"Recent posts
#1
26.1 Series / Re: BUG: Category Color Picker
Last post by Monviech (Cedrik) - Today at 11:36:54 AMFor me it works, are you sure you are setting the color picker correctly?
E.g., in Chrome you have to click the colored box to where the color is. If you only use the slider, the actual color picker stays on black.
E.g., in Chrome you have to click the colored box to where the color is. If you only use the slider, the actual color picker stays on black.
#2
Virtual private networks / Re: snat per tunnel interface ...
Last post by multazimd - Today at 11:34:48 AMIn our case, remote subnet overlap is not within single vpn connection but between two different vpn connections. Since connections are different and tunnels are unique, wouldn't opnsense be able to route traffic correctly?
#3
25.7, 25.10 Series / Re: Can't rename Gateway.. Tha...
Last post by franco - Today at 11:31:40 AMClone, delete?
That decision was probably made almost 20 years ago when data integrity and cross referencing items in the config.xml were a funny developer joke.
Cheers,
Franco
That decision was probably made almost 20 years ago when data integrity and cross referencing items in the config.xml were a funny developer joke.
Cheers,
Franco
#4
26.1 Series / Re: Upgrade Failed, signature ...
Last post by franco - Today at 11:29:38 AMFor most people this keeps happening on LTE connections. Can't fix that easily as it's some weird thing inside libfetch that triggers this.
Cheers,
Franco
Cheers,
Franco
#5
26.1 Series / Re: What to do with "Rules" no...
Last post by franco - Today at 11:23:38 AMThere's a commit on master branch that hides old rules. It has it's ups and downs and we're still trying to think of the best way forward for 26.7 and perhaps 26.1.x but that latter part is actually trickier if we don't know what people expect. We only hear about the ones that don't like hiding after its hidden. ;)
Cheers,
Franco
Cheers,
Franco
#6
General Discussion / Understanding Normalization ru...
Last post by Dragonfly - Today at 11:17:09 AMI'm trying to set the tos flag in the IP header for certain traffic using normalization rules. Basically I have a VPN tunnel from a home server (192.168.1.2) connecting to a public VPN server UDP/443. What I want is this traffic to be marked with CS1 (background).
I've made a rule like this:
Interface: LAN_1
Proto: UDP
Direction: any
Source: 192.168.1.2:any
Dest: any:443
ToS: CS1
However, the strange thing is that all return traffic get tos 0x20:
but all outgoing traffic remains on 0x00:
These are packets from a simple tcpdump -vni igb1 host 192.168.1.2 and udp port 443 -c 10. I've tried removing the state as well as simply restarting the tunnel several times.
I've also tried making an opposite rule, with srcport 443 dst 192.168.1.2:any, as well as include my WAN interface (pppoe0) but to no avail.
Does anyone know what's going on or how to solve this? Much appreciated!
edit: when I just create a blanket rule with my LAN interface selected and then everything else set to "any", outgoing traffic is still 0x00 whilst the incoming traffic is 0x20. What am I missing?
I've made a rule like this:
Interface: LAN_1
Proto: UDP
Direction: any
Source: 192.168.1.2:any
Dest: any:443
ToS: CS1
However, the strange thing is that all return traffic get tos 0x20:
Code Select
10:40:06.548763 IP (tos 0x20, ttl 58, id 32042, offset 0, flags [DF], proto UDP (17), length 133)
1.2.3.4.443 > 192.168.1.2.57135: UDP, length 105but all outgoing traffic remains on 0x00:
Code Select
10:40:06.549125 IP (tos 0x0, ttl 64, id 10416, offset 0, flags [DF], proto UDP (17), length 105)
192.168.1.2.57135 > 1.2.3.4.443: UDP, length 77These are packets from a simple tcpdump -vni igb1 host 192.168.1.2 and udp port 443 -c 10. I've tried removing the state as well as simply restarting the tunnel several times.
I've also tried making an opposite rule, with srcport 443 dst 192.168.1.2:any, as well as include my WAN interface (pppoe0) but to no avail.
Does anyone know what's going on or how to solve this? Much appreciated!
edit: when I just create a blanket rule with my LAN interface selected and then everything else set to "any", outgoing traffic is still 0x00 whilst the incoming traffic is 0x20. What am I missing?
#7
German - Deutsch / Re: Business OPNWAF - Fragen /...
Last post by Monviech (Cedrik) - Today at 11:09:32 AM1) Das HTTP2 Modul ist aus keinem bestimmten grund deaktiviert, man kann es in der GUI gerne selektierbar machen. Gerne eine Issue hier: https://github.com/opnsense/plugins/issues
2) Das mit dem default virtual host ist ein Problem was ich kenne, da es aber keine Snakeoil Zertifikate in FreeBSD gibt wie in Linux hab ich noch keine Lösung (außer selber so ein wegwerf Zertifikate zu generieren), es ist aber kein Sicherheitsproblem. Man müsste so einen vhost an erster Stelle machen:
3) Das die Error Documents nicht funktionieren ist uns noch nicht bekannt, bitte gerne eine Issue aufmachen und wie man es reproduzieren kann:
https://github.com/opnsense/plugins/issues
2) Das mit dem default virtual host ist ein Problem was ich kenne, da es aber keine Snakeoil Zertifikate in FreeBSD gibt wie in Linux hab ich noch keine Lösung (außer selber so ein wegwerf Zertifikate zu generieren), es ist aber kein Sicherheitsproblem. Man müsste so einen vhost an erster Stelle machen:
Code Select
SSLStrictSNIVHostCheck On
<VirtualHost *:443>
ServerName catch-all.invalid
SSLEngine on
SSLCertificateFile /usr/local/etc/ssl/snakeoil.crt
SSLCertificateKeyFile /usr/local/etc/ssl/snakeoil.key
<Location />
Require all denied
</Location>
ErrorDocument 403 "Invalid hostname"
</VirtualHost>
3) Das die Error Documents nicht funktionieren ist uns noch nicht bekannt, bitte gerne eine Issue aufmachen und wie man es reproduzieren kann:
https://github.com/opnsense/plugins/issues
#8
German - Deutsch / Business OPNWAF - Fragen / Pro...
Last post by sim_on - Today at 11:00:31 AMHallo zusammen,
bei der Nutzung der OPNWAF Funktion der Business Edition sind mir folgende Sachen aufgefallen, die ich so nicht direkt lösen konnte und auch sonst keine Informationen hierzu finden konnte.
Vielleicht kann mir da ja jemand weiterhelfen oder die Probleme bestätigen. Dann würde ich entsprechende Tickets eröffnen.
1) HTTP/2 Support: Die Webseiten werden nicht über HTTP/2 ausgeliefert. Hierzu konnte ich auch keinen Hinweis finden, ob das gewollt ist.
In der httpd.conf unter /usr/local/etc/apache24 ist folgendes Modul ausgeklammert (Zeile 120):
Die Änderung in dieser Datei ist aber nicht persistent.
Weiß jemand weshalb HTTP/2 per default nicht aktiviert ist?
2) Wenn Domains nicht eingerichtet wurden, wird der default virtual host genutzt. Mir erschließt sich der Sinn dahinter nicht ganz.
Das hat folgende Auswirkung:
Bei einem Aufruf einer nicht existierenden Domain kommt eine HTTPS Zertifikatswarnung "net::ERR_CERT_COMMON_NAME_INVALID" weil das Zertifikat von der default-Domain genommen wird. Anschließend wird der Request dann so behandelt, als hätte man direkt die default-Domain aufgerufen.
Meiner Meinung nach sollte der Request ins Leere laufen bzw. abgelehnt werden, weil OPNWAF die Domain oder Subdomain nicht kennt.
Beispiel:
Einstellungen: HTTP nach HTTPS umleiten aktiv
Virtueller Server: abc.example.com -> Redirect nach https://main.example.com
Aufruf von z.B. test.example.com -> Zertifkat von abc.example.com wird angezeigt "net::ERR_CERT_COMMON_NAME_INVALID" und nach Bestätigung wird man nach main.example.com weitergeleitet.
Logs:
3) Custom Error Documents, die per GUI hochgeladen wurden, können nicht angezeigt werden.
Vielen Dank im Voraus.
(Version 25.10.2)
bei der Nutzung der OPNWAF Funktion der Business Edition sind mir folgende Sachen aufgefallen, die ich so nicht direkt lösen konnte und auch sonst keine Informationen hierzu finden konnte.
Vielleicht kann mir da ja jemand weiterhelfen oder die Probleme bestätigen. Dann würde ich entsprechende Tickets eröffnen.
1) HTTP/2 Support: Die Webseiten werden nicht über HTTP/2 ausgeliefert. Hierzu konnte ich auch keinen Hinweis finden, ob das gewollt ist.
In der httpd.conf unter /usr/local/etc/apache24 ist folgendes Modul ausgeklammert (Zeile 120):
Code Select
#LoadModule http2_module libexec/apache24/mod_http2.soWenn das Modul hier aktiviert wird, werden die Seiten über HTTP/2 ausgeliefert, Probleme nach der Aktivierung konnte ich hier keine erkennen.Die Änderung in dieser Datei ist aber nicht persistent.
Weiß jemand weshalb HTTP/2 per default nicht aktiviert ist?
2) Wenn Domains nicht eingerichtet wurden, wird der default virtual host genutzt. Mir erschließt sich der Sinn dahinter nicht ganz.
Das hat folgende Auswirkung:
Bei einem Aufruf einer nicht existierenden Domain kommt eine HTTPS Zertifikatswarnung "net::ERR_CERT_COMMON_NAME_INVALID" weil das Zertifikat von der default-Domain genommen wird. Anschließend wird der Request dann so behandelt, als hätte man direkt die default-Domain aufgerufen.
Meiner Meinung nach sollte der Request ins Leere laufen bzw. abgelehnt werden, weil OPNWAF die Domain oder Subdomain nicht kennt.
Beispiel:
Einstellungen: HTTP nach HTTPS umleiten aktiv
Virtueller Server: abc.example.com -> Redirect nach https://main.example.com
Aufruf von z.B. test.example.com -> Zertifkat von abc.example.com wird angezeigt "net::ERR_CERT_COMMON_NAME_INVALID" und nach Bestätigung wird man nach main.example.com weitergeleitet.
Logs:
Code Select
[ssl:debug] ssl_engine_kernel.c(2228): [client x.x.x.x:57373] AH02044: No matching SSL virtual host for servername test.example.com found (using default/first virtual host)
abc.example.com:443 x.x.x.x - - "GET / HTTP/1.1" 301 3879 "-"3) Custom Error Documents, die per GUI hochgeladen wurden, können nicht angezeigt werden.
Code Select
[core:error] (13)Permission denied: [client x.x.x.x:49609] AH00035: access to /__waf_errors__/403.html denied (filesystem path '/usr/local/opnsense/data/OPNWAF/errors/xxxxxxxxxxxx/403.html') because search permissions are missing on a component of the pathVielen Dank im Voraus.
(Version 25.10.2)
#9
General Discussion / Re: Unifi VLANs with new OPNse...
Last post by meyergru - Today at 10:27:16 AM1. You need to create firewall rules for each but the first (V)LAN (this already has an "allow any -> any" rule).
2. You should not mix tagged and untagged VLANs on the same interface (it causes all kinds of subtle problems). Unifi does this and even prefers it, you did well to separate all VLANs on one pyhsical interface and untagged DEBUG on another.
3. Be careful / do not use VLAN 1: Many manufacturers, including Ubiquiti, use that to denote "untagged". For some, it it only how they handle the untagged (V)LAN internally, others handle VLAN 1 and untagged the same. If you do not want to think about this, simply do not use it.
2. You should not mix tagged and untagged VLANs on the same interface (it causes all kinds of subtle problems). Unifi does this and even prefers it, you did well to separate all VLANs on one pyhsical interface and untagged DEBUG on another.
3. Be careful / do not use VLAN 1: Many manufacturers, including Ubiquiti, use that to denote "untagged". For some, it it only how they handle the untagged (V)LAN internally, others handle VLAN 1 and untagged the same. If you do not want to think about this, simply do not use it.
#10
26.1 Series / Firewall Live view
Last post by locus - Today at 10:16:33 AMHi,
I see a block action on my WAN interface in the firewall live view without a label which I didn't setup myself.
I don't have any rules in the firewall to block on the WAN interface, just the default.
Firewall settings are setup to only log packets blocked by Bogons and Private Networks.
So my confusion is: where does this block come from?
I see a block action on my WAN interface in the firewall live view without a label which I didn't setup myself.
I don't have any rules in the firewall to block on the WAN interface, just the default.
Firewall settings are setup to only log packets blocked by Bogons and Private Networks.
So my confusion is: where does this block come from?
