[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Hat das gut geklappt, bzw. war es performanter als die SW Bridge vom Hypervisor? Ich bin halt am überlegen wie das technisch funktioniert bzw. wie ich das an die VM weitergebe. Habe immer LACP mit je 2 Links zum Proxmox zum Einsatz, wie das dann in der VM funktioniert mit SR-IOV.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Konnte letztens eine Präsentation zum zukünftige netbird PlugIn für die OPNsense sehen und das sah sehr vielversprechend aus. Wer Overlay-Networks nutzen mag, der scheint mir mit netbird.io richtig gut bedient zu sein: Alles grafisch und selbst auf der OPNsense lässt sich (der lokale Anteil) wie gewohnt kleinteilig regeln.

Außerdem eine Warnung an pfSense-User, die pfBlocker zusammen mit dem Python-Mode in Unbound nutzen und auf ZFS setzen. Dabei wurden wohl durchschnittliche Schreiblasten von 30 Gigabyte pro Tag beobachtet! Abhilfe soll das Einrichten der RAM Disk unter System/Advanced/Miscellaneous schaffen. Ich zumindest hab durch die RAM-Disk bis jetzt keine Nachteile ausmachen können.
 
Zuletzt bearbeitet:
Ich bin halt am überlegen wie das technisch funktioniert bzw. wie ich das an die VM weitergebe. Habe immer LACP mit je 2 Links zum Proxmox zum Einsatz, wie das dann in der VM funktioniert mit SR-IOV.
Gar nicht. Außer du hast Mellanox ConnectX-5, ConnectX-6 oder ConnectX-7. Dann möchtest du dir das Thema "SR-IOV VF LAG" anschauen (https://docs.nvidia.com/doca/sdk/ov...SKernelHardwareAccelerationv2.8.0-SR-IOVVFLAG)

TL;DR Du konfigurierst über OVS (OpenVSwitch) die Bridge und das LAG / LACP wird auf die NIC offloaded, bzw der embedded switch in der NIC wird so programmiert, dass alle SR-IOV VFs (die normalerweise jeweils auf einen physischen Port gebunden sind) stattdessen an das LAG gebunden sind und beide Ports ansprechen.
 
Gar nicht. Außer du hast Mellanox ConnectX-5, ConnectX-6 oder ConnectX-7. Dann möchtest du dir das Thema "SR-IOV VF LAG" anschauen (https://docs.nvidia.com/doca/sdk/ov...SKernelHardwareAccelerationv2.8.0-SR-IOVVFLAG)

TL;DR Du konfigurierst über OVS (OpenVSwitch) die Bridge und das LAG / LACP wird auf die NIC offloaded, bzw der embedded switch in der NIC wird so programmiert, dass alle SR-IOV VFs (die normalerweise jeweils auf einen physischen Port gebunden sind) stattdessen an das LAG gebunden sind und beide Ports ansprechen.
Schön wieder von dir zu hören, du hattest ja dieses riesige Mellanox Monster Setup.

Das klingt echt interessant, weißt du obs dazu auch eventuell treffende Guides gibt?
Du hast Recht, mein aktueller Ansatz klappt nicht, der zerschießt mir den Bond komplett.

Code:
2024 Sep 22 22:49:51 sin01-core-crsw01 %ETHPORT-5-IF_RX_FLOW_CONTROL: Interface port-channel4, operational Receive Flow Control state changed to off
2024 Sep 22 22:49:51 sin01-core-crsw01 %ETHPORT-5-IF_TX_FLOW_CONTROL: Interface port-channel4, operational Transmit Flow Control state changed to off
2024 Sep 22 22:50:01 sin01-core-crsw01 %ETH_PORT_CHANNEL-4-PORT_INDIVIDUAL: port Ethernet1/41 is operationally individual
2024 Sep 22 22:50:01 sin01-core-crsw01 %ETH_PORT_CHANNEL-4-PORT_INDIVIDUAL: port Ethernet1/42 is operationally individual
 
Außerdem eine Warnung an pfSense-User, die pfBlocker
Dazu noch eine Warnung, die dev-Edition des pfBlockerNG macht wohl akut große Bauchschmerzen. Ich selbst bin auf der non devel und empfehle das auch generell.
 
Vielleicht hat hier jemand noch einen Input.
Ich versuche folgendes umzusetzen bin aber auf ein Problem gestoßen, was ich mir selbst nicht genau erklären kann. Will einen WatchyourLan Container installieren der auf all meinen VLAN/LANs lauscht, jedoch nur von spezifischen Geräten Zugiff darauf gewähren. Also ufw installieren und routing vom docker selbst übernehmen, somit iptables für docker ausschalten. Dies hat soweit funktioniert, bis ich das Interface hinzufüge, von welchem Subnet aus ich die VM manage per SSH.

Somit VM zurückgesetzt und nur die Interfaces mal hinzugefügt und siehe da Problem gefunden, die OPNSense blockiert nach einer gewissen Zeit den SSH Traffic.
chrome_rFAzl5PF61.png

Überblick.:
VM - 10.20.20.16/24 - VLAN ID 20 Homelab
putty_ZczYelXVYf.png

PC - 10.20.10.2/24 - VLAN ID 10 User

VM als auch OPNSense läuft auf Proxmox als VM
Sobald ich mit dem PC im gleichen Subnetz befinde kein Problem, klar wird auch nicht geroutet
Erstellen einer Firewallregel die den Traffic erlaubt, wird die Verbindung nach 30 sec geblockt von OPNSense
MAC Adressen gecheckt ob irgendwo ident, nein nur die des VLANs mit dem parent Interface

chrome_sYmuggT3fU.png

Des Weiteren sind im ARP Table unter OPNSense die für die VM hinterlgeten fixen IPs jener VLAN/LANs nicht ersichtlich bzw. kurz und verschwinden wieder.

Proxmox Hardware
chrome_y7e33Khlvy.png

Warum ich bis jetzt noch nicht auf das Problem gestoßen bin, weil ich keine VM habe welche ein gleiches Interface hat in welchem sich mein Management-PC befindet.
 
Was ist denn derzeit so die präferierte Hardware-Basis für ne Firewall? Am liebsten auf der internen Seite mit 10GBE-SFP+, extern reicht Gbit-RJ45.

Am liebsten wäre mir ja was, das FW rein in Hardware macht, aber das ist wohl nen ganz anderes Preisregal?
 
Wuerde sagen Minisforum MS-01.
Nutze das Ding seit n paar Monaten und bin absolut zufrieden damit.
 
Welche CPU hast du für den MS-01 genommen? Solange da nur die Firewall läuft, fällt mir kein Grund ein mehr als den i5 zu nehmen.
Und welche Werte erreichst du beim Stromverbrauch?
 
Ich hätt noch so ein MC12-LE0 mit nem 5600G und diverse 10GBE NICs übrig… Müsste doch auch reichen, oder?
 
Welche CPU hast du für den MS-01 genommen? Solange da nur die Firewall läuft, fällt mir kein Grund ein mehr als den i5 zu nehmen.
Und welche Werte erreichst du beim Stromverbrauch?
Habe die 13900h genommen.
Stromverbrauch kann ich dir nicht genau sagen, da ich lediglich meinen ganzen Schrank gemessen habe. Muesste irgendwo im Bereich 30-85w sein. Je nach Last

@besterino
Reicht dicke! Hatte nur recht wenig Platz, sonst haett ich auch zu was anderem geriffen
 
Ich Honk, hab doch hier eh nen Hyper-V 5950X stehen, der sich nur langweilt und noch 2 1Gbit-Ports frei hat…. VM, here we go.
 
Hi,

ich möchte meinem Netz eine Firewall gönnen: Opensense mit Zenarmor. Jetzt bin ich auf der Suche nach einer entsprechenden Hardware. Meine Eckdaten:
- 1 GBit Verbindung WAN
- bis zu 2,5 GBit LAN
- Bis zu 70 Geräte
- Zenarmor sollte in der $99 Version darauf laufen
- Hardware sollte 2 bis 4 Ethernet-Anschlüsse haben

Vielleicht ein Mini-PC, der nicht so viel Strom verbraucht, wäre schön. Vielleicht sogar ohne Lüfter?

Ich habe an 16 GB RAM gedacht.
CPU: N100 oder N305. Ist ein N100 genug?

Hättet Ihr da ein paar Vorschläge?
 
Hi,

ich möchte meinem Netz eine Firewall gönnen: Opensense mit Zenarmor. Jetzt bin ich auf der Suche nach einer entsprechenden Hardware. Meine Eckdaten:

Vielleicht ein Mini-PC, der nicht so viel Strom verbraucht, wäre schön. Vielleicht sogar ohne Lüfter?

Ich habe an 16 GB RAM gedacht.
CPU: N100 oder N305. Ist ein N100 genug?

Hättet Ihr da ein paar Vorschläge?
Hallo, ich hänge mich rein und suche auch genau das! Nur mit der "Erweiterung", dass ich die Kiste als meinen ProxmoxServer aufbauen würde und dann sukzessive als NAS bzw Firewall erweitern möchte. Ist hier ein N305 Board ala https://www.amazon.de/MNBOXCONET-Mo...lpcontext&ref_=fplfs&smid=A259LKIJG8CK9X&th=1 empfehlenswert?

Ich würde gerne meine Syno RS818RP in Zukunft ablösen und eben ein einzelnes Gerät werkeln haben.
 
Hatten wir nicht den Konsens, dass ein einzelnes Gerät für Firewall, Storage UND Virtualisierung eher suboptimal ist? =)
 
Hatten wir nicht den Konsens, dass ein einzelnes Gerät für Firewall, Storage UND Virtualisierung eher suboptimal ist? =)
Je nach Gegebenheiten kann das schon i.O. sein.
Wenn man extrem auf die Lautstaerke/Groeße/Stromverbrauch achten will dann kann auch so ne All-In-One Kiste passend sein.

Hatte so ein Setup etwa 3 Jahre lang in Betrieb. War stressfrei und gab keine Ausfaelle.
 
Das mag ja in der Theorie so stimmen, sehe ich aber im Home-Use eher pragmatisch.
Der minimale mehrverbrauch der zusätzlichen VM vs. eigener Hardware inkl. Wartung Verkabelung, etc...

mein A.i.O. muckt auch nicht rum und musste da auch seit dem Umzug auf neuere Hardware noch nicht wieder Hand anlegen.
vorallem die Gameserver machen ja Host-Only-Netzwerk - ich hab da eigentlich nur 3 Kabel dran - Strom, WAN und LAN fürs Haus...

Wenn wir mal endlich Glasfaser bekommen würden, wäre das sicher was anderes, aber mit der VDSL-Leitung reicht das dicke...
 
@Darkwing Duck: Sowas?

Ja, solche Teile habe ich auch schon länger im Warenkorb. Wahrscheinlich muss ich mich nochmal separat beraten lassen bzw einlesen. Mir wär wahrscheinlich eine Tower-Lösung lieber, Platz habe ich eigentlich genug!
 
So ein Kopfschmerz würd ich mir nicht antun wollen: Hypervisor down -> Internet weg würde daheim im ersten Haushaltskrieg enden. Dafür sind Geräte wie Zb der Flint2 mittlerweile einfach zu billig geworden.
 
So ein Kopfschmerz würd ich mir nicht antun wollen: Hypervisor down -> Internet weg würde daheim im ersten Haushaltskrieg enden. Dafür sind Geräte wie Zb der Flint2 mittlerweile einfach zu billig geworden.
Ja, das stimmt natürlich - aktuell habe ich noch einen ER605 am Laufen - Aber du hast recht, alles, was den Weg ins Internet ebnet, sollte separat laufen.
 
Fummelt ihr echt soviel an euren Virtualisieren herum? An so nem ESX kann man doch eh nicht soviel herumspielen. Das Teil hat bei mir Regelmaeßig Uptimes von >180Tagen.
Netzwerkkram an die Firewall durchgereicht, dann laeuft das ewig und drei Tage.
 
Hallo!

Irgendwie dürfte ich ein kleines Konfigurationsproblem mit OPNSense+Wireguard haben.

Setup läuft seit ca. 2 Jahren und wurde bisher eigentlich nur mit iPhones genutzt (hauptsächlich um von unterwegs die Fotos auf den Heimserver zu sichern) – dies funktioniert auch ohne Probleme.
War vor Kurzem auf Urlaub und hatte mein Notebook mit – Verbindung, Surfen, etc… läuft alles ohne Probleme, nur als ich via Netzwerkumgebung (Win11) auf meinen Heimserver zugreifen wollte, war dort keiner zu finden.

Habe dann die IP-Adresse vom Server händisch in den Explorer eingetragen – siehe da, alle Ordnerfreigaben erschienen und ich konnte auch normal damit arbeiten.

Wie/wo liegt denn ev. mein Fehler, dass mir mein Heimnetzwerk nicht in Windows angezeigt wird, wenn ich unterwegs bin und via VPN verbunden bin!?

Danke!

LG
 
@hs_warez Ich denke, dass dein DNS (Warscheinlich unbound) nicht auf dein VPN Netz hoert bzw. jenes bedient.
Dort wuerde ich deinen Fehler vermuten.
Eventuell auch falsche default search domain am VPN Server hinterlegt.
 
Fummelt ihr echt soviel an euren Virtualisieren herum?
Nope. Jeden zweiten Dienstag im Monat gibt es einen Neustart und wer weiß, vielleicht in Zukunft nicht mal das. 😉
 
Wenn alle Stricke reißen und mein Hypervisor mit der FW down sein sollte, stöpsele ich zur Not einfach physisch ein oder zwei Kabel um und zumindest die Familie ist erstmal wieder glücklich.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh