🧠 1. Background Starting from OPNsense 25.x, the GeoIP function is now integrated into the core system, no plugin installation is required.However, the authorization method has changed — you now must use both Account ID and License Key in the download URL. ⚙️ 2. Generate License Information on MaxMind 1️⃣ Sign up at MaxMind GeoLite2.2️⃣…
Blog
OPNsense 25.x GeoIP 設定與 MaxMind 授權新流程
🧭 一、背景說明 在 OPNsense 25.x 版本後,GeoIP 功能已完全整合至核心系統中,不再需要安裝 os-geoip 外掛。但同時,MaxMind 授權機制也改變: 不再只用 License Key,現在必須同時使用 Account ID 與 License Key 在 URL 中進行授權。 ⚙️ 二、在 MaxMind 建立授權資料 Step 1️⃣ :註冊 MaxMind 帳戶 Step 2️⃣ :查找 Account ID Step 3️⃣ :建立 License Key 🌐 三、在 OPNsense 中設定 GeoIP URL ✅ 四、驗證結果 成功後,頁面上會顯示: 代表 GeoIP 資料庫已成功下載並生效。 🧩 五、建立 GeoIP…
OPNsense GeoIP Setup and Application Guide
🧠 1. What Is GeoIP? In enterprise network security, it’s common to require: “Block traffic from certain countries, or allow VPN access only from specific regions.” The GeoIP feature in OPNsense makes this possible.It uses IP geolocation data to create dynamic IP lists for each country or region,allowing you to apply firewall rules based on…
OPNsense GeoIP 設定與應用教學|以國家為單位的防火牆過濾策略
🧠 一、什麼是 GeoIP? 在企業網路安全管理中,我們常常會遇到這樣的需求: 「我想封鎖來自特定國家的連線,或只允許某些國家能登入 VPN。」 這時,OPNsense 的 GeoIP 功能就派上用場。它能根據 IP 所屬的地理位置(國家/地區) 建立動態 IP 清單,讓防火牆能夠用「國家」為單位進行過濾、允許或封鎖。 ⚙️ 二、GeoIP 的原理與資料來源 📌 簡單說: 你只要建立一個「GeoIP 別名」,例如 BLOCK_CN_RU,OPNsense 就會自動抓取中國與俄羅斯的所有 IP 段,之後在防火牆規則中選這個別名,就能一次封鎖整個國家。 🧩 三、GeoIP 的設定步驟 步驟 1️⃣:取得 MaxMind 授權金鑰 步驟 2️⃣:在 OPNsense 中啟用 GeoIP 步驟 3️⃣:建立 GeoIP 別名 🔒 四、實際應用案例 案例 1:封鎖特定國家的連線 別名名稱: BLOCK_CN_RU類型: GeoIP國家: China、Russia 防火牆規則: → 一次封鎖整個國家 IP 範圍,防止海外掃描與攻擊。…
Understanding OPNsense Aliases — Function and Practical Use
🧠 What Are Aliases? In a firewall, you often need to apply the same rule to multiple IPs, networks, or ports.Typing each one manually is tedious, error-prone, and hard to maintain. 👉 Aliases are reusable groups that let you define multiple IPs, hosts, networks, or ports under a single name.They make your firewall rules cleaner,…
OPNsense 別名(Aliases)的功能與應用
🧠 什麼是 Aliases? 在防火牆中,我們經常需要針對多個 IP、網段或 Port 建立相同的規則。如果每條規則都手動輸入,不但難以維護,也容易出錯。 👉 Aliases(別名) 是一種「可重複使用的集合定義」,讓你可以用一個名稱代表多個 IP、主機、網段或 Port。 ⚙️ Aliases 的主要類型 類型 功能說明 Host(s) 一個或多個 IP 或主機名稱,例如 192.168.1.10、mail.company.com。 Network(s) 一個或多個網段,例如 192.168.10.0/24。 Port(s) 一組通訊埠,如 80, 443, 22。 URL (IPs) 從外部 URL 載入 IP 清單。 URL Table (IPs) 從外部來源自動更新的大型 IP 清單。 GeoIP 依國家或地區的 IP 群組。 MAC Address 以網卡 MAC 定義。 Dynamic DNS (FQDN)…
Understanding Unbound DNS in OPNsense — Function, Principles, and Integration with BIND9
🧠 1. What is Unbound DNS? Unbound is a DNS Resolver developed by NLnet Labs.It’s designed to resolve domain names for internal users — that is, to find the real IP address of a domain such as www.google.com. Unlike BIND9, which is commonly used as an Authoritative DNS server to host your company’s domain records,…
OPNsense 的 Unbound DNS — 功用、原理與與 BIND9 共存方式
🧠 一、Unbound 是什麼? Unbound 是一個由 NLnet Labs 開發的 DNS Resolver(遞迴式 DNS 伺服器),主要功能是: 幫內部用戶端「查詢網域名稱的真實 IP 位址」。 它不是用來「託管網域」的,而是用來 轉譯查詢(Resolve)使用者輸入的網址,例如: 所以它的角色類似於: ⚙️ 二、Unbound 的主要功能與特色 功能項目 說明 DNS Resolver(遞迴查詢) 自行從根伺服器層層解析,不依賴外部 DNS。 DNS Forwarder(轉遞模式) 可設定轉發至指定 DNS(例如 8.8.8.8、1.1.1.1 或你的 BIND9)。 DNS-over-TLS (DoT) 支援加密 DNS 查詢,提升隱私性。 DNS Rebind Protection 防止惡意網域解析回內網 IP(常見攻擊手法)。 Blocklist / Override 可封鎖廣告網域、內網覆寫特定域名(例如將 mail.company.com 指向內部 IP)。 DHCP 整合 可自動註冊內網 DHCP…
Ubuntu — Disable IPv6 and Force APT to Use IPv4
(For Ubuntu 22.04 / 24.04 / 24.10 / 24.04 LTS “Noble”) In many enterprise or internal environments, IPv6 is not yet supported.This often causes apt to fail when trying to download packages, showing messages like: This means Ubuntu tried to connect over IPv6, but the network doesn’t support it. 🔍 Problem Description By default, Ubuntu:…
Ubuntu 關閉 IPv6 與強制 apt 使用 IPv4 的完整指南
(適用 Ubuntu 22.04 / 24.04 / 24.10 / 24.04 LTS “Noble”) 在企業或內部環境中,許多網路尚未支援 IPv6,導致 Ubuntu 系統在安裝套件時出現連線錯誤。例如以下訊息: 這表示 apt 嘗試透過 IPv6 連線,但 IPv6 網路不可達,導致安裝或更新中斷。 🔍 問題說明 Ubuntu 預設會: 當伺服器、網關或防火牆未支援 IPv6 時,就會出現「Network is unreachable」或「Connection timed out」的錯誤。 🧰 解決步驟 步驟 1:永久關閉 IPv6 編輯設定檔: 在最後加入以下內容: 套用設定: 確認是否關閉: 若輸出為 1,表示 IPv6 已停用。 步驟 2:強制 apt 使用 IPv4 建立設定檔: 內容輸入: 儲存後執行: 此時…