[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Schwer zu sagen. Pie ist etwas neuer aber nicht zwingend besser. Wirklich besser wäre Cake, aber das gibt es unter BSD noch nicht - nur openWRT/Linux soweit ich weiß.

Der Test hier empfiehlt fq_codel und shaping in beide Richtungen: https://burntchrome.blogspot.com/2014_05_01_archive.html?m=1

IETF ist unschlüssig: https://www.ietf.org/proceedings/88/slides/slides-88-iccrg-4.pdf

Für DOCSIS hatte man sich für PIE entschieden. Details zB unter https://www.cablelabs.com/active_queue_management_algorithms_docsis_3_0 (beachte: Vergleich nur valide zwischen CoDel und Pie; flow queueing (fq_codel/fq_pie) ist besser, getestet wurde aber nur fq_codel).

Tendenz: fq_codel niedrigere Latenz, fq_Pie etwas höhere Latenz (aber stabiler als fq_CoDel) mit höherem Durchsatz
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ja, da sind sich wohl alle einig das cake das bessere wäre, mal schauen wann das kommt.

Im pfsense forum habe ich noch folgendes gefunden, dort wird HFSC+codel empfohlen an einer Stelle, ich kann aber nicht finden wo ich das einstellen könnte, gibt es die Option nur bei pfsense?
 
Ah ok jetzt verstehe ich es, es wird einfach der eine Scheduler für den download genommen und der andere für den upload. Super, danke für den screen shot :)
 
Ich habe HFSC (Hierarchical Fair Service Curve) irgendwie garnicht bei OPNsense
Screenshot from 2021-04-27 15-28-30.png

Oder ist das "Weighted Fair Queueing"
 
Kann es sein, dass man Amazon und Telekom nicht mehr aufrufen kann, sobald man NordVPN konfiguriert hat?
Ich wähle mich zwar nicht über NordVPN ein, aber kann diese Seiten nicht mehr aufrufen.

Habe ich etwas falsch konfiguriert?

Edit: Wenn ich meine IP über NordVPN laufen lasse kann ich die Webseiten aufrufen
 
Ich hab mal eine Frage zum vernünftigen Aufbau und Routing während der Einrichtung.
Stand aktuell: Fritzbox macht Routing, Gateway und DHCP, piHole macht DNS, alles in einem 192er Netz an dummen Switchen, in diesem Netz ein Proxmox Host und mein Rechner.
Zielzustand: Mehrere voneinander getrennte VLANs (10.10.x.x) an einem Layer 2/3 Switch (Mikrotik scheint der hotteste Stuff zu sein), zum Rumspielen, lernen und testen habe ich hier einen Cisco Small Business Switch SG200-08, der erst mal alles zum "lernen" kann. Das ganze soll von einer OPNsense-VM auf Proxmox laufend kontrolliert und gesteuert werden. Die VM hat einen NIC für sich alleine, mit 2 Ports. Einer hängt an der Fritzbox, ein zweiter an der
Jetzt habe ich zwischen Ist- und Sollzustand das Thema Aufbau - in der ganzen Zeit muss das Netzwerk ja weiter laufen, und es soll nach und nach migriert werden. Normalerweise hänt man ja einen Port an das WAN, einen an das LAN, und hängt dann in das LAN einen PC der per DHCP ne Adresse aus dem Netz kriegt. Da hab ich zwei Probleme mit: Ich möchte nicht einfach einen 2ten DHCP ins physische Netz hängen, ohne zu fragen ob das Probleme verursacht. Und dann muss ich ja noch von meinen 192.168. PC (diesem hier) in das 10er NEtz der OPNsense kommen - für letzteres ist denke ich eine statische Route in der Fritzbox der richtige Weg?
Wie habt ihr euren Aufbau gemacht? Und die Migration?
 
Kann es sein, dass man Amazon und Telekom nicht mehr aufrufen kann, sobald man NordVPN konfiguriert hat?
Ich wähle mich zwar nicht über NordVPN ein, aber kann diese Seiten nicht mehr aufrufen.

Habe ich etwas falsch konfiguriert?

Edit: Wenn ich meine IP über NordVPN laufen lasse kann ich die Webseiten aufrufen
Mit der Telekom hat sich geklärt. Anscheinend hatte die Seite ein paar Probleme.
Aber mit der Amazon-Seite gibt es noch immer Probleme.

Das komische ist, dass wenn ich z.B. mit dem Handy oder Tablet auf die Seite zugreife funktioniert es. Gehe ich mit dem PC (mit drei Verschiedenen getestet) auf die Seite, wird diese nicht geladen.
Wird in der Regel meine IP eingetragen, mit der VPN-Verbindung, funktioniert die Seite. Trage ich in der Regele das gesamt Netz ein geht es auch an den anderen PCs.
Die mobilen Geräte bleiben davon unberührt.
Der Firestick funktioniert auch nicht.
Ich könnte verstehen wenn Amazon den VPN verbietet, aber umgekehrt finde ich das etwas merkwürdig.

Nur weiß ich gerade nicht wie ich den Fehler beheben soll.
 
Bei den Rules habe ich verschiedene Einstellungen getestet und auch die Reihenfolge geändert, aber leider immer mit dem gleichen Ergebnis.
Wie ich oben schon geschrieben habe, ist es komisch das ich mit dem Handy per WLAN auf die Website komme. VLANs habe ich keine.
Rules Lan.JPG

Bei den Outbounds sind noch zusätzlich die OpenVPN drin
Out.JPG

Die DNS-Einträge habe ich aus dem Tutorial von NordVPN übernommen.
DNS.JPG
 
@*******
Wenn ich die DNS auf die alte IP abändere komme ich auf noch weniger Seiten - einschließlich Hardwareluxx. Andere Seiten gehen trotzdem.

Was meintest du genau mit:
Warum ..178. ? Solltest Du NAT ausgeschaltet haben, bin ich raus. 😉

..178.16 kann so nicht mit anderen Subnetzen kommunizieren.
Das muss er auch nicht. Ist ein Docker aufm Server. Kann quasi gekapselt bleiben.

wobei das Subnet mit dem Ausrufungszeichen macht keinen Sinn und sollte weg oder ggf. mit was anderem ersetzt werden.
Das ist die VPN-Verbindung. Damit sich die IP nur über diese verbindet.

EDIT:

Ich habe die DNS auf 1.0.0.1 geändert und nun funktioniert es ohne und mit VPN.
Aber was ich nicht verstehe ist, warum geht meine vorherige DNS nicht. Ich hab gestern und heute zuerst meine alte DNS getestet und kam deswegen nicht weiter.
Selbst die von Google (8.8.8.8) funktioniert auf einigen Seiten nicht bzw. es wird keine Verbindung zu diesen aufgebaut. Einschließlich Hardwareluxx und Amazon.

Kurz gesagt, es lag an der DNS.
Aber ich weiß noch nicht den Grund.
 
Zuletzt bearbeitet:
1. Backup machen!

Dann:
Unter DNS.
Weise einmal deinem WAN Anschluss einen DNS Server zu (gerne auch testweise 8.8.8.8 oder 1.1.1.1 ; das sind die Google DNS Server).
Und weise einmal deinem NordVPN einen DNS zu (so wie ja derzeit schon der Fall).

VPN, um dich mit PFSense (bzw. infolgedessen deinem Heimnetzwerk zu verbinden) hast du auch schon ins Leben gerufen?
 
Backups mache ich immer vor jeder "verstellerei"

Weise einmal deinem WAN Anschluss einen DNS Server zu (gerne auch testweise 8.8.8.8 oder 1.1.1.1 ; das sind die Google DNS Server).
Und weise einmal deinem NordVPN einen DNS zu (so wie ja derzeit schon der Fall).
Sobald die DNS von NordVPN drin ist gehen einige Seiten nicht mehr. Egal ob die mit den NordVPN zugewiesen sind und andere DNS mit der WAN.
Aber das betrifft nicht nur die NVPN DNS.
VPN, um dich mit PFSense (bzw. infolgedessen deinem Heimnetzwerk zu verbinden) hast du auch schon ins Leben gerufen?
Ja, das funktioniert auch wunderbar.
Ich kann ohne Probleme von Außerhalb auf mein Heimnetz zugreifen.

1.1.1.1 ; das sind die Google DNS Server).
1.1.1.1 ist von Cloudflare
Diese und 1.0.0.1 funktionieren auf allen Seiten.
 
Dann würde ich fast behaupten, dass der NordVPN DNS Server das Problem ist, wenn mit anderem DNS (Cloudflare, Google) sonst alles erreichbar ist.
Sprich: Anderen DNS Server nutzen.

Bspw. Cyberghost mal testen:
Preferred DNS server: 10.101.0.243
Alternate DNS server: 38.132.106.139
 
Das sieht mir nach dem Fritzbox LAN aus. Wenn Du hinter der Fritzbox bist, dann gehört dein pfSense-LAN in ein anderes Subnet, nicht in das selbe wie die vorgelagerte Fritzbox, unbedingt ändern!
Nein, davor hängt ein Speedport. Wegen LTE Hybrid muss ich diesen auch leider benutzen.
Dieser hat aber einen andere Subnet (192.168.2.XX)

Klar, aber ich rede hier nur von der Destination und die gehört anders eingestellt, z.B. any.
Achso, das hab ich wieder auf any geändert. Hatte das nur zum Testen drin.

Dann würde ich fast behaupten, dass der NordVPN DNS Server das Problem ist, wenn mit anderem DNS (Cloudflare, Google) sonst alles erreichbar ist.
Sprich: Anderen DNS Server nutzen.

Bspw. Cyberghost mal testen:
Preferred DNS server: 10.101.0.243
Alternate DNS server: 38.132.106.139
Werde ich morgen testen.
Ich denke auch das es an den DNS Servern liegt, aber ich frage mich warum es mit meiner alten DNS nicht mehr geht. Bevor ich NVPN hinzugefügt habe, konnte ich ohne Probleme mit dieser auf allen Seiten.
 
  1. Wenn ich nun doch eine VPN-Kiste habe, wo ich jeglichen DNS-Leak verhindern will, dann weise ich nur dieser Kiste via DHCP anstatt der pfSense ausschließlich einen externen DNS-Server wie 8.8.8.8 zu.
    Dann funktioniert für sie zwar kein Split-DNS mehr, dafür aber werden die DNS-Verbindungen, genau wie jeglicher anderer externer Traffic, über den definierten VPN-Client ausgeleitet.
Da kann ich gerade nicht folgen. :LOL:
Wie hast du das bei dir umgesetzt bzw. wie würdest du das umsetzen?
 
Wenn ich nun doch eine VPN-Kiste habe, wo ich jeglichen DNS-Leak verhindern will, dann weise ich nur dieser Kiste via DHCP anstatt der pfSense ausschließlich einen externen DNS-Server wie 8.8.8.8 zu.
Dann funktioniert für sie zwar kein Split-DNS mehr, dafür aber werden die DNS-Verbindungen, genau wie jeglicher anderer externer Traffic, über den definierten VPN-Client ausgeleitet.
Das müsste man doch eleganter mit DNS Zones lösen können? lokalen DNS Server zuweisen und dann diesen anweisen, nur die lokalen Adressen über unbound/dnsmasq aufzulösen und externe Adressen über den "externen DNS-Server wie 8.8.8.8"?

Oder hast Du Sorge, dass der gemeinsame cache von unbound/dnsmasq dann doch zu leaks führt? Warum dann nicht eine weitere dnsmasq/unbound/adguard/pihole/stubby/.... DNS Instanz lokal aufsetzen und dort den split DNS für die VPN-Kiste machen?
 
DNS in der pfSense ist auch ein etwas komplexeres Thema, gerade im Zusammenspiel mit VPN-Dienstleistern.
Ich bevorzuge folgende Herangehensweise:
  1. Der Resolver ist der DNS-Server für die Geräte
  2. Bei mir läuft er im Forwarding Mode mit TLS, d.h. er verbindet sich verschlüsselt zu den unter General Setup hinterlegten DNS-Servern von google, cloudflare etc.
  3. Diese Verbindungen finden über das WAN statt, hier will ich kein VPN dazwischen.
  4. Wenn ich nun doch eine VPN-Kiste habe, wo ich jeglichen DNS-Leak verhindern will, dann weise ich nur dieser Kiste via DHCP anstatt der pfSense ausschließlich einen externen DNS-Server wie 8.8.8.8 zu.
    Dann funktioniert für sie zwar kein Split-DNS mehr, dafür aber werden die DNS-Verbindungen, genau wie jeglicher anderer externer Traffic, über den definierten VPN-Client ausgeleitet.
5. per FW den Zugriff auf die lokalen DNS-Resolver vom VPN-Client PC unterbinden, sofern der VPN-Client PC im selben lokalen Netzsegment liegt, wie normale Clients. Es wird immer tolle Anwendungen geben die nicht die DNS-Server, die das OS vor gibt, nutzen oder evtl. sogar noch die alten, gecachten DNS-Server der pfSense hinterlegt haben. Das musst du dann auch unterbinden. Ansonsten reicht dann eine umgebogene Defaultroute durch das VPN-Tunnelinterface.
 
Heya, was würdet ihr denn als Basis für eine 19-Zoll-Hardware nehmen? Hintergrund: Meine OPNSense ist virtualisiert und ich möchte sie HA-"light"-fähig machen, in dem ich 2 Instanzen verbinde. Die Sekundär-Instanz soll eben nicht virtualisiert sein, damit ich auch mal am Host rumschrauben kann ohne das das Netzwerk gleich aufgibt. Da die Haupt-Firewall in einem 19" Schrank wohnen wird, sollte die sekundäre da auch Platz finden. Gerne auch gebraucht, Anforderungen halt 2 NICs, IPMI-Port, etwas "Dampf" damit sie im (Not)Fall nicht komplett alles ein bremst.
Edit: Ich brauche natürlich 3 NICs, WAN, LAN und pfsync.
 
Zuletzt bearbeitet:
@Shihatsu ...da gibt es doch bei Ali so viele fertig, dass Du garnicht weisst, wo Dir der Kopf steht....denke ein i5 mit 4G/32G kommt auf etwa 280-300EUR, zB: Link
IPMI für den Fall kannst Du auch mit ner smarten Steckdose machen ;-)
 
Ich kann den Dell R210II empfehlen.
 
Zwar nicht ganz 19", aber ich bin mit einer Sophos XG 105 und Opnsense ganz zufrieden. "Größere" Modelle gibts dann auch in 19".

Sind mit etwas Geduld und Glück gebraucht zu sehr guten Preisen zu bekommen, egal ob SG oder XG. RAM und HDD/SSD sind idR austauschbar.
Man sollte nur vorher etwas Recherche betreiben welche CPU verbaut ist (das ist Modell und Revisionsabhängig) und ob die für die angepeilten Zwecke ausreicht.
Ich hab in meiner XG 105 Rev 5 ein Atom E3930 drin, das reicht für ~900 MBit FW-Durchsatz aus. PPPoE Durchsatz konnte ich leider noch nicht testen. Idle bei ungefähr 10W.

IPMI haben die meisten AFAIK nicht, aber dafür einen seriellen Konsolenport. Kann man prima z. B. mit einem Raspberry PI und https://github.com/cminyard/ser2net abgreifen, damit kommt man auch auf die BIOS-Ebene. Im Endeffekt verhalten die sich wie ein normaler Rechner, Installation von OPNSense war bei mir problemlos möglich.
 
@P0stbote
Mit welchen Erweiterungen rennt das?
Integer ist das Ding etwa soviel lahmer als 1220Lv2, wie es zu dem in Watt (TDP) steht...
 
Zuletzt bearbeitet:
Relativ wenig, ich nutze nur HAProxy und local netflow collection. HAProxy macht ungefähr 500Mbit, danach ist CPU technisch Feierabend.

Klar, das Teil reißt keine Bäume aus, aber gebraucht fürn Hunni kann man sich da echt nicht beklagen und die Hardware ist halt schick (Im Gegensatz zu der Software UTM oder XG...) - und wenn die Internetleitung eh nicht so dick ist, reicht das vollkommend aus. Leider hat @Shihatsu keine Angaben zu seinem benötigten Durchsatz geschrieben.

Aber die gibt's ja auch ein paar Nummern größer. Die SG210rev1 hat z. B. ein Celeron G1820 verbaut. Und gerade in Richtung SG 2xx wird halt viel von Unternehmen ausgesondert, da kann man mit etwas Glück richtig gute Angebote erwischen.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh