"Recent posts
#21
German - Deutsch / Re: OPNSense die ersten Anfäng...
Last post by RealQuality - December 25, 2025, 06:24:58 PMKlar, hast recht..
Ich habe das Gerät gefunden es ist ein Philips Babyphone SCD923/26.
Logischerweise mit WLAN mit App Nutzung.
Sehr interessat, wieder etwas gelernt! Danke!
Ich habe das Gerät gefunden es ist ein Philips Babyphone SCD923/26.
Logischerweise mit WLAN mit App Nutzung.
Sehr interessat, wieder etwas gelernt! Danke!
#22
German - Deutsch / Re: AirPrint zwischen zwei VLA...
Last post by Patrick M. Hausen - December 25, 2025, 06:13:47 PMBenutz mal was wie mDNS-Explorer und guck dir an, was der Drucker da tatsächlich verteilt. Mein oller Brother z.B. ist zwar sichtbar, teilt per mDNS aber eine Link-local v6-Adresse. Das geht über Netzwerke hinweg schlicht nicht.
https://github.com/mnellemann/mdns-explorer
Und dann kann es natürlich noch sein, dass da noch Regeln im Clients-Net fehlen. Pakettrace hilft.
Die Regeln im Drucker-Netz sind überflüssig 😉
Und abschließend ganz pragmatisch: weshalb den Drucker nicht in das Netz, in dem auch die Clients sind, die ihn benutzen? So hab ich das. Sehe keinen Grund, so ein Gerät zu isolieren.
https://github.com/mnellemann/mdns-explorer
Und dann kann es natürlich noch sein, dass da noch Regeln im Clients-Net fehlen. Pakettrace hilft.
Die Regeln im Drucker-Netz sind überflüssig 😉
Und abschließend ganz pragmatisch: weshalb den Drucker nicht in das Netz, in dem auch die Clients sind, die ihn benutzen? So hab ich das. Sehe keinen Grund, so ein Gerät zu isolieren.
#23
German - Deutsch / Re: AirPrint zwischen zwei VLA...
Last post by mfreudenberg - December 25, 2025, 05:43:07 PMHallo Zusammen,
ich habe das gleiche Problem mit meinem aktuellen Setup. Ich habe zwei VLANs (VLAN50 und VLAN68). Im VLAN68 soll der Drucker sein und im VLAN50 alle Drahtlosen clients.
Ich habe bereits das multicast-Plugin installiert und für die beiden VLANs aktiviert. Ich habe die Firewallregeln für Multicast DNS im Client und Drucket-VLAN eingetragen. Ich sehe im Firewall log, dass das Multicast beim Drucker ankommt. Ich kann auch den Drucker via Handy und auch am Laptop via Bonjour Discovery finden.
Allerdings habe ich das Problem, dass auf meinem iPhone bei einem Druckversuch nach dem Auswählen des Druckers nach kurzer Zeit der Drucker wieder aus der Auswahl verschwindet.
Auf meinem Arch-Laptop kann ich zwar den Drucker einrichten, aber die Druckeinstellungen reagieren sehr träge, und wenn ich was Drucken will, dann wird kein Drucker angegeben.
Habt ihr eine Idee, was das Problem sein könnte? Ich habe die Vermutung, dass noch irgendwelche Firewallregeln fehlen.
Hier die relevanten Firewallregeln im Clients-Netz
Die Firewallregeln im DruckerScanner net
PS: Ich habe zwar regeln in den Tabellen für das Erlauben von PINGs/ICMP und den Zugriff auf das Drucker-Webfrontend, aber ich kann weder den Drucker anpingen, noch komme ich aus dem Clientnetz auf das Webfrontend des Druckers.
Danke und Grüße
PS: Ich hoffe, dass es ok ist wenn ich diesen alten Thread recycle.
ich habe das gleiche Problem mit meinem aktuellen Setup. Ich habe zwei VLANs (VLAN50 und VLAN68). Im VLAN68 soll der Drucker sein und im VLAN50 alle Drahtlosen clients.
Ich habe bereits das multicast-Plugin installiert und für die beiden VLANs aktiviert. Ich habe die Firewallregeln für Multicast DNS im Client und Drucket-VLAN eingetragen. Ich sehe im Firewall log, dass das Multicast beim Drucker ankommt. Ich kann auch den Drucker via Handy und auch am Laptop via Bonjour Discovery finden.
Allerdings habe ich das Problem, dass auf meinem iPhone bei einem Druckversuch nach dem Auswählen des Druckers nach kurzer Zeit der Drucker wieder aus der Auswahl verschwindet.
Auf meinem Arch-Laptop kann ich zwar den Drucker einrichten, aber die Druckeinstellungen reagieren sehr träge, und wenn ich was Drucken will, dann wird kein Drucker angegeben.
Habt ihr eine Idee, was das Problem sein könnte? Ich habe die Vermutung, dass noch irgendwelche Firewallregeln fehlen.
Hier die relevanten Firewallregeln im Clients-Netz
Code Select
IPv4 TCP/UDP Clients net * DruckerScanner net 631 * *
IPv4 TCP/UDP Clients net * DruckerScanner net 515 * *
IPv4 TCP/UDP Clients net * MulticastDNS 5353 - 5354 * *
IPv4 TCP Clients net * DruckerScanner net 80 (HTTP) * *
IPv4 TCP Clients net * DruckerScanner net 443 (HTTPS) * *
Die Firewallregeln im DruckerScanner net
Code Select
IPv4 ICMP Clients net * DruckerScanner net * * *
IPv4 TCP Clients net * DruckerScanner net 631 * *
IPv4 TCP Clients net * DruckerScanner net 80 (HTTP) * *
IPv4 TCP Clients net * DruckerScanner net 443 (HTTPS) * *
PS: Ich habe zwar regeln in den Tabellen für das Erlauben von PINGs/ICMP und den Zugriff auf das Drucker-Webfrontend, aber ich kann weder den Drucker anpingen, noch komme ich aus dem Clientnetz auf das Webfrontend des Druckers.
Danke und Grüße
PS: Ich hoffe, dass es ok ist wenn ich diesen alten Thread recycle.
#24
General Discussion / Does the Gsuit Restriction sti...
Last post by vivekmauli14 - December 25, 2025, 05:35:32 PMHi,
Found this with no responses Forum thread but at this time the feature was not added on the GUI.
Is this stil working for our users? as I setup the squid with SSL bumping and it was working fine (configuration and bumping) but even after configuring the required domain, the header insertion didnt work. My main concern is, is it no longer working with google auth as with Oauth or other method which no longer recognise the header for allowed domains or am I missing something.
Also which update do we wait until get a stable squid proxy without any seg-faults?
Best,
VivekSP
Found this with no responses Forum thread but at this time the feature was not added on the GUI.
Is this stil working for our users? as I setup the squid with SSL bumping and it was working fine (configuration and bumping) but even after configuring the required domain, the header insertion didnt work. My main concern is, is it no longer working with google auth as with Oauth or other method which no longer recognise the header for allowed domains or am I missing something.
Also which update do we wait until get a stable squid proxy without any seg-faults?
Best,
VivekSP
#25
German - Deutsch / Re: Frohe Weihnachten!
Last post by Patrick M. Hausen - December 25, 2025, 04:46:45 PMBei uns sah das so aus:
#26
25.7, 25.10 Series / Suricata IPS + Promiscuous Mod...
Last post by greY - December 25, 2025, 04:46:33 PMHello,
I am running OPNsense 25.10.1_2 (Business) as a virtual machine (KVM/Proxmox) and am experiencing a reproducible issue with Suricata IPS in combination with Insight (flowd_aggregate).
Setup (simplified)
Observed behavior
Insight data disappears
flowd_aggregate fails to start
I see that flowd_aggregate service does not start with:
"WARNING: failed to start flowd_aggregate
Unable to lock on the pidfile"
Is this a known limitation of Suricata IPS + Promiscuous mode on Multi-WAN, especially in virtualized environments?
Is there an official recommendation or roadmap regarding Insight compatibility with netmap/IPS in such setups?
Thanks in advance for any clarification or confirmation
*update*
Looks like it has something to do with the queues setting on the configured VM interfaces in ProxMox. Still investigating...
I am running OPNsense 25.10.1_2 (Business) as a virtual machine (KVM/Proxmox) and am experiencing a reproducible issue with Suricata IPS in combination with Insight (flowd_aggregate).
Setup (simplified)
- OPNsense running as a VM in ProxMox (9.1)
- Multiple WAN interfaces (Multi-WAN setup)
- Suricata enabled (for WAN interfaces only)
- Insight / Traffic graphs enabled
Observed behavior
- With Suricata disabled → Insight and traffic graphs work normally.
- With IPS enabled + Promiscuous mode OFF → Insight works.
- With IPS enabled + Promiscuous mode ON →
Insight data disappears
flowd_aggregate fails to start
I see that flowd_aggregate service does not start with:
"WARNING: failed to start flowd_aggregate
Unable to lock on the pidfile"
Is this a known limitation of Suricata IPS + Promiscuous mode on Multi-WAN, especially in virtualized environments?
Is there an official recommendation or roadmap regarding Insight compatibility with netmap/IPS in such setups?
Thanks in advance for any clarification or confirmation
*update*
Looks like it has something to do with the queues setting on the configured VM interfaces in ProxMox. Still investigating...
#27
German - Deutsch / Re: OPNSense die ersten Anfäng...
Last post by Patrick M. Hausen - December 25, 2025, 04:43:15 PMDas ist auf deinem WAN-Interface, oder? Und 94.134.174.208 ist deine öffentliche IP-Adresse?
Du musst den Capture auf den internen Interfaces machen, damit du das interne System findest, das verantwortlich ist.
Du musst den Capture auf den internen Interfaces machen, damit du das interne System findest, das verantwortlich ist.
#28
General Discussion / Re: Bhyve on OPNsense for virt...
Last post by darkvoid - December 25, 2025, 03:29:56 PMChipping in from some experience with my setup.
netgraph networking works very well with bhyve.
I use the following script to setup a bridge to link the virtual machine directly to the OPNSense LAN interface:
This creates a bridge linked to igc0 (my OPNsense LAN interface) and prepares for bhyve to attach.
bhyve can subsequently attach to the bridge as follows:
This has provided very stable and performant networking on the bhyve instance.
netgraph networking works very well with bhyve.
I use the following script to setup a bridge to link the virtual machine directly to the OPNSense LAN interface:
Code Select
# Setup ng_bridge if required
if ! ngctl status bnet0: >/dev/null 2>&1; then
ngctl -f- <<END
mkpeer igc0: bridge lower link0
name igc0:lower bnet0
connect igc0: bnet0: upper link1
msg igc0: setpromisc 1
msg igc0: setautosrc 0
END
fi
This creates a bridge linked to igc0 (my OPNsense LAN interface) and prepares for bhyve to attach.
bhyve can subsequently attach to the bridge as follows:
Code Select
bhyve \
-c sockets=1,cores=8,threads=1 \
-m 16G \
-s 0,hostbridge \
-s 2,virtio-blk,/vm/hdd.img \
-s 3,virtio-net,netgraph,path=bnet0:,peerhook=link2 \
-s 4,virtio-9p,data=/zdata/vm \
-s 5,virtio-rnd \
-s 31,lpc \
-l bootrom,/vm/BHYVE_UEFI.fd,/vm/efi-vars.fd \
-l com1,stdio \
-u \
-H -P -S \
This has provided very stable and performant networking on the bhyve instance.
#29
25.7, 25.10 Series / Re: GeoIP with ipinfo stopped ...
Last post by craftnix - December 25, 2025, 02:58:49 PMHi Abdullah,
Looks like the issue has resolved itself now. The database was downloaded yesterday at 21:00 my time. I'll monitor if the next update succeeds also.
Other people seem to have had the same issue where it might take a day or two for the download to succeed.
Looks like the issue has resolved itself now. The database was downloaded yesterday at 21:00 my time. I'll monitor if the next update succeeds also.
Other people seem to have had the same issue where it might take a day or two for the download to succeed.
#30
25.7, 25.10 Series / Re: DNSmasq and Unbound Peacef...
Last post by ahro_john - December 25, 2025, 02:20:05 PMQuote from: Stormscape on December 25, 2025, 10:10:12 AMExactly — Kea isn't dnsmasq. The DHCP behavior differs, and Unbound will need some extra configuration for IPv6 to fully integrate reservations. It's not a bug, just a difference in implementation.Quote@DEC670airp414user. Is there a downside to DNSSEC? From google:Well Kea isn't dnsmasq, now is it?
"DNSSEC as securing the message content (authenticity)"
"DoT as securing the envelope (privacy/confidentiality)."
Both of these seem like it would be a benefit.
@Stormscape. I do not think your answer is accurate. I use kea for DHCP and unbound.
IPv4 LAN does get local name resolution.
IPv6 LAN gets resolution when a reservation is added after a restart of the unbound service.
