"Recent posts
#81
General Discussion / Re: does anyone currently have...
Last post by Greg_E - November 20, 2025, 03:30:25 PMHopefully the fiber side of things will stay the same for you. It's not in my area yet, but I signed up for a wait list to let them know there is interest. Not much of a risk of spam, I'm already their customer for the cellular internet.
#82
25.7, 25.10 Series / Keep losing access to WebGUI
Last post by maikverheijen - November 20, 2025, 03:22:33 PMI am experiencing a persistent issue with the OPNSense WebGUI. After some unpredictable period of time, I am unable to access the OPNSense login page through the WebGUI. To resolve this, I have to log in via the console, select option 2, change HTTPS to HTTP, and reset the WebGUI. After these steps, I can access the login page again without problems. However, if I remain inactive for a long time, the WebGUI becomes unreachable once more, requiring me to repeat the same console steps.
The system log continuously shows this error whenever I cannot log in (one log entry per access attempt):
After performing the reset steps in the console, the log shows:
I am completely puzzled by this issue, and this problem does not occur on my other OPNSense systems. Could this be somehow related to HTTPS or HSTS?
The system log continuously shows this error whenever I cannot log in (one log entry per access attempt):
Code Select
(/usr/obj/usr/ports/www/lighttpd/work/lighttpd-1.4.82/src/mod_openssl.c.4647) SSL: addr:192.168.10.17 ssl_err:1 error:0A00009C:SSL routines::http requestAfter performing the reset steps in the console, the log shows:
Code Select
(/usr/obj/usr/ports/www/lighttpd/work/lighttpd-1.4.82/src/server.c.1271) [note] graceful shutdown started
(/usr/obj/usr/ports/www/lighttpd/work/lighttpd-1.4.82/src/server.c.2372) server stopped by UID = 0 PID = 93511
(/usr/obj/usr/ports/www/lighttpd/work/lighttpd-1.4.82/src/server.c.1971) server started (lighttpd/1.4.82)
(/usr/obj/usr/ports/www/lighttpd/work/lighttpd-1.4.82/src/h1.c.441) unexpected TLS ClientHello on clear port (192.168.10.17)I am completely puzzled by this issue, and this problem does not occur on my other OPNSense systems. Could this be somehow related to HTTPS or HSTS?
#83
General Discussion / Re: Router advertisements via ...
Last post by wallaby501 - November 20, 2025, 03:12:23 PMHate to bump an old thread but just want to clear something up for anyone reading it. Services-Router Advertisement is *not* part of the ISC DHCP suite. Thus there is no *need* to migrate away from that (it is a separate service called radvd and actively maintained.)
So my migration became a lot easier. The steps (essentially) for me are like this https://docs.opnsense.org/manual/dnsmasq.html#dhcpv4-with-dns-registration and for a TLDR-
dnsmasq settings
- general- configure what you need here (including adding static mappings)
- hosts- export csv (tiny button in UI) from ISC DHCPv4 then import them into this panel
- domains- NA
- DHCP ranges- add all IPv4 ranges here (no need for dhcpv6)
- DHCP options- NA
- DHCP tags- NA
So basically just get your static mappings over, configure your ranges, then enable it (and add the unbound domain config as in the official docs.)
Hope this helps someone. If you still want to use nothing but dnsmasq and move away from radvd then I found this link helpful for understanding the RA modes in dnsmasq- https://rakhesh.com/linux-bsd/brief-note-on-ipv6-flags-and-dnsmasq-modes/
So my migration became a lot easier. The steps (essentially) for me are like this https://docs.opnsense.org/manual/dnsmasq.html#dhcpv4-with-dns-registration and for a TLDR-
dnsmasq settings
- general- configure what you need here (including adding static mappings)
- hosts- export csv (tiny button in UI) from ISC DHCPv4 then import them into this panel
- domains- NA
- DHCP ranges- add all IPv4 ranges here (no need for dhcpv6)
- DHCP options- NA
- DHCP tags- NA
So basically just get your static mappings over, configure your ranges, then enable it (and add the unbound domain config as in the official docs.)
Hope this helps someone. If you still want to use nothing but dnsmasq and move away from radvd then I found this link helpful for understanding the RA modes in dnsmasq- https://rakhesh.com/linux-bsd/brief-note-on-ipv6-flags-and-dnsmasq-modes/
#84
German - Deutsch / Re: Wie geht ihr in der Praxis...
Last post by MBatOS - November 20, 2025, 03:04:27 PMQuote from: meyergru on November 20, 2025, 02:08:28 PMVielleicht kommt nur mir das Kriterium deswegen so schräg vor.Gibt eine einfache Erklärung: Die Automatisierung existiert nicht und deshalb wird über die GUI konfiguriert.
Selbst wenn es die Automatisierung gäbe, würde man eine für Menschen handhabbare Benennung der Objekte bevorzugen.
#85
German - Deutsch / Re: Wie geht ihr in der Praxis...
Last post by meyergru - November 20, 2025, 02:08:28 PMIch kenne das aus solch großen Installationen nur so, dass ohnehin mehrere Firewalls verschiedener Anbieter in Serie eingesetzt werden, falls eine eine Sicherheitslücke aufweist. Und dann macht man die Konfiguration sowieso automatisiert, weil man sicher nicht von Hand die selben Regeln auf mehreren Instanzen einspielen will.
Dabei kommt es eher auf die Automationsfähigkeiten der Systeme (also z.B. APIs) als auf deren UI an und man hat die Verwaltung der Objekte eh selbst in der Hand. Meist sind die aufgrund von diversen Vorschriften ohnehin in einer Konfig-DB.
Vielleicht kommt nur mir das Kriterium deswegen so schräg vor.
Dabei kommt es eher auf die Automationsfähigkeiten der Systeme (also z.B. APIs) als auf deren UI an und man hat die Verwaltung der Objekte eh selbst in der Hand. Meist sind die aufgrund von diversen Vorschriften ohnehin in einer Konfig-DB.
Vielleicht kommt nur mir das Kriterium deswegen so schräg vor.
#86
German - Deutsch / Re: Wie geht ihr in der Praxis...
Last post by MBatOS - November 20, 2025, 02:01:33 PMQuote from: meyergru on November 20, 2025, 01:07:28 PMWieso "fürchtest" Du das?Weil ich die Entscheidung nicht alleine fälle. Und ja, wie man die Objekte verwaltet ist ein großes Thema. Die Sophos XGS wäre beinahe wieder raus geflogen weil die GUI sich als "schwierig" herausgestellt hat. Allerdings sind die in einem wenige komplexen Umfeld eingesetzt.
#87
German - Deutsch / Re: Wie geht ihr in der Praxis...
Last post by meyergru - November 20, 2025, 01:07:28 PMWieso "fürchtest" Du das? Wenn das das entscheidende Kriterium ist... ¯\_(ツ)_/¯
#88
German - Deutsch / Re: Wie geht ihr in der Praxis...
Last post by MBatOS - November 20, 2025, 12:59:41 PMQuote from: meyergru on November 19, 2025, 03:07:01 PM"Namen sind nicht das, was sie bedeuten" - sonst könntest Du ja gleich den Inhalt hinschreiben.Nun, bei den anderen Firewalls die wir hier einsetzten (Sophos XGS bzw. SG) hat es sich sehr bewährt beide Informationen in der Objektbenennung zu haben. Was die Gruppen angeht ist
---SCHNIPP---
Only letters, digits and underscores are allowed as the group name.
The group name shall not be longer than 15 characters.
The group name shall not start or end with a digit.
---SCHNAPP---
Ja auch nicht hilfreich.
Ich fürchte, dass dieses Verhalten der Opnsense das Genick bei der Auswahl bricht.
#89
25.7, 25.10 Series / Re: memory leak?
Last post by cookiemonster - November 20, 2025, 12:48:35 PM #90
Russian - Русский / Re: x2ray + tun2socks. Сделал ...
Last post by Serg - November 20, 2025, 12:38:40 PMМеня как чайника тоже интересуют вопросы из предыдущего поста.
Как связаны IP адреса:
192.168.1.1 - LAN адрес?
10.0.0.2 - Шлюз. Для того чтобы перенаправить трафик. Понятно.
10.0.0.1 - Только для того что бы интерфейс был (рандомный IP из подсети шлюза и больше ни с чем не связан)?
И не очень понятно каки образом трафик из tun2socks перенаправляется в xray ?
В конфиге tun2socks указывается 192.168.1.1, а на интерфейсе 10.0.0.1. Так должно быть?
Как связаны IP адреса:
192.168.1.1 - LAN адрес?
10.0.0.2 - Шлюз. Для того чтобы перенаправить трафик. Понятно.
10.0.0.1 - Только для того что бы интерфейс был (рандомный IP из подсети шлюза и больше ни с чем не связан)?
И не очень понятно каки образом трафик из tun2socks перенаправляется в xray ?
В конфиге tun2socks указывается 192.168.1.1, а на интерфейсе 10.0.0.1. Так должно быть?
