*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)
Mo3Jo3
Experte
Direkt mal eine Frage zum Sinkhole. Du schreibst, damit lässt sich Werbung blocken. Wie groß ist der Unterschied zu PiHole? Das benutze ich nun schon länger und funktioniert auch gut gegen Cookies und Tracker, YouTube oder Website Werbung lässt sich damit aber nicht blocken.
Kann pfSense das?
Kann pfSense das?
Luckysh0t
Enthusiast
Verteilt die Werbung über die gleichen/ähnlichen Adressen wie die Videos. Keine Werbung = Keine Videos.
Da hilft nur ein Browser Adblocker bzw einer der in HTTPS eingreifen kann.
Soweit meine Kentniss und Erfahrung.
pfblockerNG ist deutlich mächtiger als pihole.
Aber 1) es bleibt primär eine DNS Blacklist (wie pihole) und 2) eine IP Blacklist via Firewall Rules (eher wie snort/suricata light). Es wird also nicht viel mehr Werbung als pihole blocken können.
Für Cookie und YouTube blocking brauchst Du eine Browser basierte Methode, zB uBlock Origin oder uMatrix.
konfetti
Urgestein
BSD ist für 10GBit+ wohl eher nicht so geeignet, teils kämpft es ja schon mit 1GBit, da stark single core abhängig. Linux "fluppt" da deutlich besser- auch was SQM angeht zB - aber es gibt keine so "runde" Firewall distribution. IPfire ist ja doch eher seltsam, und openwrt gut aber nicht für x86 gemacht (es geht, nutzt aber RAM und Disk space nicht aus).
konfetti
Urgestein
also ich kann mich mit dem Speed meiner pfsense im Gbit-Bereich nicht beschweren - ich bekomme auch so zwischen den Netzen rund 800-900Mbit Durchsatz hin, da limiert eher das Storage auf der anderen Seite.
bei mir läuft es als VM ohne SWAP mit 12GB RAM und 2 CPU-Kernen / 7 NICs -> VLAN und Host-only Netze fürs LAB
CPU ist aktuell noch ein E5-X5650 im Host, wird demnächst aber generell auf nen HP G10 upgedatet.
bei mir läuft es als VM ohne SWAP mit 12GB RAM und 2 CPU-Kernen / 7 NICs -> VLAN und Host-only Netze fürs LAB
CPU ist aktuell noch ein E5-X5650 im Host, wird demnächst aber generell auf nen HP G10 upgedatet.
fard dwalling
Experte
- Mitglied seit
- 22.10.2017
- Beiträge
- 889
Ich werde meine auf der Arbeit demnächst von 1gbit auf 10gbit wechseln. Kann dann mal einen vorher nachher Test machen.
Ich rede ja auch von > 10 Gbps. Muss ich mir mal nach DPDK Alternativen informieren, die können das definitiv. Ansonsten teste ich mal ein Plain Linux mit nftables. Wenn ich mehr Funktionen brauch installiere ich mir die Sachen nach (FRRouting, Strongswan,...).
Das ging mit OpenVPN oder einem Tunnelinterface schon immer, muss man halt die entsprechenden Routen im Client hinterlegen.Ist zwar extrem offtopic, aber gerade festgestellt, dass mein VPN-Provider inzwischen Split-Tunneling im offiziellen Desktop-Client unterstützt. Da kann dann auch Policy Based Routing mit der pfSense nicht mehr mithalten. 😉
So oder so eine schöne Entwicklung.
Gen8 Runner
Experte
- Mitglied seit
- 12.08.2015
- Beiträge
- 1.153
Bloß, wann kommt diese Version?
PFSense ist top!
Aber ich habe echt Sorge, dass das "Projekt" in wenigen Jahren eingestampft wird.
Früher gab es ständig Updates, heute dauert es dann schon ewig, bis mal wieder etwas neues kommt. Das letzte stabile Update gab es im Juni.
Denke schon das der normale User die dann auch bekommt, oder?
https://www.netgate.com/blog/wireguard-for-pfsense-software.html
Gen8 Runner
Experte
- Mitglied seit
- 12.08.2015
- Beiträge
- 1.153
Prinzipiell hast du dort Recht und ich hatte bis jetzt auch noch nichts (soweit ich mich erinnern kann), was nicht funktionierte.
Hoffen wir, dass die schleichenden Releases kein Anzeichen von bevorstehendem Ableben sind (so wie leider schon öfter erlebt).
fard dwalling
Experte
- Mitglied seit
- 22.10.2017
- Beiträge
- 889
TNSR?
Ich hab eher bedenken, dass so lange keinen Sicherheitsupdates kamen. Oder hat sie keine Lücken?
Ich hab eher bedenken, dass so lange keinen Sicherheitsupdates kamen. Oder hat sie keine Lücken?
Gen8 Runner
Experte
- Mitglied seit
- 12.08.2015
- Beiträge
- 1.153
Tolle Wurst! 🤮
Warten wir einmal das "Pricing" und die wirklichen Unterschiede zwischen den Versionen ab.
Ich habe nix dagegen, für gute Software Geld zu bezahlen, aber bei den "Professionellen" Lösungen wird ja gerne direkt im mittleren dreistelligen, wenn nicht sogar vierstelligen Bereich der Preis festgelegt. Dann müsste auch ich mich leider verabschieden und mich nach Alternativen umsehen.
fard dwalling
Experte
- Mitglied seit
- 22.10.2017
- Beiträge
- 889
Was ist jetzt TNSR?
Schau aber auch eher mit einem Skeptischen Auge auf diese Aufspaltung...
Schau aber auch eher mit einem Skeptischen Auge auf diese Aufspaltung...
Ne Routing Software für Geschwindigkeiten > 10Gbps.
Hat momentan aber noch weniger/andere Features als pfSense.
fard dwalling
Experte
- Mitglied seit
- 22.10.2017
- Beiträge
- 889
smoothwater
Enthusiast
Ich hätte auch mehr gehofft, sie würden die Frequentierung erhöhen, aber die GUI moderner und logischer ausgestalten ist ja auch weit oben auf der Liste. Bin durch Thomas Krenn vor ein paar Jahren auf OPNSense aufmerksam gemacht worden. Die legen da ganz schön vor, was Kontakt mit Community und zeitnahe Einarbeitung von Wünschen betrifft. Da hat pfsense noch einiges aufzuholen, wenn die am Ball bleiben wollen. Andererseits ist man hier mit der eigenen Hardware weiter. Die wurde ja teilweise schon aktualisiert.
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 852
Da bin ich jetzt echt froh, gleich auf OPNsense gesetzt zu haben.
Allerdings haben sie den ReverseProxy mit der 20.7.8 richtig zerballert. =(
Es sollte ein Fehler behoben werden, der jetzt endlich server certificate verification erlaubt.
Tja, nach dem Upgrade war nginx erstmal t.o.h.t.
Mittlerweile gibt es zwei fixes an der location.conf und setup.php, damit geht es endlich. =)
Ansonsten schönes Stück Software. =)
Aber ich weiß immernoch nicht, welche Regeln ich genau einstellen muss, damit iSCSI über VLANs ohne Verbindungsabruch nach 30 s funktioniert und ich nicht dauernd "sloppy state" für die betroffenen IFs aktivieren muss.
Hab da wohl noch ne Lernkurve...
Allerdings haben sie den ReverseProxy mit der 20.7.8 richtig zerballert. =(
Es sollte ein Fehler behoben werden, der jetzt endlich server certificate verification erlaubt.
Tja, nach dem Upgrade war nginx erstmal t.o.h.t.
Mittlerweile gibt es zwei fixes an der location.conf und setup.php, damit geht es endlich. =)
Ansonsten schönes Stück Software. =)
Aber ich weiß immernoch nicht, welche Regeln ich genau einstellen muss, damit iSCSI über VLANs ohne Verbindungsabruch nach 30 s funktioniert und ich nicht dauernd "sloppy state" für die betroffenen IFs aktivieren muss.
Hab da wohl noch ne Lernkurve...
Zuletzt bearbeitet:
smoothwater
Enthusiast
Naja, bezahlen und bezahlen ist halt nen Unterschied. Ob nun alle 2 Jahre nen neuen Billig-Router bzw. alle 3-5 Jahre ne neue Fritzbox oder gleich was "Richtiges" wo man 5-10 Jahre was von hat. Soweit ja erstmal OK, wenn da ein paar Euro für wandern. Die Menge macht's halt und der Nutzen. Eine 100€ Ubiquiti USG 3 reicht ja auch im Heimbereich für so ziemlich alles außer IDS/IPS bei mehr als 100MBit/s als Anbindung. Wenn es bei nem 20er im Jahr +/- bliebe, kann man ja drüber nachdenken. Die Zeit sich in was anderes einzuarbeiten wäre ja gegenzurechnen. Bleibt also die Wahl zwischen FOSS und Proprietär. Das muss man halt mit sich ausmachen.
fard dwalling
Experte
- Mitglied seit
- 22.10.2017
- Beiträge
- 889
Wir nutzen auf der Arbeit auch die pfSense, von daher muss man mal schauen was netgate dar aus machen. Auch wenn die Meinungen über netgate ja stark auseinandergehen. Habe mir testweise mal eine Sophos XG virtuell aufgesetzt. Aber die Zeit, sich in alles einzuarbeiten muss man ja auch erstmal haben.
Guten Tag euch allen.
Ich träume seit Jahren über eine Hardware-Firewall, da ich die Vorstellung hat, man kann damit
- üblere Angriffe von außen schon vor den Clients abwehren
- das gröbste an Tracking und Werbung schon vor den Clients verwerfen
- Telemetrie und sonstige "home callings" endgültig abzuwürgen
Das würde bisher wegen erheblicher Ahnungslosigkeit verworfen bzw. blieb bei theoretischen Überlegungen.
Bin ich damit hier richtig? Mein Problem ist nämlich, mir würde jegliche Wahl genommen
Es wurde mir vor oaar Tagen vorbeigebracht, von einem Kumpel der damit nichts anfangen will, von wiederum seinem Kumpel der jetzt beruflich für Jahre nach Kanada ist:
Ein aus Holz selbst gebauter 19" Rack mit einem PowerEdge R210II mit E3-1260L, 16GB 1333 RAM, einer zusätzlichen Netzwerkkarte mit nochmal 4x 1Gbit Intel Chip, mit iDrac und mit einer 128GB SSD.
Die SSD ist jetzt das Problem. Auf der befindet sich eine (wohl) zurückgesetzte pfSense. Ich meine das wäre auch die aktuelle. Nun stehen wir uns also gegenüber. Sie als Berg, ich als Ochs.
Kann hier wer gute Lektüre empfehlen oder ebensolche goldene Tipps für Grünschnäbel?
Meist kann ich mich mit kleinwenig Anschubserei in jedes Thema einarbeiten und jetzt hab ich auch etwas womit ich direkt üben kann. Was mir noch fehlt sind paar wohlgesonnene Anschubser 
mfG.
Ich träume seit Jahren über eine Hardware-Firewall, da ich die Vorstellung hat, man kann damit
- üblere Angriffe von außen schon vor den Clients abwehren
- das gröbste an Tracking und Werbung schon vor den Clients verwerfen
- Telemetrie und sonstige "home callings" endgültig abzuwürgen
Das würde bisher wegen erheblicher Ahnungslosigkeit verworfen bzw. blieb bei theoretischen Überlegungen.
Bin ich damit hier richtig? Mein Problem ist nämlich, mir würde jegliche Wahl genommen
Es wurde mir vor oaar Tagen vorbeigebracht, von einem Kumpel der damit nichts anfangen will, von wiederum seinem Kumpel der jetzt beruflich für Jahre nach Kanada ist:
Ein aus Holz selbst gebauter 19" Rack mit einem PowerEdge R210II mit E3-1260L, 16GB 1333 RAM, einer zusätzlichen Netzwerkkarte mit nochmal 4x 1Gbit Intel Chip, mit iDrac und mit einer 128GB SSD.
Die SSD ist jetzt das Problem. Auf der befindet sich eine (wohl) zurückgesetzte pfSense. Ich meine das wäre auch die aktuelle. Nun stehen wir uns also gegenüber. Sie als Berg, ich als Ochs.
Kann hier wer gute Lektüre empfehlen oder ebensolche goldene Tipps für Grünschnäbel?
Meist kann ich mich mit kleinwenig Anschubserei in jedes Thema einarbeiten und jetzt hab ich auch etwas womit ich direkt üben kann. Was mir noch fehlt sind paar wohlgesonnene Anschubser mfG.
Zuletzt bearbeitet:
oNyX`
Urgestein
- Mitglied seit
- 21.06.2006
- Beiträge
- 2.405
https://docs.netgate.com/pfsense/en/latest/ erste Anlaufpunkt.
Alternativ OPNsense, auch nen sehr gutes Wiki https://docs.opnsense.org/ und Haufen Tutorials auf https://www.thomas-krenn.com/de/wiki/Kategorie:OPNsense
Bin selbst nach 3 Jahren pfsense auf OPNsense umgestiegen und bleib da vmtl auch.
Alternativ OPNsense, auch nen sehr gutes Wiki https://docs.opnsense.org/ und Haufen Tutorials auf https://www.thomas-krenn.com/de/wiki/Kategorie:OPNsense
Bin selbst nach 3 Jahren pfsense auf OPNsense umgestiegen und bleib da vmtl auch.
Sagen wir es mal so: Für jemanden der lernen muss das Zeug zu handeln, ist das Kicken von pfsense und zB. die Installation von opnsense, nicht grad etwas einfacheres als pfsense zu beherrschen.
Auf dem ersten Streifzug durchs Netz vor paar Tagen fiel mir nur auf, daß alle die Stabilität und insgesamt die "Systemlaufzeit" hervorheben. Das hab ich auch bei Krenn irgendwo schon gesehen. Für mich vorerst das Killerfeature Auch daß ein riesen Haufen Leute, keine Ahnung warum, es eben auf dem 210II laufen lässt oder zuerst laufen lies. Es scheint grad auf dieser Box ziemlich gut zu rennen.
Dann passt das auch erstmal.
Ich zieh mir das erstmal zu Gemüte. Danke. Das sind eh nur 1415 Seiten
Infos die ich mir vielleicht nicht erst irgendwo anders aneignen müsste wären vielleicht eure Meinungen dazu, ob das mit dem ersten Absatz im vorherigen Beitrag überhaupt zu machen ist. Noch weiß ich ja nicht so wirklich wovon ich rede Mehr als das will ich aber erstmal auch nicht machen.
Ich weiß noch nichtmal ob die Topologie so Sinn ergibt (wobei die zugegeben ziemlich einfach aussieht).
Es gibt Tutorials auf YT, da richten die Leute in 5min. das Ding ein (grübel)
edit:
Nach dem Beitrag erfuhr ich auch wo der 210II her kommt. Es lieferte über die 4 Ports der Karte das Netz über etliche etliche Räume, Clients und auch APs das Netz, die beiden internen Ports waren 2x WAN vom Load Balancer. Vor allem, stabil. Denke daher das reicht erstmal soweit mit dem was die Box hinbekommt. Jetzt muss nur ich es hinbekommen.
edit2:
Ok. Das waren jetzt erstmal 195 Seiten "changeslog" zum schnell Drüberscrollen. Sehr gute idee das an den Anfang zu schieben Dadurch
breitet sich aber auch das Gefühl aus, daß es ist nicht so schlimm ist jetzt erst direkt mit 2.4.5p1 anfzuangen
Auf dem ersten Streifzug durchs Netz vor paar Tagen fiel mir nur auf, daß alle die Stabilität und insgesamt die "Systemlaufzeit" hervorheben. Das hab ich auch bei Krenn irgendwo schon gesehen. Für mich vorerst das Killerfeature
Auch daß ein riesen Haufen Leute, keine Ahnung warum, es eben auf dem 210II laufen lässt oder zuerst laufen lies. Es scheint grad auf dieser Box ziemlich gut zu rennen.Dann passt das auch erstmal.
Ich zieh mir das erstmal zu Gemüte. Danke. Das sind eh nur 1415 Seiten
Infos die ich mir vielleicht nicht erst irgendwo anders aneignen müsste wären vielleicht eure Meinungen dazu, ob das mit dem ersten Absatz im vorherigen Beitrag überhaupt zu machen ist. Noch weiß ich ja nicht so wirklich wovon ich rede
Mehr als das will ich aber erstmal auch nicht machen.Ich weiß noch nichtmal ob die Topologie so Sinn ergibt (wobei die zugegeben ziemlich einfach aussieht).
Es gibt Tutorials auf YT, da richten die Leute in 5min. das Ding ein (grübel)
edit:
Nach dem Beitrag erfuhr ich auch wo der 210II her kommt. Es lieferte über die 4 Ports der Karte das Netz über etliche etliche Räume, Clients und auch APs das Netz, die beiden internen Ports waren 2x WAN vom Load Balancer. Vor allem, stabil. Denke daher das reicht erstmal soweit mit dem was die Box hinbekommt. Jetzt muss nur ich es hinbekommen.
edit2:
Ok. Das waren jetzt erstmal 195 Seiten "changeslog" zum schnell Drüberscrollen. Sehr gute idee das an den Anfang zu schieben
Dadurchbreitet sich aber auch das Gefühl aus, daß es ist nicht so schlimm ist jetzt erst direkt mit 2.4.5p1 anfzuangen
Zuletzt bearbeitet:
Crusha
Enthusiast
- Mitglied seit
- 11.10.2009
- Beiträge
- 1.306
Darf ich fragen was der Grund war zu wechseln? Bin eig relativ zufrieden mit pfsense.
Ähnliche Themen
- Artikel