"Recent posts
#91
General Discussion / Re: Simple Port Forward Failin...
Last post by viragomann - December 30, 2025, 11:55:44 AMIn a port forwarding rule you should state a certain destination address instead of any, WAN address in this case.
However, according to the log, the forwarded traffic is passed out on the MGMT interface. You can sniff the traffic on the interface with the pacekt capture tool (Interfaces > Diagnostic) to investigate this.
Possibly your webserver blocks access from outside of its subnet and you have to allow the access in its firewall.
However, according to the log, the forwarded traffic is passed out on the MGMT interface. You can sniff the traffic on the interface with the pacekt capture tool (Interfaces > Diagnostic) to investigate this.
Possibly your webserver blocks access from outside of its subnet and you have to allow the access in its firewall.
#92
Virtual private networks / OPENVPN Export Archive 0 bytes
Last post by myksto - December 30, 2025, 11:52:29 AMOPNsense 25.7.10-amd64
I tried to export OpenVPN archive in VPN -> OpenVPN -> Client Export but every user I try to export is a 0 byte zip file.
How can I solve this?
Thanks,
Michele.
I tried to export OpenVPN archive in VPN -> OpenVPN -> Client Export but every user I try to export is a 0 byte zip file.
How can I solve this?
Thanks,
Michele.
#93
German - Deutsch / OPNsense -> SQUID -> PBR -> Mu...
Last post by Elleven - December 30, 2025, 11:45:44 AMHi,
ich habe an meiner OS zwei WANs, die zunächst gleichberechtigt im Lastenausgleich laufen sollen. Über Policy based Routing kann ich in den einzelnen FW-Regeln recht gut steuern, über welche WAN-Schnittstelle bestimmte Dienste laufen sollen. Ist deshalb gewollt, weil Bandbreiten als auch Latenz der beiden WANs unterschiedlich ist. Zudem ist ein WAN weniger vertrauenswürdig, weil's über den schrägen ELON läuft ;-)
Was ich jetzt aber noch nicht hinbekommen habe, dass schnöde Webzugriffe (HTTP, HTTPS / 80/443), die durch den SQUID als transparenten Proxy laufen sollen, irgendwie auch auf gezielte Wege mittels PBR geschickt werden können. Im ersten Schritt werden die Anfragen auf 80 /443 an die Proxy-Ports genattet. Nach dem SQUID scheinen die Anfragen bereits an einer der WAN-Schnittstellen ausgehend zu sein, d.h. da scheint PBR bereits zu spät. In der NAT-Regel kann ich augenscheinlich nichts zum Thema Gateway mitgeben und die Regel zwischen NAT und SQUID hat ja als Ziel den LOCALHOST, also kann man hier ja gar nicht sonnvoll eingreifen.
Irgendwie müssten die ausgehenden Pakete des SQUID gedanklich erstmal an eine interne Schnittstelle als Pseodo-Gateway gehen, auf der man dann PBR-Regeln festlegen könnte. D.h. der ganze Salmon geht dann doppelt durch die OS.
Gibt es eine Musterlösung dazu? Welche Optionen hätte man?
ich habe an meiner OS zwei WANs, die zunächst gleichberechtigt im Lastenausgleich laufen sollen. Über Policy based Routing kann ich in den einzelnen FW-Regeln recht gut steuern, über welche WAN-Schnittstelle bestimmte Dienste laufen sollen. Ist deshalb gewollt, weil Bandbreiten als auch Latenz der beiden WANs unterschiedlich ist. Zudem ist ein WAN weniger vertrauenswürdig, weil's über den schrägen ELON läuft ;-)
Was ich jetzt aber noch nicht hinbekommen habe, dass schnöde Webzugriffe (HTTP, HTTPS / 80/443), die durch den SQUID als transparenten Proxy laufen sollen, irgendwie auch auf gezielte Wege mittels PBR geschickt werden können. Im ersten Schritt werden die Anfragen auf 80 /443 an die Proxy-Ports genattet. Nach dem SQUID scheinen die Anfragen bereits an einer der WAN-Schnittstellen ausgehend zu sein, d.h. da scheint PBR bereits zu spät. In der NAT-Regel kann ich augenscheinlich nichts zum Thema Gateway mitgeben und die Regel zwischen NAT und SQUID hat ja als Ziel den LOCALHOST, also kann man hier ja gar nicht sonnvoll eingreifen.
Irgendwie müssten die ausgehenden Pakete des SQUID gedanklich erstmal an eine interne Schnittstelle als Pseodo-Gateway gehen, auf der man dann PBR-Regeln festlegen könnte. D.h. der ganze Salmon geht dann doppelt durch die OS.
Gibt es eine Musterlösung dazu? Welche Optionen hätte man?
#94
German - Deutsch / Web-Kategorien (SQUID + ACLs) ...
Last post by Elleven - December 30, 2025, 10:51:41 AMHi,
irgendwie werden mir zu geladenen ACLs im SQUID keinerlei Kategorien angezeigt. Im Internet findet man dazu zwar endlos viele Beiträge und das eigentlich auch schon seit vielen Monaten, aber irgendwie keine vernüftige Lösung, außer über das CLI irgendein Index neu aufzubauen. Ich hätte da meine Sorge, dass man das dann nach jedem Update der Listen neu machen darf. Es wird auch von anderen Lösungen berichtet, die aber nicht funktionieren (z.B. SQUID oder gleich die OS neu starten). Man könne auch die einzelnen Listen (bei UT 1 z.B.) kategoriebezogen runterladen und dann hätte man es ja!?!?
Mich wundert etwas, dass dieses Problem schon länger zu bestehen scheint, aber dennoch keinerlei nachhaltige Lösung existiert. Meine Version ist die 25.10.1).
Mache ich hier irgendwas banales falsch oder ist das jetzt wirklich so? D.h. die Kategorien scheinen komplett nicht nutzbar zu sein. Auch hab ich noch nicht herausgefunden, wo ich die Kategorien nachher dann individuell für einzelne Clients aktivieren kann, wenn sie denn dann funktionieren täten.
irgendwie werden mir zu geladenen ACLs im SQUID keinerlei Kategorien angezeigt. Im Internet findet man dazu zwar endlos viele Beiträge und das eigentlich auch schon seit vielen Monaten, aber irgendwie keine vernüftige Lösung, außer über das CLI irgendein Index neu aufzubauen. Ich hätte da meine Sorge, dass man das dann nach jedem Update der Listen neu machen darf. Es wird auch von anderen Lösungen berichtet, die aber nicht funktionieren (z.B. SQUID oder gleich die OS neu starten). Man könne auch die einzelnen Listen (bei UT 1 z.B.) kategoriebezogen runterladen und dann hätte man es ja!?!?
Mich wundert etwas, dass dieses Problem schon länger zu bestehen scheint, aber dennoch keinerlei nachhaltige Lösung existiert. Meine Version ist die 25.10.1).
Mache ich hier irgendwas banales falsch oder ist das jetzt wirklich so? D.h. die Kategorien scheinen komplett nicht nutzbar zu sein. Auch hab ich noch nicht herausgefunden, wo ich die Kategorien nachher dann individuell für einzelne Clients aktivieren kann, wenn sie denn dann funktionieren täten.
#95
25.7, 25.10 Series / Re: Captive Portal slows down ...
Last post by HappyUserB - December 30, 2025, 09:02:35 AMTwo more data points:
1. If I configure an allowed IP address and ping it regularly, I can observe heavy packet loss.
2. If I change the authentication to "local database", the issue seems to be not present.
Please let me know if you need any further information to reproduce the issue.
1. If I configure an allowed IP address and ping it regularly, I can observe heavy packet loss.
2. If I change the authentication to "local database", the issue seems to be not present.
Please let me know if you need any further information to reproduce the issue.
#96
25.7, 25.10 Series / Re: Why can't you host the ISO...
Last post by patient0 - December 30, 2025, 08:48:03 AMIs your rambling about compressed images/ISO versus uncompressed? If you have a hypervisor download the compressed file to your hypervisor and uncompress it there, Proxmox can handle some compression automatically for example.
#97
25.7, 25.10 Series / Re: Why can't you host the ISO...
Last post by ttyyuu12345 - December 30, 2025, 08:44:10 AMAlso, yes I do host this on my own money too!!!! Downvote me all you want.
#98
25.7, 25.10 Series / Re: Why can't you host the ISO...
Last post by ttyyuu12345 - December 30, 2025, 08:32:51 AMTo Preface, this is a struggle when I have to reinstall my ENTIRE cloud server. Windows Server is actually beating out downloading to the hypervisor than me uploading the unzipped iso. Also, I started the Windows Server 2022 download later, and its almost done.
#99
25.7, 25.10 Series / Why can't you host the ISO som...
Last post by ttyyuu12345 - December 30, 2025, 08:24:11 AMHere's the reason:
My home internet is 400down/30-35 up. My computers pretty fast, but to get fiber internet means we have to trust AT&T to dig up and fix THEIR cable, and charge me the same for the same bandwidth I get on my cloud. If AT&T did fix their cable, the physical cable in clay would easily break again and I'd lose connection due to their failure to protect the cable to cut corners.
I have a cloud server that's got 8c/16t (AMD Ryzen 7 3800X), 500Mbps up and down, and 128GB RAM, but the baremetal server runs 128GB of RAM. I have 3 IPs, and I don't want to run only 3 virtual machines on it.
I think its irresponsible for OPNsense to expect us to not provide a direct iso link when there's plenty of mirrors I can cancel, and turn around and copy link/paste. Heck, I could get a Windows ISO on my hypervisor faster than I could OPNSense.
My home internet is 400down/30-35 up. My computers pretty fast, but to get fiber internet means we have to trust AT&T to dig up and fix THEIR cable, and charge me the same for the same bandwidth I get on my cloud. If AT&T did fix their cable, the physical cable in clay would easily break again and I'd lose connection due to their failure to protect the cable to cut corners.
I have a cloud server that's got 8c/16t (AMD Ryzen 7 3800X), 500Mbps up and down, and 128GB RAM, but the baremetal server runs 128GB of RAM. I have 3 IPs, and I don't want to run only 3 virtual machines on it.
I think its irresponsible for OPNsense to expect us to not provide a direct iso link when there's plenty of mirrors I can cancel, and turn around and copy link/paste. Heck, I could get a Windows ISO on my hypervisor faster than I could OPNSense.
#100
25.7, 25.10 Series / os-c-icap and os-clamav Incomp...
Last post by Dreu - December 30, 2025, 07:12:34 AM Hello,
I am having trouble integrating Squid, C-ICAP, and ClamAV on OPNsense version 25.7.10. The Squid service is consistently crashing, and I believe the root cause is a version
incompatibility between the os-c-icap and os-clamav plugins.
Symptoms:
* The Squid service crashes on startup with a "signal 11 (segmentation fault)" error.
* The "ICAP Settings" section is completely missing from the Web Proxy administration page, even in advanced mode.
* The clamav_mod configuration section is missing from the C-ICAP advanced settings page.
Relevant Log Entries:
The C-ICAP logs show a versioning error when trying to load the ClamAV module:
1 main proc, WARNING: Can not check the used c-icap release to build service clamd_mod.so
It also shows a subsequent connection error because the service is not running correctly:
1 main proc, clamd_connect: Can not connect to clamd server on 127.0.0.1:3310!
The main system log confirms the Squid crash:
1 pid XXXXX (squid), jid 0, uid 100: exited on signal 11 (no core dump - bad address)
Troubleshooting Steps Taken:
* Verified all three plugins (os-squid, os-c-icap, os-clamav) are installed.
* Performed multiple reboots.
* Performed a full uninstall of all three plugins, refreshed the package repositories via the UI, and did a clean reinstall of all three plugins. The problem persists even after a clean
install.
It appears the versions of the C-ICAP and ClamAV plugins currently in the repository for my OPNsense version are not compatible. Any guidance on how to resolve this would be greatly
appreciated.
Thank you.
I am having trouble integrating Squid, C-ICAP, and ClamAV on OPNsense version 25.7.10. The Squid service is consistently crashing, and I believe the root cause is a version
incompatibility between the os-c-icap and os-clamav plugins.
Symptoms:
* The Squid service crashes on startup with a "signal 11 (segmentation fault)" error.
* The "ICAP Settings" section is completely missing from the Web Proxy administration page, even in advanced mode.
* The clamav_mod configuration section is missing from the C-ICAP advanced settings page.
Relevant Log Entries:
The C-ICAP logs show a versioning error when trying to load the ClamAV module:
1 main proc, WARNING: Can not check the used c-icap release to build service clamd_mod.so
It also shows a subsequent connection error because the service is not running correctly:
1 main proc, clamd_connect: Can not connect to clamd server on 127.0.0.1:3310!
The main system log confirms the Squid crash:
1 pid XXXXX (squid), jid 0, uid 100: exited on signal 11 (no core dump - bad address)
Troubleshooting Steps Taken:
* Verified all three plugins (os-squid, os-c-icap, os-clamav) are installed.
* Performed multiple reboots.
* Performed a full uninstall of all three plugins, refreshed the package repositories via the UI, and did a clean reinstall of all three plugins. The problem persists even after a clean
install.
It appears the versions of the C-ICAP and ClamAV plugins currently in the repository for my OPNsense version are not compatible. Any guidance on how to resolve this would be greatly
appreciated.
Thank you.
