Recent posts

#81

German - Deutsch / Re: Routing Probleme nach Hard...

Last post by drosophila - December 15, 2025, 08:33:12 PM

Fällt die Verbindung zum RZ auf beiden Standorten aus? In dem Fall wäre es ja dasselbe Verhalten bei zwei Geräten, was eigentlich nicht auf Hardwarefehler hindeuten würde. (Ich gehe mal davon aus, dass vor dem Konfigurationsexport die Softwareversionen identisch mit den Zielboxen waren.)
Vorstellen könnte ich mir, dass die originalen Konfigurationen, die ja sicherlich mehrere Releases und damit ggfs. Formatänderungen hinter sich haben, beim Export nicht vollständig ausgegeben werden. Das könnte man testen, indem man die exportierte Konfiguration auf der alten HW zurückspielt, dann sollten zumindest nach einem vorherigen Reset auch dort dieselben Probleme auftreten. In dem Fall müßte man dann wohl die Konfiguration identisch neu erstellen. Sowas sollte natürlich nicht vorkommen, aber...
Obwohl unwahrscheinlich: die neue HW hat ja auch neue MAC-Adressen. Wenn da irgendwo alte Filter, feste Routingregeln oder IP-Adressvergaben drauf basieren (DHCP), gäbe das sicher Probleme.
Fehlt evtl. ein Plugin für irgendwas? Bei einem Konfigurationsimport werden die ja nicht automatisch installiert, sondern in der Liste als "fehlt" oder so angezeigt, was nicht direkt auffallen muss.

#82

General Discussion / Re: Can I inststall smokeping ...

Last post by franco - December 15, 2025, 07:48:35 PM

It's hard to say for sure, but you should try to rebuild once per major OS upgrade (not OPNsense upgrade).


Cheers,
Franco

#83

German - Deutsch / Re: IPv6 Probleme

Last post by drosophila - December 15, 2025, 07:42:15 PM

Auch die LL und die Global Adresse bekomme ich jeweils bei den Clients.

Schau mal in den Firewall-Logs, ob die Pakete nicht evtl. geblockt werden. Die Kombination von 1 und 4 bedeutet ja, dass nur die OPNsense nicht raus darf, alle anderen im Zwischennetz aber schon. Entweder blockiert sich die OPNsense also selber, oder sie hat eine andere IPv6 / Subnetz / VLAN als alles andere im Zwischennetz. Oder sie wird von der FB blockiert.

#84

Q-Feeds (Threat intelligence) / Re: Looking for testers Q-Feed...

Last post by netwarden - December 15, 2025, 07:37:38 PM

I don't see your block list here - do you know if this is expected?

However, under the feed section of your plugin, I see both feeds for Ip and Domain.

#85

Hardware and Performance / Re: DEC697 vs virtual build / ...

Last post by lukas.liechti - December 15, 2025, 07:10:08 PM

after some more research i found the problem. There is still one question about.


Offical Docs Opnsense:
https://docs.opnsense.org/troubleshooting/performance.html

Code Select Expand

net.isr.maxthreads = -1
net.isr.bindthreads = 1Add another tunable. This time, we're allowing NIC drivers to use ISR queues.

Code Select Expand

net.isr.dispatch = deferredNext up is to add tunables enabling RSS. (Note that net.inet.rss.bits should be set to the square root of how many cores you have.)

Code Select Expand

net.inet.rss.enabled = 1
net.inet.rss.bits = 2
for other systems (DEC697 has 4-cores):

Code Select Expand

net.inet.rss.bits = x

Code Select Expand

for 4-core systems, use '2'
for 8-core systems, use '3'
for 16-core systems, use '4'
Etc.

next is working on latency but that has now a bit time.
can be closed :)

#86

German - Deutsch / Re: VLANs antworten nicht

Last post by MarroniJohny - December 15, 2025, 06:49:21 PM

Also habe block bogon und private IPs auf WAN deaktiviert. Geht immer noch nicht.

Bei den DNS bin ich nicht sicher. Internet geht an allen VLANs mit der DNS und der Allow !RFC_1918 Regel. Habe wie im anderen Thread erwähnt ja KEA als DHCP eingerichtet. Erst habe ich überall Gateway auf das jeweilige Subnet gesetzt, und bei Nameserver zwei öffentliche rein gemacht. Weil hatte unbound DNS deaktiviert. Dann habe ich das alles abgeändert, und bei Gateway das jeweilige Gateway und bei NS jeweils auch die Gateway Adresse rein gemacht, damit unbound DNS richtig arbeitet.

Das sollte ja aber nichts ausmachen, oder? Ping auf IP hat ja nichts mit DNS zu tun.

Also so sieht das aus bei KEA Subnet:

You cannot view this attachment.

Habe jetzt auch mal autocollect Data rein gemacht. Internet geht immer noch in den VLANs, aber pingen immer noch nicht.

#87

25.7, 25.10 Series / Re: Unbound Blocklists - How t...

Last post by gspannu - December 15, 2025, 06:45:24 PM

Are we sure that the Unbound blocklists feature really supports targeting individual hosts?  The only place where it's hinted at is in the helptext for the Source Net(s) field, which gives 192.168.1.1 as an example input.  However, the field itself and the rest of the helptext talks only about networks.

Same for the docs: https://docs.opnsense.org/manual/unbound.html#blocklists

Multiple policies can be defined, each separated by one or more source nets. This means you can use blocklists or specific (wildcard) domains on specific networks, allowing more fine-grained control over your setup. The algorithm selects the most specific subnet when domains overlap across subnet sizes.

Might be good to raise a GitHub issue, at least for clarification.

EDIT: the helptext also says something about equally sized networks:

All specified networks should use the same protocol family and have equal sizes to avoid priority issues.

... not sure if that's per-blocklist entry or across all of them.

Unbound blocklists does support hosts/ networks - it is just that the current implementation is a bit basic (perhaps wrong description, as it does the job well), I think the source hosts/networks/ exclusions needs to be further developed to make it more user accessible and feature rich.

The same protocol/ equal size applies to each block-list entry

#88

25.7, 25.10 Series / Re: Unbound Blocklists - How t...

Last post by gspannu - December 15, 2025, 06:41:24 PM

Or use AdGuard Home which has a much nicer UI for tasks like this one.

I have used AGH extensively, also used Blocky (similar to AGH, but with even more granular control !).
However, these both are not recursive DNS resolvers (only forwarders)

... I am now keen to use Unbound (and the latest update for blocklists has made it promising), I would like to keep everything native.

It would be nice if Unbound had some more development work done regarding Blocklists

#89

German - Deutsch / Re: VLANs antworten nicht

Last post by viragomann - December 15, 2025, 06:37:33 PM

Ins Internet sollte es allerdings in diesem Setup gehen, auch ohne der allow-to-any Regel.

DNS musst du allerdings erlauben. Das gilt aber nur, wenn der Host ein lokales DNS verwendet. Eventuell verwendet der DMZ Host einen öffentlichen Server?

#90

German - Deutsch / Re: VLANs antworten nicht

Last post by Patrick M. Hausen - December 15, 2025, 06:34:03 PM

Ja klar. Wenn du auf dem WAN der Lab Sense private Netze blockst, die aber hinter einer anderen Sense in einem privaten Netz hängt ...