Коротко — потому что OPNsense либо не может скачать ваш файл, либо вы создали не тот тип алиаса, либо формат/доступность файла не соответствует ожиданиям. Ниже пошагово как правильно настроить и как отладить.
Настройка (GUI)
1. Firewall → Aliases → + Add.
2. Name: например vpn_gw_list (без пробелов).
3. Type: выберите "URL (IPs)" (или "URL (Hosts)" если в файле — имена, а не IP).
4. В поле URL укажите:
http://vpn-gw.lan/alias.txt
5. Update frequency: установите 60 (минут) — чтобы обновлять раз в час.
6. Description — по желанию.
7. Save → Apply (или Save&Apply). Нажмите кнопку "Download/Refresh" рядом с алиасом (если есть) для немедленной загрузки.
Требования к файлу
- Один IP (или сеть с CIDR) в строке, без лишнего HTML. Пример:
192.168.1.10
10.0.0.0/24
- Если в файле — DNS-имена, используйте тип "URL (Hosts)"; для IP — "URL (IPs)".
Что проверить при проблемах
1. Доступность URL с самого OPNsense:
- Diagnostics → Command Prompt (или SSH) и выполнить fetch/curl:
fetch -o - http://vpn-gw.lan/alias.txt
или curl -sS http://vpn-gw.lan/alias.txt
Если команда не возвращает содержимое — OPNsense не может достучаться до vpn-gw.lan.
2. Разрешение имени:
- Возможно vpn-gw.lan не резолвится на самом роутере. В этом случае:
- используйте IP в URL (http://192.168.x.y/alias.txt), либо
- добавьте статический хост (Host override) в DNS resolver/forwarder (System → Unbound/Resolver → Host Overrides или System → Settings → General → Host Overrides).
3. Блокировка доступa:
- Проверьте, не блокируют ли правила на интерфейсе доступ OPNsense к LAN-хостам. Если нужно — временно разрешите доступ.
4. Формат ответа сервера:
- Сервер не должен отдавать HTML/редирект/страницу авторизации. Должен отдавать plain text с IP-строками.
5. Логи:
- Посмотрите системные логи на предмет ошибок загрузки URL (System → Log Files → System) или через SSH: /var/log/system.log
6. Убедитесь, что вы выбрали правильный тип алиаса — URL (IPs) vs Host(s).
Как проверить, что алиас действительно загружен в pf:
- Выполните на OPNsense:
pfctl -t vpn_gw_list -T show
(подставьте имя своего алиаса). Команда покажет IP-адреса, которые находятся в pf-таблице.
Если нужно принудительно обновить алиасы сразу:
- Отредактируйте алиас и нажмите Save+Apply — это заставит систему скачать список немедленно.
- Или используйте кнопку обновления в списке алиасов (если есть).
Типичные причины, почему не обновляются
- Неправильный тип алиаса (например вы создали Host(s), а в файле IP).
- OPNsense не может резолвить vpn-gw.lan.
- Файл отдаётся с авторизацией/HTML/редиректом.
- Фаервол блокирует исходящие запросы от самого OPNsense к этому хосту.
- Неправильный интервал обновления (вводили 3600 в поле, которое принимает минуты).
Если после этих шагов всё ещё не работает — пришлите:
- вывод fetch/curl с OPNsense,
- вывод pfctl -t <имя> -T show,
- и скрин/содержимое первых строк файла alias.txt (без секретов). Тогда помогу точнее.