*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)
Genau, so hattest du es mir schon mal erklärt.
Das mit dem Speed aber noch nicht, es könnte ja rein theoretisch sein, dass die 2.0x8 Karte die 8 Lanes nicht voll ausnutzt, und wenn 4 Lanes also weg fallen, dass wir eben doch signifikant unter den 2000MB/s sind. Deswegen meine Frage, ob dann über die 4 Lanes der volle Speed durchgeht oder nicht. Auf die 500MB/s kann man vermutlich verzichten, oder, später im NAS, wird es vermutlich eh nur 1 Port, da sind ja die 2000MB/s eh über den 10G. Wen jetzt aber aus irgendeinem Grund z.B. nur 1500MB/s durch die Lanes gehen, dann wäre das natürlich schon nicht so toll.
Oder ist das quatsch, und solange die Anzahl der Lanes mit dem definierten Speed zur Verfügung steht, ist auch genau das der Durchsatz, unabhängig von der Karte und für wieviel Lanes die eigentlich angedacht ist?
underclocker2k4
Mr. Alzheimer
2GB/s sind eben 2GB/s. Wenn man 2,5GB/s haben will, dann geht das nicht.
Die Datenraten sind natürlich nur Bruttoraten. Da geht nochmal etwas Overhead ab. Die 2GB/s werden dann also nicht erreicht.
Was dabei rauskommen wird, kann ich nicht sagen.
PCIe 2.0 x8 sind eben 4GB/s und gut ist.
Werden davon nur x4 genutzt, warum auch immer, ist es eben PCIe 2.0 x4 und damit 2GB/s.
Wird bei einer 2 spurigen Autobahn 1 Spur weggenommen, dann gehen nur noch 50% Autos durch, skaliert dann analog.
Aber warum nutzt du nicht einfach den el. x16 Slot?
Die Datenraten sind natürlich nur Bruttoraten. Da geht nochmal etwas Overhead ab. Die 2GB/s werden dann also nicht erreicht.
Was dabei rauskommen wird, kann ich nicht sagen.
PCIe 2.0 x8 sind eben 4GB/s und gut ist.
Werden davon nur x4 genutzt, warum auch immer, ist es eben PCIe 2.0 x4 und damit 2GB/s.
Wird bei einer 2 spurigen Autobahn 1 Spur weggenommen, dann gehen nur noch 50% Autos durch, skaliert dann analog.
Aber warum nutzt du nicht einfach den el. x16 Slot?
Zuletzt bearbeitet:
Ja, für den Router ist es natürlich egal, da nehm ich den x16 Slot. Für ein NAS, wo vllt noch ne Graka rein kommt, bleibt dann (bei diesem MB) halt nur der x4 Slot übrig, oder dann ein Mainboard mit 1x16 und 1x8 Slot, oder nur ein SFP+ Port, was ja reichen sollte. Wollte das nur nochmal für mich klargestellt haben.
underclocker2k4
Mr. Alzheimer
Und warum muss in dem NAS die GPU in den el. x16 Slot?
underclocker2k4
Mr. Alzheimer
Naja, kann man so machen. Meine GPU steckt in einem FSC 3417 auch nicht im obersten Slot.
Will sagen, es muss für alles einen Grund geben. Gibt es keinen, kann man es auch anders machen.
"haben wir schon immer so gemacht" ist kein Grund.
Will sagen, es muss für alles einen Grund geben. Gibt es keinen, kann man es auch anders machen.
"haben wir schon immer so gemacht" ist kein Grund.
Zuletzt bearbeitet:
danielmayer
Enthusiast
- Mitglied seit
- 30.03.2005
- Beiträge
- 1.002
Tatsächlich mögen einige Boards keine Grafikkarte außerhalb des einzigen x16-Slots, da dort die Stromversorgung stärker ist (PEG, 75w statt 25W). Relevant bei "kleinen" Grafikkarten ohne extra Poweranschluss (meine 6450HD, z.B.) oder je nach Design der Karten bei größeren. Meist sind wegen der Power-Designs die Slots mechanisch "closed" auf z.B. 4x.
underclocker2k4
Mr. Alzheimer
Das ist z.B. ein Grund. Es kommt daher auf die Beschaffenheit des Ports und die Belastung durch die GPU an.
Sicher kann man sich bei einem PEG-Slot schon sein. Aber, wie gesagt, es geht auch "ohne".
Bei den ganzen Gamingboards hast du stellenweise auch das MB mit PEG-Slots voll und denn noch wird irgendwie immer oben angefangen. Evtl. ist das auch einfach die Denkeweise, von oben nach unten, von links nach rechts.
Bei 2HE 24SFF Server fange ich auch immer links an zu bestücken. HPE aber baut z.B. beim 2HE 8SFF den Cage rechts sein.
(Begründung, kürzester Kabelweg)
Bei mir ist bspw. ne GPU mit PCIe-Power.
Was der Slot nun schafft weiß ich auch nicht. Kann man nicht erinnern mal irgendwo gelesen zu haben, was da geht.
Sicher kann man sich bei einem PEG-Slot schon sein. Aber, wie gesagt, es geht auch "ohne".
Bei den ganzen Gamingboards hast du stellenweise auch das MB mit PEG-Slots voll und denn noch wird irgendwie immer oben angefangen. Evtl. ist das auch einfach die Denkeweise, von oben nach unten, von links nach rechts.
Bei 2HE 24SFF Server fange ich auch immer links an zu bestücken. HPE aber baut z.B. beim 2HE 8SFF den Cage rechts sein.
(Begründung, kürzester Kabelweg)
Bei mir ist bspw. ne GPU mit PCIe-Power.
Was der Slot nun schafft weiß ich auch nicht. Kann man nicht erinnern mal irgendwo gelesen zu haben, was da geht.
Zuletzt bearbeitet:
danielmayer
Enthusiast
- Mitglied seit
- 30.03.2005
- Beiträge
- 1.002
Genau. Mir hatte ein MB-Hersteller das (<=25W) mal als Begründung gesagt, warum alle "kurzen" Slots geschlossen waren - ich war darüber etwas verärgert 
underclocker2k4
Mr. Alzheimer
Jop, das ist die SPEC. Standard dürfen Karten 25W ziehen, LP-Karten (eigentlich) nur 10W und PEG ist auf 75W geSPECt.
RaverXX
Enthusiast
Wir haben Fortinet Firewall als externe und OPNSense als Interne Firewalls. Aktuell wird alles geNATed. Die Fortis sehen natürlich immer nur die OPNsense Gateways. So lassen sich keine angepassten Regeln auf den Fortis z.B. für die Clients (VPN) erstellen. Gibt es eine möglichkeit die Traffic zu Routen und nicht zu NATen und für die Forti sichtbar zu machen?
JA, das geht ganz sicher. Entweder die opsense als transparente bridge einrichten oder das NAT ausschalten (musst dann halt statische routen setzen) - müsste beides funktionieren. Genaues kann ich Dir leider nicht sagen, ggfs. auch im opnsense forum fragen oder googlen.
Kann man sowas hier kaufen? Hat da jemand Erfahrungen damit?
HP NC523SFP
Laut Driver HP NC523SFP DUAL PORT 10Gb SERVER ADAPTER funktioniert das schon mit manueller Treiberinstallation, aber läuft das dann auch problemlos und stabil? Macht halt preislich schon nen enormen Unterschied.
oder alternativ noch die hier:
Mellanox ConnectX-2
HP NC523SFP
Laut Driver HP NC523SFP DUAL PORT 10Gb SERVER ADAPTER funktioniert das schon mit manueller Treiberinstallation, aber läuft das dann auch problemlos und stabil? Macht halt preislich schon nen enormen Unterschied.
oder alternativ noch die hier:
Mellanox ConnectX-2
underclocker2k4
Mr. Alzheimer
Falls du was suchst, um darauf ein Spiegelei zu braten, dann ist die NIC dein Ding.
(knapp unter 20W braucht das Teil)
Nimm ne 3er, die braucht statt ~7W nur 4w~, wie auch ne Intel X520, die die höchste Treiberkompatibilität hat.
Haha, kein wunder dass die so billig ist, das ist schnell wieder an Stromkosten ausgegeben.
Also, dann nicht am falsche Ende sparen und doch die X520 nehmen.
Weltherrscher
Experte
- Mitglied seit
- 28.04.2008
- Beiträge
- 811
Im Normalfall ist der Slot, der der CPU am nächsten ist, der einzige, der direkt am PCIe der CPU hängt.
Soo viele ders in einem Satz.
Klar, bei Zen hast du mehr und es ist dann wohl noch der zweite Slot zumindest mit x4 an die CPU geflanscht, aber bei Consumer-Kram hat sich das dann schon.
Bei Server-HW sind dann schon fast alle am PCIe der CPU angeflanscht.
Soo viele ders in einem Satz.
Klar, bei Zen hast du mehr und es ist dann wohl noch der zweite Slot zumindest mit x4 an die CPU geflanscht, aber bei Consumer-Kram hat sich das dann schon.
Bei Server-HW sind dann schon fast alle am PCIe der CPU angeflanscht.
Ich habe nun schon einige Erfahrungen im Bereich Firewall-Appliance sammeln können. Bisher habe ich die IPFire-Distribution am laufen gehabt und habe es nun im zweiten Anlauf mit OPNSense probiert. Auch hier habe ich alles ohne Probleme einrichten können. Aber generell ist OPNSense an manchen Stellen ziemlich zickig, wie ich feststellen musste. Generell sollte man nicht zu viel an den Interfaces herumspielen. Testweise wollte ich am LAN-Interface eben doch etwas ausprobieren.
Im Detail habe ich die IPv6-RA-Einstellungen im DHCP-Bereich freigeschaltet. Da ich dort aber nichts weiter unternommen habe, habe ich den Haken ganz unten im LAN-Interface wieder rausgenommen. Nach dem Übernehmen der Einstellungen und darauf folgenden Neustart hatte ich dann keinen Zugriff mehr auf das Web-Interface von OPNSense. Dacht ich mir, kein Problem, du hast ja von der vorherigen Config ein Backup gemacht. Also habe ich die Factory Settings geladen, bin dann ins Web-Interface gegangen und habe dann alle Einstellungen wiederherstellen lassen. Nach dem Neustart hatte ich weiterhin keinen Zugriff auf das Web-Interface, auch war ich nicht mit dem Internet verbunden.
Anschließend habe ich dann versucht, nicht gleich alles aus dem Backup wiederherzustellen und habe zunächst manuell die Interfaces (WAN, LAN und WLAN) konfiguriert. Im Anschluss habe ich dann nur das Backup für DHCPv4 wieder einspielen wollen. Nach dem Reboot wieder das gleiche Spiel: Ich kam nicht mehr aufs Web-Interface! Habe ich einen Denkfehler oder was genau läuft bei mir schief? Warum ist das Web-Interface nicht mehr erreichbar, wenn ich NUR den DHCP-Bereich wiederherstelle? Wozu mache ich dann überhaupt Backups von der gesamten Config, wenn das Wiederherstellen nicht funktioniert?
Edit: Fehler gefunden! Es lag an eben den DHCP-Einträgen inklusive ARP...ich habe nun also das Backup ohne direkten Neustart wiederherstellen lassen und habe die statischen DHCP-Zuweisungen gelöscht.
Im Detail habe ich die IPv6-RA-Einstellungen im DHCP-Bereich freigeschaltet. Da ich dort aber nichts weiter unternommen habe, habe ich den Haken ganz unten im LAN-Interface wieder rausgenommen. Nach dem Übernehmen der Einstellungen und darauf folgenden Neustart hatte ich dann keinen Zugriff mehr auf das Web-Interface von OPNSense. Dacht ich mir, kein Problem, du hast ja von der vorherigen Config ein Backup gemacht. Also habe ich die Factory Settings geladen, bin dann ins Web-Interface gegangen und habe dann alle Einstellungen wiederherstellen lassen. Nach dem Neustart hatte ich weiterhin keinen Zugriff auf das Web-Interface, auch war ich nicht mit dem Internet verbunden.
Anschließend habe ich dann versucht, nicht gleich alles aus dem Backup wiederherzustellen und habe zunächst manuell die Interfaces (WAN, LAN und WLAN) konfiguriert. Im Anschluss habe ich dann nur das Backup für DHCPv4 wieder einspielen wollen. Nach dem Reboot wieder das gleiche Spiel: Ich kam nicht mehr aufs Web-Interface! Habe ich einen Denkfehler oder was genau läuft bei mir schief? Warum ist das Web-Interface nicht mehr erreichbar, wenn ich NUR den DHCP-Bereich wiederherstelle? Wozu mache ich dann überhaupt Backups von der gesamten Config, wenn das Wiederherstellen nicht funktioniert?
Edit: Fehler gefunden! Es lag an eben den DHCP-Einträgen inklusive ARP...ich habe nun also das Backup ohne direkten Neustart wiederherstellen lassen und habe die statischen DHCP-Zuweisungen gelöscht.
Zuletzt bearbeitet:
Von oben nach unten.
konfetti
Urgestein
die Firewall schaut, von Oben nach unten, welche Regel greift und das wars, alles was danach kommt ist uninteressant.
Wenn Du also möchtest das eine Ausnahme von nem Regelset greift, müsste die Ausnahme eben vorher kommen.
Du kannst ja auch einen Screenshot von Deinem Problem posten
Wenn Du also möchtest das eine Ausnahme von nem Regelset greift, müsste die Ausnahme eben vorher kommen.
Du kannst ja auch einen Screenshot von Deinem Problem posten
Shihatsu
Urgestein
- Mitglied seit
- 16.08.2005
- Beiträge
- 4.904
Firewall Groups im Menü, hier ist die Reihenfolge abhängig davon wie sie benannt sind, sprich alphabetisch:
Innerhalb der eigentlichen Regelsets ist es dann klar - von oben nach unten, erste passende Regel wird angewandt. Die Frage ist jetzt:
Wenn in All_VLANs steht "kein access auf host y" und in VLAN_10 steht "acces all" - was passiert dann? Und was passiert wenn ich die Rule in Z_All_VLANs umbenenne?
Innerhalb der eigentlichen Regelsets ist es dann klar - von oben nach unten, erste passende Regel wird angewandt. Die Frage ist jetzt:
Wenn in All_VLANs steht "kein access auf host y" und in VLAN_10 steht "acces all" - was passiert dann? Und was passiert wenn ich die Rule in Z_All_VLANs umbenenne?
Sannyboy111985
Experte
- Mitglied seit
- 19.08.2016
- Beiträge
- 122
Einfach mal in die Doku schauen:
docs.opnsense.org
Wichtig sind die IDs (wobei ich die bei mir nicht finde) und auch das Quick Flag. Das entscheidet über First oder Last Match.
Rules — OPNsense documentation
Wichtig sind die IDs (wobei ich die bei mir nicht finde) und auch das Quick Flag. Das entscheidet über First oder Last Match.
Hallo in die Runde,
ich möchte mit pfsense oder opnsense den ausgehenden Datenverkehr bis auf definierte Verbindungen nur über den Proxy abwickeln. Hierfür müsste ich allerdings *.domain.de Regeln in der Firewall erstellen. Ist das mit einem der beiden Produkte möglich? Wenn ja würde ich mich über ein Paar Tipps oder links hierzu freuen.
ich möchte mit pfsense oder opnsense den ausgehenden Datenverkehr bis auf definierte Verbindungen nur über den Proxy abwickeln. Hierfür müsste ich allerdings *.domain.de Regeln in der Firewall erstellen. Ist das mit einem der beiden Produkte möglich? Wenn ja würde ich mich über ein Paar Tipps oder links hierzu freuen.
Ich würde den Proxy vom pfsense/opnsense nehmen. Ziel ist es das alles was möglich ist durch den Proxy mit Authentifizierung läuft. Da einige Programme damit Probleme haben „z.B. Proxy Einstellungen in der Anwendung werden ignoriert“ würde ich für diese gerne Firewall Regeln erstellen und den Rest sperren. Die *.domain.de bräuchte ich hauptsächlich für Office 365. Richtig cool wäre es natürlich wenn die json Liste automatisch verarbeitet werden würde.
Eins vorweg, ich bin unwissender leihe. Mit dem Web Proxy vom opnsense läuft soweit alles bis auf die *.domain.de Adressen für die Firewall Regeln. Ich habe gehofft das man die benötigten Adressen in Alias Gruppen zusammenfassen kann. Leider klappt das nicht. Liegt das evtl. an der Schreibweise?
*.doamin.de wird scheinbar nicht unterstützt. Bei Sophos müsste das scheinbar so aussehen ^https?://[A-Za-z0-9.-]+\.company\.com
Wenn es noch andere Möglichkeiten gibt mein Vorhaben zu realisieren bin ich dafür offen.
Ziel alles was nicht freigegebene oder mittels Authentifizierung (lokal DB) ins WAN möchte soll geblockt werden.
Es muss für das Regelwerk möglich sein Wildcard Subdomains nutzen zu können.
*.doamin.de wird scheinbar nicht unterstützt. Bei Sophos müsste das scheinbar so aussehen ^https?://[A-Za-z0-9.-]+\.company\.com
Wenn es noch andere Möglichkeiten gibt mein Vorhaben zu realisieren bin ich dafür offen.
Ziel alles was nicht freigegebene oder mittels Authentifizierung (lokal DB) ins WAN möchte soll geblockt werden.
Es muss für das Regelwerk möglich sein Wildcard Subdomains nutzen zu können.