[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
besterino schrieb:
Die FRITZ!Box unterstützt WireGuard nur in Verbindung mit einer MyFRITZ!- oder Dynamic-DNS-Adresse.
Zum Vergrößern anklicken....
Du kannst die Config ja händisch anpassen, solange Du durch den Einrichtungsassistenten kommst. Ich weiß aber nicht, wie gut sich die Fritte mit diversen WG-Verbindungen schlägt, bevorzuge da natürlich die Sense mit ihren vielen Einstellmöglichkeiten zu Routing, NAT etc.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Der Brume 2 ist nach meinem Verständnis am Ende ja auch nur eine OpenWRT Box mit einer zusätzlichen GUI, die einem für gewisse Sachen die Konfiguration erleichtert.

Man kommt sogar angeblich an die GUI des drunter liegenden OpenWRT dran, allerdings frag ich mich etwas, ob das dann nicht ggf. Knatsch gibt, wenn man sowohl als auch nutzt. Keine Ahnung. Werde wohl als erstes mal schauen, ob man die Config für einen späteren Restore wegsichern kann. :d
Dann hol ich mir ggf. noch einen, zieh den Restore da drauf und leg mir den ins Regal. Kostet ja nicht die Welt und für mich halt gut genug. Die Erfahrung zeigt, dass ich viele „könnte man auch mal von Grund auf neu / besser machen“ Ideen am Ende doch nicht angehe (oder angehe aber dann nicht konsequent zuende bringe), weil Zeit, Lust und Mehrwert/Bedarf fehlen bzw. in keinem angemessenen Verhältnis stehen… nicht die richtige Einstellung im Profi-Segment, fürs Homelab gönn ich mir das aber. ;)
 
Ah das ist schonmal neu und wäre dann schonmal kein k.o. Kriterium mehr. Behalte ich mal im Hinterkopf, danke.
 
Ach das ist ja super praktisch. Damit könnte man dann Wireguard in die "DMZ" (also nach Fritzbox, aber vor sense) endlich vernünftig realisieren!
Das Problem der IP könnte man dann mittels eines einfachen Skripts das auf einer VM läuft erledigen:
-Prüfe in Schleife ob sich externe IP geändert hat
Und dann:
-Wenn geändert, schreibe eine Mail/Telegram/Whatever mit neuer IP
-Schreibe die IP in ein File (das per Syncthing auf dem Handy landet)
oder oder oder

Ich glaub damit spiel ich mal rum. Mal checken welche Version mein fritzOS hat...
 
Hier hat sich *hust* jemand zum Thema *Sense für Einsteiger versucht.
 
Shihatsu schrieb:
Ach das ist ja super praktisch. Damit könnte man dann Wireguard in die "DMZ" (also nach Fritzbox, aber vor sense) endlich vernünftig realisieren!
Das Problem der IP könnte man dann mittels eines einfachen Skripts das auf einer VM läuft erledigen:
-Prüfe in Schleife ob sich externe IP geändert hat
Und dann:
-Wenn geändert, schreibe eine Mail/Telegram/Whatever mit neuer IP
-Schreibe die IP in ein File (das per Syncthing auf dem Handy landet)
oder oder oder

Ich glaub damit spiel ich mal rum. Mal checken welche Version mein fritzOS hat...
Zum Vergrößern anklicken....
Das ist ganz blöd, Wireguard auf dem Handy blockiert den gesamten Verkehr, wenn die Ziel-IP nicht mehr geht.
D.h. du bekommst auch gar keine Infos von außen.

Ich hab den Wireguard als separates Interface auf der OPNsense, das kann man dort nach Belieben in ne DMZ schieben.
Fluppt seit Ewigkeiten prima.
FB-WireGuard geht nur auf neueren Boxen, die "alten" sind zu schwachbrüstig...
 
Weltherrscher schrieb:
Das ist ganz blöd, Wireguard auf dem Handy blockiert den gesamten Verkehr, wenn die Ziel-IP nicht mehr geht.
D.h. du bekommst auch gar keine Infos von außen.

Ich hab den Wireguard als separates Interface auf der OPNsense, das kann man dort nach Belieben in ne DMZ schieben.
Fluppt seit Ewigkeiten prima.
FB-WireGuard geht nur auf neueren Boxen, die "alten" sind zu schwachbrüstig...
Zum Vergrößern anklicken....
Öhm, ich würde das nur on-demand anmachen das VPN.
 
Ok, ich hab WG bei meinem Telefon 24/7 an, weil ich dadurch vom AdGuard auf der Sense profitiere.
Fluppt prima auch übers häusliche WLAN (jaja, dann geht halt alles 2x durch die Sense, aber beim Telefon ist es nicht viel =) ).
 
Hallo,

Mal eine Frage... ich hab 2 OPNSense als HA Cluster mit 8 CARP Interfaces. Das funktioniert soweit auch gut.
Jetzt habe von der Backupfirewall die Konfig gesichert, hab sie ausgeschaltet und eine neue Instanz installiert (die hat mehr Power :-D)
Backup zurückgespielt, interfaces angepasst und läuft.

Jetzt steh ich vor der Frage, das hab ich noch nie gemacht...
ich würd gern den Master/SLave Status tauschen? Wie macht man das am besten? Also die Backupfirewall soll die neue Hauptfirewall werden

1) CARP auf der Hauptfirewall deaktivieren (damit wandern die IPs zur sekundären)
2) advbase/skew auf den Firewalls anpassen (kleinere Timings auf der sekundären Firewall
3) das XMLRPC Sync auf der Hauptfirewall deaktivieren
4) das XMLRPC Sync auf der sekundären Firewall aktivieren
5) CARP auf der (alten) Hauptfirewall aktivieren

Oder fehlt da was elementares?
 
Hallo,

spricht eigentlich etwas gegen eine alte Sophos SG210 o.Ä. und darauf OPNSense zu bügeln? Der Stromverbrauch hält sich eigentlich auch in Grenzen von 30W bei Volllast. Vorteil ist auch die große Portanzahl sowie 10G via SFP+ Jedoch wäre bei Letzterem auch die Frage, ob die OPNSense diese unterstützt.

Danke!
 
Da wir bei uns so nach und nach an die 6 Sophos SG austauschen müssen, habe ich mich die Tage damit auch beschäftigt - wenn auch erstmal generell ohne nach Modellabhängigkeiten zu schauen. Ich muss sagen, das war sehr durchwachsen, was ich gefunden habe, von SFP+ Ports die nicht gehen, bis zu "du musst nach jedem größeren OPNSense Update das und das auf dem Terminal machen", das hat mir irgendwie die Lust genommen mich damit weiter zu befassen, ich hab ja eine OPNSense daheim.

Schade ist es dennoch um die HW..mal sehen xD


Edit.

Sophos SG 230 Rev. 1 mit OPNsense (inkl. Display) – Leibling.de

www.leibling.de www.leibling.de


Ok, das klingt doch erstmal viel versprechend ^^
 
Zuletzt bearbeitet:
andrer250282 schrieb:
Hallo,

Mal eine Frage... ich hab 2 OPNSense als HA Cluster mit 8 CARP Interfaces. Das funktioniert soweit auch gut.
Jetzt habe von der Backupfirewall die Konfig gesichert, hab sie ausgeschaltet und eine neue Instanz installiert (die hat mehr Power :-D)
Backup zurückgespielt, interfaces angepasst und läuft.

Jetzt steh ich vor der Frage, das hab ich noch nie gemacht...
ich würd gern den Master/SLave Status tauschen? Wie macht man das am besten? Also die Backupfirewall soll die neue Hauptfirewall werden

1) CARP auf der Hauptfirewall deaktivieren (damit wandern die IPs zur sekundären)
2) advbase/skew auf den Firewalls anpassen (kleinere Timings auf der sekundären Firewall
3) das XMLRPC Sync auf der Hauptfirewall deaktivieren
4) das XMLRPC Sync auf der sekundären Firewall aktivieren
5) CARP auf der (alten) Hauptfirewall aktivieren

Oder fehlt da was elementares?
Zum Vergrößern anklicken....
Um mir selbst zu antworten: genauso hat es einwandfrei funktioniert. Falls ich noch was vergessen habe, dann ist es bisher nicht aufgefallen
 
Anmelden, um zu antworten.

Ähnliche Themen

F
Neuer PfSense / Opnsense Router bzw. Mainboard, stromsparend, ECC RAM fähig, PCiex für Connect-X 4 Netzerkkarte, gesucht
Antworten
12
Aufrufe
873
Zyxx
Z
T
  • Frage / Lösungssuche
[Ungelöst] Hilfe bei der Konfiguration von pfSense hinter einer FritzBox (NetCologne)
Antworten
5
Aufrufe
377
Zeitmangel
Z
O
PfSense, OPNsense Hardware - Eure Empfehlungen?
Antworten
11
Aufrufe
2K
Aragonion
A
P
[Kaufberatung] Zwei Heimserver für OPNsense und Proxmox
Antworten
5
Aufrufe
1K
Pixolantis
P
O
pfSense Hardware - Empfehlungen / Kaufberatung / Erfahrungen
Antworten
0
Aufrufe
1K
OsiMosi
O
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh