[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Direkt mal eine Frage zum Sinkhole. Du schreibst, damit lässt sich Werbung blocken. Wie groß ist der Unterschied zu PiHole? Das benutze ich nun schon länger und funktioniert auch gut gegen Cookies und Tracker, YouTube oder Website Werbung lässt sich damit aber nicht blocken.
Kann pfSense das?
 
Mo3Jo3 schrieb:
Direkt mal eine Frage zum Sinkhole. Du schreibst, damit lässt sich Werbung blocken. Wie groß ist der Unterschied zu PiHole? Das benutze ich nun schon länger und funktioniert auch gut gegen Cookies und Tracker, YouTube oder Website Werbung lässt sich damit aber nicht blocken.
Kann pfSense das?
Zum Vergrößern anklicken....
pfblockerNG ist deutlich mächtiger als pihole.

Aber 1) es bleibt primär eine DNS Blacklist (wie pihole) und 2) eine IP Blacklist via Firewall Rules (eher wie snort/suricata light). Es wird also nicht viel mehr Werbung als pihole blocken können.

Für Cookie und YouTube blocking brauchst Du eine Browser basierte Methode, zB uBlock Origin oder uMatrix.
 
es bringt übrigens nichts, in den Settings für das ausgehende VPN den Namen zu verpixeln, wenn der auf der Widgetübersicht trotzdem sichtbar ist XD

Aber ja, pfsense ist Top - wir haben @Lan auch mit dem Voucher-Modul für Internet gearbeitet - wäre z.B. was für Gäste...
 
Hat mal jemand pf für Traffic > 10 Gbps genutzt ?
Netgate selbst vermarktet ja für den kommerziellen Nutzen pfSense auch nur bis 10 Gbps, darüber hinaus werben sie für ihr VPP-basiertes TNSR:
infographic-platform-processing.png
 
BSD ist für 10GBit+ wohl eher nicht so geeignet, teils kämpft es ja schon mit 1GBit, da stark single core abhängig. Linux "fluppt" da deutlich besser- auch was SQM angeht zB - aber es gibt keine so "runde" Firewall distribution. IPfire ist ja doch eher seltsam, und openwrt gut aber nicht für x86 gemacht (es geht, nutzt aber RAM und Disk space nicht aus).
 
also ich kann mich mit dem Speed meiner pfsense im Gbit-Bereich nicht beschweren - ich bekomme auch so zwischen den Netzen rund 800-900Mbit Durchsatz hin, da limiert eher das Storage auf der anderen Seite.

bei mir läuft es als VM ohne SWAP mit 12GB RAM und 2 CPU-Kernen / 7 NICs -> VLAN und Host-only Netze fürs LAB
CPU ist aktuell noch ein E5-X5650 im Host, wird demnächst aber generell auf nen HP G10 upgedatet.
 
******* schrieb:
Bei mir war bei 700-800 MB/s Filecopy in Windows Schluss, meine ich. War aber zusätzlich auch über ein virtuelles Interface. Als ich die beiden 10Gb-Interface in der pfSense gebridged habe, waren es nur noch 600-700 MB/s.

Anhang anzeigen 568064
Aber dass 1Gb irgendwo Probleme gemacht hätte, das ist mir noch nicht aufgefallen.
Zum Vergrößern anklicken....

Ich rede ja auch von > 10 Gbps. Muss ich mir mal nach DPDK Alternativen informieren, die können das definitiv. Ansonsten teste ich mal ein Plain Linux mit nftables. Wenn ich mehr Funktionen brauch installiere ich mir die Sachen nach (FRRouting, Strongswan,...).
 
******* schrieb:
Ist zwar extrem offtopic, aber gerade festgestellt, dass mein VPN-Provider inzwischen Split-Tunneling im offiziellen Desktop-Client unterstützt. Da kann dann auch Policy Based Routing mit der pfSense nicht mehr mithalten. 😉
So oder so eine schöne Entwicklung.:btt2:
Zum Vergrößern anklicken....
Das ging mit OpenVPN oder einem Tunnelinterface schon immer, muss man halt die entsprechenden Routen im Client hinterlegen.
 
******* schrieb:
WireGuard ist nun auf Kernel-ebene implementiert und sollte mit der noch zu erscheinenden Version 2.5 von pfSense alsbald allen Nutzern zur Verfügung stehen.
Zum Vergrößern anklicken....
Bloß, wann kommt diese Version?

PFSense ist top!
Aber ich habe echt Sorge, dass das "Projekt" in wenigen Jahren eingestampft wird.
Früher gab es ständig Updates, heute dauert es dann schon ewig, bis mal wieder etwas neues kommt. Das letzte stabile Update gab es im Juni.
 
Binary images will be available January 20, 2021 for those who are tracking the 2.5.0 development branch update from the pfSense GUI, or who are utilizing the 2.5.0 development branch installation media.
Zum Vergrößern anklicken....
 
******* schrieb:
Sehr Bald! 😉

Ich versteh den Drang nach ständig neuen Versionen aber nicht. Das Ding soll vor allem funktionieren und das ist bei diesem Projekt schon so schwer genug, was die Erfahrungen so sagen.
Zum Vergrößern anklicken....
Prinzipiell hast du dort Recht und ich hatte bis jetzt auch noch nichts (soweit ich mich erinnern kann), was nicht funktionierte.

Hoffen wir, dass die schleichenden Releases kein Anzeichen von bevorstehendem Ableben sind (so wie leider schon öfter erlebt).
 
Die werden ihren Fokus aufjedenfall in Zukunft auf TNSR legen.
 
TNSR?

Ich hab eher bedenken, dass so lange keinen Sicherheitsupdates kamen. Oder hat sie keine Lücken?
 
******* schrieb:
Announcing pfSense® Plus

Es sieht danach aus, dass pfSense nun aufgespalten wird, in eine kostenpflichtige Plus-Version mit neuen Features und besserer Bedienbarkeit, während die kostenlose Community Edition noch Sicherheitsupdates und weiterhin OS-Upgrades bekommt.

Momentan liest es sich im Forum so, dass die Plus-Version für einen reinen nicht kommerziellen Einsatz kostenlos sein soll.
Zuerst kommt sie aber ausschließlich in Netgate-Produkten als Hardware- oder Cloud-Lösung zum Einsatz.
Zum Vergrößern anklicken....
Tolle Wurst! 🤮

Warten wir einmal das "Pricing" und die wirklichen Unterschiede zwischen den Versionen ab.

Ich habe nix dagegen, für gute Software Geld zu bezahlen, aber bei den "Professionellen" Lösungen wird ja gerne direkt im mittleren dreistelligen, wenn nicht sogar vierstelligen Bereich der Preis festgelegt. Dann müsste auch ich mich leider verabschieden und mich nach Alternativen umsehen.
 
Würde ich für Homeuse bezweifeln, die sind auf die Community angewiesen. TNSR ist für den nichtkommerziellen Heimgebrauch ja auch kostenlos.
 
Was ist jetzt TNSR?

Schau aber auch eher mit einem Skeptischen Auge auf diese Aufspaltung...
 
Ich hätte auch mehr gehofft, sie würden die Frequentierung erhöhen, aber die GUI moderner und logischer ausgestalten ist ja auch weit oben auf der Liste. Bin durch Thomas Krenn vor ein paar Jahren auf OPNSense aufmerksam gemacht worden. Die legen da ganz schön vor, was Kontakt mit Community und zeitnahe Einarbeitung von Wünschen betrifft. Da hat pfsense noch einiges aufzuholen, wenn die am Ball bleiben wollen. Andererseits ist man hier mit der eigenen Hardware weiter. Die wurde ja teilweise schon aktualisiert.
 
Da bin ich jetzt echt froh, gleich auf OPNsense gesetzt zu haben.
Allerdings haben sie den ReverseProxy mit der 20.7.8 richtig zerballert. =(
Es sollte ein Fehler behoben werden, der jetzt endlich server certificate verification erlaubt.
Tja, nach dem Upgrade war nginx erstmal t.o.h.t.
Mittlerweile gibt es zwei fixes an der location.conf und setup.php, damit geht es endlich. =)
Ansonsten schönes Stück Software. =)
Aber ich weiß immernoch nicht, welche Regeln ich genau einstellen muss, damit iSCSI über VLANs ohne Verbindungsabruch nach 30 s funktioniert und ich nicht dauernd "sloppy state" für die betroffenen IFs aktivieren muss.
Hab da wohl noch ne Lernkurve...
 
Zuletzt bearbeitet:
Naja, bezahlen und bezahlen ist halt nen Unterschied. Ob nun alle 2 Jahre nen neuen Billig-Router bzw. alle 3-5 Jahre ne neue Fritzbox oder gleich was "Richtiges" wo man 5-10 Jahre was von hat. Soweit ja erstmal OK, wenn da ein paar Euro für wandern. Die Menge macht's halt und der Nutzen. Eine 100€ Ubiquiti USG 3 reicht ja auch im Heimbereich für so ziemlich alles außer IDS/IPS bei mehr als 100MBit/s als Anbindung. Wenn es bei nem 20er im Jahr +/- bliebe, kann man ja drüber nachdenken. Die Zeit sich in was anderes einzuarbeiten wäre ja gegenzurechnen. Bleibt also die Wahl zwischen FOSS und Proprietär. Das muss man halt mit sich ausmachen.
 
Wir nutzen auf der Arbeit auch die pfSense, von daher muss man mal schauen was netgate dar aus machen. Auch wenn die Meinungen über netgate ja stark auseinandergehen. Habe mir testweise mal eine Sophos XG virtuell aufgesetzt. Aber die Zeit, sich in alles einzuarbeiten muss man ja auch erstmal haben.
 
Guten Tag euch allen.

Ich träume seit Jahren über eine Hardware-Firewall, da ich die Vorstellung hat, man kann damit
- üblere Angriffe von außen schon vor den Clients abwehren
- das gröbste an Tracking und Werbung schon vor den Clients verwerfen
- Telemetrie und sonstige "home callings" endgültig abzuwürgen
Das würde bisher wegen erheblicher Ahnungslosigkeit verworfen bzw. blieb bei theoretischen Überlegungen.

Bin ich damit hier richtig? Mein Problem ist nämlich, mir würde jegliche Wahl genommen :fresse:
Es wurde mir vor oaar Tagen vorbeigebracht, von einem Kumpel der damit nichts anfangen will, von wiederum seinem Kumpel der jetzt beruflich für Jahre nach Kanada ist:
Ein aus Holz selbst gebauter 19" Rack mit einem PowerEdge R210II mit E3-1260L, 16GB 1333 RAM, einer zusätzlichen Netzwerkkarte mit nochmal 4x 1Gbit Intel Chip, mit iDrac und mit einer 128GB SSD.

Die SSD ist jetzt das Problem. Auf der befindet sich eine (wohl) zurückgesetzte pfSense. Ich meine das wäre auch die aktuelle. Nun stehen wir uns also gegenüber. Sie als Berg, ich als Ochs.

Kann hier wer gute Lektüre empfehlen oder ebensolche goldene Tipps für Grünschnäbel? ;) Meist kann ich mich mit kleinwenig Anschubserei in jedes Thema einarbeiten und jetzt hab ich auch etwas womit ich direkt üben kann. Was mir noch fehlt sind paar wohlgesonnene Anschubser :)

mfG.
 
Zuletzt bearbeitet:
Sagen wir es mal so: Für jemanden der lernen muss das Zeug zu handeln, ist das Kicken von pfsense und zB. die Installation von opnsense, nicht grad etwas einfacheres als pfsense zu beherrschen.
Auf dem ersten Streifzug durchs Netz vor paar Tagen fiel mir nur auf, daß alle die Stabilität und insgesamt die "Systemlaufzeit" hervorheben. Das hab ich auch bei Krenn irgendwo schon gesehen. Für mich vorerst das Killerfeature ;) Auch daß ein riesen Haufen Leute, keine Ahnung warum, es eben auf dem 210II laufen lässt oder zuerst laufen lies. Es scheint grad auf dieser Box ziemlich gut zu rennen.
Dann passt das auch erstmal.

Ich zieh mir das erstmal zu Gemüte. Danke. Das sind eh nur 1415 Seiten :d
Infos die ich mir vielleicht nicht erst irgendwo anders aneignen müsste wären vielleicht eure Meinungen dazu, ob das mit dem ersten Absatz im vorherigen Beitrag überhaupt zu machen ist. Noch weiß ich ja nicht so wirklich wovon ich rede :) Mehr als das will ich aber erstmal auch nicht machen.

Ich weiß noch nichtmal ob die Topologie so Sinn ergibt (wobei die zugegeben ziemlich einfach aussieht).
Es gibt Tutorials auf YT, da richten die Leute in 5min. das Ding ein (grübel)

edit:
Nach dem Beitrag erfuhr ich auch wo der 210II her kommt. Es lieferte über die 4 Ports der Karte das Netz über etliche etliche Räume, Clients und auch APs das Netz, die beiden internen Ports waren 2x WAN vom Load Balancer. Vor allem, stabil. Denke daher das reicht erstmal soweit mit dem was die Box hinbekommt. Jetzt muss nur ich es hinbekommen.

edit2:
Ok. Das waren jetzt erstmal 195 Seiten "changeslog" zum schnell Drüberscrollen. Sehr gute idee das an den Anfang zu schieben :) Dadurch
breitet sich aber auch das Gefühl aus, daß es ist nicht so schlimm ist jetzt erst direkt mit 2.4.5p1 anfzuangen :fresse:
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.

Ähnliche Themen

F
Neuer PfSense / Opnsense Router bzw. Mainboard, stromsparend, ECC RAM fähig, PCiex für Connect-X 4 Netzerkkarte, gesucht
Antworten
12
Aufrufe
594
Zyxx
Z
P
[Kaufberatung] Zwei Heimserver für OPNsense und Proxmox
Antworten
5
Aufrufe
705
Pixolantis
P
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh