"Recent posts
#21
German - Deutsch / OPNsense -> SQUID -> PBR -> Mu...
Last post by Elleven - December 30, 2025, 11:45:44 AMHi,
ich habe an meiner OS zwei WANs, die zunächst gleichberechtigt im Lastenausgleich laufen sollen. Über Policy based Routing kann ich in den einzelnen FW-Regeln recht gut steuern, über welche WAN-Schnittstelle bestimmte Dienste laufen sollen. Ist deshalb gewollt, weil Bandbreiten als auch Latenz der beiden WANs unterschiedlich ist. Zudem ist ein WAN weniger vertrauenswürdig, weil's über den schrägen ELON läuft ;-)
Was ich jetzt aber noch nicht hinbekommen habe, dass schnöde Webzugriffe (HTTP, HTTPS / 80/443), die durch den SQUID als transparenten Proxy laufen sollen, irgendwie auch auf gezielte Wege mittels PBR geschickt werden können. Im ersten Schritt werden die Anfragen auf 80 /443 an die Proxy-Ports genattet. Nach dem SQUID scheinen die Anfragen bereits an einer der WAN-Schnittstellen ausgehend zu sein, d.h. da scheint PBR bereits zu spät. In der NAT-Regel kann ich augenscheinlich nichts zum Thema Gateway mitgeben und die Regel zwischen NAT und SQUID hat ja als Ziel den LOCALHOST, also kann man hier ja gar nicht sonnvoll eingreifen.
Irgendwie müssten die ausgehenden Pakete des SQUID gedanklich erstmal an eine interne Schnittstelle als Pseodo-Gateway gehen, auf der man dann PBR-Regeln festlegen könnte. D.h. der ganze Salmon geht dann doppelt durch die OS.
Gibt es eine Musterlösung dazu? Welche Optionen hätte man?
ich habe an meiner OS zwei WANs, die zunächst gleichberechtigt im Lastenausgleich laufen sollen. Über Policy based Routing kann ich in den einzelnen FW-Regeln recht gut steuern, über welche WAN-Schnittstelle bestimmte Dienste laufen sollen. Ist deshalb gewollt, weil Bandbreiten als auch Latenz der beiden WANs unterschiedlich ist. Zudem ist ein WAN weniger vertrauenswürdig, weil's über den schrägen ELON läuft ;-)
Was ich jetzt aber noch nicht hinbekommen habe, dass schnöde Webzugriffe (HTTP, HTTPS / 80/443), die durch den SQUID als transparenten Proxy laufen sollen, irgendwie auch auf gezielte Wege mittels PBR geschickt werden können. Im ersten Schritt werden die Anfragen auf 80 /443 an die Proxy-Ports genattet. Nach dem SQUID scheinen die Anfragen bereits an einer der WAN-Schnittstellen ausgehend zu sein, d.h. da scheint PBR bereits zu spät. In der NAT-Regel kann ich augenscheinlich nichts zum Thema Gateway mitgeben und die Regel zwischen NAT und SQUID hat ja als Ziel den LOCALHOST, also kann man hier ja gar nicht sonnvoll eingreifen.
Irgendwie müssten die ausgehenden Pakete des SQUID gedanklich erstmal an eine interne Schnittstelle als Pseodo-Gateway gehen, auf der man dann PBR-Regeln festlegen könnte. D.h. der ganze Salmon geht dann doppelt durch die OS.
Gibt es eine Musterlösung dazu? Welche Optionen hätte man?
#22
German - Deutsch / Web-Kategorien (SQUID + ACLs) ...
Last post by Elleven - December 30, 2025, 10:51:41 AMHi,
irgendwie werden mir zu geladenen ACLs im SQUID keinerlei Kategorien angezeigt. Im Internet findet man dazu zwar endlos viele Beiträge und das eigentlich auch schon seit vielen Monaten, aber irgendwie keine vernüftige Lösung, außer über das CLI irgendein Index neu aufzubauen. Ich hätte da meine Sorge, dass man das dann nach jedem Update der Listen neu machen darf. Es wird auch von anderen Lösungen berichtet, die aber nicht funktionieren (z.B. SQUID oder gleich die OS neu starten). Man könne auch die einzelnen Listen (bei UT 1 z.B.) kategoriebezogen runterladen und dann hätte man es ja!?!?
Mich wundert etwas, dass dieses Problem schon länger zu bestehen scheint, aber dennoch keinerlei nachhaltige Lösung existiert. Meine Version ist die 25.10.1).
Mache ich hier irgendwas banales falsch oder ist das jetzt wirklich so? D.h. die Kategorien scheinen komplett nicht nutzbar zu sein. Auch hab ich noch nicht herausgefunden, wo ich die Kategorien nachher dann individuell für einzelne Clients aktivieren kann, wenn sie denn dann funktionieren täten.
irgendwie werden mir zu geladenen ACLs im SQUID keinerlei Kategorien angezeigt. Im Internet findet man dazu zwar endlos viele Beiträge und das eigentlich auch schon seit vielen Monaten, aber irgendwie keine vernüftige Lösung, außer über das CLI irgendein Index neu aufzubauen. Ich hätte da meine Sorge, dass man das dann nach jedem Update der Listen neu machen darf. Es wird auch von anderen Lösungen berichtet, die aber nicht funktionieren (z.B. SQUID oder gleich die OS neu starten). Man könne auch die einzelnen Listen (bei UT 1 z.B.) kategoriebezogen runterladen und dann hätte man es ja!?!?
Mich wundert etwas, dass dieses Problem schon länger zu bestehen scheint, aber dennoch keinerlei nachhaltige Lösung existiert. Meine Version ist die 25.10.1).
Mache ich hier irgendwas banales falsch oder ist das jetzt wirklich so? D.h. die Kategorien scheinen komplett nicht nutzbar zu sein. Auch hab ich noch nicht herausgefunden, wo ich die Kategorien nachher dann individuell für einzelne Clients aktivieren kann, wenn sie denn dann funktionieren täten.
#23
25.7, 25.10 Series / Re: Captive Portal slows down ...
Last post by HappyUserB - December 30, 2025, 09:02:35 AMTwo more data points:
1. If I configure an allowed IP address and ping it regularly, I can observe heavy packet loss.
2. If I change the authentication to "local database", the issue seems to be not present.
Please let me know if you need any further information to reproduce the issue.
1. If I configure an allowed IP address and ping it regularly, I can observe heavy packet loss.
2. If I change the authentication to "local database", the issue seems to be not present.
Please let me know if you need any further information to reproduce the issue.
#24
25.7, 25.10 Series / Re: Why can't you host the ISO...
Last post by patient0 - December 30, 2025, 08:48:03 AMIs your rambling about compressed images/ISO versus uncompressed? If you have a hypervisor download the compressed file to your hypervisor and uncompress it there, Proxmox can handle some compression automatically for example.
#25
25.7, 25.10 Series / Re: Why can't you host the ISO...
Last post by ttyyuu12345 - December 30, 2025, 08:44:10 AMAlso, yes I do host this on my own money too!!!! Downvote me all you want.
#26
25.7, 25.10 Series / Re: Why can't you host the ISO...
Last post by ttyyuu12345 - December 30, 2025, 08:32:51 AMTo Preface, this is a struggle when I have to reinstall my ENTIRE cloud server. Windows Server is actually beating out downloading to the hypervisor than me uploading the unzipped iso. Also, I started the Windows Server 2022 download later, and its almost done.
#27
25.7, 25.10 Series / Why can't you host the ISO som...
Last post by ttyyuu12345 - December 30, 2025, 08:24:11 AMHere's the reason:
My home internet is 400down/30-35 up. My computers pretty fast, but to get fiber internet means we have to trust AT&T to dig up and fix THEIR cable, and charge me the same for the same bandwidth I get on my cloud. If AT&T did fix their cable, the physical cable in clay would easily break again and I'd lose connection due to their failure to protect the cable to cut corners.
I have a cloud server that's got 8c/16t (AMD Ryzen 7 3800X), 500Mbps up and down, and 128GB RAM, but the baremetal server runs 128GB of RAM. I have 3 IPs, and I don't want to run only 3 virtual machines on it.
I think its irresponsible for OPNsense to expect us to not provide a direct iso link when there's plenty of mirrors I can cancel, and turn around and copy link/paste. Heck, I could get a Windows ISO on my hypervisor faster than I could OPNSense.
My home internet is 400down/30-35 up. My computers pretty fast, but to get fiber internet means we have to trust AT&T to dig up and fix THEIR cable, and charge me the same for the same bandwidth I get on my cloud. If AT&T did fix their cable, the physical cable in clay would easily break again and I'd lose connection due to their failure to protect the cable to cut corners.
I have a cloud server that's got 8c/16t (AMD Ryzen 7 3800X), 500Mbps up and down, and 128GB RAM, but the baremetal server runs 128GB of RAM. I have 3 IPs, and I don't want to run only 3 virtual machines on it.
I think its irresponsible for OPNsense to expect us to not provide a direct iso link when there's plenty of mirrors I can cancel, and turn around and copy link/paste. Heck, I could get a Windows ISO on my hypervisor faster than I could OPNSense.
#28
25.7, 25.10 Series / os-c-icap and os-clamav Incomp...
Last post by Dreu - December 30, 2025, 07:12:34 AM Hello,
I am having trouble integrating Squid, C-ICAP, and ClamAV on OPNsense version 25.7.10. The Squid service is consistently crashing, and I believe the root cause is a version
incompatibility between the os-c-icap and os-clamav plugins.
Symptoms:
* The Squid service crashes on startup with a "signal 11 (segmentation fault)" error.
* The "ICAP Settings" section is completely missing from the Web Proxy administration page, even in advanced mode.
* The clamav_mod configuration section is missing from the C-ICAP advanced settings page.
Relevant Log Entries:
The C-ICAP logs show a versioning error when trying to load the ClamAV module:
1 main proc, WARNING: Can not check the used c-icap release to build service clamd_mod.so
It also shows a subsequent connection error because the service is not running correctly:
1 main proc, clamd_connect: Can not connect to clamd server on 127.0.0.1:3310!
The main system log confirms the Squid crash:
1 pid XXXXX (squid), jid 0, uid 100: exited on signal 11 (no core dump - bad address)
Troubleshooting Steps Taken:
* Verified all three plugins (os-squid, os-c-icap, os-clamav) are installed.
* Performed multiple reboots.
* Performed a full uninstall of all three plugins, refreshed the package repositories via the UI, and did a clean reinstall of all three plugins. The problem persists even after a clean
install.
It appears the versions of the C-ICAP and ClamAV plugins currently in the repository for my OPNsense version are not compatible. Any guidance on how to resolve this would be greatly
appreciated.
Thank you.
I am having trouble integrating Squid, C-ICAP, and ClamAV on OPNsense version 25.7.10. The Squid service is consistently crashing, and I believe the root cause is a version
incompatibility between the os-c-icap and os-clamav plugins.
Symptoms:
* The Squid service crashes on startup with a "signal 11 (segmentation fault)" error.
* The "ICAP Settings" section is completely missing from the Web Proxy administration page, even in advanced mode.
* The clamav_mod configuration section is missing from the C-ICAP advanced settings page.
Relevant Log Entries:
The C-ICAP logs show a versioning error when trying to load the ClamAV module:
1 main proc, WARNING: Can not check the used c-icap release to build service clamd_mod.so
It also shows a subsequent connection error because the service is not running correctly:
1 main proc, clamd_connect: Can not connect to clamd server on 127.0.0.1:3310!
The main system log confirms the Squid crash:
1 pid XXXXX (squid), jid 0, uid 100: exited on signal 11 (no core dump - bad address)
Troubleshooting Steps Taken:
* Verified all three plugins (os-squid, os-c-icap, os-clamav) are installed.
* Performed multiple reboots.
* Performed a full uninstall of all three plugins, refreshed the package repositories via the UI, and did a clean reinstall of all three plugins. The problem persists even after a clean
install.
It appears the versions of the C-ICAP and ClamAV plugins currently in the repository for my OPNsense version are not compatible. Any guidance on how to resolve this would be greatly
appreciated.
Thank you.
#29
General Discussion / Simple Port Forward Failing
Last post by kojak - December 30, 2025, 03:12:14 AMI have an OPNsense router connected to a lab network (10.10.20.1/24) so I can test it before putting it in PROD. The WAN IP of the OPNsense router is 10.10.20.50, and I am trying to forward port 8080 to a host (10.0.0.14) on my OPNsense MGMT network (10.0.0.1/24).
I can see that traffic reaches my OPNsense router and is redirected by NAT to the correct internal IP (10.0.0.14), passing through the WAN and onto the MGMT network. However, I do not see any traffic in the HTTP server's log, and I get no response to my curl request from 10.10.20.28. I have verified that I can successfully curl the HTTP server running on 10.0.0.14 from another host on the 10.0.0.x network. I'm stumped. Here are some screenshots of my setup...
FW Logs:
The NAT:
The WAN
The MGMT Network
I can see that traffic reaches my OPNsense router and is redirected by NAT to the correct internal IP (10.0.0.14), passing through the WAN and onto the MGMT network. However, I do not see any traffic in the HTTP server's log, and I get no response to my curl request from 10.10.20.28. I have verified that I can successfully curl the HTTP server running on 10.0.0.14 from another host on the 10.0.0.x network. I'm stumped. Here are some screenshots of my setup...
FW Logs:
The NAT:
The WAN
The MGMT Network
#30
25.7, 25.10 Series / Re: NAT reflection rules being...
Last post by gerardo - December 30, 2025, 02:16:48 AMOk, solved by adding a custom rule to allow any LAN IP to hit the specific redirected host, which is nginx proxy mgr. All the other hosts are still inaccessible behind npm.
