something like this in ndp-proxy-go could be an idea as implementation:

--allow-prefix 2001:db8::/48
--router-lla fe80::1

It would then be allowed to learn clients inside that prefix, and would proxy NDP towards that upstream router, and install the required host routes.

Though this would most likely not make NPTv6 work, it would make the actual GUAs work without any translation needed.

Radvd must then send prefixes in your public GUA range to clients, and interally you would use static GUAs on your interfaces, not ULAs.

If that is something you are willing to test, I could potentially cook a small patch up that allows this.

Best would be a small github issue in my repo.
#3
German - Deutsch / Re: Unbound unter OpenVPN
Last post by Patrick M. Hausen - Today at 08:18:04 PM
Quote from: viragomann on Today at 08:10:37 PMDie Möglichkeit, das Interface in Unbound auswählen zu können, gehört wohl auch dazu, ist aber nicht wirklich interessant, wie in diesem Thread schon ausführlich diskutiert.

Genau. Es gibt einen guten Grund für das "recommended" in "All (recommended)". Fummel daran herum und alle daraus resultierenden Probleme sind erst mal dein Bier.
#4
26.1, 26,4 Series / Configuration nightmare DEC850...
Last post by starfox101 - Today at 08:11:27 PM
 I had a hardware failure Two month old POE switch. I got lost in trying to replace the switch! Was not worried I had a backup! RIGHT! After two or three botched installs. I hooked up to the 850 with console found my backup was being changed to Dnsmasq DNS & DHCP. I have only used KEA DHCP since it was available. With my limited ability I can't change the default "DNSmasq". Now I can't figure out how to set static ip address for my vlans. I just don't know how to use DNSmasq. If any one can tell how to change DHCP while in console I could use the help.
OPNsense 26.4_14 Licensed

Thanks Michael
#5
German - Deutsch / Re: Unbound unter OpenVPN
Last post by viragomann - Today at 08:10:37 PM
Quote from: trixter on Today at 07:55:45 PMWenn man das so cryptisch schreibt, muss man sich nicht wundern, wenn man nicht verstanden wird ;)
:-) Das war an Patrick gerichtet, und er hat es wohl verstanden.
Aber dass es die Möglichkeit gibt, das Interface in Unbound verfügbar zu machen, hätte jeder rauslesen können. Bei Interesse hätte man ja nachfragen können.

Quote from: trixter on Today at 07:55:45 PMIdeal wäre gewesen, wenn einer Instanz bei ihrer Erstellung direkt eine Interface-ID zugewiesen würde.
Die Nachfrage nach dieser Option ist wohl geringer als du denkst.
Man braucht das nur unter bestimmten Voraussetzungen, bspw. um auf das VPN Gateway zu routen.

Die Möglichkeit, das Interface in Unbound auswählen zu können, gehört wohl auch dazu, ist aber nicht wirklich interessant, wie in diesem Thread schon ausführlich diskutiert.
#6
General Discussion / Re: IPv6 ND proxy for multi-LA...
Last post by georgeman - Today at 08:09:53 PM
I could definitely do NAT66 but NPT is a much cleaner solution.

ndproxy works perfectly for my scenario except that it doesn't work for multiple LANs (I don't fully understand the reason behind this).

If ndp-proxy-go had some sort of "manual mode" where you could set similar parameters as ndproxy, I think that would cover it, given that it supports multiple LANs.
#7
German - Deutsch / Re: "Lahmes" Internet seit Upd...
Last post by trixter - Today at 08:08:14 PM
Vielleicht das Interface selbst mal aus dem Legacy-Mode holen?
#8
German - Deutsch / Re: Unbound unter OpenVPN
Last post by trixter - Today at 07:55:45 PM
Quote from: viragomann on Today at 07:38:39 PMDann hast anscheinend nicht die Antworten hier gelesen. Dass diese Option besteht, habe ich unter https://forum.opnsense.org/index.php?msg=267607 im 2. Satz geschrieben.

"Möchte man das nicht, und die OpenVPN Server IP als DNS bereitstellen, muss der Instanz ein explizites Interface zugewiesen werden, damit es in Unbound auswählbar ist."

Wenn man das so cryptisch schreibt, muss man sich nicht wundern, wenn man nicht verstanden wird ;)

Wenn man eine OpenVPN Instanz baut, ist in der kompletten Maske keine Möglichkeit ein Interface damit zu verknüpfen.
OpenVpn wird auch ohne diese bestens funktionieren. Auch die OpenVPN-Server-IP ist vorher schon nutzbar, wenn Unbound "alle" Interfaces bedient.

Man KANN unter Interfaces eine OpenVPN Instanz assignen und damit daraus ein eigenes Interface machen, welches andere Dienste wie Unbound dann wiederum sehen.
Ideal wäre gewesen, wenn einer Instanz bei ihrer Erstellung direkt eine Interface-ID zugewiesen würde.



#9
German - Deutsch / Re: WAN-Blocklisten (Datencent...
Last post by trixter - Today at 07:39:53 PM
Die Basis-Frage konnte ich mir bislang nicht beantworten: Was genau möchtest Du bezwecken?

Möchtest Du "Angriffe" aus gewissen Regionen verhindern?

Dann lass Dir gesagt sein, dass das so nicht wirklich funktioniert, denn Angriffe erfolgen heute nicht mehr aus dem bösen Land X, sondern über den gehackten Router in Land Y. Das kann man in der Presse auch ganz einfach nachlesen.
Kaum ein echter Hacker wird seine ISP-Adresse direkt für einen Angriff verwenden.

Effizienter sind Dynamische echte Blocklists (zB OSID), die regelmäßig aktualisiert werden und deine DNS filtern.
So kann ein gehackter Client seinen Control-Server nicht mehr erreichen.

Gibt diverse Tutorials zu dem Thema ... frag Morpheus ;)

#10
German - Deutsch / Re: Unbound unter OpenVPN
Last post by viragomann - Today at 07:38:39 PM
Quote from: trixter on Today at 07:22:00 PMhabe das ganze jetzt selbst gelöst - wie es scheint:

Man kann unter Interfaces die VPNs als Virtuelles interface "assign"-en, damit werden sie dann behandelt wie physische Interfaces.

Somit tauchen diese dann auch in der Unbound-Liste auf und können eigenständig an und abgewählt werden.
Dann hast anscheinend nicht die Antworten hier gelesen. Dass diese Option besteht, habe ich unter https://forum.opnsense.org/index.php?msg=267607 im 2. Satz geschrieben.
Weil ich das aber für diesen Zweck nicht für nötig erachte, habe ich es nicht hochgejubelt.

Quote from: trixter on Today at 07:22:00 PMIch habe allerdings keine Ahnung welche Seiteneffekte das mit sich bringt
Keine.
Abgesehen davon, dass du auch die Möglichkeit erhältst, explizit auf diesen Interfaces gesonderte Firewall- und NAT-Regeln zu erstellen.