"Recent posts
#81
Hardware and Performance / Internet speeds reduced set to...
Last post by manki_09 - January 10, 2026, 09:16:56 PMI have an issue when I have my WAN connection set to 2.5gb link speed to my Xfinity XB8 gateway, my download speeds are limited to around 300-350mbps. When I change my link speed on the WAN side back to 1gb I get around 940mbps (max 1gb link will do).
See attached image for network diagram.
Some additional information
This occurs on all 3 VLANs connected to my switch.
IPerf3 from a LAN 10gb interface to OPNSense easily gets over 9000 mbps.
Running a server hosting openspeedtest and iperf3, all PCs get their correct speed for their link speed across all vlans.
WAN set to 1gb
Running speedtest from OPNSense CLI gets around 1500 mbps when link is set to 2.5gbps, but get very high latency (log attached).
Running speedtest from 10gb and 1gb PCs get 940mpbs
WAN set to 10gb
Running speedtest OPNSense CLI at 1gb link I get 940mbps
Running speedtest from 10gb PCs get 1800mbps+
Running speedtest from 1gb PCs get 300-350mbps
I've tried just about everything on the Aruba switch to see if was doing something funky but nothing improved or depreciated the performance.
I've also tried other internet speedtest services like fast.com and I get the same results.
Cables used are CAT6 and TwinAx. All cables are shorter than 1m, with Gateway to Router being 6 inches. All manufactured cables.
Any ideas would be great.
P.S.
Forgot to mention. I haven't seen CPU usage above ~15% on OPNSense and htop shows multiple cores being used during these speedtests with none close to peaking out. The system is bare metal running an Intel i5-10600t and 16gb on RAM.
See attached image for network diagram.
Some additional information
This occurs on all 3 VLANs connected to my switch.
IPerf3 from a LAN 10gb interface to OPNSense easily gets over 9000 mbps.
Running a server hosting openspeedtest and iperf3, all PCs get their correct speed for their link speed across all vlans.
WAN set to 1gb
Running speedtest from OPNSense CLI gets around 1500 mbps when link is set to 2.5gbps, but get very high latency (log attached).
Running speedtest from 10gb and 1gb PCs get 940mpbs
WAN set to 10gb
Running speedtest OPNSense CLI at 1gb link I get 940mbps
Running speedtest from 10gb PCs get 1800mbps+
Running speedtest from 1gb PCs get 300-350mbps
I've tried just about everything on the Aruba switch to see if was doing something funky but nothing improved or depreciated the performance.
I've also tried other internet speedtest services like fast.com and I get the same results.
Cables used are CAT6 and TwinAx. All cables are shorter than 1m, with Gateway to Router being 6 inches. All manufactured cables.
Any ideas would be great.
P.S.
Forgot to mention. I haven't seen CPU usage above ~15% on OPNSense and htop shows multiple cores being used during these speedtests with none close to peaking out. The system is bare metal running an Intel i5-10600t and 16gb on RAM.
#82
German - Deutsch / Re: Eigener DNS bei einer IPv6...
Last post by s.meier68 - January 10, 2026, 08:51:02 PMMoin,
schaue mal hier rein. In IPv6 werden DNS Server entweder auch über dhcpv6 oder bei slaac über routing advertisements verteilt. Die wan Konfiguration ist übrigens relativ egal, wichtig ist wie es auf den internen Schnittstellen konfiguriert ist
Alternativ, solltest Du dnsmasq für dhcpv6 konfiguriert haben, must Du in der Konfiguration von dnsmasq ra einschalten, in den Optionen von dnsmasq eine DHCPv6 Option dns-server mit der IP Adresse des adguard Servers eintragen und in den Services radvd deaktivieren....
Gruß
schaue mal hier rein. In IPv6 werden DNS Server entweder auch über dhcpv6 oder bei slaac über routing advertisements verteilt. Die wan Konfiguration ist übrigens relativ egal, wichtig ist wie es auf den internen Schnittstellen konfiguriert ist
Alternativ, solltest Du dnsmasq für dhcpv6 konfiguriert haben, must Du in der Konfiguration von dnsmasq ra einschalten, in den Optionen von dnsmasq eine DHCPv6 Option dns-server mit der IP Adresse des adguard Servers eintragen und in den Services radvd deaktivieren....
Gruß
#83
German - Deutsch / ACME Plugin DNS-01 Challange T...
Last post by ChrisChros - January 10, 2026, 08:30:36 PMHallo zusammen,
ich versuche aktuell ein sicheres Zertifikat mit dem ACME Plugin und Let's Encrypt einzurichten. Die Domain ist soweit bei ddnss.de eingerichtet und auch der der DynDNS-Service auf der Sense läuft soweit sauber und aktualisiert mit meine IP auf die Domain.
Allerdings bekomme ich es aktuell noch nicht hin mir ein Zertifikat erstellen zu lassen. Ich möchte den Challange Type DNS-01 verwenden, hierzu gibt es auch auf github eine kleine Anleitung wie das bei diesem Anbieter funktionieren soll.
https://github.com/acmesh-official/acme.sh/wiki/dnsapi#dns_ddnss
Die Haken bei TXT Record und Wildcard habe ich gesetzt. Den Update Key habe ich entsprechend in dem Feld API-Token vom ACME-Plugin eingetragen. Jedoch scheitert die Validierung.
Im Log vom ACME-Plugin steht dazu folgendes:
Hat jemand eine Idee warum es nicht klappt?
Die DNS-01 Methode muss ich nutzen, da ich im Anschluss noch einen NGINX-Proxy einrichten möchte.
ich versuche aktuell ein sicheres Zertifikat mit dem ACME Plugin und Let's Encrypt einzurichten. Die Domain ist soweit bei ddnss.de eingerichtet und auch der der DynDNS-Service auf der Sense läuft soweit sauber und aktualisiert mit meine IP auf die Domain.
Allerdings bekomme ich es aktuell noch nicht hin mir ein Zertifikat erstellen zu lassen. Ich möchte den Challange Type DNS-01 verwenden, hierzu gibt es auch auf github eine kleine Anleitung wie das bei diesem Anbieter funktionieren soll.
https://github.com/acmesh-official/acme.sh/wiki/dnsapi#dns_ddnss
Die Haken bei TXT Record und Wildcard habe ich gesetzt. Den Update Key habe ich entsprechend in dem Feld API-Token vom ACME-Plugin eingetragen. Jedoch scheitert die Validierung.
Im Log vom ACME-Plugin steht dazu folgendes:
Code Select
2026-01-10T20:21:59opnsense AcmeClient: validation for certificate failed: ****.ddnss.org
2026-01-10T20:21:59opnsense AcmeClient: domain validation failed (dns01)
2026-01-10T20:21:59opnsense AcmeClient: AcmeClient: The shell command returned exit code '2': '/usr/local/sbin/acme.sh --renew --syslog 7 --debug --server 'letsencrypt' --dns 'dns_ddnss' --home '/var/etc/acme-client/home' --cert-home '/var/etc/acme-client/cert-home/674e0cba009318.42719035' --certpath '/var/etc/acme-client/certs/674e0cba009318.42719035/cert.pem' --keypath '/var/etc/acme-client/keys/674e0cba009318.42719035/private.key' --capath '/var/etc/acme-client/certs/674e0cba009318.42719035/chain.pem' --fullchainpath '/var/etc/acme-client/certs/674e0cba009318.42719035/fullchain.pem' --domain '****.ddnss.org' --days '60' --keylength 'ec-384' --ecc --accountconf '/var/etc/acme-client/accounts/674b1d0b3937d2.05903488_prod/account.conf''
2026-01-10T20:21:59opnsense AcmeClient: running acme.sh command: /usr/local/sbin/acme.sh --renew --syslog 7 --debug --server 'letsencrypt' --dns 'dns_ddnss' --home '/var/etc/acme-client/home' --cert-home '/var/etc/acme-client/cert-home/674e0cba009318.42719035' --certpath '/var/etc/acme-client/certs/674e0cba009318.42719035/cert.pem' --keypath '/var/etc/acme-client/keys/674e0cba009318.42719035/private.key' --capath '/var/etc/acme-client/certs/674e0cba009318.42719035/chain.pem' --fullchainpath '/var/etc/acme-client/certs/674e0cba009318.42719035/fullchain.pem' --domain '****.ddnss.org' --days '60' --keylength 'ec-384' --ecc --accountconf '/var/etc/acme-client/accounts/674b1d0b3937d2.05903488_prod/account.conf'
2026-01-10T20:21:59opnsense AcmeClient: using challenge type: DNS Challenge
2026-01-10T20:21:59opnsense AcmeClient: account is registered: OPNsense Account
2026-01-10T20:21:59opnsense AcmeClient: using CA: letsencrypt
2026-01-10T20:21:59opnsense AcmeClient: renew certificate: ****.ddnss.org
2026-01-10T20:21:59opnsense AcmeClient: certificate must be issued/renewed: ****.ddnss.org
Hat jemand eine Idee warum es nicht klappt?
Die DNS-01 Methode muss ich nutzen, da ich im Anschluss noch einen NGINX-Proxy einrichten möchte.
#84
General Discussion / Re: Is it normal to see pfsens...
Last post by nadrad - January 10, 2026, 07:59:40 PMQuote from: patient0 on January 10, 2026, 07:13:08 PMHave you pfSense running on where you want to install OPNsense and booting from ISO/USB stick didn't work?
OH! I just realized that the brand new mini computer I had bought had pfsense on it and it was booting from its internal storage instead of my flash drive! I'm embarrassed :')
#85
General Discussion / Re: Is ChatGPT. correct about ...
Last post by OPNenthu - January 10, 2026, 07:54:58 PMQuote from: lorem on January 10, 2026, 11:51:51 AMI already have an encrypted DNS service for the non-VPN VLAN so using Mullvad DNS would not improve the situation.
That depends. The encryption is necessary, but it's not the point. It's about who gets the data.
The reason to keep your DNS queries with your VPN provider (not necessarily Mullvad, that was just one example/option) is because presumably you have a reputable VPN that has a no-logs policy and you want to keep all your traffic with the same entity. This would of course improve the privacy posture over a public DoT like Cloudflare, Google, etc.
You'd have to check if your VPN provider has an encrypted DNS and what its policies are.
--
Another option to look into is keeping a separate DNS, like a PiHole, for the VPN network. You could forward the traffic from the PiHole to the VPN server and you could configure the PiHole to forward queries for local zones to Unbound so you preserve local hostname resolution (and also don't leak them upstream). I haven't tried this setup and I understand people have had some complications with local zone forwarding in PiHole.
Unfortunately no easy way to do this all within OPNsense itself without some compromises as @viragomann pointed out, but I hope if anyone's figured it out they will enlighten me as well.
#86
Virtual private networks / Re: Tailscale - Site-to-Site S...
Last post by nsmith17044 - January 10, 2026, 07:22:24 PMAfter doing quite a bit of troubleshooting it appears that the issue is with Tailscale on FreeBSD. Is is NAT'ing the tailnet traffic ("NoSNAT: false") and I cannot find a way to disable it. It seem to be a built in setting maybe?
At this point this seems to make sub-net to sub-net routing with IP preservation impossible over a Tailnet with OPNSense. Seems like a really common thing to do but this doesn't make any sense that it isn't supported.
Seems that I would need to setup another Linux system behind OPNSense just to run Tailscale for sub-net routing on each network I need to connect to.
Anyone have a proven way around this with OPNSense?
At this point this seems to make sub-net to sub-net routing with IP preservation impossible over a Tailnet with OPNSense. Seems like a really common thing to do but this doesn't make any sense that it isn't supported.
Seems that I would need to setup another Linux system behind OPNSense just to run Tailscale for sub-net routing on each network I need to connect to.
Anyone have a proven way around this with OPNSense?
#87
General Discussion / Re: Is it normal to see pfsens...
Last post by patient0 - January 10, 2026, 07:13:08 PMQuote from: nadrad on January 10, 2026, 06:08:15 PMIs it normal? Am I missing something?What is the file name of you what downloaded and where did you download it?
Have you pfSense running on where you want to install OPNsense and booting from ISO/USB stick didn't work?
There is no pfSense branding in OPNsense, you can be sure of that.
#88
German - Deutsch / Eigener DNS bei einer IPv6 Kon...
Last post by n3 - January 10, 2026, 06:35:01 PMHey Zusammen,
ich habe einen Glasfaseranschluss bei der Telekom und nutze IPv6. Bei den WAN Einstellungen habe ich folgendes: You cannot view this attachment.
Ich habe noch die MTU angepasst etc. und bisher läuft alles. Ich habe noch als Fallback einen IPv4 DHCP und dort ist auch mein AdGuard als DNS Server eingetragen. Leider kriege ich es nicht hin, diesen auch bei den IPv6 zu konfigurieren, sodass meine Clients diese nicht nutzen.
Wie kriege ich das hin?
Danke für die Hilfe :-)
ich habe einen Glasfaseranschluss bei der Telekom und nutze IPv6. Bei den WAN Einstellungen habe ich folgendes: You cannot view this attachment.
Ich habe noch die MTU angepasst etc. und bisher läuft alles. Ich habe noch als Fallback einen IPv4 DHCP und dort ist auch mein AdGuard als DNS Server eingetragen. Leider kriege ich es nicht hin, diesen auch bei den IPv6 zu konfigurieren, sodass meine Clients diese nicht nutzen.
Wie kriege ich das hin?
Danke für die Hilfe :-)
#89
General Discussion / Is it normal to see pfsense br...
Last post by nadrad - January 10, 2026, 06:08:15 PMI'm new to opnsense. I've just downloaded the 25.7 vga amd64 version, and the checksum is OK. When I run it on the router, it shows "pfsense" ascii art at the beginning and when I open the web configuration, it shows "pfsense, community edition", and the user interface doesn't look like the screenshots I see for opnsense.
Is it normal? Am I missing something?
Is it normal? Am I missing something?
#90
German - Deutsch / Re: OPNsense und Hyper-V
Last post by newbe - January 10, 2026, 06:04:08 PMMan findet reichlich Mini PCs mit 2x LAN Schnittstellen, Blackview, SOYO Mini, GMKtec... welche man vor der Krise für ca. 150€ bekommen konnte. Backup/Restore ist bei OPNsense schnell gemacht, d.h. wenn man einen weiteren davon (vorinstalliert) hat, umso schneller.
Ich habe davon in div. Umgebungen welche 24/7/365 laufen. Und wenn's den Zweck nicht mehr erfüllt, könnte man wieder das mitgelieferte Windows 11 Pro draufmachen. Also Office Client mehr als ausreichend, vor allem unter Linux.
Synology hat tolle kostenlose Backuptools, somit hatte ich Veeam ausgemustert (welches davor in der CE Version unter W11 lief).
Die Clients welche nicht unter W11 laufen würde ich mit Linux Mint bestücken, per Remmina kommen diese per RDP auf den Server.
Ich habe davon in div. Umgebungen welche 24/7/365 laufen. Und wenn's den Zweck nicht mehr erfüllt, könnte man wieder das mitgelieferte Windows 11 Pro draufmachen. Also Office Client mehr als ausreichend, vor allem unter Linux.
Synology hat tolle kostenlose Backuptools, somit hatte ich Veeam ausgemustert (welches davor in der CE Version unter W11 lief).
Die Clients welche nicht unter W11 laufen würde ich mit Linux Mint bestücken, per Remmina kommen diese per RDP auf den Server.
