"Recent posts
#91
German - Deutsch / Re: Eigener DNS bei einer IPv6...
Last post by meyergru - January 13, 2026, 03:08:57 PMDafür bräuchte es überhaupt keine ULA, die LL-Adresse würde ja genauso funktionieren, genauso wie für das Gateway. Mal ganz abgesehen davon, dass der DNS-Server genauso gut per IPv4 genutzt / adressiert werden könnte - aber falls sowohl IPv4 als auch IPv6 angegeben werden, ist die Frage, welcher Server dann genutzt wird, undefiniert. All das gilt für Dual-Stack.
ULAs werden normalerweise nicht wegen der Angabe des DNS-Servers, sondern in dem Bestreben genutzt, bei dynamischen IPv6 Präfixen und gewünschtem weitgehenden Verzicht auf (legacy) IPv4 eine DNS-Eintragung vornehmen zu können - weil das mit den (dynamischen) GUAs eben nicht geht. Meine Bemerkung wies lediglich darauf hin, dass genau das bei Dual-Stack trotzdem nicht funktioniert, weil IPv6 ULAs bei gleichzeitiger Verfügbarkeit von IPv4 für DNS-Einträge aufgrund der geringeren Priorisierung gar nicht genutzt werden (viele denken, IPv6 würde "immer" vorgezogen - dem ist nicht so).
Kurz gesagt: Die Verwendung von ULA wird bei dynamischen IPv6-Präfixen immer als "Lösung" angepriesen, funktioniert aber bei Dual-Stack nicht, sondern nur mit IPv6-only.
ULAs werden normalerweise nicht wegen der Angabe des DNS-Servers, sondern in dem Bestreben genutzt, bei dynamischen IPv6 Präfixen und gewünschtem weitgehenden Verzicht auf (legacy) IPv4 eine DNS-Eintragung vornehmen zu können - weil das mit den (dynamischen) GUAs eben nicht geht. Meine Bemerkung wies lediglich darauf hin, dass genau das bei Dual-Stack trotzdem nicht funktioniert, weil IPv6 ULAs bei gleichzeitiger Verfügbarkeit von IPv4 für DNS-Einträge aufgrund der geringeren Priorisierung gar nicht genutzt werden (viele denken, IPv6 würde "immer" vorgezogen - dem ist nicht so).
Kurz gesagt: Die Verwendung von ULA wird bei dynamischen IPv6-Präfixen immer als "Lösung" angepriesen, funktioniert aber bei Dual-Stack nicht, sondern nur mit IPv6-only.
#92
Zenarmor (Sensei) / Re: Youtube NOT blocked
Last post by Seimus - January 13, 2026, 03:05:40 PMYes thats true but only in case the apps have a TLS fallback option which is not always the case.
But in case of youtube, youtube has the fallback on place.
Regards,
S.
But in case of youtube, youtube has the fallback on place.
Regards,
S.
#93
General Discussion / Re: FRR monitoring
Last post by pcaetano - January 13, 2026, 03:04:22 PMEventually I've found a OID that allows me to monitor this via snmp and avoid exposing the API.
From what I understand, it is not possible to expose it read-only or restrict it to diagnostics page.
snmpwalk -v2c -c public 127.0.0.1 1.3.6.1.2.1.15.3.1
BR
From what I understand, it is not possible to expose it read-only or restrict it to diagnostics page.
snmpwalk -v2c -c public 127.0.0.1 1.3.6.1.2.1.15.3.1
BR
#94
General Discussion / Ignoring redirect-gateway
Last post by tbone56 - January 13, 2026, 02:46:50 PMI am using OpenVPN with IPVanish.
The VPN is connected.
I am getting this error in the VPN logfile:
Options error: option 'redirect-gateway' cannot be used in this context ([PUSH-OPTIONS])
I found this entry in the OPNSense Wiki:
Ignoring redirect-gateway
If you are running OpenVPN as a client, and the server you use is using push "redirect-gateway" then your client redirects all internet traffic over the VPN. Sometimes clients do not want this, but they can not change the server's configuration. This page explains how to override redirect-gateway so the client does not need to redirect internet even though the server says to.
Method 1: filter the pushed option
Add the following option to the client
--pull-filter ignore redirect-gateway
This requires version 2.4 or higher and is the preferred method. For older versions use one of the methods described below.
---------------------------------------
My first question is: Will this be a solution to my error?
My second question is where (what file, what screen, etc) do I put that line?
IPVanish provides a .opvn file that I reference in the OpenVPN setup.
I have edited that file with auth-nocache to try and remove another error, but it didn't make any difference.
Thanks.
The VPN is connected.
I am getting this error in the VPN logfile:
Options error: option 'redirect-gateway' cannot be used in this context ([PUSH-OPTIONS])
I found this entry in the OPNSense Wiki:
Ignoring redirect-gateway
If you are running OpenVPN as a client, and the server you use is using push "redirect-gateway" then your client redirects all internet traffic over the VPN. Sometimes clients do not want this, but they can not change the server's configuration. This page explains how to override redirect-gateway so the client does not need to redirect internet even though the server says to.
Method 1: filter the pushed option
Add the following option to the client
--pull-filter ignore redirect-gateway
This requires version 2.4 or higher and is the preferred method. For older versions use one of the methods described below.
---------------------------------------
My first question is: Will this be a solution to my error?
My second question is where (what file, what screen, etc) do I put that line?
IPVanish provides a .opvn file that I reference in the OpenVPN setup.
I have edited that file with auth-nocache to try and remove another error, but it didn't make any difference.
Thanks.
#95
General Discussion / Re: Question about setting up ...
Last post by mooh - January 13, 2026, 02:29:22 PMIf the ISP's Combo router provides a way for the customer to add routes, you don't have to do double NAT. Define the networks your OPNsense should handle, add the OPNsense as router for these networks to the Combo router's routing table. Then, add the necessary firewall rules to the WAN of your OPNsense and turn off NAT on it. Now, only the ISP router does NAT.
IPv6 doesn't need NAT. Just make sure the ISP router can delegate a prefix to OPNsense.
IPv6 doesn't need NAT. Just make sure the ISP router can delegate a prefix to OPNsense.
#96
German - Deutsch / Re: Eigener DNS bei einer IPv6...
Last post by bimbar - January 13, 2026, 02:16:39 PMQuote from: s.meier68 on January 13, 2026, 02:10:20 PMQuote from: meyergru on January 12, 2026, 09:53:19 PMweil die IPv4 höher priorisiert werden als ULA IPv6, wie bereits dargestellt.
Das war mir bisher tatsächlich neu, danke dafür!
Da gehts aber nur um die DNS Auflösung, wenn ein Name IPv6 GUA, IPV4 und IPv6 ULA hat, dann wird der Name in der Priorität aufgelöst bzw. vom Client in der Priorität benutzt.
Ist aber für DNS Infrastruktur kein Problem, DNS Server werden dem Client per IP mitgeteilt, dementsprechend ist IPv6 ULA zumindest dafür eine valide Lösung.
#97
German - Deutsch / Re: Eigener DNS bei einer IPv6...
Last post by s.meier68 - January 13, 2026, 02:10:20 PMQuote from: meyergru on January 12, 2026, 09:53:19 PMweil die IPv4 höher priorisiert werden als ULA IPv6, wie bereits dargestellt.
Das war mir bisher tatsächlich neu, danke dafür!
#98
Virtual private networks / Alias in openVPN's routing net...
Last post by VN - January 13, 2026, 01:55:06 PMHi,
I am using OPNsense as firewall and openVPN server.
In some server instance, I start to have quit a lot of prefixes in routing local and remote network.
It would be convenient to use alias so:
Here (https://github.com/opnsense/core/issues/9105) I had the answer that will not come because of dynamic caracteristic of alias.
Did you get into this problem?
Did you found any solution?
Vincent
I am using OPNsense as firewall and openVPN server.
In some server instance, I start to have quit a lot of prefixes in routing local and remote network.
It would be convenient to use alias so:
- I would not repeat some prefixes, it prevents from errors
- I could put a description in front of each prefixes, it will help in futur maintenance
Here (https://github.com/opnsense/core/issues/9105) I had the answer that will not come because of dynamic caracteristic of alias.
Did you get into this problem?
Did you found any solution?
Vincent
#99
General Discussion / Re: Wrong username or password
Last post by Conte1605 - January 13, 2026, 01:35:43 PMHi guys.
-Meyergru:Hi, I also used very simple passwords to see if that could be the problem, like 123456. But the problem persists.
-Passeri: Hi, I don't use totp, it was just to specify that the date and time was correct in case this could cause any problems.
- Patient0: Hi, I'm not running the ISO and I've made sure it's in https. I've logged in multiple times from different devices and with different browsers, but the problem persists. Unfortunately, I haven't enabled SSH access yet, even though I see many users have encountered the same problem.
I know I can reset my password if I connect to the console. But I'm looking for a permanent solution because I can't log in to the console and reset my password every hour.
Thanks for any help.
-Meyergru:Hi, I also used very simple passwords to see if that could be the problem, like 123456. But the problem persists.
-Passeri: Hi, I don't use totp, it was just to specify that the date and time was correct in case this could cause any problems.
- Patient0: Hi, I'm not running the ISO and I've made sure it's in https. I've logged in multiple times from different devices and with different browsers, but the problem persists. Unfortunately, I haven't enabled SSH access yet, even though I see many users have encountered the same problem.
I know I can reset my password if I connect to the console. But I'm looking for a permanent solution because I can't log in to the console and reset my password every hour.
Thanks for any help.
#100
German - Deutsch / Re: Wireguard Peer generator A...
Last post by Patrick M. Hausen - January 13, 2026, 01:34:43 PMQuote from: MBatOS on January 13, 2026, 01:19:13 PMDu meinst weil das CGNAT eine die Symmetrie kaputt macht?
Nein, weil eine zentrale Verwaltung von Peers, evtl. externe Authentifizierung, etc. wie man das eben bei einem Haufen Außendienstlern hat nicht vorgesehen ist. Bei OpenVPN existiert das alles. Zertifikate, dynamische Zuweisung von IP-Adressen aus einem Pool, LDAP-Anbindung an Active Directory etc. WireGuard ist Server zu Server. Statisch manuell konfiguriert. Natürlich kann einer der Server auch ein Laptop sein hinter NAT etc. aber die Konfiguration nimmt immer 2 gleichberechtigte Systeme an. Das meinte ich mit "es gibt keine Clients".
Quote from: MBatOS on January 13, 2026, 01:19:13 PMBitte nicht lachen, aber wo findet man denn den Source Code des Peer Generators?
Das ist alles in MVC Architektur implementiert und über mehrere Verzeichnisse verteilt. Top-Level ist hier:
https://github.com/opnsense/core/tree/master/src/opnsense/mvc/app
Starten kannst du z.B. mal mit dem View, also dem UI:
https://github.com/opnsense/core/blob/master/src/opnsense/mvc/app/views/OPNsense/Wireguard/general.volt
HTH,
Patrick
