"Recent posts
#81
26.1 Series / Re: 25.7.11_9 can;t upgrade to...
Last post by wuwzy - Today at 09:56:48 AMWhen I finished my other tasks and came back to check, everything was normal.
And I hadn't done anything.
It seems that this morning, a problem in some part was fixed by someone. Thanks.
And I hadn't done anything.
It seems that this morning, a problem in some part was fixed by someone. Thanks.
#82
26.1 Series / Re: dhcpctl.h:No such file or ...
Last post by franco - Today at 09:55:23 AMYep, the typical FreeBSD package manager bug that we're seeing.
Apparently a rare but still prevalent race condition between renameat() and chdir().
Cheers,
Franco
Apparently a rare but still prevalent race condition between renameat() and chdir().
Cheers,
Franco
#83
26.1 Series / firewall interface not accessi...
Last post by deeler - Today at 09:46:47 AMHi! congrats on the 26 version
Upgrade went smooth. The only issue I have is that my Wireguard client can't access the firewall's webinterface/ssh anymore.
From the wireguard client, I can ping the firewall and I can also access everything else in the LAN network... Just not the firewall interface.
ChatGPT recommended me to assign & enable the "WG0" interface and then under System - Settings - Administration, allow the interface to listen to the WG0 interface (only LAN was selected).
That still doesn't work.
In the legacy rules I now have 'WG0' interface, as well as 'Wireguard (group)'
Is it cause I'm still running legacy rules ? I haven't gone over the migration wizard yet.
thanks
Upgrade went smooth. The only issue I have is that my Wireguard client can't access the firewall's webinterface/ssh anymore.
From the wireguard client, I can ping the firewall and I can also access everything else in the LAN network... Just not the firewall interface.
ChatGPT recommended me to assign & enable the "WG0" interface and then under System - Settings - Administration, allow the interface to listen to the WG0 interface (only LAN was selected).
That still doesn't work.
In the legacy rules I now have 'WG0' interface, as well as 'Wireguard (group)'
Is it cause I'm still running legacy rules ? I haven't gone over the migration wizard yet.
thanks
#84
26.1 Series / Re: Issues with OPNsense on VM...
Last post by sc00by1984 - Today at 09:43:05 AMi would try the following:
- only assign one IP to the proxmox host, actually you have 2
- work with different subnets, not 2 times 192.168.1.x. This will not work and makes everything harder to troubleshoot.
- only assign one IP to the proxmox host, actually you have 2
- work with different subnets, not 2 times 192.168.1.x. This will not work and makes everything harder to troubleshoot.
#85
26.1 Series / dhcpctl.h:No such file or dire...
Last post by dstr - Today at 09:10:33 AMUpdate from opnsense-25.7.11_9 to 26.1 stuck after first reboot:
[172/173] Reinstalling isc-dhcp44-server-4.4.3P1_2...
===> Creating groups
Using existing group 'dhcpd'
===> Creating users
Using existing user 'dhcpd'
[172/173] Extracting isc-dhcp44-server-4.4.3P1_2: .......... done
pkg-static: Fail to rename /usr/local/include/.pkgtemp.dhcpctl.h.1GjHmcNdNXp0 -> /usr/local/include/dhcpctl.h:No such file or directory
Rebooting now.
Waiting (max 60 seconds) for system process `vnlru' to stop... done
Waiting (max 60 seconds) for system process `syncer' to stop...
Syncing disks, vnodes remaining... 0 0 0 0 done
All buffers synced.
Uptime: 39s
uhub0: detached
uhub1: detached
[172/173] Reinstalling isc-dhcp44-server-4.4.3P1_2...
===> Creating groups
Using existing group 'dhcpd'
===> Creating users
Using existing user 'dhcpd'
[172/173] Extracting isc-dhcp44-server-4.4.3P1_2: .......... done
pkg-static: Fail to rename /usr/local/include/.pkgtemp.dhcpctl.h.1GjHmcNdNXp0 -> /usr/local/include/dhcpctl.h:No such file or directory
Rebooting now.
Waiting (max 60 seconds) for system process `vnlru' to stop... done
Waiting (max 60 seconds) for system process `syncer' to stop...
Syncing disks, vnodes remaining... 0 0 0 0 done
All buffers synced.
Uptime: 39s
uhub0: detached
uhub1: detached
#86
26.1 Series / Re: Issues with OPNsense on VM...
Last post by kubatron - Today at 08:57:46 AMQuote from: meyergru on February 05, 2026, 03:55:48 PMFor starters, both MGMT and LAN have 192.168.1.0/24 according to your report.I forgot mention that on the screeen from Proxmox -> pve -> Network , there is no setup any IP and gateway on the vmbr1 (VLANs_ETH0) - I setup IP and gateway for VLANs_ETH0 on the OPNsense and on WAN the same, so only is setup on the MAGMT_ETH1 setup 192.168.1.178/24.
If someone can explain me how should I setup that ports, when I try many options no works...
Is there any point that I am stupid and don't understand how this works ? Or I do some stupid mistakes that is so easy to fix...
I try remove all IP's from Proxmox, but then I lose access to Proxmox via eth cable...I try only with IP on the managment port for accessing Proxmox, but then I cannot property configure OPNsense and switch.
#87
German - Deutsch / Re: Q-feeds, Suricata, Crowdse...
Last post by Monviech (Cedrik) - Today at 08:53:56 AMIch verwende suricata im netmap modus (ist am einfachsten), qfeeds as IP Blockliste, und Unbound mit DNS Blockliste.
Die Kombination reicht völlig für den ganzen Kleinkram, wenn man nichts hostet. Wenn man was hosted kann Crowdsec auch noch hilfreich sein wenn man die logs von Webservern damit crawled, außerdem eine Web Application Firewall mit OWASP Top 10 support.
Ansonsten ist auch eine Endpoint protection auf Geräten selber wichtig, ein Virus kommt meistens über eine verschlüsselte Verbindung, und die kann nichts auf der Firewall blockieren (wenn die IP, DNS name etc schon erlaubt wurden). Bei Windows etc ist das ja schon eingebaut.
Das Konzept wird glaube ich Layered Security bezeichnet, ob man jetzt einen Layer mehr oder weniger hat kommt drauf an was man erfüllen will. Man kann es auch übertreiben, weil am Ende ist es eh der Email Anhang der verschlüsselten Email (Transportverschlüsselung durch SMTPS oder IMAPS z.b.) oder social engineering xD
Die Kombination reicht völlig für den ganzen Kleinkram, wenn man nichts hostet. Wenn man was hosted kann Crowdsec auch noch hilfreich sein wenn man die logs von Webservern damit crawled, außerdem eine Web Application Firewall mit OWASP Top 10 support.
Ansonsten ist auch eine Endpoint protection auf Geräten selber wichtig, ein Virus kommt meistens über eine verschlüsselte Verbindung, und die kann nichts auf der Firewall blockieren (wenn die IP, DNS name etc schon erlaubt wurden). Bei Windows etc ist das ja schon eingebaut.
Das Konzept wird glaube ich Layered Security bezeichnet, ob man jetzt einen Layer mehr oder weniger hat kommt drauf an was man erfüllen will. Man kann es auch übertreiben, weil am Ende ist es eh der Email Anhang der verschlüsselten Email (Transportverschlüsselung durch SMTPS oder IMAPS z.b.) oder social engineering xD
#88
General Discussion / Re: If you change the IP addre...
Last post by patient0 - Today at 08:26:42 AMLet's recap, working setup if OPNsense 7 get's WAN IP from DHCP:
OPNsense8 :
- WAN IP : 192.168.0.8
- LAN IP : 192.168.8.1/24
OPNsense7 :
- WAN IP : 192.168.8.254 (if DHCP)
- LAN IP : 192.168.7.1/24
If OPNsense7 gets its IP using DHCP, it receives the gateway by DHCP, too. If you set the WAN IP on OPNsense7 as static you have to create and set a gateway yourself.
The way you describe it, you have assigned the OPNsense WAN IP statically but you have not created and assigned a gateway.
OPNsense8 :
- WAN IP : 192.168.0.8
- LAN IP : 192.168.8.1/24
OPNsense7 :
- WAN IP : 192.168.8.254 (if DHCP)
- LAN IP : 192.168.7.1/24
If OPNsense7 gets its IP using DHCP, it receives the gateway by DHCP, too. If you set the WAN IP on OPNsense7 as static you have to create and set a gateway yourself.
The way you describe it, you have assigned the OPNsense WAN IP statically but you have not created and assigned a gateway.
#89
26.1 Series / Re: IPv6 DHCP Issues
Last post by franco - Today at 08:03:54 AM> IA_PD prefix: xxxx:xxxx:xxxx::/48 pltime=600 vltime=600
Your ISP proposes a lifetime of 10 minutes. The client will honour it and try to renew the lease after 5 minutes.
Ask your ISP to set more conservative lifetime (pltime/vltime) defaults.
In theory we could add lifetime request values in the GUI but
1) nobody needed it so far
2) I'm not even sure it works reliably since the server has to decide
Cheers,
Franco
Your ISP proposes a lifetime of 10 minutes. The client will honour it and try to renew the lease after 5 minutes.
Ask your ISP to set more conservative lifetime (pltime/vltime) defaults.
In theory we could add lifetime request values in the GUI but
1) nobody needed it so far
2) I'm not even sure it works reliably since the server has to decide
Cheers,
Franco
#90
German - Deutsch / Q-feeds, Suricata, Crowdsec. W...
Last post by RES217AIII - Today at 07:57:13 AMHallo Forum!
Zunächst möchte mich wieder einmal für die grandiose Arbeit der Entwickler bedanken! Der Umstieg auf OPNsense 26.1.1 gelang problemlos, wie auch die Umstellung auf die neuen Regeln.
Auch beim Forum möchte ich mich für die vielen interessanten und lehrreichen Beiträge bedanken.
Ich nutze Crowdsec, q-feeds und suricata (netmap, Überwachung auf den LAN Schnittstellen) und bin mir nicht sicher, ob all diese Tools sich sinnvoll ergänzen oder, ob es im Bestreben eine höhere Sicherheit in meinem Netzwerk zu gewährleisten z.B. durch Überschneidungen zu nachteiligen Effekten führen kann. Vielleicht macht es ein Tool überflüssig.
Jetzt mit OPNsense Version 26.1.1 gibt es noch die Möglichkeit suricata auf ,,divert-to" umzustellen. Macht das Sinn, wenn netmap stabil läuft auch in Hinblick auf die Zukunft?
Wo sollte eine entsprechende Regel sinnvollerweise platziert werden, welche Schnittstelle, vor q-feeds oder danach?
Zunächst möchte mich wieder einmal für die grandiose Arbeit der Entwickler bedanken! Der Umstieg auf OPNsense 26.1.1 gelang problemlos, wie auch die Umstellung auf die neuen Regeln.
Auch beim Forum möchte ich mich für die vielen interessanten und lehrreichen Beiträge bedanken.
Ich nutze Crowdsec, q-feeds und suricata (netmap, Überwachung auf den LAN Schnittstellen) und bin mir nicht sicher, ob all diese Tools sich sinnvoll ergänzen oder, ob es im Bestreben eine höhere Sicherheit in meinem Netzwerk zu gewährleisten z.B. durch Überschneidungen zu nachteiligen Effekten führen kann. Vielleicht macht es ein Tool überflüssig.
Jetzt mit OPNsense Version 26.1.1 gibt es noch die Möglichkeit suricata auf ,,divert-to" umzustellen. Macht das Sinn, wenn netmap stabil läuft auch in Hinblick auf die Zukunft?
Wo sollte eine entsprechende Regel sinnvollerweise platziert werden, welche Schnittstelle, vor q-feeds oder danach?
