"Recent posts
#81
General Discussion / update: kea, almost dynamic WA...
Last post by vimage22 - December 19, 2025, 05:05:10 PMThe script has been modified to perform 3 functions.
Rewrite the prefix, if it is new, for the subnet and pools.
Restart the Kea service to load the new prefix
Restart Router Advertisements to update clients
Testing is using 'testing.conf'
contents =
The new script:
To make it live, uncomment line 6.
Caveats:
At the moment, this only has the potential to work for a 'simple' WAN IPv6 setup.
'igc0' is hardcoded. You would need to change this in the script to match the interface.
Is there an easy way to trigger this script only when the WAN prefix changes?
I have looked at 'dhcp6c_wan_script.sh', which contains something called 'reason' but I would not want to change a factory script in any way.
Any any comments would be most welcome.
Rewrite the prefix, if it is new, for the subnet and pools.
Restart the Kea service to load the new prefix
Restart Router Advertisements to update clients
Testing is using 'testing.conf'
contents =
Code Select
{
"Dhcp6": {
"subnet6": [
{
"id": 1,
"subnet": "2601:xx:xx:xx::\/64",
"pools": [
{
"pool": "2601:xx:xx:xx::0\/120"
}
]
}
]
}
}
The new script:
Code Select
#!/bin/sh
# /usr/local/sbin/kea_prefix_change.sh
change_log='/var/log/wan_ipv6_change.log'
FILE_NAME='/root/testing.conf'
# FILE_NAME='/usr/local/etc/kea/kea-dhcp6.conf'
VAR1=$(jq -r '.Dhcp6.subnet6[].subnet' $FILE_NAME)
VAR1="$(echo $VAR1 | cut -d'/' -f1)"
echo "VAR1 = $VAR1"
v6Prefix=$(cat /tmp/igc0_prefixv6 | cut -d'/' -f1)
VAR2=$v6Prefix
echo "VAR2 = $VAR2"
if [ "$VAR1" != "$VAR2" ]; then
echo "$(date) Variables are not equal. Running code." >> $change_log
# Perform the find and replace operation
sed -i '' "s/$VAR1/$VAR2/g" "$FILE_NAME"
echo "$(date) Replacement complete in $FILE_NAME." >> $change_log
# Restart the Kea service to load the new prefix
pluginctl -s kea-dhcp restart; sleep 1
# Restart Router Advertisements to update clients
pluginctl -s radvd restart >> $change_log
sleep 1
# Log the event
echo "$(date) WAN IPv6 prefix change detected." >> $change_log
fi
echo "Done..."
exit
To make it live, uncomment line 6.
Caveats:
At the moment, this only has the potential to work for a 'simple' WAN IPv6 setup.
'igc0' is hardcoded. You would need to change this in the script to match the interface.
Is there an easy way to trigger this script only when the WAN prefix changes?
I have looked at 'dhcp6c_wan_script.sh', which contains something called 'reason' but I would not want to change a factory script in any way.
Any any comments would be most welcome.
#82
German - Deutsch / Dual WAN Setup mit IPv6 Proble...
Last post by martine - December 19, 2025, 04:57:24 PMHallo,
ich habe ein Dual WAN Setup in OpnSense aufgesetzt, mit dem Ziel, dass ich über die Firewall-Rules die jeweilige Leitung einem Client im Netzwerk zuweisen kann.
Der Sinn dahinter ist, dass ich die schnelle Downstream-Leitung für große Downloads, wie Spiele Updates auf der PS5 nutzen kann. Das klappt für IPv4 auch bisher ohne Probleme, nur bei IPv6 will es nicht.
Ich bekomme auf den Clients, auf denen ich die schnelle Leitung nutzen will, einen Mix aus der IPv4 von einem Gateway und der IPv6 vom anderen Gateway, was zu Problemen führt.
Ungern möchte ich die Clients in zwei Netze Teilen oder Load Balancing oder Failover machen. Vielleicht jemand eine Idee, wie man das Problem lösen kann.
Aufbau:
Als WAN Interface habe ich eine Fritzbox 7590 AX mit VDSL und als OPT1 eine PYUR Sagem Kabelbox welche einen Kabelanschluss hat. Der LAN Port geht in einen Switch an dem alle Clients hängen.
So sehen die Gateways aus
Das LAN Interface. Hier nehme ich aktuell bei IPv6 Configuration Type: Track Interface und dort das Interface des Telekom Anschlusses, da dieser der default für alle Clients sein soll. So haben die Clients ohne Firewall-Rule keinen Anbieter-Mix von IPv4 und IPv6.
Interface PYUR
Interface TKom
Die Interface Overview. Hier sehe ich das LAN keine v6 Adresse vom Pyur Gateway bekommen hat, ich vermute weil im LAN Interface Track Interface des Telekom Anschluss ausgewählt ist. Damit erhält auch keiner der Clients eine IPv6 vom Pyur Anschluss.
Übersicht der Firewall Regeln für LAN
Hier eine Firewall Regel für IPv4 für den Pyur Anschluss
Und hier eine für IPv6, welche nicht greift.
Ich habe schon einiges Versucht, wie eine Virtuelle IPv6 zu vergeben, aber das hat leider auch keinen Erfolg gebracht.
Die Router Advertisements habe ich auf Assisted.
Vielleicht hat jemand eine Idee wie ich mein Ziel umsetzen kann. Vielen Dank vorab für das Anschauen des Posts.
ich habe ein Dual WAN Setup in OpnSense aufgesetzt, mit dem Ziel, dass ich über die Firewall-Rules die jeweilige Leitung einem Client im Netzwerk zuweisen kann.
Der Sinn dahinter ist, dass ich die schnelle Downstream-Leitung für große Downloads, wie Spiele Updates auf der PS5 nutzen kann. Das klappt für IPv4 auch bisher ohne Probleme, nur bei IPv6 will es nicht.
Ich bekomme auf den Clients, auf denen ich die schnelle Leitung nutzen will, einen Mix aus der IPv4 von einem Gateway und der IPv6 vom anderen Gateway, was zu Problemen führt.
Ungern möchte ich die Clients in zwei Netze Teilen oder Load Balancing oder Failover machen. Vielleicht jemand eine Idee, wie man das Problem lösen kann.
Aufbau:
Als WAN Interface habe ich eine Fritzbox 7590 AX mit VDSL und als OPT1 eine PYUR Sagem Kabelbox welche einen Kabelanschluss hat. Der LAN Port geht in einen Switch an dem alle Clients hängen.
So sehen die Gateways aus
Das LAN Interface. Hier nehme ich aktuell bei IPv6 Configuration Type: Track Interface und dort das Interface des Telekom Anschlusses, da dieser der default für alle Clients sein soll. So haben die Clients ohne Firewall-Rule keinen Anbieter-Mix von IPv4 und IPv6.
Interface PYUR
Interface TKom
Die Interface Overview. Hier sehe ich das LAN keine v6 Adresse vom Pyur Gateway bekommen hat, ich vermute weil im LAN Interface Track Interface des Telekom Anschluss ausgewählt ist. Damit erhält auch keiner der Clients eine IPv6 vom Pyur Anschluss.
Übersicht der Firewall Regeln für LAN
Hier eine Firewall Regel für IPv4 für den Pyur Anschluss
Und hier eine für IPv6, welche nicht greift.
Ich habe schon einiges Versucht, wie eine Virtuelle IPv6 zu vergeben, aber das hat leider auch keinen Erfolg gebracht.
Die Router Advertisements habe ich auf Assisted.
Vielleicht hat jemand eine Idee wie ich mein Ziel umsetzen kann. Vielen Dank vorab für das Anschauen des Posts.
#83
25.7, 25.10 Series / Re: Version 25.7.9 did not cha...
Last post by franco - December 19, 2025, 04:39:55 PM@kozistan the only thing I can think of is that the update stopped after
> socat upgraded: 1.8.0.3 -> 1.8.1.0
but it feels rather weird it didn't even mention removing opnsense package.
But it also looks like the files are there which makes me think you don't have many packages in your local database?
# pkg info | wc -l
191
Should be somewhere over 100 packages at least.
The easiest way to fix it would be
# pkg install opnsense
Cheers,
Franco
> socat upgraded: 1.8.0.3 -> 1.8.1.0
but it feels rather weird it didn't even mention removing opnsense package.
But it also looks like the files are there which makes me think you don't have many packages in your local database?
# pkg info | wc -l
191
Should be somewhere over 100 packages at least.
The easiest way to fix it would be
# pkg install opnsense
Cheers,
Franco
#84
General Discussion / Re: 25.7.9 update - xorgproto:...
Last post by ibuka228 - December 19, 2025, 04:30:46 PMSeems can be fixed by remove and reinstall Zenarmor plugins
#85
Tutorials and FAQs / Re: OPNsense aarch64 firmware ...
Last post by Maurice - December 19, 2025, 04:27:21 PMOPNsense 25.7.10 aarch64 packages and sets released.
#86
25.7, 25.10 Series / Re: Specific Websites not reac...
Last post by mike175de - December 19, 2025, 03:42:00 PMI tried to solve the problem with AI (not a fan of AI, but...). The Ai says it is the automatic rule that blocks an causes Permission denied in traceroute:
Maybe that helps?
I am stucked...
Code Select
block drop in log on ! igc0 inet from 192.168.178.0/24 to anyMaybe that helps?
I am stucked...
#87
25.7, 25.10 Series / Re: 25.10.1 not affected by Fr...
Last post by rola - December 19, 2025, 03:23:41 PMQuote from: franco on December 19, 2025, 02:58:04 PM24 hours is not that much to ask for IMO.
.
.
.
It's out now.
Thank you! Unlike other vendors it's quite fast ;)
#88
25.7, 25.10 Series / Re: os-OPNWAF / Exchange 2019 ...
Last post by Monviech (Cedrik) - December 19, 2025, 03:18:10 PMWe use almost the exact same template.
Only major difference is that mpm-event is used, and not mpm-prefork.
Yet in early tests it did not make a difference, it really did work like a year ago.
Since in my tests now, caddy has also issues, it paints an interesting picture.
Maybe the issue is found outside of apache. Since it always works on linux (ubuntu, sophos UTM), yet not on freebsd (opnsense) anymore, it could be an interaction with pf, or the TCP network stack.
Only major difference is that mpm-event is used, and not mpm-prefork.
Yet in early tests it did not make a difference, it really did work like a year ago.
Since in my tests now, caddy has also issues, it paints an interesting picture.
Maybe the issue is found outside of apache. Since it always works on linux (ubuntu, sophos UTM), yet not on freebsd (opnsense) anymore, it could be an interaction with pf, or the TCP network stack.
#89
25.7, 25.10 Series / Re: 25.10.1 not affected by Fr...
Last post by DEC670airp414user - December 19, 2025, 03:03:22 PM@franco and opnsense team, thank you for keeping us secured
#90
25.7, 25.10 Series / Re: 25.10.1 not affected by Fr...
Last post by franco - December 19, 2025, 02:58:04 PMIt's out now.
Cheers,
Franco
Cheers,
Franco
