Recent posts

#21
25.7, 25.10 Series / Ntopng - high CPU utilization
Last post by GreenMatter - Today at 12:04:41 PM
I would like to keep using ntopng as a general overview of data flow but it causes high CPU (N100) utilization when transfer speeds starts reaching 400 Mb/s (Opnsense runs as VM in Proxmox). It wasn't the case when I was using Zenarmor...
Is there a way to set ntopng to be less resource hungry?
#22
Dutch - Nederlands / Probleem met DNS-resolutie op ...
Last post by sakbari - Today at 12:04:33 PM
Ik ondervind een probleem met OPNsense 25.7.8-amd64: DNS-resolutie werkt niet op bepaalde VLANs.

De clients kunnen wel pingen naar het internet.

Clients krijgen correct hun IP-adres en DNS-server toegewezen via ISC DHCPv4.

Een nmap-scan laat zien dat poort 53 open staat.

Ik heb drie VLANs aangemaakt: VLAN 50, 60 en 70. VLAN 50 werkt correct, maar VLAN 60 en 70 kunnen geen DNS-resolutie uitvoeren.

Unbound DNS is geconfigureerd en alle interfaces zijn actief.

Heeft iemand een idee wat er mis kan zijn met de DNS-resolutie op VLAN 60 en 70?


#23
German - Deutsch / Re: Wireguard - Externe Verbin...
Last post by viragomann - Today at 12:03:26 PM
Hallo,

Quote from: Cpt_Wonderful on Today at 10:26:46 AMFW-Rules - Wireguard (Group) -> Anscheinend werden die rules aus der Gruppe angewendet?!
Ja, Gruppen-Regeln haben Vorrang gegenüber Interface-Regeln.
Und die letzte da erlaubt jeglichen Traffic der Clients auf das Standardgateway, also WAN.

Du benötigst eigentlich überhaupt keine Regeln auf der Grupppe.
Aber es sollte auch reichen, einefach die letzte Regel zu entfernen. Alle anderen betreffen nur ausgehenden Traffic, wofür die auch immer sind.

Doch wenn die Wireguard Clients auch lokale Ziele erreichen können sollen, musst du noch die Policy-Routing Regel auf externe Ziel beschränken.
#24
German - Deutsch / Re: Verständnisfrage zu Portfo...
Last post by awado - Today at 12:00:25 PM
Super, danke für Eure rege Unterstützung zu später Stunde.

@meyergru: Beide WAN IPs kommen über einen Ethernet-Port rein. Ich hab auch nur den. Da kann ich dann keine weitere der Bridge hinzufügen. Und ich würde gerne alles über die eine OPNSense-Instanz laufen lassen.

@JeGr: Das Ziel ist, ein total vermurkstes WordPress-Hosting zu umgehen. Der Kollege hat da über Jahre innerhalb einer einzigen VM (die ich hierher migrieren musste) WordPress, CRM, ERP und noch ein paar andere Sachen installiert. Ich möchte das nun einmal sauber neu aufziehen (also getrennter Reverse Proxy, eigene LAMP VMs für WordPress etc.) und eine Seite nach der anderen über eine zweite WAN IP wieder zugänglich machen. (Natürlich im laufenden Betrieb. Sonst wär's ja einfach...) Die Websites der alten VM sind also über die erste WAN IP erreichbar und wenn die DNS Records dann umgestellt werden, sind sie unter ihren neuen VMs dann über die zweite IP erreichbar.

So ganz versteh ich es noch nicht, wie ich in der OPNsense die zweite WAN-Schnittstelle reinkrieg. Wo genau kommt die zweite MAC in der OPNsense rein? Hab ja derzeit nur zwei Schnittstellen WAN und LAN.
#25
Without Unbound you must have an upstream recursive nameserver that is not under your control and will see all your requests. If that is a privacy problem or not is yours to decide.
#26
German - Deutsch / Re: OpenVPN (Instances) mit TO...
Last post by viragomann - Today at 11:29:13 AM
Hallo,

Quote from: Z80ACPU on Today at 09:39:51 AMAlso gehe ich davon aus, dass in meiner Conf bei den Zeiten und Intervallen noch Fehler stecken.

QuoteDaher sind meine Einstellungen:
"Renegotiate time" nicht gesetzt, also Standardwert 3600
"Auth Token Lifetime" 43200

Ist das nun der finale "Königsweg" meinen Anwendern eine stabile 12h Verbindung zu ermöglichen?
In Verbindung mit 2FA, ja.

Ich habe "Auth Token Lifetime" mittlerweile sicherheitshalber auf 16 Stunden gesetzt, aber solange der Wert ist, steht die Session auch.

Nach meiner Erfahrung, lässt sich Renegotiation am Windows OpenVPN Connect Client nicht mehr deaktivieren, und egal welchen Wert man clientseitig setzt, macht er es nach einer Stunde. Wenn verfügbar, geschieht dies mit dem Auth Token. Erst ein Wert für "Auth Token Lifetime" in den Servereinstellungen lässt den Server einen solchen generieren.

Wenn sich der Client also neu authentifizieren muss, vermute ich daher, ist die Session weg. Aus welchem Grund, gilt es herauszufinden.
Ich sehe eigentlich keine Optionen, die das serverseitig auslösen sollten. Ich würde beiderseitige Logs durchforsten.

Grüße
#27
I am experiencing a similar (possibly same) issue. The following is my behaviour. I have not been able to get a clear pattern of the outages but they usually are in the 10s of seconds and the following is affected

- same lags at online gaming. Basically the game hangs and eventually disconnects
- discord calls are broken during that period of time. People can still hear me but I am unable to hear them
- streaming on TVs in the house seems to be affected in the same way altough I cannot be certain that it's the same issue

My guess is that traffic of ingoing udp traffic is affected. As e.g. I can still run a speedtest on my mobile phone which seems to work just fine so I guess tcp is working. I have already set the firewall optimization to conservative but that did not solve the issue. Will update if I find the cause. Would be great if someone has an idea as I am a little lost at the moment.
#28
25.7, 25.10 Series / Re: 25.7.8 upgrade
Last post by franco - Today at 11:03:57 AM
I haven't seen or heard from any main mirror issues but if it's solved that's good.


Cheers,
Franco
#29
25.7, 25.10 Series / Re: 25.7.8 upgrade
Last post by Baron_Backdoor - Today at 10:55:49 AM
I guess it was repo issue then as today i got an alert on dashboard to do unfished updates.

Clickeed go and it connected (much faster than yesterday) I even saw in the Updates tab it did a cache clear which i've never seen it do.

Long and short ugrade completed so this can be closed off as clearly a blip.
#30
Wenns nach einer minute abbricht vermute ich eher eine der periodic ping optionen.