"Recent posts
#81
Virtual private networks / Wireguard Local Traffic only
Last post by hagensieker - November 29, 2025, 08:35:10 PMI had set up WireGuard successfully a year or three ago on Opnsense. Then one day it just stopped working. I have filled the hole with Tailscale but I need to get rolling with WG again.
I did manage while I was away this weekend to set up a new WG instance and peer. Connecting works and had a handshake issue. I have a pass rule set up for the WG instance under Firewall > Rules.
All I am getting is local traffic only. And that's fine. When I travel I want access to my Home Assistant, TrueNAS, QNAP, etc. It works perfect. I am not able to pass internet traffic though.
Only problem there is on another device (GL.Inet) travel router. I need the magic firewall rule or setting to accomplish. Somebody please let me know what I'm missing. Peer on Wireguard client:
Again this passes local traffic. I deleted DNS and have played with a few entries.
Pretty sure I need to tweak a firewall rule but not sure
I did manage while I was away this weekend to set up a new WG instance and peer. Connecting works and had a handshake issue. I have a pass rule set up for the WG instance under Firewall > Rules.
All I am getting is local traffic only. And that's fine. When I travel I want access to my Home Assistant, TrueNAS, QNAP, etc. It works perfect. I am not able to pass internet traffic though.
Only problem there is on another device (GL.Inet) travel router. I need the magic firewall rule or setting to accomplish. Somebody please let me know what I'm missing. Peer on Wireguard client:
Code Select
[Interface]
PrivateKey = redacted=
ListenPort = 51820
Address = 10.10.10.2/24
[Peer]
PublicKey = redacted=
AllowedIPs = 0.0.0.0/0,::/0
Endpoint = 195.252.xxx.xxx:51820
PersistentKeepalive = 25
Again this passes local traffic. I deleted DNS and have played with a few entries.
Pretty sure I need to tweak a firewall rule but not sure
#82
German - Deutsch / Re: Verständnisfrage zu Portfo...
Last post by awado - November 29, 2025, 08:26:02 PMInzwischen bin ich zu einer ähnlichen Erkenntnis gekommen. Es ist viel zu aufwändig für ein temporäres Szenario. Ich werde mir die Mühe machen und die vorhandene Wordpress-VM so weit kastrieren, dass sie von meinem Reverse Proxy angesteuert werden kann. Aber dennoch danke für Euren Input. Hab viel dazugelernt. Sollte mir noch ein Lichtlein aufgehen, werde ich es natürlich hier posten.
#83
Tutorials and FAQs / Re: ndp-proxy-go: Proxy ISP pr...
Last post by Monviech (Cedrik) - November 29, 2025, 08:13:23 PMAlso I just tried the port forward and it works for me without any tricks:
it might not be RFC conform but "hey it works I guess xD"
EDIT: DOESNT WORK!
it might not be RFC conform but "hey it works I guess xD"
EDIT: DOESNT WORK!
#84
Tutorials and FAQs / Re: ndp-proxy-go: Proxy ISP pr...
Last post by Monviech (Cedrik) - November 29, 2025, 07:59:26 PMTWIMC: https://github.com/Monviech/ndp-proxy-go/issues/3
I got the proxy working now for PPPoE interfaces as well.
I got the proxy working now for PPPoE interfaces as well.
#85
25.7, 25.10 Series / Re: Help Needed: Branding & UI...
Last post by Maurice - November 29, 2025, 07:18:45 PMSeems
They'll need it. And don't forget plugins, documentation, release notes, ports like opnsense-update (and their man pages), ...
🤣
Quote from: Patrick M. Hausen on November 29, 2025, 12:13:03 PMGood luck.
They'll need it. And don't forget plugins, documentation, release notes, ports like opnsense-update (and their man pages), ...
🤣
#86
General Discussion / Re: new setup cannot reach lin...
Last post by muusemuuse - November 29, 2025, 07:15:35 PMThe board sucking is mostly about obnoxious IOMMU grouping and not getting past POST if a flash drive is connected to the front USB ports. It does have AMDv enabled and the CPU type is host.
#87
Tutorials and FAQs / Re: ndp-proxy-go: Proxy ISP pr...
Last post by Maurice - November 29, 2025, 07:00:01 PMMy general recommendation for setups which are a little more advanced is to bind services like DNS to loopback interfaces:
- Interfaces: Devices: Loopback, create a loopback interface, name it e.g. "Unbound".
- Assign the interface and configure it with static IP addresses (/128 ULA and /32 RFC1918 is fine).
- Services: Unbound DNS: General, set "Network Interfaces" to this loopback interface (only).
- In the DHCP / RA configuration, set the DNS server addresses to the loopback interface's addresses.
- Optional: If you want to force all DNS traffic to Unbound, forward port 53 to the loopback interface's addresses.
Cheers
Maurice
- Interfaces: Devices: Loopback, create a loopback interface, name it e.g. "Unbound".
- Assign the interface and configure it with static IP addresses (/128 ULA and /32 RFC1918 is fine).
- Services: Unbound DNS: General, set "Network Interfaces" to this loopback interface (only).
- In the DHCP / RA configuration, set the DNS server addresses to the loopback interface's addresses.
- Optional: If you want to force all DNS traffic to Unbound, forward port 53 to the loopback interface's addresses.
Cheers
Maurice
#88
25.7, 25.10 Series / Re: (Solved?) Freeradius - can...
Last post by TechnologyGeek - November 29, 2025, 06:41:09 PMI had the same issue after upgrading to 25.7.8, and for some reason unbound DNS wasn't working correctly. If I rebooted my network would come up, my Firestick would get to the homepage, sound would play automatically, and then it would all start dropping off again. Hulu and other apps wouldn't load, then the 'Home is not available, check your network settings' message on the Firestick. Same issue on my hardwired LAN PC. I started migrating to DNSMasq based on reading what some users were saying, and I was having issues getting it working correctly. I'm using TLS via Quad9 with unbound, and I setup the query forward to DNSMasq, configured everything, but was still having issues getting leases assigned with DNSMasq. I could NSlookup, Signal and some apps were working fine on my wired PC, but I couldn't ping out. I didn't want to mess with it anymore as my wife was home from work and wanted to watch Stranger things, so I restored my backup config from July of this year and the issue was completely resolved. Still using unbound with ISC DHCP and am on the 25.7.8 update. The funny thing is that the reason I restored that config was to start over working on the DNSMasq migration thinking I screwed a step up. I wasn't expecting the config restore to resolve the problem that started when I updated. Definitely something getting messed up from the upgrade, putting my old config files back resolved.
#89
German - Deutsch / Re: Verständnisfrage zu Portfo...
Last post by meyergru - November 29, 2025, 06:08:28 PMIch denke, das Problem liegt in folgendem:
Hetzner empfiehlt für ein Setup mit OpnSense und nur einer IP eine "routed" Variante. Dabei werden alle Ports außer dem für Proxmox an die OpnSense weitergeleitet. Ich mache das nicht so, weil dabei die OpnSense wieder ihre eigene WAN-IP nicht kennt, aber das nur am Rande.
Bei einem Setup mit zwei IPs wird eine für die OpnSense und eine für Proxmox selbst genutzt.
Mein Vorschlag mit zwei MACs und zwei NICs für OpnSense funktioniert zwar, aber dazu muss das ganze Setup so aufgebaut werden, während der OP offenbar vorhat, im laufenden Betrieb umzustellen. Das klappt so eher nicht. Aus Erfahrung weiß ich, dass der Umbau schrittweise erfolgen muss, Downtimes beinhaltet und oft auch eine LARA benötigt, weil man sich aussperrt. Ich würde das anders machen und einen neuen Server mieten, dort alles aufbauen und zuletzt die Server auf die neue Plattform umziehen. Danach kann man den ersten Server kündigen. Kostet im Zweifel eine Monatsmiete Extra, erlaubt aber Flexibilität beim Umbau.
Trotz allem, wie ich zu dem Thema ja schon mehrfach schrieb: Nichts für Anfänger, hochkomplex. Proxmox mit OpnSense ist eh schon schwierig, aber remote beim Hoster einrichten (und dann noch Hetzner mit den MAC-Zuordnungen) ist Hardcore.
Hetzner empfiehlt für ein Setup mit OpnSense und nur einer IP eine "routed" Variante. Dabei werden alle Ports außer dem für Proxmox an die OpnSense weitergeleitet. Ich mache das nicht so, weil dabei die OpnSense wieder ihre eigene WAN-IP nicht kennt, aber das nur am Rande.
Bei einem Setup mit zwei IPs wird eine für die OpnSense und eine für Proxmox selbst genutzt.
Mein Vorschlag mit zwei MACs und zwei NICs für OpnSense funktioniert zwar, aber dazu muss das ganze Setup so aufgebaut werden, während der OP offenbar vorhat, im laufenden Betrieb umzustellen. Das klappt so eher nicht. Aus Erfahrung weiß ich, dass der Umbau schrittweise erfolgen muss, Downtimes beinhaltet und oft auch eine LARA benötigt, weil man sich aussperrt. Ich würde das anders machen und einen neuen Server mieten, dort alles aufbauen und zuletzt die Server auf die neue Plattform umziehen. Danach kann man den ersten Server kündigen. Kostet im Zweifel eine Monatsmiete Extra, erlaubt aber Flexibilität beim Umbau.
Trotz allem, wie ich zu dem Thema ja schon mehrfach schrieb: Nichts für Anfänger, hochkomplex. Proxmox mit OpnSense ist eh schon schwierig, aber remote beim Hoster einrichten (und dann noch Hetzner mit den MAC-Zuordnungen) ist Hardcore.
#90
General Discussion / Re: Filter rules on a pfsync i...
Last post by Monviech (Cedrik) - November 29, 2025, 05:38:14 PMWell essentially if its a point to point link between both firewalls the any rule doesnt hurt anybody.
If youre paranoid only allow the pfsync protocol. If the firewalls also xmlrpc sync over the link also the WebGUI port and https.
If youre paranoid only allow the pfsync protocol. If the firewalls also xmlrpc sync over the link also the WebGUI port and https.
