[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Und Steam lauft auf dem selben Rechner, der im Browser-Speedtest abkackt? Dann mal die kompletten Regeln des betreffenden Interfaces hier einstellen.
Rückzug - das klingt nun sehr doof. Ich hatte seit dem Problem die FritzBox mehrmals neu gestartet und der Fehler blieb. Nun dachte ich, komm startest nochmal neu und aufmal ist alles ok. Ich kann mir das echt nicht erklären..
 
Setzt hier jemand CrowedSec auf seiner Sense ein? Mich würde interessieren wie die Erfahrungen damit sind.
 
Da der verehrte Fachthread die Anfrage des Kollegen zu seinem Pech einfach null vernahm und vor paar Monaten hier wieder das Thema Doppel-NAT (und Fritte) grassierte: Ist das denn so richtig? (letzter Absatz) Hier jedenfalls irgendwei schon.
Wie man das mit z.B. mit ner Fritte macht - kein Doppel-NAT mehr, statische Route - hat "Dennis" auch mal am Beispiel von Ubikitty erklärt (ich nehme aber auch an hier ist das eh Binse-Wissen)

Das Thema mit den VMs weil ähh... ist eben so und Effizienz und keine Ahnung was man da noch erwähnt: Bauvorschlag dedizierte HW von agtech (habs auch schon erwähnt, Link unten).
Ich bin da auch eher bei Weltherrscher. Wenn das Netz nicht geht ist das heutzutage als wenn gleich komplett Strom nicht geht. Oder mindestens der Kaffee-Vollautomat... Und da ich auch mal 7-9 Tage unterwegs sein kann, müssen auch worst cases bis zu light outs durchgespielt sein. Und auch die Redundanz existieren.
Es gibt eine zweite identische Fritte die ohne das Zeug dahinter das Netz komplett bereit stellt und die Holde ist nun in der Lage die Gateway-Fritte zu tauschen oder die ggf. tote sense zu überbrücken. Oder auch nur das Netzteil der Fritte zu tauschen. Kabel und Ports einfach farblich markieren. Edding sei Dank :hust: Aus diesem Grund auch keine Virtualisierung der sense:

PS:
Glücklicherweise leben wir in DE, wodurch wohl noch ewig keine Schmerzen aufkommen ggf. zukünftig die Überprovisionierung bei 1Gbit Glasfaser brach liegen zu lassen. Dank den meist Wucherpreisen. Wir wollen es jedenfalls auf keinen Fall haben und ehrlich gesagt kann hier zum Glück auch keiner was sinnvolles damit anfangen.
 
Moin!
Nur mal ein Hinweis an alle, die evtl mit einer VLAN-Einrichtung verzweifeln:
Ich habe nun 5x VLAN-Interfaces mit je DHCP-Server (kea) eingerichtet. Switche: Cisco 2960S per CLI, Ubi ES 16XG und TP 3008SX über WebGui mit Trunk -Ports unter sich und zu den Wlan-APs eingerichtet. Und nix lief.
Sieben Abende (und Nächte) an der Verzweiflung gehangen, Schokolade und Alkohol halfen wenig.
Geholfen hat der zweifache Neustart der pF-Sense...
Der erste Neustart half, dass DHCP bei den kabelbasierten Endgeräten / tagged Ports funktionierte.
Nach dem zweiten Neustart, allerdings dazwischen auch ein Neustart der Unifi-Controllersoftware, konnten auch WLAN-Endgeräte auf ihren tagged SSIDs vom DHCP-Server abholen, die bis dahin die bereits seit über einer Woche gelöschten statischen Adressen aus dem falschen IP-Bereich weiter "gezogen" hatten... Leasetime bei 120min...
Das geht mir wirklich an die Nieren: Warum?! In der pF-Sense hatte ich den DHCP-Dienst mehrfach neu gestartet. Die Vermutung liegt bei einer Blockade durch pfblocker-ng, der evtl von neuen VLANs/IP-Bereichen erst bei Neustart erfährt?
Mann, Mann,.... Meine Nerven...
 
Die Vermutung liegt bei einer Blockade durch pfblocker-ng, der evtl von neuen VLANs/IP-Bereichen erst bei Neustart erfährt?
Denke nein, denn der filtert alle privaten IPs raus, nicht nur die, die in Verwendung sind. Bei Snort/Suricata mag das anders sein, aber in jedem Falle gäbe es doch Logs? Ich nutze nun schon seit Ewigkeiten VLANs auf pfSense und mir ist noch nie derartiges aufgefallen. Würde das Problem eher bei den anderen Geräten vermuten, solange wir von IPv4 sprechen.
Vielleicht ist das Problem aber auch was ganz anderes, dann wären wieder alle im Spiel. 😉
 
Die einzige Änderung war der Neustart. Ich habe auch suricata aktiv, ja. So richtig gefunden habe ich aber keine logs, da ja beim DHCP keine Anfrage ankam.
Ist ja auch verrückt: die pF-Sense lief 29 Tage ohne Neustart...;)
 
die pF-Sense lief 29 Tage ohne Neustart...;)
Kea ist ja in der CE noch ziemlich beta, mag also damit zu tun haben. Was die langen Laufzeiten betrifft, das ist mir persönlich so was von egal... reboot tut halt gut.
 
Wenn ich auf einer OPNsense zwischen einem Netzwerk und einem VLAN auf einem anderen Interface Interzone Verkehr zulassen will, reicht da eine Firewall Regel, oder brauche ich da zusätzlich eine NAT Regel?

Zwischen VPNs auf dem selben Interface klappt es, von einem anderen Interface aus nicht.
 
Okay danke. Handelt sich um einen ESXi vmkernel in einem VLAN, dem kann man kein Gateway zuweisen. Das war das Problem. Lasse ich die Adresse per DHCP beziehen, klappt die Verbindung. Aber da hilft mir schon in einem anderen Forum wer weiter. Zumindest erreiche ich den ESXi jetzt mal aus meinem Quellnetzwerk. Aber dürft sonst natürlich auch hier Euren Senf dazu da lassen. Zumindest bin ich schon weiter.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh