"Recent posts
#1
General Discussion / Changing native IP address for...
Last post by dunxd - Today at 08:35:36 PMI setup OPNsense at the same time I got a new Internet connection, so it was side by side with the old router which remained as the gateway for the old internet connection.
Old router: 192.168.1.1
OPNsense LAN interface: 192.168.1.2
I got everything working then switched over all the clients to use 192.168.1.2 as default gateway. This worked great. I then decommissioned the old router.
Now I want to set the IP of OPNSense LAN interface to 192.168.1.1 with as little downtime as necessary.
So I added 192.168.1.1 and 192.168.1 2 as virtual IP addresses for the interface. I can ping both and use as either as default gateway for clients. I then set the LAN interface IPv4 address as 192.168.1.1 and expected this to be used as the preferred IP for DHCP and other services, but 192.168.1.2 seems to be stuck.
I thought maybe it would fix itself after a reboot, which I needed to do anyway with the 26.7.8 release. But that doesnt seem to have changed things. For example DNSmasq DHCP clients are still issued 192.168.1.2 as their default gateway without this being specified anywhere.
If I delete the Virtual IP address all clients with it as their default gateway will lose access to the Internet.
What is the best way to resolve this and stop using 192.168.1.2 altogether? What happens if I delete the VIP 192.168.1.1 now that is configured under LAN interface? Is that safe?
Old router: 192.168.1.1
OPNsense LAN interface: 192.168.1.2
I got everything working then switched over all the clients to use 192.168.1.2 as default gateway. This worked great. I then decommissioned the old router.
Now I want to set the IP of OPNSense LAN interface to 192.168.1.1 with as little downtime as necessary.
So I added 192.168.1.1 and 192.168.1 2 as virtual IP addresses for the interface. I can ping both and use as either as default gateway for clients. I then set the LAN interface IPv4 address as 192.168.1.1 and expected this to be used as the preferred IP for DHCP and other services, but 192.168.1.2 seems to be stuck.
I thought maybe it would fix itself after a reboot, which I needed to do anyway with the 26.7.8 release. But that doesnt seem to have changed things. For example DNSmasq DHCP clients are still issued 192.168.1.2 as their default gateway without this being specified anywhere.
If I delete the Virtual IP address all clients with it as their default gateway will lose access to the Internet.
What is the best way to resolve this and stop using 192.168.1.2 altogether? What happens if I delete the VIP 192.168.1.1 now that is configured under LAN interface? Is that safe?
#2
German - Deutsch / Re: Plugin "os-cpu-microcode-a...
Last post by ziegler - Today at 08:26:24 PMIch vermute das auch, CPU ist einfach schon zu alt.
Plane deshalb auf neue Hardware uimzusteigen.
Was haltet Ihr von Protecli? https://eu.protectli.com/product/vp2430/
Ist für privaten Hausgebrauch, etwas wireguard, und zu Lernzwecken Einbruchserkennung.
Plane deshalb auf neue Hardware uimzusteigen.
Was haltet Ihr von Protecli? https://eu.protectli.com/product/vp2430/
Ist für privaten Hausgebrauch, etwas wireguard, und zu Lernzwecken Einbruchserkennung.
#3
German - Deutsch / Re: Plugin "os-cpu-microcode-a...
Last post by patient0 - Today at 07:53:36 PMQuote from: ziegler on Today at 06:59:58 PMDas heisst also CPU ist schon so alt das AMD nichts mehr anbietet?Wenn man dem Internet glauben darf (https://www.cpu-world.com/CPUs/Puma/AMD-G-Series%20GX-412TC.html) dann wurde diese CPU im 2014 auf den Markt gebracht. Und PC Engines welche die APU machte, hat ihren Betrieb eingestellt, weil die CPU nicht mehr geliefert wird.
Ob 2014 stimmt, weiss ich nicht, denke aber schon. Mein erstes APU2 hatte ich im 2016 gekauft.
Die Chancen stehen gut, dass es keine Updates mehr gibt dafür.
#4
Dutch - Nederlands / Re: Nieuwe Setup. Wel DHCP (IS...
Last post by sakbari - Today at 07:50:58 PMHier is een duidelijke richting waar je moet zoeken — jouw laatste zin *"heb geen firewall actief op je proxmox server / het zou kunnen zijn dat proxmox firewall alles tegenhoudt"* is **heel waarschijnlijk correct**.
Onderstaande punten lopen precies door *waar* het misgaat bij OPNsense-in-Proxmox setups zoals jij beschrijft.
---
# ✅ Waar het waarschijnlijk misgaat
## **1. Proxmox firewall blokkeert je WAN-bridge**
Dit is **veruit de meest voorkomende oorzaak**:
Zelfs als je denkt dat de Proxmox firewall "uit staat", kan deze nog geactiveerd zijn op:
* **Datacenter level**
* **Node level**
* **VM level**
* **Bridge level (vmbrX)**
➡️ Als *één* van die vier firewalls actief is, blokkeert Proxmox standaard **alle inkomende en uitgaande traffic** behalve wat expliciet is toegestaan.
Dit zorgt ervoor dat jouw WAN-interface wel een DHCP-IP krijgt, maar **geen ICMP/everything else** kan ontvangen.
### ✔ Controleer dit:
Ga in Proxmox GUI naar:
### **Datacenter → Firewall → Options → Firewall**
➡️ **Uit** zetten.
### **Node (pve) → Firewall → Options → Firewall**
➡️ **Uit** zetten.
### **Dat VM → Firewall → Options → Firewall**
➡️ **Uit** zetten.
### **Check ook de bridges:**
In `/etc/network/interfaces` zie je soms regels als:
```
bridge-firewall on
```
➡️ Maak die **off**
```
bridge-firewall off
```
Herstart networking:
```
systemctl restart networking
```
---
# ✅ 2. WAN interface heeft geen promiscuous mode / MAC filtering
Sommige Ziggo modems in bridge mode accepteren maar **1 MAC-adres**.
Proxmox moet dan **promiscuous mode** toestaan.
Ga in Proxmox → jouw VM → Hardware → Network Device.
Stel in:
* **Model:** VirtIO (of e1000 voor test)
* **Bridge:** vmbrX (WAN)
* **VLAN Tag:** (NIET invullen, WAN moet "untagged")
* **Firewall:** uit
* **MAC filter / learning:** op **all=1**
En op vmbrX zelf (in `/etc/network/interfaces`):
```
bridge-ports enpXsY
bridge-stp off
bridge-fd 0
bridge-maxwait 0
bridge-learning off
bridge-arp-nd-suppress off
```
---
# ✅ 3. Double-check Ziggo modem behavior
Ziggo in bridge mode geeft **exact 1 WAN-IP** uit via DHCP.
Als je OPNsense herstart terwijl de VM-MAC verandert → Ziggo weigert verkeer tot de modem wordt gereboot.
➡️ **Dus: reboot Ziggo modem** nadat je OPNsense VM gereconfigureerd hebt.
---
# ✅ 4. OPNsense firewall zelf
Je zei dat hij "zo open is als maar kan" — maar voor WAN werkt dat niet zo:
* Een *outbound* ping vanaf de WAN interface hoort te werken zonder extra rules
* Een ping **naar** het WAN IP werkt niet tenzij je dat expliciet toestaat
Maar jouw probleem is:
> ICMP gaat eruit, maar er komt GEEN reply terug
> → 99% zeker **Proxmox firewall of MAC filtering / bridge config**.
---
# 🧪 Test of dit het probleem is
In Proxmox shell:
```
iptables -L -n
iptables -t filter -L -n
```
Als je tabellen ziet met REJECT of DROP op vmbrX → firewall actief.
Ook:
```
cat /proc/net/bridge/bridge-nf-call-iptables
cat /proc/net/bridge/bridge-nf-call-ip6tables
```
Als deze **1** zijn → brug loopt door firewall → moet **0** zijn.
---
Onderstaande punten lopen precies door *waar* het misgaat bij OPNsense-in-Proxmox setups zoals jij beschrijft.
---
# ✅ Waar het waarschijnlijk misgaat
## **1. Proxmox firewall blokkeert je WAN-bridge**
Dit is **veruit de meest voorkomende oorzaak**:
Zelfs als je denkt dat de Proxmox firewall "uit staat", kan deze nog geactiveerd zijn op:
* **Datacenter level**
* **Node level**
* **VM level**
* **Bridge level (vmbrX)**
➡️ Als *één* van die vier firewalls actief is, blokkeert Proxmox standaard **alle inkomende en uitgaande traffic** behalve wat expliciet is toegestaan.
Dit zorgt ervoor dat jouw WAN-interface wel een DHCP-IP krijgt, maar **geen ICMP/everything else** kan ontvangen.
### ✔ Controleer dit:
Ga in Proxmox GUI naar:
### **Datacenter → Firewall → Options → Firewall**
➡️ **Uit** zetten.
### **Node (pve) → Firewall → Options → Firewall**
➡️ **Uit** zetten.
### **Dat VM → Firewall → Options → Firewall**
➡️ **Uit** zetten.
### **Check ook de bridges:**
In `/etc/network/interfaces` zie je soms regels als:
```
bridge-firewall on
```
➡️ Maak die **off**
```
bridge-firewall off
```
Herstart networking:
```
systemctl restart networking
```
---
# ✅ 2. WAN interface heeft geen promiscuous mode / MAC filtering
Sommige Ziggo modems in bridge mode accepteren maar **1 MAC-adres**.
Proxmox moet dan **promiscuous mode** toestaan.
Ga in Proxmox → jouw VM → Hardware → Network Device.
Stel in:
* **Model:** VirtIO (of e1000 voor test)
* **Bridge:** vmbrX (WAN)
* **VLAN Tag:** (NIET invullen, WAN moet "untagged")
* **Firewall:** uit
* **MAC filter / learning:** op **all=1**
En op vmbrX zelf (in `/etc/network/interfaces`):
```
bridge-ports enpXsY
bridge-stp off
bridge-fd 0
bridge-maxwait 0
bridge-learning off
bridge-arp-nd-suppress off
```
---
# ✅ 3. Double-check Ziggo modem behavior
Ziggo in bridge mode geeft **exact 1 WAN-IP** uit via DHCP.
Als je OPNsense herstart terwijl de VM-MAC verandert → Ziggo weigert verkeer tot de modem wordt gereboot.
➡️ **Dus: reboot Ziggo modem** nadat je OPNsense VM gereconfigureerd hebt.
---
# ✅ 4. OPNsense firewall zelf
Je zei dat hij "zo open is als maar kan" — maar voor WAN werkt dat niet zo:
* Een *outbound* ping vanaf de WAN interface hoort te werken zonder extra rules
* Een ping **naar** het WAN IP werkt niet tenzij je dat expliciet toestaat
Maar jouw probleem is:
> ICMP gaat eruit, maar er komt GEEN reply terug
> → 99% zeker **Proxmox firewall of MAC filtering / bridge config**.
---
# 🧪 Test of dit het probleem is
In Proxmox shell:
```
iptables -L -n
iptables -t filter -L -n
```
Als je tabellen ziet met REJECT of DROP op vmbrX → firewall actief.
Ook:
```
cat /proc/net/bridge/bridge-nf-call-iptables
cat /proc/net/bridge/bridge-nf-call-ip6tables
```
Als deze **1** zijn → brug loopt door firewall → moet **0** zijn.
---
#5
German - Deutsch / Re: Keine Plugins nach Update ...
Last post by meyergru - Today at 07:49:22 PMOben rechts, Haken bei "community plugins" setzen.
#6
German - Deutsch / Re: Plugin "os-cpu-microcode-a...
Last post by meyergru - Today at 07:47:52 PMDurchaus möglich, die CPU ist ja auch ziemlich alt.
#7
25.7, 25.10 Series / Re: (Solved?) Freeradius - can...
Last post by andymac1 - Today at 07:27:27 PMJust to say I had same issue. But the default accept let any device connect to the WiFi. I got some new Christmas lights and they didn't need to be added to freradius. I reverted to pre-upgrade snapshot and then found this thread.
Andy
Andy
#8
German - Deutsch / Re: Verständnisfrage zu Portfo...
Last post by awado - Today at 07:17:48 PM@meyergru: Ja, manchmal ist der Schlauch auf dem man steht auch eine Art Traffic Shaper... Danke. Hab die Schnittstelle für die VM jetzt angelegt, MAC eingetragen, aber keine Änderung.
@JeGr: Versuche es mal so – Beim Hetzner sind es drei IPs (Proxmox, WAN1, WAN2) und deren Firewall, die alles zu WAN1/2 durchlässt. In Proxmox gibt es vmbr0 = OPNsense LAN und vmbr1 = OPNsense WAN, siehe Screenshot. Die OPNsense VM hat drei Netzwerkkarten (LAN, WAN1 mit MAC1, WAN2 mit MAC2). Naja, und eine der anderen VMs ist der Reverse Proxy, der die WAN IP 2 bedienen soll, während die Wordpress VM die WAN IP 1 bedient. Wie würdest Du das sonst lösen?
Inzwischen hab ich mit tcpdump in der Proxmox Shell gesehen, dass die Pings auf die WAN IP 2 ankommen. Aber nur auf enp0s31f6, nicht auf der vmbr1. Somit sieht die OPNsense VM die gar nicht. Der Hund liegt also im Networking von Proxmox. Hier mal meine aktuelle /etc/network/interfaces:
Zu den IPs: Proxmox = .91, IP1 = .88, IP2= .78, GW = .65
P.S.: Im Screenshot ist noch eine alte Netzmaske drin mit /24.
@JeGr: Versuche es mal so – Beim Hetzner sind es drei IPs (Proxmox, WAN1, WAN2) und deren Firewall, die alles zu WAN1/2 durchlässt. In Proxmox gibt es vmbr0 = OPNsense LAN und vmbr1 = OPNsense WAN, siehe Screenshot. Die OPNsense VM hat drei Netzwerkkarten (LAN, WAN1 mit MAC1, WAN2 mit MAC2). Naja, und eine der anderen VMs ist der Reverse Proxy, der die WAN IP 2 bedienen soll, während die Wordpress VM die WAN IP 1 bedient. Wie würdest Du das sonst lösen?
Inzwischen hab ich mit tcpdump in der Proxmox Shell gesehen, dass die Pings auf die WAN IP 2 ankommen. Aber nur auf enp0s31f6, nicht auf der vmbr1. Somit sieht die OPNsense VM die gar nicht. Der Hund liegt also im Networking von Proxmox. Hier mal meine aktuelle /etc/network/interfaces:
Code Select
source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback
iface lo inet6 loopback
auto enp0s31f6
iface enp0s31f6 inet manual
auto vmbr1
iface vmbr1 inet static
address x.x.x.91/27
gateway x.x.x.65
pointopoint x.x.x.65
bridge-ports enp0s31f6
bridge-stp off
bridge-fd 0
post-up echo 1 > /proc/sys/net/ipv4/ip_forward
post-up echo 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arp
post-up echo 1 > /proc/sys/net/ipv6/conf/eth0/forwarding
#OPNsense WAN
auto vmbr0
iface vmbr0 inet manual
bridge-ports none
bridge-stp off
bridge-fd 0
#OPNsense LANZu den IPs: Proxmox = .91, IP1 = .88, IP2= .78, GW = .65
P.S.: Im Screenshot ist noch eine alte Netzmaske drin mit /24.
#9
Dutch - Nederlands / Re: Time settings - DEC750 wil...
Last post by RamSense - Today at 07:11:20 PMJe zou kunnen kijken wat er gebeurt als je (de plugin) Chrony gebruikt - Chrony time synchronisation
#10
German - Deutsch / Re: Plugin "os-cpu-microcode-a...
Last post by ziegler - Today at 06:59:58 PMIch habe das Plugin installiert und ein reboot gemacht.
Per SSH habe ich mich dann auf die opnsense verbunden.
x86info -a | grep -i microcode
ergab --> /dev/cpuctl0: No such file or directory
nach dem Befehl "kldload cpuctl"
CPU microcode: no matching update found
Das heisst also CPU ist schon so alt das AMD nichts mehr anbietet?
x86info + cpuctl
Per SSH habe ich mich dann auf die opnsense verbunden.
x86info -a | grep -i microcode
ergab --> /dev/cpuctl0: No such file or directory
nach dem Befehl "kldload cpuctl"
CPU microcode: no matching update found
Das heisst also CPU ist schon so alt das AMD nichts mehr anbietet?
x86info + cpuctl
Code Select
x86info v1.31pre
Unknown CPU family: 0x16
Unknown CPU family: 0x16
Unknown CPU family: 0x16
Unknown CPU family: 0x16
Found 4 identical CPUs
Extended Family: 7 Extended Model: 3 Family: 15 Model: 48 Stepping: 1
CPU Model (x86info's best guess):
Processor name string (BIOS programmed): AMD GX-412TC SOC
Monitor/Mwait: min/max line size 64/64, ecx bit 0 support, enumeration extension
SVM: revision 1, 8 ASIDs, np, lbrVirt, SVMLock, NRIPSave, TscRateMsr, FlushByAsid, DecodeAssists, PauseFilter, PauseFilterThreshold
Address Size: 48 bits virtual, 40 bits physical
The physical package has 4 of 8 possible cores implemented.
running at an estimated 1.00GHz
