"Recent posts
#91
25.7, 25.10 Series / Re: DNSmasq and Unbound Peacef...
Last post by vimage22 - December 25, 2025, 12:11:18 PM"Well Kea isn't dnsmasq, now is it?"
Yes, you are correct.
Yes, you are correct.
#92
25.7, 25.10 Series / Captive Portal slows down WAN ...
Last post by HappyUserB - December 25, 2025, 10:52:49 AMHello all,
First of all, merry Christmas and thank you for your awesome work on OPNsense.
Since 2.7.10 (2.7.9 was fine), I am observing a quite strange issue. My setup includes a Captive Portal running on my WireGuard interface and as soon as I enable it, my internet connection is getting slower (after roughly an hour it goes down to 600 Mbit/s from 1 Gbit/s (download)). However, I don't see anything suspicious in the logs.
The authentication of the Captive Portal is "Local + Timebased One Time Password" and I have already recreated the Captive Portal from scratch but the issue keeps showing up.
Could this be related to: https://forum.opnsense.org/index.php?topic=50177.0 ?
Please let me know if you need any further logs or information.
Thank you and best,
a happy OPNsense user
First of all, merry Christmas and thank you for your awesome work on OPNsense.
Since 2.7.10 (2.7.9 was fine), I am observing a quite strange issue. My setup includes a Captive Portal running on my WireGuard interface and as soon as I enable it, my internet connection is getting slower (after roughly an hour it goes down to 600 Mbit/s from 1 Gbit/s (download)). However, I don't see anything suspicious in the logs.
The authentication of the Captive Portal is "Local + Timebased One Time Password" and I have already recreated the Captive Portal from scratch but the issue keeps showing up.
Could this be related to: https://forum.opnsense.org/index.php?topic=50177.0 ?
Please let me know if you need any further logs or information.
Thank you and best,
a happy OPNsense user
#93
Russian - Русский / Re: x2ray + tun2socks. Сделал ...
Last post by Erhesar - December 25, 2025, 10:44:15 AMБолее-менее разобрался в этом чуде китайской инженерной мысли, в целом понял логику работы sing-box.
Форвардинг в unbound нужен только для того чтоб перехватывать dns запросы внутри sing-box. То есть по сути unbound остается только в роли рабочего кэша и разных блокировок-перезаписей. DoH я настроил внутри конфига sing-box. "auto_route": true и "strict_route": true в конфиге позволяют перехватывать весь трафик системы и заворачивать его в тун, то есть правила фаервола на каждый конкретный интерфейс не нужны. Это удобно, но не без минусов. Например если sing-box упадет, трафик пойдет напрямую как раньше уже через не зашифрованный днс, который указан как заглушка для форвардинга. Из личных наблюдейний - MTU 9000 это прям дохрена, выше 1400 я бы не ставил, чтоб пакеты по wifi не фрагментировались, иначе будут большие потери скорости. Ну и стак с system на gvisor я у себя поменял - он работает быстрее как по мне, но местами не очень стабильно, вероятно вернусь к system
UPD: После доп тестов пришел к выводу, что MTU вообще никак не влияет на фрагментацию в этом конфиге. что 1400, что 9000 работают одинаково, пока оставил тестироваться с 9000. А вот stack влияет очень сильно. У меня внешняя ап точка, через system я не закачку по wifi не получаю больше 150 мегабит (по проводу получаю свои 500 по тарифу), однако стоит только сменить stack на gvisor - сразу 500 в обе стороны и по wifi. Не понятно с чем связано.
Форвардинг в unbound нужен только для того чтоб перехватывать dns запросы внутри sing-box. То есть по сути unbound остается только в роли рабочего кэша и разных блокировок-перезаписей. DoH я настроил внутри конфига sing-box. "auto_route": true и "strict_route": true в конфиге позволяют перехватывать весь трафик системы и заворачивать его в тун, то есть правила фаервола на каждый конкретный интерфейс не нужны. Это удобно, но не без минусов. Например если sing-box упадет, трафик пойдет напрямую как раньше уже через не зашифрованный днс, который указан как заглушка для форвардинга. Из личных наблюдейний - MTU 9000 это прям дохрена, выше 1400 я бы не ставил, чтоб пакеты по wifi не фрагментировались, иначе будут большие потери скорости. Ну и стак с system на gvisor я у себя поменял - он работает быстрее как по мне, но местами не очень стабильно, вероятно вернусь к system
UPD: После доп тестов пришел к выводу, что MTU вообще никак не влияет на фрагментацию в этом конфиге. что 1400, что 9000 работают одинаково, пока оставил тестироваться с 9000. А вот stack влияет очень сильно. У меня внешняя ап точка, через system я не закачку по wifi не получаю больше 150 мегабит (по проводу получаю свои 500 по тарифу), однако стоит только сменить stack на gvisor - сразу 500 в обе стороны и по wifi. Не понятно с чем связано.
#94
25.7, 25.10 Series / Re: DNSmasq and Unbound Peacef...
Last post by Stormscape - December 25, 2025, 10:10:12 AMQuote from: vimage22 on December 24, 2025, 04:32:56 PM@DEC670airp414user. Is there a downside to DNSSEC? From google:Well Kea isn't dnsmasq, now is it?
"DNSSEC as securing the message content (authenticity)"
"DoT as securing the envelope (privacy/confidentiality)."
Both of these seem like it would be a benefit.
@Stormscape. I do not think your answer is accurate. I use kea for DHCP and unbound.
IPv4 LAN does get local name resolution.
IPv6 LAN gets resolution when a reservation is added after a restart of the unbound service.
#95
Virtual private networks / Re: How to connect multiple si...
Last post by meyergru - December 25, 2025, 09:35:02 AMI always do such setups with WireGuard. One instance with two peers on each site. Each Site has routes to any of the other two. And in absence of a central DNS Server, I delegate the two remote domains to their respective DNS servers on each local Unbound Server.
#96
General Discussion / Re: CrowdSec
Last post by Matriciel - December 25, 2025, 09:12:24 AMHello,
I've been using CrowdSec for two years in distributed mode.
Opnsense acts as the Lapi and Bouncer; the application servers forward theys alerts to the Lapi.
Could the plugin developer make a small modification:
On the decisions page, only decisions made locally appear, which is normal, but the machine that triggered the alert should be added. The command would be: `cscli decisions list -m`
If this modification could be implemented in a future update...
Merry Christmas
I've been using CrowdSec for two years in distributed mode.
Opnsense acts as the Lapi and Bouncer; the application servers forward theys alerts to the Lapi.
Could the plugin developer make a small modification:
On the decisions page, only decisions made locally appear, which is normal, but the machine that triggered the alert should be added. The command would be: `cscli decisions list -m`
If this modification could be implemented in a future update...
Merry Christmas
#97
Intrusion Detection and Prevention / Re: custom crowdsec parser for...
Last post by Monviech (Cedrik) - December 25, 2025, 08:36:14 AMNobody deleted your posts, they were moved to the general section.
You did not answer anything the OP needed.
Its about the log format that crowdsec needs to consume via a collection (https://app.crowdsec.net/hub/author/crowdsecurity/collections/apache2)
The log format of the apache2 access logs need to be original and not preprocessed by syslog-ng, thats why its most likely not working for OP.
Please stop writing this mix of noise that adds nothing of value. If you want to answer a question, do it but without all the confused rambling.
You did not answer anything the OP needed.
Its about the log format that crowdsec needs to consume via a collection (https://app.crowdsec.net/hub/author/crowdsecurity/collections/apache2)
The log format of the apache2 access logs need to be original and not preprocessed by syslog-ng, thats why its most likely not working for OP.
Please stop writing this mix of noise that adds nothing of value. If you want to answer a question, do it but without all the confused rambling.
#98
Russian - Русский / Re: x2ray + tun2socks. Сделал ...
Last post by Serg - December 25, 2025, 07:08:25 AMQuote from: _tribal_ on December 24, 2025, 10:57:59 PMточно умеет? интересно, почему тогда на сайте синг-бокс написано, что не умеет создавать tun на freebsd или уже научилось?Умеет уже давно
Кстати, самое фиговое в том скрипте, что оно напрямую в конфиг опнсенс гвоздями вкорячивает интерфейс новый, что может аукнуться при всяких обновах.
Я использую sing-box в pfSense. Интерфейс появляется только когда служба/сервис sing-box запущен. В opnSense тоже такое поведение должно быть
Нашёл офлайн генератор конфигов для sing-box и xray
#99
German - Deutsch / Re: Frohe Weihnachten!
Last post by MarroniJohny - December 25, 2025, 03:51:11 AMHoi
Ja, auch von hier fröhliches Fest. Gestern ist noch pünktlich der Core Switch angekommen. Bitte nicht lachen wegen der überdimensionierten Lab Sense und den Cat5e Kabeln. Macht schon Sinn im Lab. Heute mal auf dem Switch noch die VLANs aufgezogen und so. Hängt halt atm nur ein getaggter ESXi dran zum bisschen pingen. Was soll ich sagen? Super geil!
Umbau zieht sich noch bisschen hin. Access Switch, Küchen Switch, AP, Shellys, Kabel und Stecker fehlen halt noch. Aber irgendwann habe ich sicher Geburtstag, oder so.
You cannot view this attachment.
Gruss aus dem Penthouse vom Kellerkind.
Ja, auch von hier fröhliches Fest. Gestern ist noch pünktlich der Core Switch angekommen. Bitte nicht lachen wegen der überdimensionierten Lab Sense und den Cat5e Kabeln. Macht schon Sinn im Lab. Heute mal auf dem Switch noch die VLANs aufgezogen und so. Hängt halt atm nur ein getaggter ESXi dran zum bisschen pingen. Was soll ich sagen? Super geil!
Umbau zieht sich noch bisschen hin. Access Switch, Küchen Switch, AP, Shellys, Kabel und Stecker fehlen halt noch. Aber irgendwann habe ich sicher Geburtstag, oder so.
You cannot view this attachment.
Gruss aus dem Penthouse vom Kellerkind.
#100
Virtual private networks / How to connect multiple site
Last post by friesr - December 25, 2025, 03:06:25 AMHave a question on the appropriate way to connect multiple sites.
Currently 3 physically separate sites connected via WireGuard.
Lan IPs:
Site 1 - 192.168.1.x
Site 2 - 192.168.2.x
Site 3 - 192.168.3.x
Etc...
Each site has a unique registered domain for ssl and using nginx with wildcard cert for internal apps.
The challenge is dns and nginx. Using unbound dns and setting overrides to point to the ip address for the other sites nginx loses ssl and apps shows unsecured.
What is the best way to connect the sites together where the remote site can just use the dns of the other domains for their respective resolving?
Currently 3 physically separate sites connected via WireGuard.
Lan IPs:
Site 1 - 192.168.1.x
Site 2 - 192.168.2.x
Site 3 - 192.168.3.x
Etc...
Each site has a unique registered domain for ssl and using nginx with wildcard cert for internal apps.
The challenge is dns and nginx. Using unbound dns and setting overrides to point to the ip address for the other sites nginx loses ssl and apps shows unsecured.
What is the best way to connect the sites together where the remote site can just use the dns of the other domains for their respective resolving?
