[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Komische Geschichte:
Ich habe 2 opnsense Instanzen im CARP-HA-Failovermodus laufen. Beide sind recht identisch aufgebaut und jkonfiguriert, es läuft auch alles wunderbar. Allerdings kriege ich im Netzwerk nur einen der beiden Hostnamen aufgelöst, die andere reagiert nur auf ihre IP. Sowohl in der GUI zeigt sie mir den Hostnamen an als auch auf der Konsole (als Inhalt von /etc/hosts). Aber wenn ich sie anpinge antwortet sie mit ihrer IP, und anpingen via Hostname geht nicht. Was kann das sein?
 
Wer ist dein DNS?
Manchmal bin ich einfach extrem DUMM. So dumm das es wehtun würde, wäre ich nicht vom Tisch auf die Tischplatte dotzen zu abgelenkt.
DNS spielen die beiden opnsense via unbound. Und in keiner der beiden ist ein override eingestellt. Solange Nummer 1 der Master ist kennt sie natürlich ihren eigenen FQDN und kann den an Clients weitergeben...

Ich fühle mich gerade dumm. Dank dir!
 
Moinsen,
ich benötige nochmal eure Hilfe. Ich habe auf meinen Server einen Ark-Server erstellt und möchte diesen von außen zugänglich machen. Die Ports dafür wurden freigegeben und der Server ist mit der normalen IP erreichbar. Jetzt möchte ich meine IP durch eine VPN-Verbindung etwas schützen, aber irgendwie finde ich dann den Server nicht. Ich denke ich habe bei den Einstellungen etwas verbockt.
Hier die Porteinstellungen:

Firewall NAT Port Forward:
image.thumb.png.a2efb1766f754728a7deb6c56708a25d.png

Firewalll WAN Rules:
image.thumb.png.b4cb8702eef39a3dd0c0b6ed31bcd075.png

Speedport Pro Plus Ports:
image.png.a5ce4cc65e82d40bdd04231adc914bce.png


Mit diesen Einstelllungen ist der Server mit meiner normalen Provider-IP von außen erreichbar und kann auch gefunden werden.

Jetzt habe ich unter den Rules die VPN-Verbindung für die Server-IP hinzugefügt, aber danach ist der Server nicht mehr auffindbar. Weder über die IP noch über den Servernamen. Der ist jetzt nur noch Lokal erreichbar.
1628342025741.png


Bisher habe ich meine Gameserver nur Lokal benötigt. Evtl. kann mir jemand helfen. Besten Dank!
 
Ah, ok das war mir nicht bekannt. Dann kann das nicht funktionierten.
Gibt es eine andere Möglichkeit seine IP zu "schützen"?
 
Du kannst übrigens die einzelnen Ports von Ark in einen (Port-)Alias packen, dann brauchst Du nur noch eine Regel.
Das habe ich bei meine anderen Sachen auch gemacht. War erstmal nur damit der Server läuft.

Dann muss ich mir was anderes überlegen.
Danke!
 
Ah, ok das war mir nicht bekannt. Dann kann das nicht funktionierten.
Gibt es eine andere Möglichkeit seine IP zu "schützen"?
Hol dir nen vServer von Contabo, die haben auch nach Hörensagen ne brauchbare Gametraffic Protection. DDoS Protection ist nicht immer für alle Anwendungen gleich gut. Cloudflare mag für HTTP Traffic guten DDoS Schutz bieten, für UDP Gametraffic evtl jedoch nicht.
 
Hol dir nen vServer von Contabo, die haben auch nach Hörensagen ne brauchbare Gametraffic Protection. DDoS Protection ist nicht immer für alle Anwendungen gleich gut. Cloudflare mag für HTTP Traffic guten DDoS Schutz bieten, für UDP Gametraffic evtl jedoch nicht.
Du meinst um dort meine Traffic drüber laufen zu lassen? Also sprich meine IP hinter den vServer zu verbergen?
 
Wir haben schon zwei bei einem Hoster.
Die Server die bei mir laufen sind oft "Testserver" für Mods/Einstellungen bevor diese auf den Hoster gehen oder Games die uns wahrscheinlich nur einen Monat oder so interessieren.
Dennoch wäre es interessant gewesen die IP bei sowas zu "verbergen"

Auf einen vServer kann man sowas nicht laufen lassen. Ich dachte es ginge generell ums IP verbergeben dabei.
 
Naja, ich habe zwar keine statische IP, aber heutzutage gibt es erst ab 180 Tagen wieder eine Zwangstrennung. Aktuell habe ich seit 71 Tagen die gleiche IP.
Und ja, falls es zu einen Angriff kommt dann kann ich wechseln, aber trotzdem wäre es ein "nice to have"
 
Warum kann man das nicht? Bin da ahnungslos. :-)
Denen fehlt schlicht die Leistung. Es gibt bestimmt Gameserver die darauf laufen, aber das sind keine Game die wir/ich zocken ;)
Und bei den heutigen Leitungen kann man ohne weiteres Gameserver zu Hause hosten, wenn man eh einen Server 24/7 laufen hat. Wir reden jetzt nicht von "competitive games" wo es auf die letzte Nachkommastelle im Ping ankommt :d :d
 
Ich werde mir das am Wochenende mal anschauen. Wobei ich nicht wirklich Bock habe noch einen vServer zu pflegen :d
 
@i-B4se Du könntest halt auf einem VPS auch pfSense installieren und dann den Traffic da durch NATen auf deinen Heimanschluss. ...

Genau sowas hab ich bei hetzner unter Hilfe von @Opticum gemacht. Läuft auch ganz gut für meine Games. Bisschen Valheim und Factorio. Da braucht es keinen rasanten Ping. Wir liegen da bei VDSL so bei 80ms.

Hätte gerne schneller, aber hier in der Stichstraße liegt nur Kupfer. *grr.
 
Genau sowas hab ich bei hetzner unter Hilfe von @Opticum gemacht. Läuft auch ganz gut für meine Games. Bisschen Valheim und Factorio. Da braucht es keinen rasanten Ping. Wir liegen da bei VDSL so bei 80ms.

Hätte gerne schneller, aber hier in der Stichstraße liegt nur Kupfer. *grr.
Ich möchte das gerne in Angriff nehmen, aber im Moment einfach keine Zeit und durch den Kauf eines Hauses wird noch einiges geändert :LOL:
 
Hallo Freunde,

ich steige gerade in meiner UNI ein bisschen durchs Netzwerk und unsere Admins sind alle im Urlaub oder überlastet. Ich hoffe, ihr könnt mir die richtigen Tipps geben..
Wir haben uns einen Server gekauft. Dieser ist per Netzwerkkarte ENO1 (WAN) und dem wpasupplicant an ein 8021x EAPOL Auth System angeschlossen. Das Netz ist restriktiv.

Die Netzwerkkarte ENO2 (LAN) ist an unser ROBO Netzwerk angeknüpft.

Wie auf dem Graph zu sehen möchte ich neben dem Robonetz ein VM Netz haben. Da würde ich gerne untereinander kommunizieren, als auch in beide Richtungen ins Robonetz und WAN. In den VMs sollen Kubernetes, ROS und weitere netzwerklastige Dienste laufen.
In einer VM läuft die aktuelle OPNsense Version, frisch installiert und die Interfaces konfiguriert. Der Host läuft auf Proxmox 6.4.4.

Muss ich nun sämtlichen Datenverkehr durch die OPNsense VM senden und diese verteilt es dann oder was wäre StateOfArt Lösung in diesem Fall? Soll ich die MAC der Brücke auch im 8021x registrieren und mich ans Netz hängen oder lieber Brücke bauen und per NAT?

Nun habe ich drei weitere Fragen:
Wie müsste ich die Interfaces des Hosts aufbauen?
Ist OPNSense in der Lage mir die notwendigen Services zu liefern?
Brauche ich die Proxmox Firewall?

cat /etc/network/interfaces

EDIT5:

So ist der Aufbau. OPNSense könnte ich nun direkt beim Radius registrieren.
 

Anhänge

  • 20210528_robolab-netzwerk(2)(3).jpg
    20210528_robolab-netzwerk(2)(3).jpg
    179,8 KB · Aufrufe: 126
  • 1630061718907.png
    1630061718907.png
    61,6 KB · Aufrufe: 133
Zuletzt bearbeitet:
Moin, ich bin ein wenig weiter gekommen und habe mal einen separaten Thread erstellt.. Eventuell könnt ihr dort nochmal lesen und mir ggf. unter die Arme greifen.
 
Vielleicht ist es etwas ganz simples... ich habe eine opnsense als Firewall aufgesetzt, funktioniert, INternet und DNS und alles wie es soll.
Ich habe nur Probleme mit einer einzigen externen Domain an den Clients. Als DNS Server ist die OPNSense eingetragen.

Folgendes: unter System - Settings - General sind die DNS Server 127.0.0.1 sowie 1.1.1.1 und 8.8.8.8 eingetragen.
Unter Interfaces - Diagnostics - DNS Lookup wird die Domäne korrekt aufgelöst.

Am Client allerdings nicht. schaue ich mit nslookup (server ist die OPNSense) nach
DNS TImeout
stelle ich im nslookup den Server auf z.b. 1.1.1.1 klappt die Namensauflösung.
Code:
Standardserver:  OPNsense.local
Address:  192.168.0.1

> xxx.xxx.xxx
Server:  OPNsense.local
Address:  192.168.0.1

*** Keine internal type for both IPv4 and IPv6 Addresses (A+AAAA)-Einträge für xxx.xxx.xxx verfügbar.
> server 1.1.1.1
Standardserver:  one.one.one.one
Address:  1.1.1.1

> xxx.xxx.xxx
Server:  one.one.one.one
Address:  1.1.1.1

Nicht autorisierende Antwort:
Name:    xxx.xxx.xxx
Address:  (korrekte IP Adresse)

>

wenn ich per ssh auf die OPNSense gehe und auf der Shell ein ping mache:
Code:
ping: cannot resolve xxx.xxx.xxx: No Address associated with name

Ich steh auf dem Schlauch...
 
Folgendes: unter System - Settings - General sind die DNS Server 127.0.0.1 sowie 1.1.1.1 und 8.8.8.8 eingetragen.
Ob's Dein Problem löst, weiss ich nicht, aber: Die 127.0.0.1 hat dort nichts zu suchen! Bitte löschen. Das sind die server, die opnsense als resolver verwendet. Sie soll aber nicht sich selbst fragen, sondern einen upstream resolver.
 
Okay, die 127.0.0.1 ist raus, nur noch 1.1.1.1 und 8.8.8.8
Der Haken "Do not use the local DNS service as a nameserver for this system" ist aktiv.

Aber trotzdem: keine Auflösung vom Client aus.
Diagnostic -> DNS lookup funktioniert weiterhin, beide DNS Server geben die korrekte IP aus

EDIT: Wenn ich am Client die DNS Adresse ändere (also weg von OPNSense, direkt die 1.1.1.1) geht es natürlich ...
aber dann muss ich jeden Client der nicht DHCP ist anfassen, da hab ich ja keine Lust drauf 🙃
 
Zuletzt bearbeitet:
nur diese eine domain? kann ja irgendwie nur ein block im opnsense sein (aktivierter malwarefilter etc) - oder?
Die Domain willst nicht verraten? xxx.xxx.xxx geht bei mir auch nicht, auch ohne opensense ;-)
 
Der Haken "Do not use the local DNS service as a nameserver for this system" ist aktiv.
Warum das - den Haken würde ich im Zweifel rausnehmen.
Aber trotzdem: keine Auflösung vom Client aus.
...
EDIT: Wenn ich am Client die DNS Adresse ändere (also weg von OPNSense, direkt die 1.1.1.1) geht es natürlich ...
aber dann muss ich jeden Client der nicht DHCP ist anfassen, da hab ich ja keine Lust drauf 🙃
Welchen DNS resolver/forwarder hast Du denn auf der Opnsense laufen (riecht nach Fehler dort)? Welchen DNS Server lieferst Du per DHCP aus?
 
hmmm
Jetzt wo du es sagst... die Domain ist tatsächlich speziell...
es geht um die Domain impfnachweis.info, speziell die Subdomains web. und id. und api.
lösen alle über normale DNS auf folgende IP auf: 100.102.17.10
Jetzt der Spezialfall: die Seite ist über die Telematik Infrastruktur von Arztpraxen/Apotheken erreichbar, dafür steht dort ein seperater VPN Router.
Der ist in der OPNSense als Route auch hinterlegt, Ziel: 100.102.0.0/15 mit Gateway die interne IP des Konnektors
Ein Traceroute funktioniert auch... nur die OPNSense scheitert an der DNS Auflösung

Ich nutze unbound, statisch und DHCP ist der DNS Server die OPNSense

 
Nachtrag: ich habe mal aus Spaß an der Freude von unbound auf dnsmasq umgeschwenkt - funktioniert sofort..
ich würde aber lieber unbound nutzen, da es ja eigentlich der Default DNS für OPNsense ist und ich das DNSBL Feature nutzen möchte...
 
Du kannst in der OPNSense auch AdGuard installieren, ähnlich zu PiHole. Nur so als Alternative.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh