"Recent posts
#81
German - Deutsch / Re: Wie geht ihr in der Praxis...
Last post by meyergru - November 19, 2025, 03:24:01 PMIst aber echt eine Notlösung. Die quasi "zufällige" Reihenfolge in der Auswahl fand ich schon immer schlecht. Und bei >1000 Aliasen praktisch nicht handhabbar. Kategorisierung und alphabetische Sortierung wäre da wirklich hilfreich - sollte man vielleicht mal einen Feature Request für machen.
#82
German - Deutsch / Re: Wie geht ihr in der Praxis...
Last post by Patrick M. Hausen - November 19, 2025, 03:19:35 PMQuote from: meyergru on November 19, 2025, 03:07:01 PMMan kann allerdings den Präfix eingeben und bekommt dann eine eingeschränkte Liste
Genau! 🙂
#83
German - Deutsch / Re: Wie geht ihr in der Praxis...
Last post by meyergru - November 19, 2025, 03:07:01 PM"Namen sind nicht das, was sie bedeuten" - sonst könntest Du ja gleich den Inhalt hinschreiben.
Was die o.a. Übersicht angeht: Dort könnte man ja auch nach Typ filtern, aber bei der Auswahl von Aliasen in Firewall-Regeln gibt es diese Möglichkeit leider nicht. Die Aliase sind nicht einmal alphabetisch sortiert, nur anhand der "möglichen" Typen eingeschränkt. Man kann allerdings den Präfix eingeben und bekommt dann eine eingeschränkte Liste - insofern ist die Präfizierung mit dem Typ hilfreich.
Schöner wäre es, wenn die Auswahlliste selbst nach Typ strukturiert wäre - aktuell ist bei einer Quelle oder bei einem Ziel nur "Alias" und "Netzwerk" getrennt.
Was die o.a. Übersicht angeht: Dort könnte man ja auch nach Typ filtern, aber bei der Auswahl von Aliasen in Firewall-Regeln gibt es diese Möglichkeit leider nicht. Die Aliase sind nicht einmal alphabetisch sortiert, nur anhand der "möglichen" Typen eingeschränkt. Man kann allerdings den Präfix eingeben und bekommt dann eine eingeschränkte Liste - insofern ist die Präfizierung mit dem Typ hilfreich.
Schöner wäre es, wenn die Auswahlliste selbst nach Typ strukturiert wäre - aktuell ist bei einer Quelle oder bei einem Ziel nur "Alias" und "Netzwerk" getrennt.
#84
25.7, 25.10 Series / Re: NOOB - Is This something I...
Last post by Patrick M. Hausen - November 19, 2025, 02:58:18 PMQuote from: Jensen on November 19, 2025, 02:21:41 PMDoes this show I have done something wrong, or do I have to do something to fix these two problems
Just wait for the next update to fix these two issues. Happens all the time - you cannot patch a complex product the day a vulnerability is discovered.
If you want to be cautious - go read the CVE entries and try to decide if they apply to you or not and if yes, if they pose a risk.
E.g. the first one is easy: are you running OpenVPN? No? No risk.
Second one is more difficult. It's about an API for crypto hardware. Most probably also not attackable in the context of OPNsense.
HTH,
Patrick
#85
German - Deutsch / Re: Wie geht ihr in der Praxis...
Last post by Patrick M. Hausen - November 19, 2025, 02:51:22 PMBei mir haben Alias semantische Prefixe. Und ich versuche wo möglich Gruppen anzulegen. Den Inhalt nochmal in den Namen zu schreiben halte ich spontan für überflüssig - habe ich noch nie getan. Man legt Aliase ja genau deshalb an, damit man sich nicht mit Adressen und Ports beschäftigen muss sondern mit benannten Systemen und Funktionen.
Das mit den Prefixen habe ich angefangen, weil bei der Sidewinder die unterschiedlichen Alias-Typen unterschiedliche Symbole hatten und man im UI gleich Netze, Ports, etc. auseinanderhalten konnte.
Das mit den Prefixen habe ich angefangen, weil bei der Sidewinder die unterschiedlichen Alias-Typen unterschiedliche Symbole hatten und man im UI gleich Netze, Ports, etc. auseinanderhalten konnte.
#86
German - Deutsch / Re: HA Cluster - keine Web-Ver...
Last post by Flar69 - November 19, 2025, 02:39:40 PMJetzt funktioniert es. Genau wie Du vorgeschlagen hast.
Habe die 4 NAT-Regeln hinzugefügt (Wan1 mit Port 500, Wan1 alle Ports, Wan2 Port 500, Wan2 alle Ports)
Jetzt sind plötzlich alle beiden Gateways online und es funktioniert wie erwartet.
Vielleicht hat die Firewall für Umsetzung einen Moment gebraucht und ich war zu ungeduldig.
Vielen Dank für Deine Hilfe.
Auf die zusätzlichen Regeln wäre ich nicht gekommen.
Jetzt im Nachgang macht es natürlich Sinn.
Mit Dank an Dich und alle ehrenamtlichen Helfer hier.
Ihr seid Super
Gruss
Ralf
Habe die 4 NAT-Regeln hinzugefügt (Wan1 mit Port 500, Wan1 alle Ports, Wan2 Port 500, Wan2 alle Ports)
Jetzt sind plötzlich alle beiden Gateways online und es funktioniert wie erwartet.
Vielleicht hat die Firewall für Umsetzung einen Moment gebraucht und ich war zu ungeduldig.
Vielen Dank für Deine Hilfe.
Auf die zusätzlichen Regeln wäre ich nicht gekommen.
Jetzt im Nachgang macht es natürlich Sinn.
Mit Dank an Dich und alle ehrenamtlichen Helfer hier.
Ihr seid Super
Gruss
Ralf
#87
German - Deutsch / Wie geht ihr in der Praxis mit...
Last post by MBatOS - November 19, 2025, 02:28:38 PMHallo,
ich habe hier eine Firewall bei der ca. 1500 Objekte angelegt sind um den Netzwerkverkehr zu regeln. Viele dieser Objekt sind Netzwerke, Hosts und FQDN. Zum Beispiel werden Netze hier als 192.168.0.1/24-foobar benannt. Ich sehe noch keinen Weg wie ich diese Umgebung mit opnsense und denn Alias-Limitationen so umsetze, so dass man bei einer etwaigen Fehlersuche noch eine Chance hat. Wie handhabt ihr das mit den Aliasnamen?
ich habe hier eine Firewall bei der ca. 1500 Objekte angelegt sind um den Netzwerkverkehr zu regeln. Viele dieser Objekt sind Netzwerke, Hosts und FQDN. Zum Beispiel werden Netze hier als 192.168.0.1/24-foobar benannt. Ich sehe noch keinen Weg wie ich diese Umgebung mit opnsense und denn Alias-Limitationen so umsetze, so dass man bei einer etwaigen Fehlersuche noch eine Chance hat. Wie handhabt ihr das mit den Aliasnamen?
#88
25.7, 25.10 Series / Upgrade to 25.7.7_4 causes WAN...
Last post by GPFboyJS - November 19, 2025, 02:26:04 PMAfter upgrading to version 25.7.7_4, my WAN interface (igc0) drops every so often. Still have not correlated a pattern.
2025-11-18T17:02:18-05:00 Critical dhclient exiting.
2025-11-18T17:02:18-05:00 Error dhclient connection closed
2025-11-18T17:02:18-05:00 Notice kernel <6>[134] igc0: link state changed to DOWN
2025-11-18T17:02:18-05:00 Notice opnsense /usr/local/etc/rc.linkup: DEVD: Ethernet detached event for wan(igc0)
I have validated that the WAN side is not bouncing and looking to see if there is a timing that is happening on that interface, however at present there is no correlation.
But the initial statement is correct, this did not start to occur until the update to 25.7.7_4.
2025-11-18T17:02:18-05:00 Critical dhclient exiting.
2025-11-18T17:02:18-05:00 Error dhclient connection closed
2025-11-18T17:02:18-05:00 Notice kernel <6>[134] igc0: link state changed to DOWN
2025-11-18T17:02:18-05:00 Notice opnsense /usr/local/etc/rc.linkup: DEVD: Ethernet detached event for wan(igc0)
I have validated that the WAN side is not bouncing and looking to see if there is a timing that is happening on that interface, however at present there is no correlation.
But the initial statement is correct, this did not start to occur until the update to 25.7.7_4.
#89
25.7, 25.10 Series / Re: Wireguard & LAN-LAN SMB
Last post by JMini - November 19, 2025, 02:22:49 PMQuote from: chemlud on November 18, 2025, 09:59:07 AMJust an idea: NAS only allowing access from LAN IPs?It's allowing PCs on the LAN network to connect to the LAN facing interface.
It's NOT allowing PCs on the DMZ network to connect to the DMZ facing interface.
Someone pointed it out that a real DMZ would be bad for this QNap machine. I just call this network "DMZ" for a name since it hosts SMB that is accessible via external connection (VPN). It is NOT a true DMZ. It has a private IP range and sits safely behind the OPNSense.
#90
German - Deutsch / Re: HA Cluster - keine Web-Ver...
Last post by viragomann - November 19, 2025, 02:21:41 PMQuote from: Flar69 on November 19, 2025, 11:33:31 AMWenn ich die Regel so eintrage kann ich immer noch nicht zum Router oder ins Wan pingen.Ja, OPNsense verwendet offenbar standardmäßig andere IP Adressen, und anscheinend unterschiedliche für verschiedene Services. Mit IPSec hatte ich die Erfahrung gemacht, dass die Interface Adresse verwendet wird. Das dürft aber auch da nicht in jedem Fall zutreffen.
Ändere ich die Quelle auf "Diese Firewall" kann ich den Router wie auch ins Web pingen - DNS funktioniert auch.
This firewall sollte aber immer passen.
Quote from: Flar69 on November 19, 2025, 11:33:31 AMLeider werden mir beide Gateways immer noch als "Down" angezeigt.Der Gateway Status wird durch Pings ermittelt. Wenn das Gateway nicht auf Pings antwortet, musst du eine andere Monitoring IP eintragen, am besten eine öffentliche.
Pinge ich die 8.8.8.8 per Diagnose an, funktioniert es.
Quote from: Flar69 on November 19, 2025, 11:33:31 AMEine Suche nach Firmwareupdates läuft immer noch in den Timeout.Bist du dir sicher, dass DNS funktioniert? Ich meine auf der OPNsense selbst.
In Interfaces: Diagnostics: DNS Lookup kannst du eine Abfrage testen.
Grüße
