Recent posts

#21

25.7, 25.10 Series / Re: (Solved?) Freeradius - can...

Last post by mimugmail - Today at 02:52:03 PM

Thx Franco :)

#22

General Discussion / Filter rules on a pfsync inter...

Last post by Zugschlus - Today at 12:51:20 PM

Hi,

what are the recommendations for filter rules on the pfsync interface? Some person has dropped an allow all rule there on "my" cluster and I don't feel very comfortable with that.

Greetings
Marc

#23

General Discussion / Re: Managing the HA passive no...

Last post by Zugschlus - Today at 12:50:27 PM

You need to add the rule to the interface, which the traffic is going out.

If you want to access the LAN IP of the secondary, the packets will go out on the LAN interface. If you access the SYNC interface, the packets go out on SYNC.
Its wise to use ever the same IP to access the firewall. So you need the rule only on a single interface.

And of course you should limit the rule to the admin source and to the secondary as destination.
Best to use an alias, which includes both, the IP of the primary and secondary, so you can sync the rules to the secondary and it will also work in case it has the master role.

Thanks for your advice, that's what I'll do.

#24

Q-Feeds (Threat intelligence) / Re: Q-Feeds Blocklist in OPNse...

Last post by Shayoo - Today at 12:34:54 PM

Hi,

Thank you for the clarification, that makes sense now.
I appreciate the quick and detailed response.

#25

25.1, 25.4 Series / Re: tailscale issue

Last post by Patrick M. Hausen - Today at 12:15:10 PM

So the tailscale service seems not to be running. Is this an OPNsense plugin? Then you should see the state in the services dashboard widget. If it isn't refer to the documentation of whatever it is you installed.

#26

25.7, 25.10 Series / Re: Help Needed: Branding & UI...

Last post by Patrick M. Hausen - Today at 12:13:03 PM

Code Select Expand

find . -type f -print0 | xargs -0 grep -i opnsense

Good luck.

#27

25.7, 25.10 Series / Re: Weird errors after update ...

Last post by meyergru - Today at 12:01:51 PM

Using an N-Type Intel CPU oder Alder Lake or Twin Lake generation? Read this, point 23. ZFS will not keep the problems from occuring, only not crash your storage. You need to apply the tuneables, because FreeBSD, other than Linux, will not do that automatically.

#28

German - Deutsch / Re: Grundsatzfrage

Last post by meyergru - Today at 11:38:15 AM

Ich denke wenn die OPNSense als Exposed Host eingerichtet ist, sollte ja alles weiter so funktionieren.

Nein, tut es nicht. Nimm als Beispiel mal DynDNS: Die OpnSense "weiß" die WAN-IP nicht, das funktioniert also nur, indem man einen Dienst im Web anfragt, welche IP genutzt wird, nicht mit der normalen "Interface"-Methode. Je nachdem, ob der Request dann per IPv4 oder IPv6 gemacht wird, kann das Ergebnis unerwartet sein.

IPv6 wird ohnehin ein Problem, wahrscheinlich mit Sub-Delegation von Präfixen, aber keine Ahnung, man kann sich das Leben auch schwer machen.

Es gibt für andere Spezialfälle im Forum beliebig viele Beispiele, was dann alles nicht mehr so wie erwartet funktioniert. Aber das wirst Du dann Stück für Stück herausfinden...

Gerade, wenn Du sowieso einen externen ONT hast und nur Gast-WiFi brauchst, wäre doch "Fritzbox hinter OpnSense" die perfekte Lösung - offen gesagt, kann ich nicht verstehen, warum Du es nicht so machst, aber, wie Patrick oft sagt: you do you.

#29

German - Deutsch / Re: Grundsatzfrage

Last post by viragomann - Today at 11:35:03 AM

Router hinter Router wäre es doch, eben mit 2x NAT.
Probleme bereitet das aber nur in sehr speziellen Situationen. Bspw. wenn eine Applikation per UPnP einen Port am Router öffnen möchte. Das müsste am äußeren Router geschehen und inneren auch noch mal weitergeleitet werden. Das kann UPnP aber nicht bewerkstelligen, es erreicht nur den nächsten Router.

IPSec hinter einem Router sollte heutzutage (IKEv2) kein Problem sein. Hatte ich auch schon betrieben. Und das macht auch jeder IPSec Client im internen Netz.

Dynamisches DNS wurde angesprochen. Das müsste aber die FritzBox erledigen, damit das ordentlich funktioniert. Geht zwar auch von dahinter, dann aber nur mit gewisser Verzögerung, weil der innere Router den IP-Wechsel nur erkennt, wenn er es auch überprüft. Es muss also ein Job in regelmäßigen Intervallen laufen, der das macht.

Ein deutsches Tutorial kenne ich nicht, ich nutze meist die offiziellen Docs. Es sollte aber im Netz doch einiges zu finden sein, auch gute deutsche Videos zu einzelnen Themen auf YT.

Grüße

#30

German - Deutsch / Re: Grundsatzfrage

Last post by openjs - Today at 11:24:37 AM

WAN Anschluss ist Glasfaser (über die Deutsche Glasfaser). Aktuell 1000/500 MBit/s.
Ich denke wenn die OPNSense als Exposed Host eingerichtet ist, sollte ja alles weiter so funktionieren.
Ist dann "logisch" ja ein Router und kein Router-hinter-Router (denke ich).

Also ... vielen Dank und ich werde das ganze einmal so angehen.

Noch eine Frage. Gibt es für einen OPNSense Einsteiger ein gutes Tutorial in (möglichst) deutsch?

Danke und Grüße