"Recent posts
#1
German - Deutsch / Re: Kein Zugriff auf Weboberfl...
Last post by juergen2025 - Today at 10:41:41 PMHallo Maurice,
danke für den Hinweis.
Bei mir hängt an OPT2 kein Switch. Ich habe die Geräte jeweils einzeln direkt
an OPT2 getestet (PC direkt an OPT2: Internet funktioniert; TP-Link Repeater
im AP-Modus bzw. N150 Mini-PC direkt an OPT2: ich komme nicht auf deren
Weboberflächen).
Daher sollte der Traffic nicht "im Subnetz geswitcht" werden, sondern über
OPNsense laufen.
Hast du eine Idee, welche OPNsense-Einstellung das lokale Management (HTTP/HTTPS)
in so einem Direktanschluss-Szenario blockieren könnte? (OPT2 = 192.168.15.0/24,
DHCP aktiv, Block private/bogon auf OPT2 ist aus, Firewall-Regeln auf OPT2
Allow OPT2 net -> any).
Vielen Dank!
danke für den Hinweis.
Bei mir hängt an OPT2 kein Switch. Ich habe die Geräte jeweils einzeln direkt
an OPT2 getestet (PC direkt an OPT2: Internet funktioniert; TP-Link Repeater
im AP-Modus bzw. N150 Mini-PC direkt an OPT2: ich komme nicht auf deren
Weboberflächen).
Daher sollte der Traffic nicht "im Subnetz geswitcht" werden, sondern über
OPNsense laufen.
Hast du eine Idee, welche OPNsense-Einstellung das lokale Management (HTTP/HTTPS)
in so einem Direktanschluss-Szenario blockieren könnte? (OPT2 = 192.168.15.0/24,
DHCP aktiv, Block private/bogon auf OPT2 ist aus, Firewall-Regeln auf OPT2
Allow OPT2 net -> any).
Vielen Dank!
#2
General Discussion / Re: Why I am retiring from con...
Last post by Maurice - Today at 10:39:40 PMYou're currently the maintainer of quite a few ports, correct? Any plans on how to proceed there?
All the best!
Maurice
(Totally not qualified to comment on the situation since I'm not that deep into internal FreeBSD dynamics.)
All the best!
Maurice
(Totally not qualified to comment on the situation since I'm not that deep into internal FreeBSD dynamics.)
#3
German - Deutsch / Re: Kein Zugriff auf Weboberfl...
Last post by Maurice - Today at 10:27:28 PMHängt da ein Switch an opt2, an dem dann die Geräte hängen, die aufeinander zugreifen sollen?
Dann hat OPNsense wenig damit zu tun. Verkehr innerhalb des Subnetzes switcht der Switch direkt von Port zu Port. OPNsense routet standardmäßig nur zwischen unterschiedlichen Netzen (sofern man nicht explizit eine Bridge konfiguriert).
Grüße
Maurice
Dann hat OPNsense wenig damit zu tun. Verkehr innerhalb des Subnetzes switcht der Switch direkt von Port zu Port. OPNsense routet standardmäßig nur zwischen unterschiedlichen Netzen (sofern man nicht explizit eine Bridge konfiguriert).
Grüße
Maurice
#4
General Discussion / Re: Intel i226 2.5 GbE NIC on ...
Last post by pfry - Today at 10:26:16 PMDoes Ookla report packet loss? That could cause a dip in performance. Cloudflare reports it, but their anycast model might make a non-local test difficult. (Or not... I don't care to look at it, as it starts the test immediately.)
Testmy.net (latency) might be interesting, but not relevant.
Testmy.net (latency) might be interesting, but not relevant.
#5
General Discussion / Re: Please help getting starte...
Last post by Maurice - Today at 10:15:24 PMIt seems you mixed up the ports. By default (unless you assigned them manually), igc0 is LAN and igc1 is WAN.
Cheers
Maurice
Cheers
Maurice
#6
25.7, 25.10 Series / No more IP address + hostname ...
Last post by bamf - Today at 10:11:29 PMHi,
prior to the 25.7.10 release, when ticking the "Lookup hostnames" checkbox in the firewall live log, a new column appeared. Now, when that box is ticked, the "Source" column is replaced by the "Source Hostname" column. This means we can no longer see both the IP address and the hostname simultaneously in the live view.
Is this a bug or an intended change?
prior to the 25.7.10 release, when ticking the "Lookup hostnames" checkbox in the firewall live log, a new column appeared. Now, when that box is ticked, the "Source" column is replaced by the "Source Hostname" column. This means we can no longer see both the IP address and the hostname simultaneously in the live view.
Is this a bug or an intended change?
#7
General Discussion / Seemingly straightforward pass...
Last post by brigmaticlaw - Today at 09:59:38 PMHi all,
I'm having a bit of an issue with a rule allowing certain devices on my main network to access select services on my server network. I have the basic "Allow internet/block private networks" and "Allow DNS" rules on each interface. I am attempting to add this new rule to allow devices on the Main interface (VLAN20) to access the services (Jellyfin, Immich, and Home Assistant) hosted on servers in Lab net (VLAN10). With the rule enabled and with my phone connected to the Main net, I cannot access the above services.
I have set up three aliases; one containing the IPs of my two Rokus for Jellyfin access, another containing the MAC addresses of our phones and laptops, and the third which has the URLs of the three services mentioned above. Admittedly I could probably combine the first two but for now let's just roll with it.
In the "Lab_Services" alias, I am using the FQDNs for each service instead of their IP/ports. I am running all services through Nginx Proxy Manager which is also hosted on a server on the Lab net. Here is what everything looks like:
You cannot view this attachment.You cannot view this attachment.
My suspicion lies with the reverse proxy since the services alias is using FQDNs instead of IPs. Am I on to something there? Do I need to allow Main net access to the proxy as well so those addresses can be properly routed? Any pointers would be greatly appreciated!
I'm having a bit of an issue with a rule allowing certain devices on my main network to access select services on my server network. I have the basic "Allow internet/block private networks" and "Allow DNS" rules on each interface. I am attempting to add this new rule to allow devices on the Main interface (VLAN20) to access the services (Jellyfin, Immich, and Home Assistant) hosted on servers in Lab net (VLAN10). With the rule enabled and with my phone connected to the Main net, I cannot access the above services.
I have set up three aliases; one containing the IPs of my two Rokus for Jellyfin access, another containing the MAC addresses of our phones and laptops, and the third which has the URLs of the three services mentioned above. Admittedly I could probably combine the first two but for now let's just roll with it.
In the "Lab_Services" alias, I am using the FQDNs for each service instead of their IP/ports. I am running all services through Nginx Proxy Manager which is also hosted on a server on the Lab net. Here is what everything looks like:
You cannot view this attachment.You cannot view this attachment.
My suspicion lies with the reverse proxy since the services alias is using FQDNs instead of IPs. Am I on to something there? Do I need to allow Main net access to the proxy as well so those addresses can be properly routed? Any pointers would be greatly appreciated!
#8
25.7, 25.10 Series / Re: Firewall: Log Files: Live ...
Last post by OPNenthu - Today at 09:49:43 PMThe 25.7.10 update is looking real nice over here. Thanks team :)
#9
Hardware and Performance / Packet loss and ssl connection...
Last post by runo10 - Today at 09:38:53 PMHello,
I have a r210 II-1240v2 server as a opnsense firewall with "Intel(R) I350 (Copper)" ethernet card. I use transparent bridge mode
I have got packet loss problems.
I have tried many things.
I make all offloads disabled and this tunables:
dev.igb.0.eee_disabled 1
dev.igb.0.fc 0
net.isr.bindthreads 1
hw.igb.tx_process_limit -1
hw.igb.rx_process_limit -1
net.isr.dispatch deferred
net.link.bridge.pfil_onlyip 1
net.inet.udp.checksum 1
net.inet.tcp.tso 0
No hardware acceleration
That settings not worked much. I have tried these and it is much better now nearly solved:
all interfaces mtu 1450, mss 1412
firewall normalization-> mss clamping 1410
use powerd and maximum setting for all
dev.igb.0.eee_control 0
hw.igb.enable_aim 0
legal.intel_igb.license_ack 1
But it gives 1-2/1000request timeouts(timeout threshold 5sec) in country network. (https request)
And it gives nearly 1 ssl connect error on global network per hour at better stack(uptime checker)(https request)
And gives no error for ping requests at global network for now.
Any idea?
I have a r210 II-1240v2 server as a opnsense firewall with "Intel(R) I350 (Copper)" ethernet card. I use transparent bridge mode
I have got packet loss problems.
I have tried many things.
I make all offloads disabled and this tunables:
dev.igb.0.eee_disabled 1
dev.igb.0.fc 0
net.isr.bindthreads 1
hw.igb.tx_process_limit -1
hw.igb.rx_process_limit -1
net.isr.dispatch deferred
net.link.bridge.pfil_onlyip 1
net.inet.udp.checksum 1
net.inet.tcp.tso 0
No hardware acceleration
That settings not worked much. I have tried these and it is much better now nearly solved:
all interfaces mtu 1450, mss 1412
firewall normalization-> mss clamping 1410
use powerd and maximum setting for all
dev.igb.0.eee_control 0
hw.igb.enable_aim 0
legal.intel_igb.license_ack 1
But it gives 1-2/1000request timeouts(timeout threshold 5sec) in country network. (https request)
And it gives nearly 1 ssl connect error on global network per hour at better stack(uptime checker)(https request)
And gives no error for ping requests at global network for now.
Any idea?
#10
German - Deutsch / Kein Zugriff auf Weboberfläche...
Last post by juergen2025 - Today at 09:33:55 PMHallo zusammen,
ich habe ein Problem mit einer OPNsense-Installation und einem OPT2-Interface und komme aktuell nicht weiter.
Setup
OPNsense (aktuelle Version)
Interface: OPT2
Subnetz: 192.168.15.0/24
DHCP auf OPT2 aktiviert
Kein VLAN im Einsatz
NAT-Reflektion deaktiviert (Standard)
Firewall-Regeln auf OPT2 getestet:
OPT2 net → any (any)
zusätzlich OPT2 net → OPT2 net (any)
Beobachtung
Wenn ich einen PC direkt an OPT2 anschließe, erhält dieser per DHCP eine IP und hat Internetzugang.
Wenn ich jedoch andere Geräte an OPT2 anschließe, z. B.:
einen TP-Link Repeater (Access-Point-Modus) oder
einen N150 Mini-PC-Firewall-Router, auf dem ZimaOS installiert werden soll,
bekommen diese Geräte ebenfalls eine IP aus dem OPT2-Netz,
die jeweilige Weboberfläche (HTTP/HTTPS) ist jedoch nicht erreichbar.
Das Verhalten ist bei beiden Geräten identisch, daher gehe ich nicht von einem gerätespezifischen Problem aus.
Zusammenfassung
OPT2 → WAN (Internet): funktioniert
OPT2 → Geräte im gleichen Subnetz (Weboberflächen): funktioniert nicht
Fragen
Wird lokaler Verkehr innerhalb eines OPT-Interfaces von OPNsense standardmäßig eingeschränkt oder blockiert?
Reicht eine Regel OPT2 net → OPT2 net, oder fehlt eine weitere Einstellung (z. B. Interface-Optionen)?
Gibt es bekannte Besonderheiten bei lokalen Management-Zugriffen innerhalb eines OPT-Netzes?
Eine config.xml kann ich bei Bedarf zur Verfügung stellen.
Vielen Dank für eure Hilfe.
ich habe ein Problem mit einer OPNsense-Installation und einem OPT2-Interface und komme aktuell nicht weiter.
Setup
OPNsense (aktuelle Version)
Interface: OPT2
Subnetz: 192.168.15.0/24
DHCP auf OPT2 aktiviert
Kein VLAN im Einsatz
NAT-Reflektion deaktiviert (Standard)
Firewall-Regeln auf OPT2 getestet:
OPT2 net → any (any)
zusätzlich OPT2 net → OPT2 net (any)
Beobachtung
Wenn ich einen PC direkt an OPT2 anschließe, erhält dieser per DHCP eine IP und hat Internetzugang.
Wenn ich jedoch andere Geräte an OPT2 anschließe, z. B.:
einen TP-Link Repeater (Access-Point-Modus) oder
einen N150 Mini-PC-Firewall-Router, auf dem ZimaOS installiert werden soll,
bekommen diese Geräte ebenfalls eine IP aus dem OPT2-Netz,
die jeweilige Weboberfläche (HTTP/HTTPS) ist jedoch nicht erreichbar.
Das Verhalten ist bei beiden Geräten identisch, daher gehe ich nicht von einem gerätespezifischen Problem aus.
Zusammenfassung
OPT2 → WAN (Internet): funktioniert
OPT2 → Geräte im gleichen Subnetz (Weboberflächen): funktioniert nicht
Fragen
Wird lokaler Verkehr innerhalb eines OPT-Interfaces von OPNsense standardmäßig eingeschränkt oder blockiert?
Reicht eine Regel OPT2 net → OPT2 net, oder fehlt eine weitere Einstellung (z. B. Interface-Optionen)?
Gibt es bekannte Besonderheiten bei lokalen Management-Zugriffen innerhalb eines OPT-Netzes?
Eine config.xml kann ich bei Bedarf zur Verfügung stellen.
Vielen Dank für eure Hilfe.
