"Recent posts
#81
25.7 Series / Re: [25.7] Legacy OpenVPN clen...
Last post by tessus - September 02, 2025, 11:28:11 PMQuote from: franco on September 02, 2025, 12:06:10 PMlocked away in users custom configuration
What does this mean exactly? I can still set them via creating a config file on the opnsense box? If so, how? I couldn't find any documentation on that.
Quote from: franco on September 02, 2025, 12:06:10 PMsome are deprecated or irrelevant in modern deployments
I think it is important to differentiate between client and server. If I create a server I am in control. All is good. But if I need to create a connection to an OpenVPN server, I have to follow their setup and connection properties. I don't have a choice but to set them or the connection will not succeed. (eg. I only use the client setup, since I need parts of my network to use the VPN gateway.)
Quote from: franco on September 02, 2025, 12:06:10 PMsome don't make a difference on BSD.
Once again, I believe this is more geared towards the server component. But either way, is there a list of options that are irrelevant on BSD? Also what does that mean for connections (opnsense as a client)? If the VPN provider requires option X, but option X is irrelevant on BSD, what then?
#82
25.7 Series / Re: Issue to reach Website hos...
Last post by viragomann - September 02, 2025, 10:23:08 PMQuote from: Madifor on September 02, 2025, 09:11:45 PMThe issue i have at this moment that it is not possible to reach the web server using the Public DNS hostname.I presume, this only is applied to a hostname pointing to IP2. However, above you only mentioned a hostname on IP1.
In OPNsense a port forwarding rule is defined on a certain interface and is by default only applied to traffic entering this interface.
To also enable the port forwarding rule on the other interface, you need to enable "NAT reflection" in the rule.
Remember that you additionally have to add a firewall rule to allow this traffic if there isn't any yet.
#83
Virtual private networks / Re: OpenVPN - Tunnel up but no...
Last post by viragomann - September 02, 2025, 10:03:36 PMQuote from: i.platz@gk on September 02, 2025, 07:24:32 PMWith local and remote networks set in both server and CSO and the reversed on the client I now have a stable tunnel.You can omit the local networks as far as I know. This would just push the route to the client and is not necessary if you state "remote networks" in the client config.
Now the only question is which of these entries could be omitted or if they are all necessary.
But all other settings are needed though.
The remote networks in the server and client settings instruct OpenVPN to add the routes to the OS routing table.
The remote networks in the CSO is needed to route the traffic properly inside OpenVPN.
However, with CSO you can run multiple site-to-site connections with a single server instance. In this case you have to add all remote networks in the server settings, while in the CSO you only need to state the respective ones of course.
#84
Tutorials and FAQs / Re: Using ZFS on a single disk...
Last post by mer - September 02, 2025, 09:54:06 PMAbsolutely. Think of Upgrades.
ZFS, boots into something called a "Boot Environment(BE)". It's your root filesystem.
Now lets do an upgrade.
Create a new BE (starts out as identical to your current root filesystem)
Apply upgrade into new BE (now your new BE is old root plus upgrades)
Reboot into new BE (now you are running the updated system)
Reboot fails for some reason, reboot into the old BE and you have a running system.
ZFS BEs are "system upgrades done right".
So yes, if ZFS is an option, run it even on single disks. I'm saying this as a general rule, not just OpnSense. Any system you can run ZFS on, do it. Your future self will thank you.
ZFS, boots into something called a "Boot Environment(BE)". It's your root filesystem.
Now lets do an upgrade.
Create a new BE (starts out as identical to your current root filesystem)
Apply upgrade into new BE (now your new BE is old root plus upgrades)
Reboot into new BE (now you are running the updated system)
Reboot fails for some reason, reboot into the old BE and you have a running system.
ZFS BEs are "system upgrades done right".
So yes, if ZFS is an option, run it even on single disks. I'm saying this as a general rule, not just OpnSense. Any system you can run ZFS on, do it. Your future self will thank you.
#85
General Discussion / Re: Losing WAN connection peri...
Last post by jstarta - September 02, 2025, 09:34:25 PMQuote from: BrandyWine on September 02, 2025, 06:32:38 PMQuote from: jstarta on August 31, 2025, 11:01:55 AMIts /22, but I have a static IP so I'll always get the same IP from the ISPIs that /22 an rfc1918 block, or ISP public? Do you also get DHCP?
No, it's not. When I initially went with this ISP I had them disable CG-NAT (In case that's what you were thinking it might be).
I've had 5 days uptime with zero problems since installing it as a VM (Under Proxmox), so it seems it's an issue with BSD drivers.
#86
German - Deutsch / Re: Aufschaukelnder Traffic vo...
Last post by meyergru - September 02, 2025, 09:23:53 PMDein vorangehender Post behandelt nur zwei Interfaces, nicht alle - insbesondere nicht das, was ich explizit genannt habe und das man leicht übersieht: WAN. Das kann nämlich auch einen Präfix annehmen und wenn man ihn nicht explizit <> 0 setzt, würde er sich mit einem Deiner Interfaces überschneiden.
Du sagst auch nichts dazu, wie Du die IPv6 lokal vergibst - per DHCPv6 oder SLAAC?
Und zur Erklärung des Verhaltens beim Erneuern von IPv6: Ein Client kann jeweils mehrere IPv6 verwenden, auch mit dem selben Präfix. Das passiert beispielsweise, wenn man IPv6 Privacy Extensions verwendet. Dabei wird typischerweise eine verworfene IPv6 noch eine Zeitlang aufrecht erhalten, damit verspätet eingehende Verbindungen noch funktionieren. Das müsstest Du auf den Clients mit ipconfig sehen können.
Wenn allerdings sogar der Präfix wechselt (manche ISPs machen das), dann werden Pakete an den alten Präfix eben ins Internet geschickt, weil die OpnSense dann den Präfix nicht mehr selbst inne hat. Folglich muss sie solche Pakete ins Internet schicken, deshalb siehst Du sie auf dem WAN.
Mein Verdacht hier ist, dass:
a. Dein ISP regelmäßig den Präfix ändert. Blöd, weil dann IPv6 noch schlechter als normalerweise im internen Netz nutzbar ist.
b. Du IPv6 per DHCPv6 vergibst und dabei sogar den verwendeten Hostnamen in Deinen DNS eintragen lässt. Unter dieser Bedingung würden Namensauflösungen im LAN auf die IPv6 laufen - nicht auf IPv4. Dann passieren solche Dinge eben. In meinem Artikel empfehle ich deswegen SLAAC und IPv6 auch nur für externe, ausgehende Verbindungen zu verwenden. Wenn überhaupt, nutzt man die aus der MAC abgeleitete EUI-64 zur Freigabe von Services ins Internet, besser ist aber die Verwendung von IPv4 intern und IPv4/IPv6 extern mittels eines Reverse Proxies, weil dann die OpnSense den Traffic terminieren kann und auch den DynDNS bei wechselnden Präfixen.
Kurz gesagt: Sorge dafür, dass sich die Geräte nicht mehr untereinander per IPv6 unterhalten. Vermutlich stehen sie aber mit IPv6 im DNS (oder was immer Windows für einen Namensdienst verwendet, die haben ja etwas eigenes). Wie auch immer, offenbar finden sie sich per IPv6, was immer vor IPv4 priorisiert wird, wenn die Möglichkeit besteht.
Du sagst auch nichts dazu, wie Du die IPv6 lokal vergibst - per DHCPv6 oder SLAAC?
Und zur Erklärung des Verhaltens beim Erneuern von IPv6: Ein Client kann jeweils mehrere IPv6 verwenden, auch mit dem selben Präfix. Das passiert beispielsweise, wenn man IPv6 Privacy Extensions verwendet. Dabei wird typischerweise eine verworfene IPv6 noch eine Zeitlang aufrecht erhalten, damit verspätet eingehende Verbindungen noch funktionieren. Das müsstest Du auf den Clients mit ipconfig sehen können.
Wenn allerdings sogar der Präfix wechselt (manche ISPs machen das), dann werden Pakete an den alten Präfix eben ins Internet geschickt, weil die OpnSense dann den Präfix nicht mehr selbst inne hat. Folglich muss sie solche Pakete ins Internet schicken, deshalb siehst Du sie auf dem WAN.
Mein Verdacht hier ist, dass:
a. Dein ISP regelmäßig den Präfix ändert. Blöd, weil dann IPv6 noch schlechter als normalerweise im internen Netz nutzbar ist.
b. Du IPv6 per DHCPv6 vergibst und dabei sogar den verwendeten Hostnamen in Deinen DNS eintragen lässt. Unter dieser Bedingung würden Namensauflösungen im LAN auf die IPv6 laufen - nicht auf IPv4. Dann passieren solche Dinge eben. In meinem Artikel empfehle ich deswegen SLAAC und IPv6 auch nur für externe, ausgehende Verbindungen zu verwenden. Wenn überhaupt, nutzt man die aus der MAC abgeleitete EUI-64 zur Freigabe von Services ins Internet, besser ist aber die Verwendung von IPv4 intern und IPv4/IPv6 extern mittels eines Reverse Proxies, weil dann die OpnSense den Traffic terminieren kann und auch den DynDNS bei wechselnden Präfixen.
Kurz gesagt: Sorge dafür, dass sich die Geräte nicht mehr untereinander per IPv6 unterhalten. Vermutlich stehen sie aber mit IPv6 im DNS (oder was immer Windows für einen Namensdienst verwendet, die haben ja etwas eigenes). Wie auch immer, offenbar finden sie sich per IPv6, was immer vor IPv4 priorisiert wird, wenn die Möglichkeit besteht.
#87
25.7 Series / Issue to reach Website hosted ...
Last post by Madifor - September 02, 2025, 09:11:45 PMSince some time i have a 2nd ISP Connection (Fiber) next to my current WAN connection.
The 2nd provider proviced a XGS-Pon Terminal (Fiber in -> 10gbit Coper out) and a Wifi modem/router
Created a gateway-group with ISP2 as Tier 1 and ISP1 as tier 2 , so by default all traffic goes to the internet using the 2nd Wan interface (isp)
The setup is then like the attachment "dual-wan_dual isp modem.png"
From the User i can reach the internet and the shown web server using the public dns name which point Public-IP1.
To make this work i created the required port forwards on the ISP-1 Modem and on the Wan interface connected to the ISP1-modem.
All working as i would like to see this
To save some energy and also because it is possible , i am now experimenting with the 2nd setup , where i removed the modem/wifi-router of ISP-2.
Adjusted the Interface configuration on the OpnSense firewall to be able to get a public IP.
So far so good..
The issue i have at this moment that it is not possible to reach the web server using the Public DNS hostname.
From the Internet i can reach the Webserver normally using the same public dns name.
It looks like OPnsense has issues returning the traffic back to PublicIP-2 when it is directly connected to the firewall, while i expect that it still has its NAT table with the port references, so shoule be able to return the traffic to the userip and initial tcp port
Anybody an idea how this can be done ?
The 2nd provider proviced a XGS-Pon Terminal (Fiber in -> 10gbit Coper out) and a Wifi modem/router
Created a gateway-group with ISP2 as Tier 1 and ISP1 as tier 2 , so by default all traffic goes to the internet using the 2nd Wan interface (isp)
The setup is then like the attachment "dual-wan_dual isp modem.png"
From the User i can reach the internet and the shown web server using the public dns name which point Public-IP1.
To make this work i created the required port forwards on the ISP-1 Modem and on the Wan interface connected to the ISP1-modem.
All working as i would like to see this
To save some energy and also because it is possible , i am now experimenting with the 2nd setup , where i removed the modem/wifi-router of ISP-2.
Adjusted the Interface configuration on the OpnSense firewall to be able to get a public IP.
So far so good..
The issue i have at this moment that it is not possible to reach the web server using the Public DNS hostname.
From the Internet i can reach the Webserver normally using the same public dns name.
It looks like OPnsense has issues returning the traffic back to PublicIP-2 when it is directly connected to the firewall, while i expect that it still has its NAT table with the port references, so shoule be able to return the traffic to the userip and initial tcp port
Anybody an idea how this can be done ?
#88
German - Deutsch / Re: Aufschaukelnder Traffic vo...
Last post by SarpeTronic - September 02, 2025, 09:00:05 PMDer Port ist 389, also LDAP. Die IPv6 Präfixe sind sauber getrennt, siehe vor Post.
Ich habe mich gefragt, warum ich das nur ab und zu aufschaukelt. Heute habe ich dazu eine Idee bekommen. Der Client hat seine IPv6 erneuert, die X:X:X:fa00:f679:1639:1cdd:d1e7 ist also gar nicht mehr erreichbar. Warum verwirft der die Pakete nicht mit einem Timeout, sondern dupliziert diese?
Ich habe mich gefragt, warum ich das nur ab und zu aufschaukelt. Heute habe ich dazu eine Idee bekommen. Der Client hat seine IPv6 erneuert, die X:X:X:fa00:f679:1639:1cdd:d1e7 ist also gar nicht mehr erreichbar. Warum verwirft der die Pakete nicht mit einem Timeout, sondern dupliziert diese?
#89
25.7 Series / Re: Opnsense somehow blocks ip...
Last post by meyergru - September 02, 2025, 07:32:41 PMOr try doing this.
#90
Virtual private networks / Re: OpenVPN - Tunnel up but no...
Last post by i.platz@gk - September 02, 2025, 07:24:32 PMThat was the clue I needed
With level 4 I could see that there was nothing to see...
I had a typo in my CSO... tunnnel instead of tunnel...
With local and remote networks set in both server and CSO and the reversed on the client I now have a stable tunnel.
Now the only question is which of these entries could be omitted or if they are all necessary. But that is a problem for another work day.
Thanks for the help.
I will come back her to give a complete description of the setup for people in the future searching for this.
With level 4 I could see that there was nothing to see...
I had a typo in my CSO... tunnnel instead of tunnel...
With local and remote networks set in both server and CSO and the reversed on the client I now have a stable tunnel.
Now the only question is which of these entries could be omitted or if they are all necessary. But that is a problem for another work day.
Thanks for the help.
I will come back her to give a complete description of the setup for people in the future searching for this.
