"Recent posts
#1
26.1, 26,4 Series / Re: OPNSense forwarding packet...
Last post by wincent - Today at 05:35:33 AMCan you provide the current network topology?
#2
General Discussion / Re: Hello all! And thank you ...
Last post by donkeydiq - Today at 05:15:15 AMwell, it seems to be the trying to figure out how all of the nic's are named or addressed. im using 3 in total, neither of the sfp ports, i get the management working on proxmox, but then when i goto add lan and wan for opnsense it all falls apart. i have tried opnsense on bare metal and i am having the same issues, i setup ip passthough on my att router (which i think is the main issue). I just do not have any formal trraining. So i thought i would reach out to the forums before i put it in the microwave. i am trying to be autodidactic and piece together what i can to make it work. i want o keep the proxmox layeer since it seems this lanner nca1515 is way over power for just running opnsense. and wanted to run other services along with opnsense. Its just frusterating when i watch 100 youtube videos and these folks are getting it up and running in 10 minutes. and i cant even get it to work halfway. my gateway sits at 192.168.1.254, i set wan to dhcp, i use various ip's for lan and i cant get anything out of it. i have a goalake 8 portt poe switch that ships with 10.0.0.10, so i try that and nothing, i try 192.168.2.1 nothing, i plug unplug wait reboot reload rewrite rinse repeat conttemplate stapling my fingers together and try some more. I have tried getting ai to help and that just makes a major mess of things
#3
26.1, 26,4 Series / Re: Unbound reporting stop wor...
Last post by wincent - Today at 03:33:39 AMI have no idea if I can replace the Checkpoint equipment CPU manually.
I also have a brand new Checkpoint 4600(serving as a cold backup), and I can give it a try to upgrade its CPU.
I also have a brand new Checkpoint 4600(serving as a cold backup), and I can give it a try to upgrade its CPU.
#4
26.1, 26,4 Series / Re: Unbound reporting stop wor...
Last post by connervt - Today at 02:21:52 AMI still have 2 Clarkdale CPUs and motherboards kicking around here somewhere, if you wish to upgrade.
#5
German - Deutsch / Re: Absoluter Anfänger hat Ver...
Last post by viragomann - June 11, 2026, 11:06:09 PMHallo,
Wenn du also neu startest, beginne gleich mit den "Rules (new)".
Betreibt man einen in OPNsense (ist standardmäßig aktiviert), wird auch eine solche Regel automatisch gesetzt. Ist doch vernünftig.
Regeln werden auf einem Interface definiert, bspw. LAN. Eingehend bedeutet, die Regel wird auf Traffic angewändt, der von einem LAN-Geräte rein kommt und irgendwo hingehen möchte (wohin, hängt von der Routingtabelle ab).
Ausgehend bedeuter eben, die Regel wird auf Traffic angewandt, der auf dem Interface raus geht.
Typischerweise definert man eingehende Regeln. Ausgehende für spezielle Zwecke.
Dann gibt es noch die sog. "Anti-Lockout" Regel, die den Zugriff auf das Web-Interface auf den in System: Settings: Administration eingestellten Interfaces erlaubt.
Wenn du Port 443 für interne Services nutzt, solltest du auch den Web GUI Port da auf einen anderen ändern.
Wenn du Port 80 nutzt, sollte "HTTP Redirect" deaktiviert werden.
Standardmäßig hat OPNsense am LAN eine Regel gesetzt, die alles erlaubt, damit man erstmal starten kann. Das gilt aber ausschließlich für LAN. Bei weiteren Interfaces ist von Haus aus nichts erlaubt.
Wenn du nur die Ports 80 u. 443 ins Internet erlauben möchtest, setze eine Regel am jeweiligen Interface für eingehenden Verkehr und Protokoll TCP/UDP und den entsprechenden Zielport.
Die Standard Erlaube-alles Regel kannst du dann deaktivieren.
Bei den mehreren Erlauben- u. Block-Regeln bedenke, dass OPNsene den Regelsatz von oben nach unten prüft. Treffen die Bedingungen einer zu, wird sie angewandt. Weiter Regeln kommen dann nicht mehr zum Tragen.
Zu den Bedingungen gehören Interface, Protokoll, Richtung, IP-Version, Quell- u. Ziel-IP u. -Port.
Ein häufiger Anfängerfehler ist auch "WAN net" als das Internet anzusehen. Wenn du Traffic ins Internet erlauben möchtest, muss das Ziel "Alles" sein.
Ist das eine OPNsense Interface IP?
Wenn du Subnetze als Ziel oder Quelle verwendest, muss eine Netzwerkadresse angeben werden.
Quote from: cola247 on June 11, 2026, 10:26:06 PMWarum gibt es die Unterpunkte "Regeln" und "Rules [new]" parallel nebeneinander ? Welches verwendet man besser ?weil OPNsense das Regel-System gerade umstellt. Regeln / Rules sind die bisherigen. "Rules (new)" die neuen. Aktuell gibt es wegen Rückwärtskompatibilität eine Überschneidung. Wer alte Regeln verwendet, muss sie noch innerhalb der 26.x Version auf neue konvertieren, soweit ich weiß.
Wenn du also neu startest, beginne gleich mit den "Rules (new)".
Quote from: cola247 on June 11, 2026, 10:26:06 PMNehmen wir die PASS Regel als Beispiel - ginge auch:Das erlaubt Zugriff auf den lokalen DNS Server.
Eingehend IPv4 LAN1Netzwerk * Firewall DOMAIN(53) * * - quasi das komplette LAN1 Netzwerk sendet DNS an die Firewall ?
Betreibt man einen in OPNsense (ist standardmäßig aktiviert), wird auch eine solche Regel automatisch gesetzt. Ist doch vernünftig.
Quote from: cola247 on June 11, 2026, 10:26:06 PMWas bedeuted genau Eingehend und Ausgehend ??Das ist die Sicht des Interfaces.
Regeln werden auf einem Interface definiert, bspw. LAN. Eingehend bedeutet, die Regel wird auf Traffic angewändt, der von einem LAN-Geräte rein kommt und irgendwo hingehen möchte (wohin, hängt von der Routingtabelle ab).
Ausgehend bedeuter eben, die Regel wird auf Traffic angewandt, der auf dem Interface raus geht.
Typischerweise definert man eingehende Regeln. Ausgehende für spezielle Zwecke.
Quote from: cola247 on June 11, 2026, 10:26:06 PMUnd warum wird das "Internes DNS erlauben" genauso eingestellt wie das "Externes DNS blockieren" ?Wo ist diese Einstellung im Menü? Das sagt mir jetzt nichts.
Quote from: cola247 on June 11, 2026, 10:33:39 PMch will angenommen nur die Basis (53,67,68,80,443) erlauben für LAN1, alles andere was nach draußen will soll geblockt werden. Was rein und raus geht will ich nur durch Regeln erlauben.Port 67,68 UDP auf die OPNsene ("This Firewall") wird auch automatisch erlaubt, wenn ein DHCP Server am Interface betrieben wird.
Dann gibt es noch die sog. "Anti-Lockout" Regel, die den Zugriff auf das Web-Interface auf den in System: Settings: Administration eingestellten Interfaces erlaubt.
Wenn du Port 443 für interne Services nutzt, solltest du auch den Web GUI Port da auf einen anderen ändern.
Wenn du Port 80 nutzt, sollte "HTTP Redirect" deaktiviert werden.
Standardmäßig hat OPNsense am LAN eine Regel gesetzt, die alles erlaubt, damit man erstmal starten kann. Das gilt aber ausschließlich für LAN. Bei weiteren Interfaces ist von Haus aus nichts erlaubt.
Wenn du nur die Ports 80 u. 443 ins Internet erlauben möchtest, setze eine Regel am jeweiligen Interface für eingehenden Verkehr und Protokoll TCP/UDP und den entsprechenden Zielport.
Die Standard Erlaube-alles Regel kannst du dann deaktivieren.
Bei den mehreren Erlauben- u. Block-Regeln bedenke, dass OPNsene den Regelsatz von oben nach unten prüft. Treffen die Bedingungen einer zu, wird sie angewandt. Weiter Regeln kommen dann nicht mehr zum Tragen.
Zu den Bedingungen gehören Interface, Protokoll, Richtung, IP-Version, Quell- u. Ziel-IP u. -Port.
Ein häufiger Anfängerfehler ist auch "WAN net" als das Internet anzusehen. Wenn du Traffic ins Internet erlauben möchtest, muss das Ziel "Alles" sein.
Quote from: cola247 on June 11, 2026, 10:56:42 PMBei Angabe der Firewall als Zielhost müsste es lauten 192.168.1.1 statt 192.168.1.1/24 in dem Fall, oder ?Wenn deine Firewall dieses Ziel hat, ja.
Ist das eine OPNsense Interface IP?
Wenn du Subnetze als Ziel oder Quelle verwendest, muss eine Netzwerkadresse angeben werden.
#6
German - Deutsch / Re: Absoluter Anfänger hat Ver...
Last post by cola247 - June 11, 2026, 10:56:42 PMBei Angabe der Firewall als Zielhost müsste es lauten 192.168.1.1 statt 192.168.1.1/24 in dem Fall, oder ?
#7
German - Deutsch / Re: Absoluter Anfänger hat Ver...
Last post by cola247 - June 11, 2026, 10:33:39 PMIch will angenommen nur die Basis (53,67,68,80,443) erlauben für LAN1, alles andere was nach draußen will soll geblockt werden. Was rein und raus geht will ich nur durch Regeln erlauben.
#8
German - Deutsch / Absoluter Anfänger hat Verstän...
Last post by cola247 - June 11, 2026, 10:26:06 PMHallo Forum,
ich habe ein kleinen Denkfehler bezüglich der Firewallregelung. Ich bin noch nicht durchgestiegen, bin absoluter Noob. Ich bin von einer Zyxel auf Opnsense umgestiegen.
Warum gibt es die Unterpunkte "Regeln" und "Rules [new]" parallel nebeneinander ? Welches verwendet man besser ?
Die automatisch hinzugefügten Regeln von Haus aus irritieren mich ebenfalls. Egal.
Diese Regel habe ich im Netz ergoogled.
Nehmen wir die PASS Regel als Beispiel - ginge auch:
Eingehend IPv4 LAN1Netzwerk * Firewall DOMAIN(53) * * - quasi das komplette LAN1 Netzwerk sendet DNS an die Firewall ?
Was bedeuted genau Eingehend und Ausgehend ??
QUELLE: LAN1Netzwerk --ausgehender Verkehr--> ZIEL: Port 53 auf Firewall
oder
QUELLE: LAN1Netzwerk --eingehender Verkehr--> ZIEL: Port 53 auf Firewall
Mein Verständnis lautet LAN1 Senderichtung ZUR Firewall - Ausgehend (von LAN1 auf FW)
LAN1 Senderichtung VON der Firewall - Eingehend (von FW auf LAN1)
Und warum wird das "Internes DNS erlauben" genauso eingestellt wie das "Externes DNS blockieren" ? Mit der Ausnahme der Angabe der FW bei internem Erlauben.
Ich stehe total auf dem Schlauch.
ich habe ein kleinen Denkfehler bezüglich der Firewallregelung. Ich bin noch nicht durchgestiegen, bin absoluter Noob. Ich bin von einer Zyxel auf Opnsense umgestiegen.
Warum gibt es die Unterpunkte "Regeln" und "Rules [new]" parallel nebeneinander ? Welches verwendet man besser ?
Die automatisch hinzugefügten Regeln von Haus aus irritieren mich ebenfalls. Egal.
Diese Regel habe ich im Netz ergoogled.
Nehmen wir die PASS Regel als Beispiel - ginge auch:
Eingehend IPv4 LAN1Netzwerk * Firewall DOMAIN(53) * * - quasi das komplette LAN1 Netzwerk sendet DNS an die Firewall ?
Was bedeuted genau Eingehend und Ausgehend ??
QUELLE: LAN1Netzwerk --ausgehender Verkehr--> ZIEL: Port 53 auf Firewall
oder
QUELLE: LAN1Netzwerk --eingehender Verkehr--> ZIEL: Port 53 auf Firewall
Mein Verständnis lautet LAN1 Senderichtung ZUR Firewall - Ausgehend (von LAN1 auf FW)
LAN1 Senderichtung VON der Firewall - Eingehend (von FW auf LAN1)
Und warum wird das "Internes DNS erlauben" genauso eingestellt wie das "Externes DNS blockieren" ? Mit der Ausnahme der Angabe der FW bei internem Erlauben.
Ich stehe total auf dem Schlauch.
#9
26.1, 26,4 Series / Re: picky DHCP on WAN
Last post by TheSHAD0W - June 11, 2026, 10:18:52 PMAlso for reference: Here are the settings gemini recommended:
Also got a *very* delayed DHCP ACK while testing these settings, which was interesting.
Quoteroot@router:/var/etc # cat dhclient.igb2.conf
interface "igb2" {
# timing values
backoff-cutoff 10;
initial-interval 10;
reboot 30;
retry 5;
select-timeout 1;
timeout 60;
# custom options
require dhcp-server-identifier;
always-broadcast true;
supersede dhcp-max-message-size 576;
supersede dhcp-parameter-request-list 1,28,2,121,3,15,6,12,119,26,57;
# standard settings
script "/usr/local/opnsense/scripts/interfaces/dhclient-script";
supersede interface-mtu 0;
}
Also got a *very* delayed DHCP ACK while testing these settings, which was interesting.
#10
General Discussion / Re: Net-SNMP Layer 3 visibilit...
Last post by Patrick M. Hausen - June 11, 2026, 10:01:10 PMThis setting sets sysServices to 76 while the setting without Layer 3 visibility checked is 72. The sysServices parameter in snmpd.conf populates the matching OID telling a network management system which services the managed host runs.
https://oidref.com/1.3.6.1.2.1.1.7
72 means applications and end-to-end
76 means applications, end-to-end and IP
HTH,
Patrick
https://oidref.com/1.3.6.1.2.1.1.7
72 means applications and end-to-end
76 means applications, end-to-end and IP
HTH,
Patrick
