Recent posts

#1
German - Deutsch / Re: Kann DMZ aus LAN nicht err...
Last post by SMG - Today at 12:27:04 PM
Dies war ein Test. Die Idee war/ist eigentlich auf dem Host SFTPGo – FileServer mit Docker  und  Macvlan-Netzwerktreiber einzurichten (gebunden an den DMZ-NIC), um dem Container dann eine eigene MAC-Adresse und eine eigene IP in der DMZ zuzuweisen. Die anderen Programme auf dem Host sollten dann weiterhin über den LAN-NIC  mit LAN.net kommunizieren,  der Docker Container hingegen sieht nur die DMZ.
Ich dachte dies sei sicherer als eine Portweiterleitung ins LAN....

#2
25.7, 25.10 Series / openssl (CVE-2025-15467)
Last post by wirehire - Today at 12:17:10 PM
Hey,

i see openssl 3.0.18 has impact with the cve : (CVE-2025-15467). or has the 3.0.18 the fix?

greets!
#3
26.1 Series / Re: 26.1 is out!!!
Last post by pavlon1988 - Today at 12:08:48 PM
Just upgraded from 25.11 to 26.1 via the web-gui on a VM in Proxmox without any problems! :))
#4
26.1 Series / Re: Clarification on os-isc-dh...
Last post by vk2him - Today at 12:01:55 PM
Thanks guys for clarifying
#5
Das geht so nicht. Was für einen Sinn hat die Firewall dazwischen, wenn der Host eine direkte Verbindung ins LAN hat? Dann benutz doch auch die LAN-Verbindung zum Kommunizieren.

Wenn der Host einer DMZ "eingesperrt" sein soll, dann darf er auch nur das DMZ-Interface haben.
#6
25.7, 25.10 Series / [SOLVED] after updating to OPN...
Last post by Bob.Dig - Today at 11:26:36 AM
After updating OPNsense to 25.7.11_9 all gateways are reported as being down. This installation is in the OracleCI. I still can reach it, so something is weird.

PCap on WAN shows nothing for ICMP.

Edit: Gateway monitor Service  wasn't running. After restarting it, everything works as expected.
#7
26.1 Series / Re: 26.1 is out!!!
Last post by franco - Today at 11:26:14 AM
No worries. The upgrade path is live now.  :)


Cheers,
Franco
#8
German - Deutsch / Re: Kann DMZ aus LAN nicht err...
Last post by SMG - Today at 11:24:16 AM
Da scheint wohl der Fehler zu liegen. Den Host hatte ich als Fehlerquelle ausgeschlossen da der Ping aus dem Wireguard Netz funktioniert hat.....
-wieder mal was gelernt

Der Host (alpine linux frisch aufgesetzt) hat zwei NICs
1x lan 192.168.0.13
1x dmz 192.168.10.4

Da wird wohl die Antwort über den  "LAN NIC" geroutet und die OPNsense bekommt eine Antwort von der falschen IP, oder es wird gar keine Antwort gesendet (im Paket-Trace wird ja gar kein Reply angezeigt). Kennst du einen Befehl der hier etwas mehr Licht ins Dunkel bringen könnte?





Ping aus dem LAN
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on any, link-type LINUX_SLL2 (Linux cooked v2), snapshot length 262144 bytes
08:00:30.852217 eth0  In  IP 192.168.0.48 > 192.168.10.4: ICMP echo request, id 1, seq 170, length 64
08:00:31.876194 eth0  In  IP 192.168.0.48 > 192.168.10.4: ICMP echo request, id 1, seq 171, length 64

Ping aus dem Wireguard Netz
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on any, link-type LINUX_SLL2 (Linux cooked v2), snapshot length 262144 bytes
08:01:52.427354 eth0  In  IP 10.10.10.4 > 192.168.10.4: ICMP echo request, id 19, seq 4, length 64
08:01:52.427479 eth0  Out IP 192.168.10.4 > 10.10.10.4: ICMP echo reply, id 19, seq 4, length 64
08:01:52.772358 eth0  In  IP 192.168.0.48 > 192.168.10.4: ICMP echo request, id 1, seq 250, length 64
08:01:53.457374 eth0  In  IP 10.10.10.4 > 192.168.10.4: ICMP echo request, id 19, seq 5, length 64
#9
26.1 Series / Re: 26.1 is out!!!
Last post by zerwes - Today at 11:16:39 AM
Oh - sorry and thanks for the hint (those who can read have a clear advantage aka. wlkikiV)
#10
Hardware and Performance / Re: console on OPNsense hardwa...
Last post by Seimus - Today at 11:16:28 AM
SSH access and web GUI (HTTP/s) access are two different things.

If you want to disable the default "root" account on GUI you need to disabled it in the GUI settings.
But before that create a new admin account.

Regards,
S.