Recent posts

#1

26.1 Series / Re: install? NextDNS service?

Last post by Ceyarrecks - Today at 05:54:48 PM

You can.

But using Services: Unbound DNS: DNS over TLS with your custom subdomain will probably be better.

https://docs.opnsense.org/manual/unbound.html#dns-over-tls

I Thank You for the alacrity of your response.
I will read up and attempt to implement.
:)

#2

Zenarmor (Sensei) / Re: Help with Blocking Firstly...

Last post by sy - Today at 05:54:07 PM

Hi,

Thank you for sharing your concern.

Please be assured that all sensitive data is automatically stripped from the config.xml file before being included in the report. Consequently, the shared files do not contain any confidential or private information. Our automated sanitization process ensures that your security and privacy are maintained at all times. If you have any further questions please feel free to reach out.

#3

Virtual private networks / OPNsense, Proxmox & OpenVPN

Last post by V3G4NC4MP3R - Today at 05:53:09 PM

Good Day!

I am attempting to setup OPNsense on a Proxmox server that will be used for all internet access. I would like a number on LXC/VMs to go via OpenVPN and the rest via my fibre router (will replace that later with a 2.5Gbe OPNsense bridged port). So far I have the Proxmox instances working by performing the following:

• Firewall -> Aliases -> _vpn_group_ (host IPs)
• Firewall -> Rules -> LAN -> top level rule to direct _vpn_group too the OpenVPN gateway
• Firewall -> NAT -> Outbound -> rule for _vpn_group

That all works fine and from one of the instances if I curl a IP info check I get back the VPN address. The problem comes when I update my local machine to use OPNsense as it's gateway. I cannot reach anything outside of the local network :(

Do I need another NAT rule for the local LAN?

Amy just a little confused on what configuration am missing.

#4

26.1 Series / Re: install? NextDNS service?

Last post by sopex8260 - Today at 05:48:53 PM

You can.

But using Services: Unbound DNS: DNS over TLS with your custom subdomain will probably be better.

https://docs.opnsense.org/manual/unbound.html#dns-over-tls

#5

German - Deutsch / Re: Erfahrungen bei ersten Geh...

Last post by silke61 - Today at 05:33:56 PM

Ich hatte bei meinen Versuchen in dem bei der Installation automatisch angelegten WAN_DHCP Gateway die IP der Fritzbox eingetragen. Ok, wahr wohl ein Fehler, kann passieren, sollte sich aber korrigieren lassen aber genau das gelang mir nicht. Ich konnte die IP nach Klick auf "Edit" scheinbar entfernen, doch nach "Save" war sie in der Gateway-Übersicht immer noch zu sehen. Auch ein Neustart half nicht.

Das sollte eigentlich so gehen, ansonsten wäre es ja ein Bug...? Ich meine mich aber zu erinnern, daß die Gateway-Einträge an mehreren Stellen angelegt werden und dann auch jeweils einmal gelöscht werden müssen.

Nun, eingetragen hatte ich die IP nur an einer Stelle und erwarte eigentlich auch, daß ich sie an derselben Stelle auch wieder löschen kann. Daß das nicht (vollständig) gelingt, halte ich tatsächlich für einen Bug, mag mich da aber mangels Kenntnis der Interna auch täuschen.

Doch die pass-Regel unter 3. hat weder mit "This Firewall" noch mit 192.168.99.0/24 als Destination funktioniert. Erst als ich als Destination 192.168.99.1/32 eingetragen habe, hat es geklappt.

Auch hier, wenn die Pass-Regel mit der konkreten Adresse funktioniert, steht sie ja an der richtigen Stelle und sollte doch dann eigentlich auch mit "This Firewall" und auch mit dem ganzen /24 Subnetz greifen....? Zuerst dachte ich, daß es evtl. an der falschen Auswahl "host vs. network" liegen könnte, aber es gibt ja nur "single host or network", da muß die /24 also eigentlich gehen, da die OPN box ja mitr im Netz ist, oder schottet die sich nochmal extra ab, daß nur eine explizite Adresse greift?

Ich hatte genau dieselbe Überlegung. Mich würde wirklich die Erklärung aus eingeweihtem Munde interessieren, warum nur die eine Variante funktioniert.

#6

German - Deutsch / Re: Erfahrungen bei ersten Geh...

Last post by silke61 - Today at 05:24:37 PM

@silke61: Wie ich hier bereits erläuterte:

- Man muss die Prinzipien selbst verstehen, anderenfalls kann man die kleinen Ungenauigkeiten, die sich 100%ig einschleichen, nicht erkennen und auch nicht heilen.
- Dazu hilft es, die offiziellen Dokumentation zu lesen und die zugrunde liegenden Prinzipien zu verinnerlichen.
- Dann gibt es den READ ME FIRST-Artikel, der die häufigsten Fallen behandelt. Ich empfehle, ihn von vorne bis hinten zu lesen - irgendwann auf der Reise kommt man wohl an jedem Punkt einmal vorbei (ein paar hast Du ja schon durch).
- Darüber hinaus gibt es für bestimmte Spezialthemen, die immer wieder vorkommen, HOWTOs in der Tutorial-Sektion des Forums, darunter die zum Spezialthema Proxmox, Fritzbox oder IPv6 u.v.a.m.

Da arbeite ich mich nach und nach durch, habe als Anfängerin aber nicht gleich alles schon im Kopf.

- Jede Abweichung oder "Vergessen" eines Schritts oder wie hier die falsche Reihenfolge bei Firewall-Regeln würde die Funktion verhindern (übrigens: by design).

Die Reihenfolge war nicht falsch. Das Prinzip, wie die aufeinander folgen müssen habe ich bereits verstanden. Bei gleicher Reihenfolge hat allein die Änderung bei der "Destination" den Unterschied gemacht.

- Auch die "Entwickler" können das nicht für Dich vereinfachen, weil man nicht jede Verästelung voraussehen oder abbilden kann. Der Gedanke daran wird also "wishful thinking" bleiben.

Ich erwarte auch nicht, daß jede Verästelung vorausgesehen wird. Die von mir angesprochenen Punkte könnten aber meiner Meinung nach durchaus verbessert werden (Gateway-IP wirklich vollständig löschbar machen, korrekter "This Firewall"-Alias, Hinweis auf schon laufenden Dienst, der mit dem gerade aktivierten kollidiert, hier DHCP). Daß nicht immer alles schon gestern eingebaut ist, ist mir klar aber für die Zukunft erwägenswert halte ich solche Änderungen durchaus. Dann bleiben immer noch genügende mögliche Fallstricke über...

Zum Thema mögliche Freiheitsgrade: Nimm Dich selbst als Beispiel - Du hast Dir quasi den "GAU" ausgesucht, nämlich nicht nur OpnSense "pur", was an sich schon nicht so einfach ist, wie viele sich das vorstellen, nachdem sie ein Youtube-Video gesehen haben, sondern "router-behind-router" plus VLANs plus "Virtualisierung" (a: Haben wir schon über die Hardware gesprochen? b: Dass man "niemals nicht" UFS nimmt, steht übrigens auch im Proxmox-Guide. c: IPv6 läuft?). Jedes dieser Themen ist ein Minenfeld für sich.

Die Komplexität ist mir durchaus bewußt. Ich möchte mich da nach und nach durcharbeiten. Es gibt Gründe für meine Entscheidung für die einzelnen Minenfelder. OPNsense ist zwar sehr neu für mich, ich bilde mir aber ein, in 40 Jahren Arbeit mit Computern und Netzen ein wenig Erfahrung gesammelt zu haben, bin also kein absolutes Greenhorn.

Evtl. werde ich die für UFS revidieren, ich hatte gerade bei den aktuellen Preisen einfach Angst, mir die SSD durch ZFS auf ZFS zu schnell zu verschleißen. Der Vorteil der Virtualisierung ist ja gerade, daß ich es recht einfach ausprobieren kann (einfach zweite VM, wear genau beobachten, bei Problemen zuück zur ersten).

Die Entscheidung für "router hinter router" werde ich sicher revisieren, sobald ich mich sicher im Minenfeld bewegen kann. Ich plane einen sanften Umstieg, indem ich ein System nach dem anderen aus dem alten Fritzbox-Netz hinter die Firewall schiebe. Wenn alles migriert ist, soll OPNsense direkt hinter das Glasfaser-Modem kommen.

Der erfahrene Handwerker weiß: Eine zöllige Schraube passt nicht in eine metrische Mutter.

Ich denke, OPNsense paßt sehr gut zu meiner Anforderung, d.h. das Maßsystem sollte stimmen. Was mir noch fehlt ist auf den ersten Blick zu erkennen, ob es sich um eine 1¼-zöllige oder um eine 1½-zöllige Schraube handelt.

Zusammengefasst: NICHTS an OpnSense ist wirklich einfach. Sorry, aber isso...

Deshalb ja mein Post. Damit andere, die ähnliche Probleme haben, es ein ganz, ganz klein wenig einfacher haben.

#7

26.1 Series / Re: OpenVPN - VPN Not Working ...

Last post by sopex8260 - Today at 05:11:04 PM

There are generally around zero reasons to use openvpn.

OpenVPN over WireGuard: corporate context with individual authentication via e.g. LDAP.
OpenVPN over IPsec: Xauth exists, but clients for common desktop and mobile OSes are open source and way simpler to configure.

The guy has a firewall and an iPhone. He won't be needing LDAP

And obviously only OpenVPN has reasonable routing features for road warriors.

Both Netbird and Tailscale have very reasonable routing features... And with a firewall and an iPhone you just use their free tiers :)

There are generally around zero reasons to use openvpn.

AFAIK Wireguard has no DHCP Server option while OpenVPN does ?!

So if you have a lot of users you need to connect to your network then OpenVPN could be the better choice :)

Unless you feel like configuring 100 or so peers manually ofcourse... LOL!

tailscale/ netbird

Or ipsec

For now I would skip the first two and the last one feels outdated/deprecated after all these years...

Not using tailscale or netbird is a choice but you really have no reason to skip them,especially for such a simple setup.

Ipsec is unfortunately or fortunately very much alive and the furtherst from depreciated.

[FreeBSD]

#8

26.1 Series / install? NextDNS service?

Last post by Ceyarrecks - Today at 04:39:21 PM

Excuse me Please:

Is there a way to, beyond just inputting NextDNS' dns servers, actually install the service into the 26.1.6 OPNsense os?

NextDNS does include instructions for installing on a 'FreeBSD' os,
https://github.com/nextdns/nextdns/wiki/FreeBSD

 which i realize OPNsense is based on;

However, as I would choose not to take anything for granted, what would, or, can there, be a means of installing the Account-specified service?

#9

25.7, 25.10 Series / Re: Router not having WAN acce...

Last post by justjake - Today at 04:13:45 PM

Ok thank you all for the help. I decided it was best to just start from scratch, I restored to default settings and the problem resolved itself. Happy Days!

[proper]

#10

General Discussion / Re: AI integration for OPNsens...

Last post by nero355 - Today at 04:10:28 PM

So called "AI" and "proper network and security checks" are a contradiction.

sounds like a terrible idea

Agree with the above! :)



#SayNOtoMachineLearningChatBots!