[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

  • Ersteller Gelöschtes Mitglied 63700
  • Erstellt am
Moin,

werden die von OpenSense gefressen?

P225P - 2 x 25/10G PCIe NIC​


Möchte damit meinen OptiPlex 7040 zur FW aufrüsten.
Der hat einen i5 drin und 16GB RAM.
Damit sollte man doch alles nutzen können oder?
Speicher ist eine 256GB M2 SSD
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Na ein interface nach innen an den core switch und sofern möglich das andere direkt an das Netzabschlussgerät. Ich hab keine finale Aussage wie das realisiert werden soll und ob man da flexibel ist. Ansonsten halt noch 1 bein dmz. Da kommt dann ts, nextcloud und hasstenichgesehen...
Nichts, was nicht auch mit 1g geht, aber da die FW zwischen den netzen routen soll, es sei denn ich hab bock und konfigurier das auf dem core, braucht die da schon bissel Feuer, da ich öfter grosse Videofiles von a nach b nach c schubse...
 
OK - also 10G/25G L3 routing im internen Netz.

FreeBSD hat Treiber für die Karte. Erfahrungen hab ich keine. Vielleicht dort im Forum oder besser Reddit fragen?
 
asche77 schrieb:
OK - also 10G/25G L3 routing im internen Netz.

FreeBSD hat Treiber für die Karte. Erfahrungen hab ich keine. Vielleicht dort im Forum oder besser Reddit fragen?
Zum Vergrößern anklicken....
Danke checke ich nochmal aus. :-)
 
Hab mich heute mal zig Stunden mit OPNsense und Adguard gespielt.

Es es sinnvoll Adguard mit Unbound zu kombinieren, oder sollte man Adguard alleine laufen lassen?
Da blicke ich irgendwie noch nicht so durch.

Danke!
 
hs_warez schrieb:
Es es sinnvoll Adguard mit Unbound zu kombinieren, oder sollte man Adguard alleine laufen lassen?
Zum Vergrößern anklicken....
Das kommt ganz drauf an ;-)

Gründe, (auch) Unbound zu nutzen:
- wenn Du einen local resolver haben willst (Adguard macht nur forwarding)
und/oder
- wenn Du die DHCP-Leases über OPNsense verwaltest und lokale DNS-Auflösung haben willst

Du brauchst kein Unbound, wenn Du
- Adguard auch DHCP verwalten lässt
UND
- Du keinen local resolver brauchst / willst, zB weil Du alles per DNS-over-TLS/QUIC/HTTPS and Google/Cloudflare/Quad9/whatever forwardest
 
asche77 schrieb:
Das kommt ganz drauf an ;-)

Gründe, (auch) Unbound zu nutzen:
- wenn Du einen local resolver haben willst (Adguard macht nur forwarding)
und/oder
- wenn Du die DHCP-Leases über OPNsense verwaltest und lokale DNS-Auflösung haben willst

Du brauchst kein Unbound, wenn Du
- Adguard auch DHCP verwalten lässt
UND
- Du keinen local resolver brauchst / willst, zB weil Du alles per DNS-over-TLS/QUIC/HTTPS and Google/Cloudflare/Quad9/whatever forwardest
Zum Vergrößern anklicken....

Ah, ok.

In meinem Fall dann mit Unbound und in Adguard (bei den DNS-Einstellungen) dann einfach die IP-Adresse von OPNsense + Port von Unbound hinterlegen.


Danke!
 
  • WAN net ist nicht das Internet, sondern das Netz, welches sich unmittelbar am WAN-Port befindet. Das kann z.B. das Netz einer vorgeschalteten Fritzbox sein oder eines des ISPs.
    Deshalb gilt es, schleunigst einen "RFC1918"-Alias zu erstellen, der mindestens die lokalen Netzwerke enthält:
    10.0.0.0/8
    172.16.0.0/12
    192.168.0.0/16
    Mit diesem Alias kann man nun Regeln erstellen, die z.B. nur für das Internet gelten, in dem das Ziel als invertierter "RFC1918"-Alias definiert wird.
Zum Vergrößern anklicken....

Obiges steht auf der 1. Seite.
Habe div. Anleitungen/Videos gelesen/geswhen - darauf wurde aber nie eingegangen.

Ist dies in der akt. Version noch nötig, bzw. kann mir das Jemand erklären?


Danke!

LG
 
Das ist zB relevant, wenn Du ein Gäste VLAN hast, das nur Zugriff aufs internet aber nicht auf interne Geräte haben soll.

Re: unbound/Adguard so mache ich das auch.
 
asche77 schrieb:
Das ist zB relevant, wenn Du ein Gäste VLAN hast, das nur Zugriff aufs internet aber nicht auf interne Geräte haben soll.

Re: unbound/Adguard so mache ich das auch.
Zum Vergrößern anklicken....

Hm, so ganz habe ich es noch nicht kapiert!
:unsure:

Plan bei mir (einfach dargestellt):
OPNsense LAN-Anschluss 1: 192.168.1.1 - geteilt auf "VLAN1" (= Server, Notebooks,.....) + "VLAN2" (nur für die Drucker)
OPNSense LAN-Anschluss 2: 192.168.1.100 als "VLAN3" (= "Gäste/HomeOffice-LAN) - nur Zugriff auf Internet und auf VLAN2 (Drucker)
(Gesamtes Netzwerk läuft dann über einen Zyxel-Layer2-Switch.)


Da brauche ich dann die "RFC1918 Alias-Geschichte", damit ich die Zugriffe für VLAN3 regeln kann?


Danke!
 
Du brauchst das alias, um eine Regel für vlan3 zu machen, die vlan3 den Zugriff"auf alles" was nicht destination: RFC1918 ist zu erlauben - m.a.W.: um vlan3 (nur) den Zugriff auf das Internet zu erlauben.

Zudem eine Regel, die vlan3 den Zugriff auf den Drucker erlaubt. Die muss dann vor der o.g. Regel stehen.
 
asche77 schrieb:
Du brauchst das alias, um eine Regel für vlan3 zu machen, die vlan3 den Zugriff"auf alles" was nicht destination: RFC1918 ist zu erlauben - m.a.W.: um vlan3 (nur) den Zugriff auf das Internet zu erlauben.

Zudem eine Regel, die vlan3 den Zugriff auf den Drucker erlaubt. Die muss dann vor der o.g. Regel stehen.
Zum Vergrößern anklicken....

Ok, danke.
Mal sehen, ob ich das hinbekomme…
 
Ah, ihr habt Recht:
1649149005394.png
 
Mit Umzug und Co. würde ich mich jetzt gern drauf vorbereiten n Fallback zu haben falls die Telekom das nicht rechtzeitig hin bekommt. Ich würde jetzt gern mein altes S8 mit ner Freenet Funk als Tethering Modem dran hängen, sollte imho ja klappen? Hat das schon jemand von euch umgesetzt?
 
Hey Leute, ich steh grad voll auf dem Schlauch.

Wir haben 3 pfSense Systeme im Einsatz. An jedem wollten wir jetzt zusätzlich zu den vorhandenen DSL und Glasfaserverbindungen noch ein 5G Fallback machen.

So, wir haben also von der Telekom einen 5G Unlimited Tarif mit statischer IPv4 und einem passenden Router: ZTE 5G CPE (MC801A müsste das sein).
Das Ding ist doch an sich ein dusseliger Router wie ne Fritzbox?! Häng ich nen Laptop per Netzwerk dran, kriegt der ganz normal ne IPv4 und kann ins Internet.
Mach ich das mit der pfSense, geht zwar ein Ping durch den ZTE nach draußen, aber ich kann im Browser keine Webseite öffnen.
Das WebInterface des ZTE Routers geht aber.

Und ich hab keine Ahnung warum das so ist.... 😞

Wie gesagt, pfsense ab und Laptop dran, geht alles wie an einer Fritzbox auch. Aber die pfSense mag nicht...

Vielleicht habt ihr noch einen Tipp. Ich hab das Gefühl, das ist nur irgendwas kleines banales...
 
Version 2.4.5 noch.
Wie gesagt, wir haben an allen pfSensen mehrere WAN Verbindungen. Seit heute morgen geht interessanterweise auch über den 5G Router Internet... es bleibt mir ein Mysterium. Jetzt muss ich nur noch herausfinden wie ich an die feste IPv4 komme.
 
Brückenmodus aktivieren, IPv4 APN eintragen, Modem neustarten, pfSense an LAN1 anschließen, ...
 
Nach so einer dreisten Antwort würde ich meine Kommentare am liebsten direkt wieder löschen.
 
Du, ich bin für Hilfe immer offen und für Tipps.
Vielleicht War es auch zu forsch von mir, dann entschuldige ich mich natürlich dafür.

Der Router kann kein Brückenmodus.
Ich wüsste nicht, was Unbound damit zu tun haben soll, wenn andere Gateway einwandfrei gehen.
Und Multi WAN geht natürlich weil wir ja bereits mehrere WAN Anschlüsse im Einsatz haben.

Ich schicke bewusst einen einzelnen Client über eben jenes 5G Gateway raus, und es geht PING, DNS und Tracert, aber ein Browser baut nix auf.
Sobald ich das Gateway in der PfSense Regel für diesen Client auf einen der anderen WAN setze, geht alles sofort.

Da heute aber komischerweise Webseiten aufgerufen werden können, muss da irgendwas anderes haken....
 
Also @0 8 15 User , du hast völlig Recht!
Und ich glaube, das ist genau das, was ich übersehen habe!

Das Ding verhält sich genauso wie eine Fritzbox Cable mit static IP!!

Am einem LAN normal DHCP. An den anderen geht es nur wenn die statische IP konfiguriert ist!
Wäre natürlich Hilfreich wenn die Provider das mal als kleines Zettelchen beilegen würden...

Bzgl. DNS, nach wie vor für mich nicht relevant, da wir DNS auf der pfsense nicht nutzen.
 
Speeddeamon schrieb:
Na ein interface nach innen an den core switch und sofern möglich das andere direkt an das Netzabschlussgerät. Ich hab keine finale Aussage wie das realisiert werden soll und ob man da flexibel ist. Ansonsten halt noch 1 bein dmz. Da kommt dann ts, nextcloud und hasstenichgesehen...
Nichts, was nicht auch mit 1g geht, aber da die FW zwischen den netzen routen soll, es sei denn ich hab bock und konfigurier das auf dem core, braucht die da schon bissel Feuer, da ich öfter grosse Videofiles von a nach b nach c schubse...
Zum Vergrößern anklicken....
Bist du sicher, dass du das nicht lieber deinen Switch machen lassen willst, und das ACLs möglicherweise ausreichend sind ?
Zwischen dem Switch und dem Router ins Internet reicht dann ein einfaches Transfernetz, dazwischen dann statische Routen oder halt OSPF mit redistribute connected/static, klappt Beides wunderbar.
 
sch4kal schrieb:
Bist du sicher, dass du das nicht lieber deinen Switch machen lassen willst, und das ACLs möglicherweise ausreichend sind ?
Zwischen dem Switch und dem Router ins Internet reicht dann ein einfaches Transfernetz, dazwischen dann statische Routen oder halt OSPF mit redistribute connected/static, klappt Beides wunderbar.
Zum Vergrößern anklicken....
Gebe dir vollkommen recht. Da ich aber mitten im Umzug stecke und überhaupt erstmal alles ans Laufen bringen möchte ist das andere vermutlich flinker konfiguriert. Die switch cli ist da immer etwas fummeliger xD
 
Anmelden, um zu antworten.

Ähnliche Themen

F
Neuer PfSense / Opnsense Router bzw. Mainboard, stromsparend, ECC RAM fähig, PCiex für Connect-X 4 Netzerkkarte, gesucht
Antworten
12
Aufrufe
801
Zyxx
Z
O
PfSense, OPNsense Hardware - Eure Empfehlungen?
Antworten
9
Aufrufe
934
Almi_(R)
A
P
[Kaufberatung] Zwei Heimserver für OPNsense und Proxmox
Antworten
5
Aufrufe
890
Pixolantis
P
O
pfSense Hardware - Empfehlungen / Kaufberatung / Erfahrungen
Antworten
0
Aufrufe
598
OsiMosi
O
ebniv
  • Artikel
[Sammelthread] Gigabyte MC12-LE0 (AM4, B550, servertauglich: IPMI, Dual Lan, ECC)
96 97 98
Antworten
3K
Aufrufe
262K
ebniv
ebniv
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh