Recent posts

Main Menu

Welcome to OPNsense Forum.
Log in
Sign up

OPNsense Forum
► Recent posts

Pages 1 2 3 4 5 ... 10

#21

Web Proxy Filtering and Caching / Policy based routing with SQUI...

Last post by Elleven - December 31, 2025, 10:50:05 AM

Hi,

I was not able to identify a way, how to apply policy based routing to any web requests throught the SQUID Proxy. I've multiple WAN and would like to route web requests fto some servers throught a dedicated WAN. Any idea, how to solve that?

Thanx,
Armin

#22

German - Deutsch / Re: Frage zu Wireguard VPN

Last post by moe.camp - December 31, 2025, 10:37:04 AM

Wie sieht denn deine Infrastruktur aus? Der Wireguard Server hat welche IP(s)? Die OPNSense soll hier Client sein?

#23

Hardware and Performance / Re: New build, very slow - i7-...

Last post by banesbyte - December 31, 2025, 10:19:56 AM

Quote from: pfry on January 31, 2025, 03:55:21 AMA Lenovo card let you install an Intel NVM image? (Lenovo usually supplies their own via Intel OEM tools.)

Quote from: myth74 on January 31, 2025, 03:41:40 PMI followed https://gist.github.com/mietzen/736583d37a1d370273c0775aaaa57aa5 which allows you to flash any available firmware.

Just another FYI. There is much easier way to cross-flash Lenovo X710 NICs. Claude just told me to download Intel's official NVM, unpack, then edit config file to add Lenovo's NIC device ID to the list, save and just start `nvmupdate64e` - worked like a charm on "Intel X710-T4L PCIe Gen 3.0", updated to rev. 18190 with no issues. Following updates don't require any tweaking.

#24

General Discussion / Re: Console Access/Protectli V...

Last post by dgrns - December 31, 2025, 09:58:48 AM

Good data point. There must be something site specific, but I haven't been able to figure it out.

QuoteEDIT: the tunable that needed to be set then was hint.uart.0.at="isa"

I've tried the tunable. No change in behavior, so I've reverted it.

I tried another terminal emulator, picocom. With it I see more of the missing characters, but still have a significant loss.

Protectli support recommended the opencore bios update as well. Will update the bios over the weekend.

After that, I'll try:
- replacing the protectli usb-c/usb-a cable with a different usb-c/usb-a cable
- use a different host to for the console connection

The install is remote, so a bit of delay for anything needing physical access. (and the need for a reliable console connection...)

As always, welcome other ideas to help troubleshoot

#25

German - Deutsch / Glasfaser Plus + Telekom + SFP...

Last post by moe.camp - December 31, 2025, 09:53:49 AM

Hallo,

ich hab die letzten Tage und Wochen einiges zum Thema Glasfaser und eigenes SFP gelesen und hab mir deshalb Sachen besorgt um das ganze auch bei mir zu nutzen. Gestern kam der Techniker und mein Anschluss wurde aktiv geschaltet, aber nach meinem jetzigen Wissensstand scheitere ich am PPPoE, während das optische Zeug mMn funktioniert.

Mein Aufbau ist so ein Mini PC mit SFP+ Ports, da drin steckt ein Huawei SmartAX MA5671A welches ich schon gerootet bei Ebay gekauft hab. Bei der Ersteinrichtung vom Glasfaseranschluss wird die Seriennummer meines Gerätes abgefragt, da hab ich die angegeben, die als GPON SN auf dem Aufkleber steht. Das ist dieselbe die man auch im BSD sieht (3te Zeile von unten, in der Mitte hab ich 4 Zahlen durch Punkte ersetzt):

Code Select

$ ifconfig -v ix1
ix1: flags=1008843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST,LOWER_UP> metric 0 mtu 1500
        description: WAN (opt1)
        options=4803828<VLAN_MTU,JUMBO_MTU,WOL_UCAST,WOL_MCAST,WOL_MAGIC,HWSTATS,MEXTPG>
        ether a8:b8:e0:0a:58:55
        inet 192.168.1.11 netmask 0xffffff00 broadcast 192.168.1.255
        media: Ethernet autoselect (Unknown)
        status: active
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        drivername: ix1
        plugged: SFP/SFP+/SFP28 1000BASE-LX (SC)
        vendor: HUAWEI PN: MA5671A SN: 4857....0893CA9F DATE: 2019-04-22
        module temperature: 52.71 C voltage: 3.42 Volts
        lane 1: RX power: 0.04 mW (-14.19 dBm) TX bias: 10.79 mA

Soweit so gut? Oder sieht man hier schon, dass irgendetwas nicht passt?

Ich komme auf das SFP auch per ssh und Webgui, da läuft ein OpenWRT drauf. Ich habe da allerdings nichts geändert, nach meinem Verständnis muss man Dinge wie PLOAM Key bei aktuellen Glasfaseranschlüssen nicht mehr angeben. Zumindest habe ich auch keinen Ploam Key bekommen. Auf dem Modul kann man ja auch einige Sachen abfragen, da gibts z.b. diesen Befehl:

Code Select

root@HUAWEI:~# onu ploam_state_get
errorcode=0 curr_state=5 previous_state=4 elapsed_msec=5738636

State 5 ist nach dem was ich ergoogelt habe "Betriebszustand (O5): Nach dem Eintritt in diesen Zustand kann onu direkt Uplink-Daten und Ploam-Nachrichten senden". Das lässt mich vermuten, dass auf dieser Seite alles passt. Also auch dass meine Seriennummer erfolgreich geprüft wurde, oder kann man das anhand diesem Status nicht sehen?
Im OPNSense habe ich dann auf dem Interface ix1 ein VLAN Interface mit VLAN-ID 7 angelegt und darauf dann ein PPPoE Interface. Allerdings kommt kein Verbindungsaufbau zustande, im Log sieht man in ständiger Wiederholung nur das:

Code Select

2025-12-31T09:42:05Noticeppp[opt4_link0] PPPoE: Connecting to ''
2025-12-31T09:42:05Noticeppp[opt4_link0] Link: reconnection attempt 195
2025-12-31T09:42:03Noticeppp[opt4_link0] Link: reconnection attempt 195 in 2 seconds
2025-12-31T09:42:03Noticeppp[opt4_link0] LCP: Down event
2025-12-31T09:42:03Noticeppp[opt4_link0] Link: DOWN event
2025-12-31T09:42:03Noticeppp[opt4_link0] PPPoE connection timeout after 9 seconds

Bei einem falschen Passwort o.ä. sollte es andere Meldungen geben, das hier deute ich so, dass er überhaupt keine Kommunikation mit einer Gegenstelle hat.

Und jetzt die spannende Frage: Warum gehts nicht? ;-) Stimmen meine zahlreichen Vermutungen, oder könnte es doch noch am optischen Layer liegen? Sollte ich mal ein anderes SFP zum Testen besorgen? Hat irgendjemand überhaupt Glasfaser an einem Anschluss von Glasfaser Plus im Einsatz? Da scheints Unterschiede zum direkten Telekom Anschluss zu geben, der Telekom Techniker musste bei der Inbetriebnahme ein Modem speziell für GFPlus nehmen. Es ist wie gesagt ein Neuanschluss, da war nie ein Telekom-Router dran insofern weiß ich auch nicht, ob der Anschluss überhaupt geht.

Vielen Dank fürs Lesen und miträtseln und schonmal einen guten Rutsch!
VG Maurice

#26

General Discussion / Unbound Not showing any cached...

Last post by Meg - December 31, 2025, 09:13:55 AM

I was playing around with my bound minimum and maximum ttl when I noticed at some point I wasn't seeing any cache hits even though running dig proved that i am caching I flushed cache and restarted unbound and opnsense but don't see any cached hits accumulating.

#27

25.7, 25.10 Series / Re: Why can't you host the ISO...

Last post by Stormscape - December 31, 2025, 08:55:57 AM

I don't understand, there's lots of mirrors right on the download page?

#28

25.7, 25.10 Series / Re: ISC DHCP to dnsmasq Migrat...

Last post by Stormscape - December 31, 2025, 08:52:14 AM

DHCP should be set to authoritative unless there is another DHCP server on the network. It won't fix it, but it should be set anyway so that new devices don't have to be known to get an IP address.
What do the firewall logs show?

#29

German - Deutsch / Re: Caddy + ACME Client mit HT...

Last post by Monviech (Cedrik) - December 31, 2025, 08:17:35 AM

Deine Situation scheint etwas komplexer. Ohne Caddyfile und Beispielen und was erwartet wird kann ich nicht mehr viel helfen.

Alle Caddy Zertifikate kann man im Trust Store sehen und sie werden auch im Certificates Dashboard Widget angezeigt.

#30

German - Deutsch / Re: Anbindung an die Telematik...

Last post by RES217AIII - December 31, 2025, 05:02:57 AM

Quote from: magicas on December 30, 2025, 02:49:16 PMSo wie ich das verstanden habe hast du vorher im LAN einen "echten" Konnektor gehabt und nun auf einen HK (Highspeedkonnektor) per VPN gewechselt.

Nach Auslaufen der Zertifikatsgültigkeit der Einbox- Konnektoren, was von Konnektor zu Konnektor unterschiedlich ist, erfolgt eine Neuanbindung an die TI derzeit nur noch per TI Gateway per VPN.

Quote from: magicas on December 30, 2025, 02:49:16 PMDann drängt sich mir als erstes auf, hast du die "alten" routen auf den jeweiligen Geräten Mac´s gelöscht ?
und dann die neuen gesetzt?

Die Routen sind spätestestens zum Zeitpunkt der Umstellung auf den Clients zu löschen und entsprechende Routen in der Firewall zu setzen.
Auch wenn Du nicht Tomedo nutzt, stellt Zollsoft eine Liste zur Verfügung:
https://support.tomedo.de/handbuch/tomedo/telematikinfrastruktur-ti/ports-und-routen-fuer-die-ti/

Quote from: magicas on December 30, 2025, 02:49:16 PMsind die Ports entsprechend angelegt worden? siehe PDF

Auch wenn ich den Link nicht öffne, nehme ich an, dass dort eine Aufstellung zu finden ist, welche ausgehenden Ports freigegeben sein sollen. Da es sich bei der OPNsense um eine statefull Firewall handelt, müssen keine ausgehenden Ports definiert werden. Antwortpakete von aussen werden zugelassen, wenn sie zu dem gesetzten "state" passen.
Die jedoch zu definierende NAT Regel ist eine outbond Regel zur Maskierung auf eine dem TI-Konnektor bekannte IP (lokale Tunnel IP, die in der Konfiguration vorgegeben ist).

Pages 1 2 3 4 5 ... 10