"Recent posts
#1
German - Deutsch / Re: HILFE... für FiSi Abschlus...
Last post by osmom - Today at 03:55:50 PMQuote from: chrisfnf on May 27, 2026, 02:56:38 PMQuote from: knebb on May 27, 2026, 07:18:06 AMAus Deinem Text entnehme ich, dass Du zumindest teilweise von dem Thema überfordert bist und/oder Dich noch nicht damit beschäftigt hast.
Das weiß ich selbst, dass mich das Thema überfordert - sonst hätte ich keinen Hilfepost ins Forum geschrieben. Hoffentlich bleiben Sie lange genug in Ihrem Job und sind nicht gezwungen umzuschulen!
Viel Erfolg!
Was er Dir durch die Blume sagen wollte: Specke Dein Projekt massiv ab. Du brauchst nicht unbedingt einen Firewallcluster und auch nicht IPv6.
Auch Deinen Drucker kannst Du über interne DNS-Server (auf der OPNsense) mit A- und C-Records bekannt machen.
#2
Russian - Русский / Re: os-amneziawg — плагин Amne...
Last post by Nummo - Today at 03:31:08 PMВсем привет!
Если кому-то интересен этот плагин для интеграции по протоколу Amnezia WG v2.0, то можете попробовать протестировать мою доработку плагина в моем форке. (см. pull request https://github.com/MrTheory/os-amneziawg/pull/7) и ждем когда автор плагина сделает ревью, после чего возможно применит мои изменения и выпустит новый релиз.
Если кому-то интересен этот плагин для интеграции по протоколу Amnezia WG v2.0, то можете попробовать протестировать мою доработку плагина в моем форке. (см. pull request https://github.com/MrTheory/os-amneziawg/pull/7) и ждем когда автор плагина сделает ревью, после чего возможно применит мои изменения и выпустит новый релиз.
#3
26.1, 26,4 Series / Re: Configdaemon litteraly eat...
Last post by Noci - Today at 02:29:55 PMi have not enabled frr rules...,
I removed all entries with <enabled>0</enabled> in them , most were in then <IDS....><rules>...</rules>...</IDS..> section.
Filesize is now: 599186 bytes (17K lines).
with 172 "rules uuid" left.
This did work out. the system does behave like before now.
(I could hardly find anything on configd using the regular search methods though, at least i known where to look).
System info:
FreeBSD 14.3-RELEASE-p12 stable/26.1-n272089-81f87c4d694c SMP amd64
OPNsense 26.1.8_5 d67741d16
Plugins os-cache-1.0_1 os-chrony-1.5_3 os-collectd-1.4_1 os-cpu-microcode-intel-1.1 os-crowdsec-1.0.12 os-dnscrypt-proxy-1.16_2 os-etpro-telemetry-1.8_1 os-freeradius-1.10.1 os-frr-1.52 os-git-backup-1.1_3 os-igmp-proxy-1.5_6 os-intrusion-detection-content-et-open-1.0.2_2 os-intrusion-detection-content-ptopen-1.0 os-iperf-1.0_2 os-isc-dhcp-1.0_4 os-lldpd-1.2 os-maltrail-1.10_1 os-mdns-repeater-1.2 os-nextcloud-backup-1.2 os-ntopng-1.3 os-nut-1.9_1 os-openconnect-1.4.6 os-redis-1.1_4 os-smart-2.4 os-stunnel-1.0.6_1 os-theme-cicada-1.41_1 os-theme-rebellion-1.9.4 os-udpbroadcastrelay-1.0_6 os-upnp-1.9 os-vnstat-1.3_1 os-wol-2.5_4 os-zabbix7-agent-1.19
Time Thu, 28 May 2026 14:37:06 +0200
OpenSSL 3.0.20
Python 3.13.13
PHP 8.3.30
CPU info:
12th Gen Intel(R) Core(TM) i7-1265U (10 cores, 12 threads)
Memory:
16GB
(Should be sufficient.)
I removed all entries with <enabled>0</enabled> in them , most were in then <IDS....><rules>...</rules>...</IDS..> section.
Filesize is now: 599186 bytes (17K lines).
with 172 "rules uuid" left.
This did work out. the system does behave like before now.
(I could hardly find anything on configd using the regular search methods though, at least i known where to look).
System info:
FreeBSD 14.3-RELEASE-p12 stable/26.1-n272089-81f87c4d694c SMP amd64
OPNsense 26.1.8_5 d67741d16
Plugins os-cache-1.0_1 os-chrony-1.5_3 os-collectd-1.4_1 os-cpu-microcode-intel-1.1 os-crowdsec-1.0.12 os-dnscrypt-proxy-1.16_2 os-etpro-telemetry-1.8_1 os-freeradius-1.10.1 os-frr-1.52 os-git-backup-1.1_3 os-igmp-proxy-1.5_6 os-intrusion-detection-content-et-open-1.0.2_2 os-intrusion-detection-content-ptopen-1.0 os-iperf-1.0_2 os-isc-dhcp-1.0_4 os-lldpd-1.2 os-maltrail-1.10_1 os-mdns-repeater-1.2 os-nextcloud-backup-1.2 os-ntopng-1.3 os-nut-1.9_1 os-openconnect-1.4.6 os-redis-1.1_4 os-smart-2.4 os-stunnel-1.0.6_1 os-theme-cicada-1.41_1 os-theme-rebellion-1.9.4 os-udpbroadcastrelay-1.0_6 os-upnp-1.9 os-vnstat-1.3_1 os-wol-2.5_4 os-zabbix7-agent-1.19
Time Thu, 28 May 2026 14:37:06 +0200
OpenSSL 3.0.20
Python 3.13.13
PHP 8.3.30
CPU info:
12th Gen Intel(R) Core(TM) i7-1265U (10 cores, 12 threads)
Memory:
16GB
(Should be sufficient.)
#4
26.1, 26,4 Series / Re: Configdaemon litteraly eat...
Last post by Monviech (Cedrik) - Today at 02:24:54 PMThat's 4 Megabytes, not too large.
I would have expected large starting at 30-40 Megabytes or more, can happen when certain plugins are used.
Are you using the frr plugin or any other plugins maybe?
Also what kind of CPU are we talking about?
I would have expected large starting at 30-40 Megabytes or more, can happen when certain plugins are used.
Are you using the frr plugin or any other plugins maybe?
Also what kind of CPU are we talking about?
#5
German - Deutsch / Re: In der Entstehung: HowTo z...
Last post by rroeske - Today at 02:23:24 PMHallo cklahn,
ich bin jetzt genau in der Situation, die du beschrieben hast. Ich hatte Sophos UTM 12 jahre privat im Einsatz und muss nun bis Ende Juni umstellen. OPNsense läuft. Jetzt muss ich noch den internen Mailserver (hmail) verfügbar machen und einen Webserver (IIS). Bin gerade dabei, die von dir verlinkte Anleitung durchzuarbeiten. Mal sehen, ob ich es hinkriege.
Mit freundlichen Grüßen
René
ich bin jetzt genau in der Situation, die du beschrieben hast. Ich hatte Sophos UTM 12 jahre privat im Einsatz und muss nun bis Ende Juni umstellen. OPNsense läuft. Jetzt muss ich noch den internen Mailserver (hmail) verfügbar machen und einen Webserver (IIS). Bin gerade dabei, die von dir verlinkte Anleitung durchzuarbeiten. Mal sehen, ob ich es hinkriege.
Mit freundlichen Grüßen
René
#6
German - Deutsch / Re: HILFE... für FiSi Abschlus...
Last post by chrisfnf - Today at 02:21:48 PMHallo zusammen,
erstmal danke für eure Rückmeldungen. Eine Ergänzung zum besseren Verständnis: es handelt sich um eine Bürogemeinschaft mit mehreren Akteuren, daher führe ich statt Subnetting VLANs ein.
Anscheinend ist der Aufbau aus meinem Netzplan und den Angaben nicht so ganz ersichtlich, daher noch einige Erläuterungen dazu:
1) Ich habe den VDSL Router (Fritzbox 7530) mit einem HP 1810-G Switch verbunden und die Switchports 2-10 mit Transfernetz 10.128.0.0/24 = VLAN #200 untagged konfiguriert
2) am Transfernetz hängen weitere Netze:
3) VLAN #220 & #250 sind per OpenWRT im TP Link Router mit TAGGED VLANs konfiguriert; die verbundenen Ports am Switch ebenfalls auf die entsprechenden VLANs per TAGGED konfiguriert. In OpenWRT ist auch der Printer per mDNS konfiguriert und announced sich ins Transfernetz - konkret an den VDSL Router mit 10.128.0.254
4) VLAN #230 ist über nen simplen Router ebenfalls per OpenWRT konfiguriert und hängt mit untagged VLAN am Transfernetz
5) das Office Netz 10.128.64.0/24 hängt ebenfalls am Transfernetz, nur dieses erhält die Absicherung durch das Firewallcluster mit OPNsense. Die Schnittstellen in OPNsense und am Switch sind TAGGED konfiguriert, damit ich im weiteren Verlauf ein weiteres Office Netz (VLAN #270) hinzufügen kann. Das Firewallcluster (2x Pokini F2 Modul mit je 4 Ethernet Anschlüssen) soll nur die Office Netze absichern! Dazu konfiguriert: CARP WAN = 10.128.0.64, CARP LAN = 10.128.64.254
6) ein DNS Server mit BIND Einbindung kommt in diesem Setup nicht in Frage, da die einzelnen Router ihr jeweiliges VLAN Segmente selbst verwalten sollen und nicht ein übergeordneter Server (ist mir bewusst, dass es mehr Verwaltungsaufwand bedeutet, ist so gewollt).
Der Sinn dahinter ist, dass jedes VLAN komplett autark agieren soll, ohne zusätzliche Hardware oder VM für DNS und es keine Netzwerk übergreifende Konfiguration gibt.
Diese würde sich auf die gesamte Infrastruktur auswirken. Wenn dann z.B. die Freelancer im VLAN #230 Experiemnete machen wollte, wäre das kontraproduktiv.
7) das eigentliche Problem: mDNS in OPNsense zu konfigurieren, damit ich vom Office VLAN #264 den Drucker im VLAN #250 erreichen kann und die Namensauflösung lokal im VLAN #264 klappt. Alle relevanten Netzgeräte die zur gewünschten Funktion beitragen, sind im Office Netz 10.128.64.0/24 verortet, außer dem Drucker (dieser soll aus allen Netzsegmenten erreichbar sein, daher ein separates VLAN).
Aktuell funktioniert alles im Office Netz (VLAN #264), per KEA DHCP (habe ich als Zwischenlösung genommen damit die Infrastruktur funktionsfähig bleibt).
Ich möchte als nächsten Schritt IPv6 ausrollen und das macht ja ohne DNS nicht viel Sinn.
Hat jemand Erfahrung zu so einem Szenario, wie man das richtig konfiguriert?
Als Anhnag nochmal ein Update des Netzplans:
Falls noch Punkte unklar sind, gerne rückfragen, vielen Dank vorab.
Grüsse aus Berlin
Christian
erstmal danke für eure Rückmeldungen. Eine Ergänzung zum besseren Verständnis: es handelt sich um eine Bürogemeinschaft mit mehreren Akteuren, daher führe ich statt Subnetting VLANs ein.
Anscheinend ist der Aufbau aus meinem Netzplan und den Angaben nicht so ganz ersichtlich, daher noch einige Erläuterungen dazu:
1) Ich habe den VDSL Router (Fritzbox 7530) mit einem HP 1810-G Switch verbunden und die Switchports 2-10 mit Transfernetz 10.128.0.0/24 = VLAN #200 untagged konfiguriert
2) am Transfernetz hängen weitere Netze:
- Gast Netz 10.128.20.0/24 = VLAN #220
- Drucker Netz 10.128.50.0/24 = VLAN #250
- Freelancer Netz 10.128.30.0/24 = VLAN #230
3) VLAN #220 & #250 sind per OpenWRT im TP Link Router mit TAGGED VLANs konfiguriert; die verbundenen Ports am Switch ebenfalls auf die entsprechenden VLANs per TAGGED konfiguriert. In OpenWRT ist auch der Printer per mDNS konfiguriert und announced sich ins Transfernetz - konkret an den VDSL Router mit 10.128.0.254
4) VLAN #230 ist über nen simplen Router ebenfalls per OpenWRT konfiguriert und hängt mit untagged VLAN am Transfernetz
5) das Office Netz 10.128.64.0/24 hängt ebenfalls am Transfernetz, nur dieses erhält die Absicherung durch das Firewallcluster mit OPNsense. Die Schnittstellen in OPNsense und am Switch sind TAGGED konfiguriert, damit ich im weiteren Verlauf ein weiteres Office Netz (VLAN #270) hinzufügen kann. Das Firewallcluster (2x Pokini F2 Modul mit je 4 Ethernet Anschlüssen) soll nur die Office Netze absichern! Dazu konfiguriert: CARP WAN = 10.128.0.64, CARP LAN = 10.128.64.254
6) ein DNS Server mit BIND Einbindung kommt in diesem Setup nicht in Frage, da die einzelnen Router ihr jeweiliges VLAN Segmente selbst verwalten sollen und nicht ein übergeordneter Server (ist mir bewusst, dass es mehr Verwaltungsaufwand bedeutet, ist so gewollt).
Der Sinn dahinter ist, dass jedes VLAN komplett autark agieren soll, ohne zusätzliche Hardware oder VM für DNS und es keine Netzwerk übergreifende Konfiguration gibt.
Diese würde sich auf die gesamte Infrastruktur auswirken. Wenn dann z.B. die Freelancer im VLAN #230 Experiemnete machen wollte, wäre das kontraproduktiv.
7) das eigentliche Problem: mDNS in OPNsense zu konfigurieren, damit ich vom Office VLAN #264 den Drucker im VLAN #250 erreichen kann und die Namensauflösung lokal im VLAN #264 klappt. Alle relevanten Netzgeräte die zur gewünschten Funktion beitragen, sind im Office Netz 10.128.64.0/24 verortet, außer dem Drucker (dieser soll aus allen Netzsegmenten erreichbar sein, daher ein separates VLAN).
Aktuell funktioniert alles im Office Netz (VLAN #264), per KEA DHCP (habe ich als Zwischenlösung genommen damit die Infrastruktur funktionsfähig bleibt).
Ich möchte als nächsten Schritt IPv6 ausrollen und das macht ja ohne DNS nicht viel Sinn.
Hat jemand Erfahrung zu so einem Szenario, wie man das richtig konfiguriert?
Als Anhnag nochmal ein Update des Netzplans:
Falls noch Punkte unklar sind, gerne rückfragen, vielen Dank vorab.
Grüsse aus Berlin
Christian
#7
26.1, 26,4 Series / Re: Kea DHCP Clients don't get...
Last post by Monviech (Cedrik) - Today at 02:18:37 PMCheck which daemon is currently hogging port 67
# sockstat -l | grep -i :67
Example:
root@opn-dev-02:/src/git/core # sockstat -l | grep -i :67
root kea-dhcp4 5875 24 udp4 192.168.30.1:67 *:*
# sockstat -l | grep -i :67
Example:
root@opn-dev-02:/src/git/core # sockstat -l | grep -i :67
root kea-dhcp4 5875 24 udp4 192.168.30.1:67 *:*
#8
26.1, 26,4 Series / Kea DHCP Clients don't get ip'...
Last post by ofh - Today at 02:16:00 PMAfter migrating from ISC-DHCPv4 to KEA-DHCPv4 my clients don't get ipv4 addresses.
There also a lot of errors in the KEA-DHCP log:
WARN [kea-dhcp4.dhcpsrv.0x3a4a8725c008] DHCPSRV_OPEN_SOCKET_FAIL failed to open socket: Failed to open socket on interface em0_vlan160, reason: failed to bind fallback socket to address 10.1.160.1, port 67, reason: Address already in use - is another DHCP server running?
Running OPNsense 26.1.8_5-amd64
BR
OFH
There also a lot of errors in the KEA-DHCP log:
WARN [kea-dhcp4.dhcpsrv.0x3a4a8725c008] DHCPSRV_OPEN_SOCKET_FAIL failed to open socket: Failed to open socket on interface em0_vlan160, reason: failed to bind fallback socket to address 10.1.160.1, port 67, reason: Address already in use - is another DHCP server running?
Running OPNsense 26.1.8_5-amd64
BR
OFH
#9
General Discussion / Re: Watchguard T70 and OPNsens...
Last post by Nullman - Today at 02:13:58 PMQuote from: Monviech (Cedrik) on Today at 01:51:47 PMPlease keep it friendly to newcomers (@Nullman), not responding when there is nothing nice to say can also be a choice.I will. Its not my intention to make anyone feel unwelcome. Its tough love. I want to help him get the answer he needs instead of not getting anything at all.
#10
French - Français / Re: On m'a recommandé une agen...
Last post by Tipper7042 - Today at 02:10:59 PMBonjour,
tu devrais avoir juste une règle NAT source sur ton interface LAN avec un port externe (en source) identifié qui renvoie en interne (en destinataire) sur le port attendu de ton équipement. Tu peux indiquer quelle est l'adresse IP qui peut entrer (en source) s'il n'y en a qu'une sinon il te faut créer un alias en effet et avoir ton IP d'équipement en destinatation.
Attention au protocole pour ne pas contraindre trop, laisse peut-être any au départ et ressert ensuite à celui attendu.
Tu peux aussi ouvrir à toutes les IP externes si tu peux avoir ton prestataire au téléphone au moment où tu paramères pour faire les tests et restreindre ensuite.
tu devrais avoir juste une règle NAT source sur ton interface LAN avec un port externe (en source) identifié qui renvoie en interne (en destinataire) sur le port attendu de ton équipement. Tu peux indiquer quelle est l'adresse IP qui peut entrer (en source) s'il n'y en a qu'une sinon il te faut créer un alias en effet et avoir ton IP d'équipement en destinatation.
Attention au protocole pour ne pas contraindre trop, laisse peut-être any au départ et ressert ensuite à celui attendu.
Tu peux aussi ouvrir à toutes les IP externes si tu peux avoir ton prestataire au téléphone au moment où tu paramères pour faire les tests et restreindre ensuite.
