Recent posts

#91
Virtual private networks / wireguard site 2 site not work...
Last post by austrian-firewaller - December 01, 2025, 02:46:42 PM
I have two openSense firewalls both are Version 25.7.7.
I set up wireguard acording to the official documentation, without creating a interface for wireguard.
Wireguard it self, works fine - tunnel is established.

Topology is like that:
Site A: 192.168.1.0/24 - Tunnel IP 172.16.0.1
Site B: 192.168.10.0/24 - Tunnel IP 172.16.0.10

I have an allow -all- rule on the LAN and wg group firewall rule set.
I can ping from site B to the tunnel IP from the firewall on site A, and the other way around.

But I cannot, for christ sake ping any IP adress from one network to the other.. -> I see in the logs the the paket is allowed but ping for example never comes back.
But I can ping the tunneld network directly from the firewall itself.. So I also tried to disable outbound NAT for wireguard, still does not work. So I am clueless.

I would appriciate any help.
#92
Zenarmor (Sensei) / Re: Unable to upload files
Last post by sy - December 01, 2025, 02:02:09 PM
Hi,

Could you please provide the logs and configuration by following the steps outlined in the link below?

https://www.zenarmor.com/docs/support/reporting-bug
#93
Zenarmor (Sensei) / Re: Something broke
Last post by sy - December 01, 2025, 02:00:39 PM
Hi,

Zenarmor and Suricata cannot operate on the same interface. Please assign Zenarmor to protect the LAN interface(s) and Suricata to protect the WAN interface(s).
#94
Zenarmor (Sensei) / Re: Backup & Restore Backup Do...
Last post by sy - December 01, 2025, 01:57:57 PM
Hi,

Thanks for reporting this. It seems that there is a UI bug here. You can download it in CLI. It is located in /tmp/zenarmor-backup*


#95
German - Deutsch / Re: Frage bzgl. Unmanaged Swit...
Last post by meyergru - December 01, 2025, 01:40:37 PM
Richtig gut wäre ja l4...

Dazu muss ich nicht weit schauen: Unifi erlaubt z.B. überhaupt nicht, den Hash-Type einzustellen (sie haben aber zumindest l3). Under the hood hängt es bei denen vom verbauten Chipsatz ab, nur kann man die Einstellungen dort nicht wirklich persistieren.

Siehe auch: https://forum.opnsense.org/index.php?topic=45429.0

Dabei ist Unifi alles andere als "billig"... Ich hatte schon andere Billig-Switche, die zwar VLANs können, aber kein LAGG, ist aber schon ein Weilchen her.



#96
German - Deutsch / Re: Frage bzgl. Unmanaged Swit...
Last post by Patrick M. Hausen - December 01, 2025, 01:22:21 PM
Quote from: meyergru on December 01, 2025, 12:36:02 PMOder auch nicht, weil die billigen Switche LACP maximal anhand der MACs machen.

Definiere "billig" 🙂

Ich hab noch keinen managed Switch in den Fingern gehabt, bei dem man nicht hash = l2+l3 einstellen konnte. Aber ich finde einen Mikrotik für 200€ ja auch ziemlich günstig.
#97
German - Deutsch / Re: Frage bzgl. Unmanaged Swit...
Last post by Classic89 - December 01, 2025, 12:47:43 PM
Quote from: meyergru on December 01, 2025, 12:36:02 PMOder auch nicht, weil die billigen Switche LACP maximal anhand der MACs machen. Wenn die ungünstig ausfallen, kann der Traffic zufällig auch immer nur über den selben Port laufen. Das mittelt sich statistisch erst heraus, wenn sehr viele Clients gleichzeitig Traffic verursachen - im Heimnetz eher unwahrscheinlich.

Deswegen mache ich das meist über 2.5 Gbps-Ports und verteile die VLANs gescheit, z.B. LAN auf einen Port und alle anderen VLANs auf den anderen. Meistens läuft der Inter-VLAN Traffic ja zwischen LAN und einem der VLANs, dann ist garantiert, dass zwei Ports dafür genutzt werden.

LAGG würde ich eher für Failover-Konstellationen nutzen.

Trotzdem benötigt man dafür einen managed Switch - der wird dann aber auch mit zwei Ports an die OpnSense angeschlossen.


Ja genau das war mein Gedanke, aber dann sollte ich mich wohl eher nach einem managed POE-Switch umsehen. Vielen Dank für die zahlreichen Tipps und Hinweise!
#98
General Discussion / Re: referer protection
Last post by meyergru - December 01, 2025, 12:44:53 PM
HTTP referer protection can prevent other websites from sending sensitive data over a link that was unprotected, say "https://.../xyz?login-secret=abc".

Usually, you can avoid the problem by using <a href="https://..." rel="noreferrer">" in your link.
#99
German - Deutsch / Re: Frage bzgl. Unmanaged Swit...
Last post by meyergru - December 01, 2025, 12:36:02 PM
Oder auch nicht, weil die billigen Switche LACP maximal anhand der MACs machen. Wenn die ungünstig ausfallen, kann der Traffic zufällig auch immer nur über den selben Port laufen. Das mittelt sich statistisch erst heraus, wenn sehr viele Clients gleichzeitig Traffic verursachen - im Heimnetz eher unwahrscheinlich.

Deswegen mache ich das meist über 2.5 Gbps-Ports und verteile die VLANs gescheit, z.B. LAN auf einen Port und alle anderen VLANs auf den anderen. Meistens läuft der Inter-VLAN Traffic ja zwischen LAN und einem der VLANs, dann ist garantiert, dass zwei Ports dafür genutzt werden.

LAGG würde ich eher für Failover-Konstellationen nutzen.

Trotzdem benötigt man dafür einen managed Switch - der wird dann aber auch mit zwei Ports an die OpnSense angeschlossen.
#100
25.7, 25.10 Series / Re: Firewall: Log Files: Live ...
Last post by Kayakero - December 01, 2025, 12:25:41 PM
Quote from: franco on November 28, 2025, 03:32:51 PM> wasted space seems the same

No, it's not the same.


Cheers,
Franco

Time is truncated and Source and Destination have a lot of wasted space. That's at least how I see it.